A due diligence tradicional tem um defeito estrutural: ela expira no dia seguinte. A análise feita no onboarding descreve a empresa daquele momento — sócios, situação cadastral, capacidade financeira. Semanas depois, o quadro societário pode ter mudado, o CNPJ pode estar inapto e a garantia pessoal pode ter saído pela porta — e o cadastro continua dizendo que está tudo bem.
A due diligence contínua ataca exatamente esse problema. Este artigo explica o conceito, a diferença para o modelo de revisões periódicas, o pano de fundo regulatório e um caminho prático de implementação em cinco passos.
O que é due diligence contínua?
É o modelo em que a verificação de terceiros não é um evento, e sim um estado permanente: as informações que fundamentaram a aprovação de um cliente, fornecedor ou parceiro são monitoradas continuamente, e qualquer mudança material reabre a análise — na hora, e não na próxima revisão agendada.
No mercado financeiro, o conceito aparece como perpetual KYC (pKYC) ou KYC orientado a eventos: em vez de refazer a diligência de toda a base a cada 1, 2 ou 5 anos conforme o risco, o sistema reage a gatilhos — uma alteração de quadro societário, uma mudança de situação cadastral, um novo endereço ou atividade.
| Due diligence periódica | Due diligence contínua | |
|---|---|---|
| Gatilho | Calendário (revisões anuais/bienais) | Evento (a mudança em si) |
| Janela de exposição | Meses entre revisões | Minutos a dias após a mudança |
| Esforço | Picos de retrabalho em toda a base | Análise focada só em quem mudou |
| Cobertura | Amostral na prática | Toda a carteira, o tempo todo |
| Trilha de auditoria | "Verificamos em janeiro" | "Detectamos a mudança no dia em que ocorreu" |
Por que a verificação pontual falha
- Dados cadastrais envelhecem rápido — empresas alteram sócios, endereço, capital e status com frequência; cada mudança não capturada é uma decisão tomada sobre dado errado;
- O risco não espera a revisão — a deterioração relevante (sócio-garantidor saindo, CNPJ ficando inapto) acontece entre as revisões, exatamente onde o modelo periódico é cego;
- Revisar tudo é caro e revisa-se pouco — refazer a diligência da base inteira consome o time de compliance com maioria de casos sem mudança alguma, enquanto os poucos casos críticos disputam a mesma fila.
O pano de fundo regulatório
Para setores obrigados, a lógica contínua não é só boa prática. A Lei nº 9.613/1998 (prevenção à lavagem de dinheiro) exige manter cadastro de clientes atualizado; a Circular BCB nº 3.978/2020 determina que instituições reguladas conheçam seus clientes — incluindo a cadeia societária e o beneficiário final — e monitorem continuamente operações e situações; e as recomendações do GAFI/FATF tratam a due diligence como obrigação permanente ao longo da relação de negócio, não apenas no início.
Fora do setor financeiro, programas de integridade e políticas de terceiros (anticorrupção, fornecedores críticos, ESG) convergem para o mesmo requisito: demonstrar que a empresa sabia — ou tinha como saber — no momento certo.
O que monitorar em cada terceiro
- Situação cadastral do CNPJ — ativa, suspensa, inapta, baixada ou nula: o sinal mais direto de que algo grave aconteceu;
- Quadro societário (QSA) — entradas, saídas e trocas de administradores, que reabrem verificação de sanções, PEP e beneficiário final;
- Capital social — reduções relevantes mudam a capacidade de honrar contratos;
- Endereço e CNAE — mudanças que afetam verificação, jurisdição e aderência contratual, e que em sequência compõem padrões de alerta;
- Fontes complementares conforme o risco — processos, certidões, listas restritivas e mídia negativa, em camadas adicionais para os terceiros de maior materialidade.
Como implementar em 5 passos
- Defina o universo monitorado — todos os CNPJs com relação ativa: clientes, fornecedores, parceiros, sacados. Se a lista não existe consolidada, esse é o passo zero;
- Classifique por materialidade — exposição de crédito, criticidade operacional e risco regulatório definem profundidade e camadas de monitoramento de cada grupo;
- Automatize a detecção de mudanças — conecte uma fonte de eventos societários e cadastrais (como o monitoramento de CNPJ da Timeax) para receber o que mudou, com antes e depois, sem varreduras manuais;
- Roteie cada evento para uma ação — mudança de QSA reabre KYC; CNPJ inapto bloqueia novas operações e notifica o gestor do contrato; redução de capital dispara revisão de limite. Evento sem dono é alerta ignorado;
- Registre a trilha de auditoria — guarde o evento, a data de detecção e a ação tomada. É a evidência de diligência que reguladores e auditorias pedem.
Erros comuns
- Monitorar só o onboarding de novos terceiros e deixar o estoque da base parado — o risco mora justamente na carteira antiga;
- Receber alertas em e-mail solto, fora dos sistemas onde a decisão acontece (CRM, ERP, workflow de compliance);
- Não guardar o histórico — sem o antes/depois de cada mudança, não há como reconstruir a linha do tempo nem provar quando a empresa soube;
- Tratar todo alerta com a mesma urgência — sem triagem por materialidade, o volume vira ruído e os casos críticos se perdem.