BasisApp
Todos os artigos
Due Diligence

O que é Due Diligence: guia prático para compliance, jurídico e contabilidade

Quando alguém pede "uma due diligence" no fim do dia, normalmente quer duas coisas ao mesmo tempo: saber se aquela contraparte representa risco, e ter como provar depois que olhou. As duas coisas são o ponto. Tudo o que este texto descreve gira em torno delas.

O que é Due Diligence, sem rodeio

Due diligence é o processo formal de coletar, analisar e registrar informações sobre uma contraparte antes - e durante - uma relação de negócio, para decidir, com base em critérios definidos, se o risco é aceitável e em que condições.

Três palavras dessa definição costumam ser ignoradas e fazem toda a diferença:

  • Processo: não é uma busca, é uma rotina escrita.
  • Critérios: a decisão precisa derivar de regras objetivas, não da impressão do analista.
  • Registro: o que não está documentado, para efeito de auditoria, não foi feito.

Uma consulta a um nome no Google não é due diligence. Pode ser parte do procedimento, mas sozinha não responde à pergunta que importa: com base em quê esta relação foi aprovada?

Quando uma due diligence efetivamente acontece

Na prática brasileira, due diligence aparece em pelo menos quatro contextos:

  1. Onboarding (KYC) - antes de aceitar um novo cliente, fornecedor, parceiro ou colaborador. Aqui ela é preventiva: serve para decidir se a relação começa, e em qual nível de monitoramento.
  2. Monitoramento contínuo - depois que a relação começou, em ciclos definidos (anual para risco baixo, semestral ou menor para risco médio e alto). É o que sustenta a alegação de que o cliente "continua dentro do perfil aprovado".
  3. Eventos críticos - uma operação atípica, uma notícia, uma mudança de quadro societário, uma inclusão em lista restritiva. Um trigger aciona uma reavaliação fora do ciclo.
  4. Transações específicas (M&A, crédito, contratos relevantes) - due diligence aprofundada, com escopo contratualmente definido, para sustentar uma decisão de aquisição, financiamento ou exposição material.

Os três primeiros são pão com manteiga de compliance, PLD/FT e contabilidade. O quarto é o que o jurídico costuma chamar de "DD" - e onde mora a maior parte da confusão de vocabulário.

Os níveis: simplificada, padrão e ampliada

Toda política de due diligence séria opera em três níveis, calibrados pelo risco:

  • Simplificada - para contrapartes de baixo risco bem caracterizadas (ex.: pessoa física de renda comprovada, sem exposição política, residente no Brasil, em operação compatível com o perfil). Documentação básica, validação contra listas restritivas, sem aprofundamento.
  • Padrão - o ciclo normal: identificação, qualificação, screening em listas (sanções, PEPs, mídia adversa), avaliação de coerência da operação com o perfil declarado, classificação de risco e decisão.
  • Ampliada - para risco alto ou indícios concretos: aprofundamento sobre origem de recursos, beneficiário final, vínculos societários, histórico judicial relevante, e - quando cabível - entrevistas e visitas. Tudo registrado.

A regra inegociável: quem decide o nível é a política, não o analista. O analista aplica.

O que precisa estar registrado

Quando o auditor (interno, externo, COAF, Bacen, ANS, CVM, Susep ou CNJ - depende do setor) bate à porta, ele não pergunta "vocês olharam?". Pergunta "me mostra o que vocês olharam, quando, com que critério, e quem assinou pela decisão".

O registro mínimo de uma due diligence sustentável inclui:

  • Identificação completa da contraparte (PF ou PJ), incluindo quadro societário e beneficiário final até pessoa física.
  • Data e fontes consultadas (com timestamp, idealmente com snapshot do resultado - porque base pública muda).
  • Resultado de cada consulta (limpo, alerta, hit confirmado).
  • Classificação de risco atribuída e a justificativa baseada na política.
  • Decisão (aprovar, aprovar com restrição, recusar) e quem decidiu.
  • Data da próxima reavaliação programada.

Sem esses seis itens, não há defesa.

Erros comuns que comprometem o rastro

Em volume, os problemas que mais aparecem em auditoria não são "deixou de fazer". São de execução:

  • Print de tela como prova - print sem URL, sem data verificável, sem hash não sustenta. Em poucos meses a página mudou e a prova evaporou.
  • Planilha como sistema - funciona até a primeira rotatividade. Quem entrou depois não consegue reconstruir o critério usado.
  • Critério informal - "achei o cliente ok" é o oposto de critério objetivo. Política precisa ser regra; analista precisa aplicar.
  • Monitoramento que nunca dispara - se em dois anos nenhuma reavaliação foi acionada por evento, o monitoramento provavelmente não está rodando.
  • Confundir lista negativa com aprovação - "não bateu em lista" significa apenas isso. Não é, por si só, decisão de aceitação.

Onde a regulação amarra isso no Brasil

Cada setor tem sua amarração formal, mas a lógica é a mesma:

  • Contadores - Resolução CFC 1.721/2024 e atos do COAF.
  • Cartórios - Provimentos CNJ 161 e 213.
  • Instituições financeiras - Circular Bacen 3.978 e correlatas.
  • Seguradoras - Circular Susep 612.
  • Advocacia e consultoria - política interna formal exigida em PLD/FT quando há atuação em operações sujeitas.

Por baixo de todas: Lei 9.613/98 (PLD/FT) e LGPD para o tratamento dos dados coletados ao longo do processo.

O ponto que sustenta tudo

Due diligence existe para que uma decisão de risco - aceitar, manter ou encerrar uma relação - possa ser explicada depois. Não é sobre encontrar o problema antes de todo mundo. É sobre conseguir mostrar, com critério e registro, por que a decisão foi aquela.

Quando o processo está bem desenhado, a auditoria vira conversa rápida. Quando não está, vira reconstrução arqueológica - e raramente termina bem.

Ferramenta relacionada

Crivo

Resolve exatamente o problema descrito neste artigo.

Conhecer o Crivo

Receba por e-mail

Quinzenal. Sem spam. O que mudou na regulação e o que fazer a respeito.