VAAS

Due Diligence: o que é, como fazer e limites dos processos manuais

Simone Vollbrecht — Mon, 16 Mar 2026 20:40:35 +0000

Toda relação de negócio carrega risco. O risco de contratar um fornecedor que não entrega, de firmar parceria com uma empresa envolvida em fraude, de onboardar um cliente que usa sua plataforma para lavar dinheiro. A due diligence existe para mapear esses riscos antes que eles se materializem. Quando bem feita, é um dos ativos mais estratégicos de qualquer operação de compliance.

Este artigo explica o que é due diligence, quais são os principais tipos, como conduzi-la com fontes abertas e por que o processo manual, por mais criterioso que seja, tem falhas estruturais que ferramentas especializadas foram desenhadas para corrigir.

O que é Due Diligence

Due diligence é o processo de investigação e verificação de informações sobre uma pessoa, empresa ou operação antes de tomar uma decisão de negócio. O termo vem do latim diligentia (cuidado, atenção) e passou a designar, no contexto jurídico e empresarial, o conjunto de diligências necessárias para que uma decisão seja tomada com base em informações verificadas, não em suposições.

Na prática, due diligence responde perguntas como:

Quem é realmente esse parceiro ou cliente?
Qual é sua reputação no mercado e perante órgãos reguladores?
Existe algum histórico de envolvimento com fraude, corrupção ou lavagem de dinheiro?
As informações que ele forneceu são verdadeiras e verificáveis?

Essa investigação não é burocracia: é a diferença entre entrar em uma relação comercial com informação e entrar às cegas.

Tipos de due diligence

Due diligence não é um processo único. Ela se desdobra em diferentes modalidades conforme o objeto de investigação e o nível de risco envolvido.

Due diligence de terceiros (Third-Party Due Diligence)

É a forma mais comum. Aplica-se a qualquer entidade com quem a empresa se relaciona: fornecedores, prestadores de serviço, distribuidores, representantes comerciais, parceiros de negócio. O objetivo é verificar a idoneidade, a capacidade operacional e o histórico de compliance dessas partes antes de fechar contratos ou renová-los.

Due diligence de clientes (KYC — Know Your Customer)

Obrigatória em setores regulados como fintechs, bancos, seguradoras e mercado de capitais, o KYC verifica a identidade do cliente, sua capacidade financeira, sua origem de recursos e seu perfil de risco. É exigência das regulamentações do Banco Central (BACEN), da CVM e do COAF, entre outros órgãos.

Due diligence corporativa (M&A e investimentos)

Utilizada em fusões, aquisições e processos de investimento. Vai além do compliance e inclui análise financeira, jurídica, fiscal, operacional e de governança da empresa-alvo. O objetivo é identificar passivos ocultos e avaliar se o valor percebido da operação corresponde à realidade.

Due diligence de integridade (Integrity Due Diligence)

Focada em reputação e integridade. Investiga vínculos com pessoas politicamente expostas (PEPs), histórico em listas restritivas (OFAC, ONU, TCU, CGU), participação em processos judiciais relevantes, envolvimento em escândalos de corrupção e associações de risco. É mandatória para empresas que operam em setores sujeitos à Lei Anticorrupção (Lei 12.846/2013) e à regulação PLD/FT.

Due diligence simplificada vs. aprimorada

Não todo relacionamento exige o mesmo nível de investigação. A abordagem baseada em risco exigida pela regulação brasileira prevê:

Due diligence simplificada (SDD): para clientes e parceiros de baixo risco, com menor volume de informações e verificações.
Due diligence aprimorada (EDD — Enhanced Due Diligence): para situações de alto risco, como PEPs, operações em jurisdições de risco ou transações de valor elevado. Requer investigação mais profunda e monitoramento contínuo.

Como fazer due diligence: fontes de dados abertas

Mesmo sem acesso a ferramentas especializadas, é possível conduzir uma due diligence básica com fontes públicas. O Brasil tem um ecossistema razoável de dados abertos, mas o desafio está em saber onde olhar e como cruzar as informações.

Fontes para verificação de identidade e situação cadastral

Receita Federal (Consulta CNPJ): situação cadastral, quadro societário, atividade econômica, data de abertura. Disponível em: cnpj.receita.fazenda.gov.br
SINTEGRA / Portal SEFAZ estadual: regularidade fiscal no âmbito estadual, inscrição estadual, situação ativa.
Junta Comercial do estado: contratos sociais, alterações societárias, certidões de registro — com acesso variável por estado (JUCESP, JUCEMG, etc.)

Fontes para restrições e sanções

CGU — Cadastro Nacional de Empresas Inidôneas e Suspensas (CEIS): empresas e pessoas físicas punidas pela Administração Pública Federal. portaltransparencia.gov.br
CGU — Cadastro Nacional de Empresas Punidas (CNEP): sanções aplicadas com base na Lei Anticorrupção.
TCU — Lista de inabilitados e inidôneos: fornecedores impedidos de contratar com a administração pública federal.
OFAC SDN List (EUA): lista de sanções do Tesouro americano — relevante para empresas com operações internacionais. sanctionssearch.ofac.treas.gov
Lista ONU: sanções impostas pelo Conselho de Segurança. scsanctions.un.org

Fontes para processos judiciais e administrativos

CNJ — Consulta de processos: acesso aos sistemas de tribunais estaduais e federais via portais integrados como o Datajud. cnj.jus.br
STJ, STF, TRF, TRTs: consultas diretas nos portais de cada tribunal para processos de alta relevância.
SUSEP (seguradoras), CVM (mercado de capitais), BACEN (instituições financeiras): todos mantêm bases de sanções, advertências e punições administrativas aplicadas a pessoas físicas e jurídicas do setor.

Fontes para PEPs e vínculos políticos

Portal da Transparência do Governo Federal: servidores públicos, beneficiários de programas sociais, contratos com o governo.
TSE — Divulgação de candidaturas e contas eleitorais: histórico eleitoral e financiamento de campanhas.
Listas comerciais de PEPs: algumas bases abertas internacionais (como OpenSanctions) compilam PEPs de múltiplas jurisdições.

Fontes de mídia e reputação

Pesquisa em veículos jornalísticos de referência com o nome da empresa ou dos sócios associado a termos como “fraude”, “investigação”, “operação policial”, “irregularidade”.
Bases de jurisprudência como JusBrasil para identificar litígios recorrentes.

Os limites reais do processo manual

O processo manual descrito acima é válido e, em muitos contextos, suficiente para uma triagem inicial. Mas apresenta limitações estruturais que se tornam críticas à medida que o volume de operações cresce ou o nível de risco exige rastreabilidade e profundidade.

Volume e escalabilidade. Consultar 10 fontes para um único fornecedor é trabalhoso. Fazer isso para centenas de parceiros, com renovação periódica, é operacionalmente inviável sem processos automatizados. O gargalo humano cria atrasos que comprometem o onboarding e a tomada de decisão.

Inconsistência metodológica. Sem padronização, cada analista aplica critérios diferentes. O que um profissional considera risco relevante, outro pode ignorar. Isso cria exposição regulatória: em uma auditoria, a ausência de registro estruturado e critérios uniformes é tão problemática quanto a ausência da due diligence em si.

Cobertura incompleta. Nenhum analista humano consegue monitorar continuamente todas as fontes relevantes. Listas de sanções são atualizadas com frequência. Uma empresa pode ser incluída no CEIS depois de aprovada no onboarding, e o processo manual raramente prevê remonitoramento sistemático.

Ausência de trilha de auditoria. Reguladores como BACEN, CVM e COAF exigem evidência de que a due diligence foi realizada, com quais critérios e com qual resultado. Planilhas e e-mails não são trilha de auditoria, são risco em potencial.

Viés de confirmação. Em processos manuais, há tendência de confirmar o que já se sabe ou o que se quer aprovar. Ferramentas automatizadas eliminam esse viés ao aplicar os mesmos critérios independentemente da pressão comercial.

Como a VAAS apoia o processo
de due diligence

A VAAS é uma plataforma de gestão inteligente de riscos desenvolvida para resolver exatamente esses gargalos. Ela integra automação, fontes de dados estruturadas e fluxos de trabalho configuráveis para que o processo de due diligence seja rigoroso, rastreável e escalável.

Consulta integrada a múltiplas bases. A VAAS centraliza a verificação em dezenas de fontes públicas e privadas como Receita Federal, CGU (CEIS e CNEP), listas de sanções internacionais, bases de PEPs e dados judiciais, além de informações sobre crédito e documentoscopia — sem que o analista precise acessar cada fonte individualmente. O resultado é uma visão consolidada do perfil de risco em uma única interface.

KYC e KYE automatizados. Para clientes e empresas (Know Your Entity), a plataforma estrutura o fluxo de coleta de dados, validação documental e classificação de risco conforme os critérios definidos pela própria organização, alinhados à abordagem baseada em risco exigida pela regulação brasileira.

Monitoramento contínuo. A due diligence não termina no onboarding. A VAAS monitora os cadastros aprovados contra atualizações nas bases de dados, gerando alertas automáticos quando um parceiro ou cliente passa a constar em listas restritivas ou tem alterações relevantes.

Trilha de auditoria completa. Cada consulta, cada decisão e cada evidência coletada ficam registradas na plataforma com timestamp, responsável e critério aplicado. Em caso de auditoria regulatória, a empresa tem documentação estruturada, e não uma pasta de e-mails.

Configuração por nível de risco. A plataforma permite configurar fluxos diferenciados conforme o perfil de risco do relacionamento: due diligence simplificada para parceiros de baixo risco, aprimorada para PEPs e operações sensíveis. Isso garante proporcionalidade sem abrir mão de rastreabilidade.

Conclusão

Due diligence não é etapa burocrática e sim uma decisão de negócio com base em informação verificada. Feita manualmente, com critério e conhecimento das fontes certas, já representa um avanço em relação a nenhuma verificação. Mas o processo manual tem teto: ele não escala, não garante uniformidade e não produz a trilha de auditoria que reguladores e parceiros cada vez mais exigem.

Ferramentas como a VAAS não substituem o julgamento humano. Elas garantem que esse julgamento seja exercido com dados completos, processos padronizados e evidência documentada, que é o que separa o compliance de papel do compliance que funciona.

Perguntas frequentes

Due diligence é obrigatória por lei?

Autorização VASP junto ao BACEN: Sua exchange está preparada para a nova regulação do Banco Central?

Simone Vollbrecht — Mon, 09 Mar 2026 14:31:35 +0000

O prazo é outubro de 2026. O processo começa agora.

Em fevereiro deste ano, entraram em vigor as Resoluções BCB nº 519, 520 e 521 — o marco regulatório mais relevante para o mercado de criptoativos no Brasil desde o Marco Legal de 2022. A partir de agora, empresas que operam como exchanges, custodiantes ou corretoras de ativos virtuais passam a ser classificadas como Prestadoras de Serviços de Ativos Virtuais (PSAVs ou VASPs em inglês). Com isso, precisam obter autorização formal do Banco Central para continuar operando.

O prazo para protocolar essa autorização é 30 de outubro de 2026.

Parece distante. Não é. E, para aumentar a complexidade, a a Resolução BCB nº 552, publicada em 3 de março de 2026, traz novas obrigações.

O que muda na prática

Antes dessas resoluções, exchanges operavam num ambiente regulatório indefinido. Havia obrigações de PLD/FT pela Lei 9.613/98 e regras de KYC derivadas de normas gerais, mas nenhum regime específico para o setor cripto.

Agora há. E as exigências são estruturantes:

Segregação patrimonial obrigatória. Os recursos dos clientes precisam estar separados dos recursos próprios da empresa, em contas individualizadas. Para muitas exchanges, isso implica uma reorganização operacional relevante.

Capital mínimo regulatório. Dependendo da modalidade de atuação — intermediária, custodiante ou corretora — o capital mínimo exigido pode variar de R$ 10,8 milhões a R$ 37,2 milhões.

KYC e PLD/FT em escala. As obrigações de Conheça Seu Cliente se tornam mais rigorosas e precisam estar integradas a um programa de PLD/FT documentado, com políticas, procedimentos e controles internos auditáveis.

Travel Rule e carteiras autocustodiadas. A partir de maio de 2026, as PSAVs precisam identificar o titular de carteiras não custodiadas em transferências e reportar essas operações mensalmente ao Banco Central via arquivo específico (ACAM212). Essa é uma das exigências mais operacionalmente complexas do novo marco.

Certificação técnica independente. A infraestrutura tecnológica da empresa (segurança, custódia, sistemas) precisa ser validada por um auditor técnico independente antes da autorização.

Auditoria contábil dos últimos três anos. A Fase 1 do processo de autorização exige a entrega de balanços auditados dos três exercícios anteriores. Para empresas que nunca tiveram essa obrigação, preparar isso retroativamente leva tempo.

E tem mais: a Resolução BCB nº 552, publicada em 3 de março de 2026, expande o escopo.

Publicada esta semana, a Res. BCB 552 estende formalmente às PSAVs autorizadas um conjunto de obrigações que até então se aplicavam apenas a instituições de pagamento e corretoras. Na prática, as exchanges reguladas passam a ter que cumprir:

Ouvidoria (Res. BCB 28): obrigatória para PSAVs com clientes pessoas físicas ou pequenas empresas
Política de compliance (Res. BCB 65): gestão integrada do risco de conformidade com os demais riscos da instituição
Segurança cibernética (Res. BCB 85): política formal e requisitos para contratação de serviços de nuvem e processamento de dados
Auditoria interna (Res. BCB 93): estrutura de auditoria interna com escopo aplicável às atividades de ativos virtuais
Relacionamento com clientes (Res. BCB 155): princípios e procedimentos formais de atendimento
Controles internos (Res. BCB 260): sistema de controles internos estruturado
Prevenção a fraudes (Res. BCB 343): implementação obrigatória até 30 de outubro de 2026 — mesmo prazo da autorização
Política de remuneração de administradores (Res. BCB 432): aplicável aos gestores da PSAV autorizada

O recado da norma é claro: ser uma PSAV autorizada não é apenas ter KYC e capital mínimo. É operar com o mesmo nível de governança, controles e transparência exigido de qualquer instituição do sistema financeiro nacional.

Como funciona o processo de autorização

O Banco Central estruturou a autorização em duas fases principais até o momento, definidas pela Instrução Normativa BCB nº 704:

Fase 1 — até 30 de outubro de 2026 Protocolo da declaração de atividade, entrega de balanços auditados dos últimos três anos, documentação sobre reputação dos controladores e estrutura societária.

Fase 2 — até 60 dias após a Fase 1 Entrega completa da documentação de governança, viabilidade operacional, infraestrutura técnica e certificação independente.

O erro mais comum que já estamos vendo no mercado é tratar a Fase 1 como um formulário simples. Não é. A exigência de balanços auditados retroativos, combinada com a documentação de controladores, pode levar de três a seis meses para ser estruturada — especialmente em empresas que nunca passaram por auditoria externa.

O que o Banco Central vai avaliar

Além da documentação formal, o BCB vai verificar se a empresa tem condições reais de operar dentro do novo arcabouço. Isso inclui:

Programa de PLD/FT estruturado, com responsável designado e políticas documentadas
Controles de KYC que contemplem tanto pessoas físicas quanto jurídicas, incluindo identificação de beneficiários finais (UBO) e Pessoas Politicamente Expostas (PEPs)
Processo documentado para monitoramento de operações suspeitas e comunicação ao COAF
Infraestrutura tecnológica auditável, com segregação de funções e trilha de auditoria
Gestão de risco operacional, incluindo planos de continuidade de negócios
Ouvidoria estruturada, política de segurança cibernética, auditoria interna e controles internos formalizados — conforme agora exigido pela Res. BCB 552

Para exchanges que operam com volume relevante, esses requisitos raramente estão todos atendidos de forma documentada e auditável, em especial aqueles que não eram obrigações regulatórias até o momento. Atender na prática é diferente de conseguir demonstrar ao regulador que você atende.

Por que o timing importa

Há um detalhe que passa despercebido: o processo de autorização não é apenas sobre documentação. O Banco Central vai avaliar a maturidade operacional da empresa. Isso significa que ajustes feitos às pressas no último mês antes do prazo são muito mais difíceis de demonstrar do que processos que já estão rodando há algum tempo.

Empresas que começam a reestruturar seu programa de compliance agora têm uma vantagem real sobre as que vão esperar o segundo semestre: tempo para testar, ajustar e documentar.

Além disso, o mercado está em movimento. Exchanges que se regularizarem primeiro vão ter acesso facilitado a parcerias com instituições financeiras tradicionais, produtos de câmbio e stablecoins que dependem da autorização BCB — enquanto concorrentes ainda esperam na fila.

O que fazer agora

Se você é CEO, CTO ou responsável por compliance em uma exchange ou custodiante de ativos virtuais, o checklist mínimo para os próximos 90 dias é:

Mapear as lacunas entre o que você já faz e o que as Resoluções 519/520/521 e a nova Res. BCB 552 exigem
Contratar ou designar um responsável formal pelo programa de PLD/FT
Iniciar o processo de auditoria contábil retroativa, se ainda não tiver balanços auditados
Documentar suas políticas e procedimentos de KYC, monitoramento e reporte ao COAF
Avaliar sua infraestrutura tecnológica com olhar para a certificação técnica independente
Estruturar o processo para Travel Rule antes de maio de 2026
Implementar ouvidoria, política de compliance, segurança cibernética, auditoria interna e controles internos — obrigações agora formalmente estendidas às PSAVs pela Res. BCB 552

Cada um desses itens tem um lead time. Todos juntos exigem planejamento — não urgência de última hora.

Pergunta frequentes - FAQ

Minha empresa tem menos de três anos. Como fico com a exigência de balanços auditados?

Sócio fantasma no STF: Como fazer o monitoramento de beneficiário oculto e evitar riscos reputacionais.

Simone Vollbrecht — Fri, 27 Feb 2026 15:14:09 +0000

Introdução

Um Beneficiário Final (UBO) de alto risco não mapeado pode paralisar operações e gerar sanções severas sob a Circular BACEN 3.978, além de impactar de modo grave a reputação de sua empresa. No cenário atual, a fragmentação de dados e o uso de “estruturas em camadas” (fundos, offshores e holdings) tornam a identificação de Pessoas Politicamente Expostas (PEP) um desafio de alta complexidade. Para empresas que buscam blindagem regulatória, não basta consultar o quadro societário básico; é preciso uma infraestrutura que realize o Reasoning (raciocínio lógico) sobre conexões indiretas e grupos econômicos de fato.

De Sócio Oculto a Escândalo Público: Casos Emblemáticos de Autoridades em Empresas

A opacidade em estruturas societárias é o principal vetor de risco para conflitos de interesse e crimes de lavagem de dinheiro. Abaixo, analisamos como a falta de uma análise profunda de UBO permitiu exposições críticas:

1. O Caso Banco Master e a “Estrutura em Camadas”: Relatórios de 2026 apontam conexões entre empresas familiares de ministros do STF e fundos de investimento ligados a instituições financeiras.
- A Red Flag: O uso de fundos como “camadas opacas” dificulta a identificação do controle efetivo. Em due diligence, isso exige o mapeamento de partes relacionadas e o cruzamento de “CNPJs de prateleira” com o histórico de PEPs.
2. Sócio Oculto no Judiciário (Exemplo CNJ): Casos de aposentadoria compulsória de magistrados por participação oculta em sociedades comerciais demonstram o risco da “interposta pessoa” (laranja).
- A Red Flag: Atuação de fato (quem realmente assina e decide) divergente do controle formal e movimentações financeiras incompatíveis com o patrimônio.
3. Offshores e Autoridades (Pandora Papers): Revelações sobre autoridades com contas em jurisdições de sigilo destacam que o risco muitas vezes está fora do radar do CNPJ nacional.
- A Red Flag: Necessidade de EDD (Enhanced Due Diligence) quando o UBO está em paraísos fiscais, cruzando dados globais para evitar conflitos de interesse.

Mecânica da Solução: Identificação de "Laranjas" via Agentes Inteligentes e Reasoning

A plataforma VAAS automatiza a descoberta de estruturas complexas através de Agentes Inteligentes que executam raciocínio contextual sobre os dados. Enquanto bureaus tradicionais entregam fotos estáticas, nossa infraestrutura de decisão processa:

Agentes Inteligentes e Reasoning: Diferente de uma busca simples, o Reasoning analisa o “timing” de mudanças societárias e a proximidade de eventos sensíveis (como anos eleitorais), identificando sinais de fachada em estruturas enxutas com transações vultosas.
Voto da Maioria: Para garantir a segurança jurídica do dossiê, a VAAS utiliza a técnica de Voto da Maioria. Isso significa que múltiplos modelos de IA cross-referenciam a mesma informação, eliminando alucinações e garantindo dados probatórios precisos.
Code Hub e Variáveis Modeladas: No Code Hub, o Arquiteto de Compliance cria Variáveis Modeladas que calculam automaticamente o nível de risco de uma “cadeia de fundos”, disparando alertas se um cotista oculto possuir vínculos com PEPs monitorados.

Processo Manual vs. Orquestração VAAS

Recurso	Compliance Tradicional (Manual)	Orquestração VAAS
Identificação de UBO	Consulta manual de QSA e PDFs.	Agentes extraem UBO de camadas infinitas.
Monitoramento PEP	Checagem pontual no onboarding.	Monitoramento contínuo via Agentes de IA.
Estruturas Opacas	“Ponto cego” em fundos e offshores.	Reasoning para ligar partes relacionadas.
Tempo de Análise (AHT)	Dias de investigação (“detetive”).	Segundos com Dossiê estruturado.
Auditabilidade	Histórico fragmentado em e-mails.	Trilha indelével na Mesa de Decisão.

Mesa de Decisão: O Veredito do Head de Compliance sobre Casos de Alto Risco

Quando a automação identifica um vínculo sensível, o caso é direcionado à Mesa de Decisão. Ali, o Head de Compliance (Orquestrador) visualiza um dossiê consolidado. A VAAS elimina a “fadiga de decisão” ao centralizar fontes de dados e pareceres de IA em uma única interface, permitindo que o julgamento humano seja aplicado apenas na alçada final de risco.

Pergunta frequentes - FAQ

Como identificar um "laranja" em estruturas societárias?

Como fazer a due diligence de pessoas politicamente expostas em 2026

Simone Vollbrecht — Fri, 27 Feb 2026 12:37:18 +0000

Introdução

Estamos entrando em um ano cheio de eventos no Brasil em 2026. Entre carnaval, Copa do Mundo, Olimpíadas de Inverno e eleições, temos um que é especial para os profissionais de compliance e gestão de riscos (ainda que menos divertido).

As eleições geram uma demanda muito importante de revisão e atualização do monitoramento de pessoas politicamente expostas. Como a área de Compliance frequentemente lida com restrições de orçamento, nem sempre o potencial completo para atuar está ao alcance, e é necessário otimizar e utilizar boas ferramentas para atingir resultados seguros.

A conformidade com a Circular BACEN 3.978 e a Lei Anticorrupção exige que a identificação de Pessoas Politicamente Expostas (PEPs) seja um processo contínuo e profundo. Em 2026, com o ciclo eleitoral brasileiro, a volatilidade das listas de PEPs e seus estreitos colaboradores (RCAs) atinge o ápice, tornando o monitoramento manual um risco operacional crítico.

O Cenário de Risco em 2026: Por que a Due Diligence é Vital?

A Due Diligence eficiente não se limita a checar uma lista estática. Casos de alta repercussão, como a relação entre entes públicos e privados (ex: Caso Master/BRB), demonstram que o risco reside nas conexões indiretas e no tráfico de influência. Para o Head de Compliance (Orquestrador), o desafio é distinguir o risco real do ruído estatístico em meio a milhares de novas candidaturas e nomeações.

O fluxo manual: Como validar PEPs e riscos relacionados "na mão"

Para analistas que ainda não operam sob uma infraestrutura de decisão, o processo de Enhanced Due Diligence (EDD) exige os seguintes passos:

Coleta de Dados Primários: Identificação rigorosa de Nome, CPFs, CNPJs e vínculos societários.
Consulta ao TSE/TRE: Cruzamento de CPFs com a base de candidatos, doadores de campanha e prestadores de serviço eleitoral.
Mapeamento de Esferas: Verificação de cargos em portais da transparência federais, estaduais e municipais.
Análise de Mídia Adversa: Pesquisa em fontes abertas para identificar citações em processos judiciais ou escândalos de corrupção.
Dossiê de Evidências: Compilação manual de prints e documentos para fins de auditoria.
Tomada de Decisão: Agendamento de reuniões ou coordenação de respostas assíncronas para que a alta liderança tenha acesso ao dossiê e tome a decisão
Monitoramento manual: agendamento manual da recorrência da análise e atualização, exigindo que todas as etapas sejam novamente realizadas, com o risco de descobrir pontos de atenção apenas depois de se concretizarem

A evolução: Orquestração VAAS com agentes inteligentes

A plataforma VAAS transforma esse trabalho braçal em uma operação estratégica, substituindo a “investigação manual” por uma Infraestrutura de Decisão.

Reasoning e Voto da Maioria

Diferente de sistemas legados, a VAAS utiliza o recurso de Reasoning (raciocínio lógico) para interpretar o contexto das conexões políticas. O Agente Inteligente não apenas encontra um nome; ele avalia se a relação do alvo com a figura pública representa um risco de conformidade real.

Para garantir a precisão em dados sensíveis, aplicamos o Voto da Maioria: múltiplos modelos de IA analisam a mesma evidência. O veredito final só é entregue se houver consenso, eliminando “alucinações” e garantindo segurança jurídica.

Etapa	Processo Manual (Piloto)	Orquestração VAAS (Agentes + Reasoning)
Velocidade	Horas/Dias (Busca manual)	Segundos (Automação via Data Hub)
Precisão	Sujeito a homónimos	Voto da Maioria (Precisão máxima)
Escalabilidade	Baixa e dispendiosa	Alta (Monitoramento recorrente automático)
Dossiê	Fragmentado	Consolidado e Auditável

Implementação técnica: Code Hub e Mesa de Decisão

A funcionalidade da VAAS é configurada em camadas:

Variáveis Modeladas: No Code Hub, criam-se lógicas (JavaScript) que transformam dados brutos do TSE em indicadores de risco (ex: “Doador de Campanha > R$ 100k”).
Regras de Score vs. Decisão: O sistema atribui um Score (pontuação de risco) e, com base nisso, executa uma Decisão automática ou direciona o caso para a Mesa de Decisão.
Mesa de Decisão: O Analista de Fraude (Piloto) recebe um dossiê pronto, com todos os vínculos políticos já mastigados pelo Reasoning, precisando apenas aplicar o julgamento humano final.

FAQ - Dúvidas frequentes

Como identificar RCAs (Estreitos Colaboradores) de PEPs?

KYS e Cadeia de Suprimentos Limpa: Mitigando riscos de trabalho escravo e ESG em fornecedores

Simone Vollbrecht — Fri, 20 Feb 2026 14:01:15 +0000

Introdução

O mercado de capitais brasileiro atravessa uma grade evolução em transparência com a Resolução CVM 193. A partir de 2026, o que antes era um reporte qualitativo agora se torna um Relatório de Informações Financeiras Relacionadas à Sustentabilidade, exigindo dados rastreáveis e auditáveis sob o padrão ISSB.

O maior desafio para o Gestor de Compliance não reside apenas nas operações internas, mas na opacidade da cadeia de fornecedores. A fragmentação de dados e a dependência de processos manuais criam gargalos que impossibilitam a asseguração razoável exigida pelos auditores.

O Custo da Invisibilidade: Casos reais que abalaram o mercado (2020-2025)

O monitoramento de fornecedores deixou de ser uma opção ética para se tornar uma barreira de sobrevivência financeira. Nos últimos anos, falhas na homologação de terceiros resultaram em sanções severas:

Trabalho Análogo à Escravidão (2023): O resgate de trabalhadores em Bento Gonçalves expôs como a falta de visibilidade sobre a subcontratação pode gerar multas de milhões (TACs) e boicotes imediatos.
Triangulação de Desmatamento (2024): A prática de “lavagem de gado” em áreas embargadas pelo IBAMA gerou bloqueios de exportação e crises de disclosure para frigoríficos listados.
Gargalos no Setor de Eventos: Falhas na supervisão de terceirizados de logística em grandes festivais mostraram que o risco social está presente em qualquer esteira de prestação de serviços.

Por que a Due Diligence tradicional falha no ESG?

A verificação pontual de fornecedores é insuficiente para atender à Resolução CVM 193, que exige monitoramento contínuo e dados auditáveis. No modelo tradicional, analistas sofrem com a “fadiga de decisão”, saltando entre dezenas de abas para consultar a “Lista Suja” ou certidões do IBAMA. Esse processo manual eleva o AHT (Average Handle Time) e aumenta o risco de falsos negativos.

Automação com raciocínio lógico: O papel dos agentes inteligentes

Para garantir uma cadeia de suprimentos limpa, a VAAS utiliza Agentes Inteligentes equipados com raciocínio lógico.

Extração de Dados Não Estruturados: Nossos agentes processam PDFs complexos de auditorias e sentenças judiciais, convertendo-os em dados estruturados.
Voto da Maioria: Para mitigar alucinações de IA em dados sensíveis, o sistema utiliza o Voto da Maioria, consultando múltiplos modelos para garantir que a informação enviada ao relatório de sustentabilidade seja 100% precisa.

Mesa de decisão: Centralizando o veredito de compliance

A Mesa de Decisão da VAAS transforma o “trabalho de detetive” em uma operação estratégica.

Processo Manual	Infraestrutura VAAS	Impacto ESG
Consultas esporádicas em bases públicas.	Monitoramento Contínuo via Workflow automatizado.	Mitigação de passivos em tempo real.
Decisões dispersas em e-mails/planilhas.	Mesa de Decisão centralizada com trilha de auditoria.	Dados prontos para asseguração da CVM.
Score estático (passou/não passou).	Score Preciso + Reasoning (análise contextual).	Redução drástica de falsos positivos.

FAQ — Principais Dúvidas

A Resolução CVM 193 aplica-se a todas as empresas?

O futuro do compliance: Conheça o Agente de IA que elimina falsos positivos e potencializa o combate à lavagem de dinheiro (PLD/FT).

Simone Vollbrecht — Thu, 12 Feb 2026 19:51:01 +0000

Em 2026, a eficácia de uma estratégia de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT) não pode mais ser medida pela quantidade de alertas gerados, mas sim pela precisão da resposta institucional diante de tipologias criminosas cada vez mais criativas e pulverizadas. Instituições que ainda dependem de sistemas tradicionais, baseados em regras estáticas e com algumas automações acessórias porém insuficientes enfrentam um custo de conformidade relevante, impactadas por uma média de 90% a 95% de falsos positivos que sobrecarregam os times de análise.

Aqui na VAAS nós redefinimos esse cenário ao consolidar uma Infraestrutura de Decisão onde os Agentes de IA atuam como a camada de inteligência superior. Além da automação convencional, nossa plataforma orquestra dados profundos e modelos comportamentais para fornecer a blindagem regulatória necessária para atendimento à Circular BACEN 3.978/20. O objetivo é claro: transformar o compliance de um centro de custo em uma vantagem competitiva, permitindo que o Head de Compliance e o Diretor de Operações foquem na expansão do negócio enquanto a tecnologia elimina o ruído e identifica o risco real em minutos, além de apoiar a área de Prevenção à Fraude com insumos de qualidade.

A Exaustão do Compliance Tradicional e a Necessidade de Agentes de IA.

Sistemas de monitoramento baseados exclusivamente em regras estáticas falham ao gerar um volume de ruído que mascara riscos reais e drena a eficiência operacional. Segundo relatório da McKinsey, mais de 90% dos alertas gerados pelos sistemas de monitoramento de transações de primeira geração são falsos positivos que não resultam em relatórios de atividades suspeitas (SARs). Esse cenário força o Analista de Cadastro a realizar triagens manuais exaustivas, aumentando o risco de erro humano e o custo por caso analisado.

Em 2026, a conformidade com as normativas atuais exige uma abordagem baseada em risco (ABR) muito mais granular. Não basta apenas ter um motor de regra, é necessário uma infraestrutura que compreenda o contexto transacional e se adapte de modo ágil.

O que define um Agente de IA na Infraestrutura da VAAS?

Um Agente de IA da VAAS não é apenas um bot de automação, mas um assistente virtual especializado que atua como uma camada de inteligência entre dados brutos e Grandes Modelos de Linguagem (LLMs). Ele executa tarefas complexas de raciocínio contextual para transformar textos, PDFs e imagens em dados estruturados e prontos para decisão.

Nossos agentes realizam o que chamamos de “Investigação de Nível 1”:

Enriquecimento e Extração: O agente automatiza a leitura e interpretação de documentos (como faturas ou comprovantes), transformando informações não estruturadas em dados acionáveis em segundos.
Orquestração de Estratégias: Através do modelo de “Voto da Maioria”, a plataforma executa múltiplas análises simultâneas para garantir máxima precisão e mitigar alucinações da IA.
Explicabilidade (White Box): A VAAS gera uma narrativa auditável baseada na Engenharia de Prompts. O racional da decisão é construído através de camadas de instrução (Sistema, Usuário e Questionador), essencial para o atendimento às fiscalizações do COAF e BACEN

Aplicações Práticas: Monitoramento em Tempo Real e Eficiência Operacional

A blindagem de operações em 2026 ocorre através da transição do trabalho manual exaustivo para uma infraestrutura que escala a capacidade de análise sem aumentar o custo fixo.

Atividade	Processo Manual / Regras Rígidas	Orquestração VAAS (Agentes de IA)
Precisão dos Dados	Suscetível a erros humanos	Via Voto da Maioria e Prompt Questionador
Tempo de Análise	Horas ou dias de processamento manual	Segundos (Conversão de dados brutos em estruturados)
Conformidade Regulatória	Reativa e dependente de amostragem	Preventiva, padronizada e 100% auditável
Evidências de Decisão	Montagem manual de relatórios	Racional gerado via prompts estruturados e técnicos

Análise Contextual e Identificação de Beneficiário Final (UBO)

A detecção de tipologias complexas exige que a tecnologia vá além da extração simples, aplicando análise de sentimento e classificação inteligente. Os Agentes de IA da VAAS utilizam parâmetros ajustáveis de Temperatura e Grau de Esforço (Reasoning) para decompor problemas complexos e verificar a própria lógica antes de entregar o resultado final. Isso garante que a identificação do beneficiário final e o mapeamento de riscos sejam baseados em uma interpretação rigorosa das regras de negócio da instituição.

FAQ: Agentes de IA e a Infraestrutura de Decisão VAAS

1. Como os Agentes de IA reduzem os falsos positivos em PLD/FT?

10 Tendências Globais que Redefinirão Risco e Compliance em 2026

Simone Vollbrecht — Mon, 09 Feb 2026 19:50:20 +0000

O cenário corporativo global entrou em um estado de pressão máxima. O que antes era uma função de bastidores, voltada meramente para evitar sanções e preencher formulários, agora ocupa o centro da estratégia de negócios. Em 2026, estamos testemunhando o fim da era da reatividade: o Compliance deve mais ser o “departamento do não”, mas sim o motor de resiliência que separa os líderes de mercado dos retardatários operacionais.

Para o CFO, o Head de Compliance e o Diretor de Operações (COO), a conformidade tornou-se um diferencial competitivo. Ter um programa robusto remove atritos no processo de due diligence e acelera o time-to-market. Nestes tempos de incerteza e instabilidade, a confiança é fundamental; o Compliance funciona como o sistema de tração que permite à empresa acelerar em terrenos instáveis sem derrapar.

1. IA no Compliance: Da Euforia à Auditoria Crítica

Em 2026 a Inteligência Artificial deixa de ser uma ferramenta de produtividade para se tornar um objeto central de governança. O uso permeará todas as áreas da empresa, e o Compliance precisa estar preparado para guiar as demais em relação a governança, ética e boas práticas, além de não ficar para trás em eficiência.

A transição fundamental para o Head de Compliance é o deslocamento do foco: de responder consultas operacionais para garantir a integridade e a solidez das políticas. O rigor técnico agora é a norma, com organizações realizando auditorias formais de IA sob a ótica do EU AI Act, do NIST AI Risk Management Framework e da ISO/IEC 42001:2023.

2. A Morte Definitiva das Planilhas: Hiper-automação em Tempo Real

Gerenciar compliance manualmente em 2026 é uma negligência operacional. O volume regulatório atual torna o acompanhamento por planilhas insustentável. A solução que emerge é a hiper-automação, onde plataformas integradas de orquestração geram uma melhoria drástica na eficiência.

A tecnologia remove o erro humano e devolve ao profissional o tempo necessário para ser um parceiro estratégico. O relatório de conformidade deixa de ser um documento estático para se tornar um dashboard dinâmico que informa a tomada de decisão do C-Level em tempo real.

Comparativo: Gestão Artesanal vs. Orquestração de Dados

Recurso	Processo Manual	Infraestrutura VAAS
Monitoramento Regulatório	Reativo e propenso a falhas	Horizon Scanning automatizado
Dossiê de Onboarding	Coleta manual (horas/dias)	Consolidação em segundos
Análise de Risco	Julgamento subjetivo/lento	Dados oficiais e score preciso
Rastreabilidade	Histórico fragmentado	Trilha de auditoria imutável

3. ISO 27001: O Selo de Maturidade Global Inquestionável, agora acompanhada pelas normas de Compliance e IA.

O mercado de certificações vive uma mudança de guarda. A preferência global pela ISO 27001 saltou para 81%, superando o SOC 2 em prioridade estratégica para expansão internacional. O diferencial reside na natureza da ISO como um Sistema de Gestão de Segurança da Informação (SGSI) contínuo. Em processos de due diligence internacional, ela tornou-se o critério de desempate técnico. Ainda que seja uma norma de Segurança da Informação, o Compliance é peça essencial para apoiar a empresa na certificação e manutenção.

E como mencionado aqui no início, as normas de sistemas de gestão para inteligência artificial (ISO/IEC 42001:2023) e as revisões da família 37000, como a ISO 37001:2025 para combate à corrupção se tornam excelentes guias para o Compliance contribuir para a maturidade e governança de modo integrado.

4. Integridade da Cadeia de Suprimentos: O Elo Mais Fraco

A máxima de 2026 é impiedosa: sua empresa é tão forte quanto o seu fornecedor mais fraco. Regulamentações como DORA (Digital Operational Resilience Act) e CSDDD (Corporate Sustainability Due Diligence Directive) forçam as organizações a assumirem responsabilidade por todo o seu ecossistema. O uso do contrato agora funciona como uma “alavanca de poder”, permitindo a suspensão imediata de parcerias por falhas éticas ou de segurança na cadeia de valor.

No Brasil já vemos essa onda crescer nos últimos anos, com a Nova Lei de Licitações (Lei 14.133/2021) exigindo programas de compliance para empresas contratadas pelo poder público em situações de alto impacto e o Decreto nº 12.304/2024, em vigor desde 2025, que definiu parâmetros, avaliação e monitoramento dos programas de integridade no âmbito federal.

A agilidade em identificar riscos, monitoramento contínuo da cadeia de fornecedores e a confiabilidade dos dados serão fundamentais para que o Compliance atue com celeridade e agregue valor.

5. A "Moeda da Reputação" e o Custo da Falha

O custo da falha é astronômico. Uma violação de dados ou um escândalo por conexão com entes sem idoniedade em uma empresa com compliance falho gera um “prêmio por falha” pesado no balanço financeiro. No entanto, a perda de reputação é a maior preocupação dos executivos. Multas são custos de balanço, mas a perda da confiança do mercado é uma crise existencial.

Após um 2025 que balançou reputações ao redor do mundo com escândalos econômicos e políticos, o monitoramento de mídias negativas e alertas valiosos para que o Compliance atue proativamente, ao invés de focar na gestão de crises e resposta ao dano.

6. Workplace Civility: A Cultura como Indicador de Risco

O Compliance moderno entende que a civilidade é um indicador de saúde cultural. Comportamentos como bullying e desrespeito crônico corroem a segurança psicológica, o que silencia funcionários sobre fraudes e violações graves. Onde há desrespeito, há terreno fértil para falhas éticas.

No Brasil, teremos o esperado início da fiscalização das atualizações da NR-1, com foco em saúde mental no trabalho e gestão de riscos psicossociais. Considerando o aumento expressivo de processos trabalhistas com menção a assédio moral e sexual, bem como os afastamentos por saúde mental, é fundamental que o Compliance atue junto do RH nesta frente.

7. O Novo Perfil: Do Juridiquês ao Data Analytics

O profissional de compliance de 2026 abandonou o “juridiquês” puro em favor do data analytics. Existe um “oceano azul” para líderes técnicos que conseguem auditar algoritmos e traduzir dashboards de risco em insights estratégicos para o conselho. Além disso, considerando a atuação cada vez mais próxima das áreas, abandonar a postura sisuda e formal em favor de uma comunicação ágil é diferencial.

8. Fragmentação Regulatória e Horizon Scanning

Operar globalmente tornou-se um quebra-cabeça jurídico. A resposta estratégica é o Horizon Scanning — o monitoramento constante do que o regulador exigirá daqui a 18 meses. As fronteiras entre Compliance, Privacidade, Cibersegurança e ESG convergiram totalmente, exigindo uma visão holística e integrada.

O profissional de Compliance que se resumir a estudar apenas com ética, regulação e controles internos estará colocando sua carreira e a empresa em desvantagem competitiva.

9. O Papel Ativo do Conselho: Da Recepção à Governança

Os conselhos de administração não são mais receptores passivos. Casos jurídicos recentes consolidaram a obrigação fiduciária de identificar “red flags”. O Head de Compliance agora deve ter, mais do que nunca, acesso direto e sessões privadas com o board para discutir o que os dados revelam sobre a cultura e os riscos futuros.

10. Compliance publicamente anunciado como Motor de Resiliência

O sucesso em 2026 é impossível para quem depende de processos artesanais. A conformidade não é sobre restrição, mas sobre a liberdade de agir com segurança. Empresas resilientes não apenas evitam multas, elas conquistam market share ao demonstrar que são parceiras seguras e que possuem informações confiáveis e processos seguros para suas tomadas de decisão.

Mais do que isso, dar visibilidade às ações e encontrar novos modos de comunicação interna e externa será essencial. O Compliance deve deixar de produzir conteúdo árido e formal, não se restringindo a emitir pareceres internos e treinamentos obrigatórios.

O uso e domínio de ferramentas de AI para conversão dos conteúdos em vídeos e formatos mais palatáveis será um diferencial para os profissionais da área.

Conclusão

O ano de 2026 marca o fim do compliance manual. As empresas que liderarem essa transformação usarão sua maturidade para blindar sua reputação e acelerar o crescimento.

Sua estrutura de compliance hoje é o freio que tenta evitar o próximo escândalo reputacional ou o motor que acelera a confiança do seu mercado? O futuro não espera pelos indecisos.

Deseja automatizar sua esteira de compliance e eliminar gargalos operacionais?

Como a IA impacta o risco operacional em 2026?

Por que sua infraestrutura de KYC não deveria exigir múltiplas integrações.

Paulo Tesman — Fri, 06 Feb 2026 14:43:09 +0000

Independentemente do setor, a capacidade de verificar a identidade de um parceiro ou cliente com precisão é o que separa empresas resilientes daquelas vulneráveis a fraudes e sanções. No entanto, o modelo tradicional de compliance é frequentemente travado por uma infraestrutura fragmentada: uma API para consulta de CPFs, outra para biometria facial e uma terceira para antecedentes criminais. Para Diretores de Operações (COO) e Tech Leads, essa dispersão resulta em custos elevados de manutenção e uma dependência crítica de TI para qualquer ajuste na esteira de verificação.

O crescimento sustentável exige que o KYC (Know Your Customer) deixe de ser um conjunto de tarefas manuais e isoladas para se tornar uma infraestrutura de decisão unificada. A orquestração permite centralizar a inteligência de dados em uma única camada, garantindo que a empresa responda a riscos em milissegundos. Na VAAS, entregamos a tecnologia necessária para que o compliance não seja um centro de custo burocrático, mas uma alavanca de eficiência operacional que protege o negócio e acelera a entrada de novos parceiros.

O Custo da Fragmentação no Compliance

A gestão de múltiplos fornecedores de dados cria uma camada de complexidade que consome os recursos mais valiosos de uma empresa: tempo e capital humano. Quando o Gestor de Riscos precisa validar um novo fornecedor ou cliente, a fragmentação obriga a equipe a realizar “gambiarras” operacionais para cruzar informações de diferentes fontes.

Essa falta de padronização impede a criação de uma visão única de risco. Cada API adicional integrada via código fixo (hard-coded) aumenta a superfície de erro e dificulta a manutenção por parte do Tech Lead. O resultado é uma esteira de onboarding lenta, que gera atrito e perda de oportunidades de negócio.

Orquestração de Dados: Unificando a Jornada de Verificação

A verdadeira eficiência no compliance moderno não vem da quantidade de dados, mas da forma como eles são orquestrados. A transição para uma infraestrutura de decisão permite que todas as etapas — desde o OCR de documentos e biometria facial até a análise de bureau de crédito e antecedentes criminais — ocorram em uma única camada lógica.

Ao utilizar a VAAS, a empresa deixa de gerenciar conexões técnicas e passa a gerenciar regras de negócio. Se uma nova ameaça de fraude surge ou se um novo critério de conformidade é estabelecido, o ajuste é feito na plataforma de orquestração, sem a necessidade de novos ciclos de desenvolvimento.

Tabela comparartiva: Eficiência Operacional e Técnica

Desafio Operacional	Modelo de Múltiplas Integrações	Orquestração Unificada (VAAS)
Onboarding de Parceiros	Horas ou dias de coleta manual	Segundos através de fluxos automatizados
Custo de TI	Alto (manutenção de APIs)	Mínimo (integração única e centralizada)
Qualidade do Dado	Ruído e dados conflitantes	Dados oficiais e históricos saneados
Resposta ao Risco	Reativa e lenta	Proativa e em tempo real
Dossiê de Provas	Disperso em vários sistemas	Centralizado e pronto para auditoria

Segurança Jurídica e Blindagem contra Fraudes

Para o compliance, a aderência à Lei Anticorrupção (Lei 12.846/13) e à LGPD (Lei 13.709/18) é inegociável. A infraestrutura de KYC deve garantir que o tratamento de dados pessoais seja seguro, enquanto provê evidências claras de que a empresa tomou todas as medidas necessárias para evitar o relacionamento com partes ilícitas.

A VAAS automatiza a geração do dossiê probatório. Em vez de buscar registros em logs de diferentes sistemas, o Gestor de Riscos tem acesso imediato a uma análise técnica profunda, distinguindo o risco real do ruído estatístico. Isso reduz drasticamente os falsos positivos, permitindo que o foco da equipe de análise seja direcionado apenas para casos de alta complexidade.

1. Por que a orquestração de KYC é superior ao uso de múltiplos bureaus de dados?

Eleições 2026 e Lei Anticorrupção: Por que sua empresa precisa do monitoramento contínuo de PEPs

Paulo Tesman — Wed, 14 Jan 2026 12:00:00 +0000

O monitoramento contínuo de Pessoas Expostas Politicamente (PEPs) é o processo de verificação recorrente da base de parceiros, fornecedores e clientes para identificar mudanças de status que possam expor a companhia a riscos de lavagem de dinheiro e corrupção. Em 2026, com o ciclo eleitoral brasileiro em pleno curso, essa prática deixa de ser uma recomendação de boas práticas para se tornar uma blindagem indispensável.

O aumento da rotatividade em cargos públicos e a nomeação de novos indivíduos para funções de confiança ampliam drasticamente a lista de PEPs, exigindo que empresas sujeitas ao cumprimento da Lei 12.846/13 (Lei Anticorrupção) e das resoluções do BACEN e CVM automatizem sua vigilância para evitar a responsabilidade objetiva por atos ilícitos de terceiros.

A VAAS entende que a segurança não deve travar o movimento. Por isso, nossa infraestrutura de decisão substitui a análise manual reativa por uma orquestração proativa, garantindo que sua empresa cresça com integridade, mesmo em um ambiente político-regulatório altamente volátil.

O que é Due Diligence Contínua e por que o Onboarding Pontual é insuficiente?

A conformidade regulatória não é um evento estático, mas um estado de vigilância permanente. A verificação pontual realizada no momento do cadastro (onboarding) oferece apenas uma “foto” momentânea do risco. No entanto, o status de um parceiro comercial pode mudar rapidamente. Um fornecedor aprovado hoje pode ser incluído em uma lista de sanções internacionais ou tornar-se uma Pessoa Exposta Politicamente amanhã devido a uma nomeação governamental.

Sem o monitoramento contínuo, as empresas operam em “pontos cegos”, acumulando passivos reputacionais que só serão descobertos em auditorias ou investigações, quando o dano à marca e as sanções financeiras já são inevitáveis.

Monitoramento de PEPs e Sanções sob a ótica da Lei Anticorrupção (Lei 12.846/13)

A Lei 12.846/13, conhecida como Lei da Empresa Limpa, estabelece a Responsabilidade Objetiva. Isso significa que sua empresa pode ser punida com multas de até 20% do faturamento bruto anual por atos de corrupção praticados por terceiros em seu benefício ou interesse, independentemente de haver culpa ou dolo da diretoria.

Em 2026, ano eleitoral no Brasil, o rigor deve ser redobrado. As movimentações políticas resultam em:

Novas Classificações de PEP: Candidatos eleitos e seus familiares de primeiro grau passam a integrar as listas restritivas conforme a Circular BACEN 3.978/20.
Risco de Financiamento Ilícito: O monitoramento contínuo é a única ferramenta capaz de identificar se um parceiro está envolvido em doações ilegais ou atividades suspeitas, protegendo a companhia contra sanções da CVM 50.
Conflitos de Interesse: O cruzamento de dados de colaboradores (KYE) com a base de novos agentes públicos evita que a empresa seja utilizada para desvios ou favorecimentos ilícitos.

A mecânica da Orquestração: Do Beneficiário Final (UBO) às Mídias Negativas

Para uma blindagem efetiva, a VAAS utiliza algoritmos avançados que identificam o Beneficiário Final (UBO), mapeando a estrutura societária até encontrar o dono real. Muitas vezes, sanções e status de PEP estão ocultos em estruturas complexas criadas propositalmente para evitar a detecção.

Atividade de Verificação	Processo Manual Tradicional	Orquestração VAAS
Identificação de UBO	Busca lenta em juntas e PDFs.	Algoritmo de mapeamento instantâneo.
Monitoramento de PEP	Verificação esporádica e reativa.	Alertas em tempo real de mudança de status.
Mídias Negativas	Pesquisas manuais sujeitas a ruído.	Varredura automatizada com IA documental.
Rastreabilidade	Histórico fragmentado em planilhas.	Dossiê probatório e auditoria em um clique.

Benefícios da automação: Redução de Falsos Positivos e agilidade operacional

Seu desafio como Head de Compliance é equilibrar rigor e velocidade. O monitoramento manual gera um volume insustentável de “falsos positivos” — alertas que não representam risco real, mas consomem centenas de horas de Analistas de Fraude.

A infraestrutura da VAAS aplica inteligência para distinguir o risco real do ruído estatístico. Isso permite que o Diretor de Operações (COO) mantenha o onboarding fluido e a expansão comercial acelerada, sem comprometer a segurança jurídica.

Dossiê Probatório: Como apresentar evidências sólidas em auditorias

A conformidade regulatória exige a prova do caminho percorrido. Para o Head de Compliance, a capacidade de gerar um dossiê probatório instantâneo é a diferença entre uma auditoria bem-sucedida e uma sanção administrativa. A VAAS centraliza a rastreabilidade total de cada etapa da jornada, registrando consultas e motivos de decisão para apresentar aos reguladores.

Em um ano eleitoral como 2026, ter esse registro histórico automatizado demonstra que a empresa agiu com a diligência necessária diante da volatilidade dos cargos públicos.

Perguntas Frequentes (FAQ)

1. O que caracteriza uma Pessoa Exposta Politicamente (PEP) em 2026?

Política de Crédito Consignado: Matriz de Risco para Fintechs e FIDCs.

Paulo Tesman — Mon, 12 Jan 2026 17:58:36 +0000

Documentação do Fluxo: A Lógica da "Cascata de Custo" (Waterfall)

A análise de crédito consignado privada moderna depende de uma plataforma de orquestração que une segurança e agilidade, fundamentada em uma Política de Crédito Consignado robusta. Este motor de decisão, estruturado pela VAAS, utiliza 5 fontes de dados e mais de 30 regras de negócio configuráveis para transformar sua matriz de risco de crédito consignado em uma vantagem competitiva real.

Essa estrutura foi desenhada para mitigar os três maiores riscos da modalidade: a fraude de identidade, a quebra de vínculo empregatício e o superendividamento invisível aos bureaus tradicionais. Ao utilizar a infraestrutura VAAS, sua operação ganha a robustez de uma auditoria bancária com a eficiência operacional de uma fintech, permitindo que o Head de Crédito ou o Head de Compliance ajustem o apetite de risco em segundos, sem escrever uma única linha de código.

Fontes de Dados e Integrações

Dataprev: Dados de renda e comprometimento financeiro.
Banco Central (SCR): Análise de endividamento sistêmico e capacidade de pagamento.
BigDataCorp: Background check profundo e monitoramento de riscos.
Serasa: Scores de crédito e análise de restritivos.
Receita Federal: Situação cadastral do CPF e análise do Quadro de Sócios e Administradores (QSA) do empregador.

Para otimizar o ROI da operação, o workflow VAAS utiliza a lógica de Cascata de Custo, onde as validações de menor custo ocorrem primeiro para preservar o orçamento de consultas.

1. Input e Higienização (API de Entrada)

O fluxo inicia recebendo dados básicos e utilizando informações já custodiadas para evitar a redundância e o custo excessivo de dados, garantindo que você “colete uma vez e use em todos os lugares”.

2. Elegibilidade de Hard Rules (KYC e Compliance)

O sistema aplica filtros automáticos de conformidade regulatória para eliminar o “Compliance Antigo” e manual.

Filtros de Idade: Ex: 18 a 65 anos.
CNAE Restrito: Bloqueio de setores com alta rotatividade para mitigar risco de inadimplência.
Verificações Críticas: Checagem de PEP (Pessoa Exposta Politicamente) e Mandados de Prisão conforme a Circular BACEN 3.978/20.

3. Análise de Vínculo e Empregador (KYS/KYP)

Confirmação de vínculo ativo via Dataprev/eSocial. O motor analisa a saúde do CNPJ empregador através de processos de Know Your Supplier (KYS) e Know Your Partner (KYP):

Risco Reputacional: Varredura de mídias negativas e listas de trabalho escravo para evitar passivos ambientais e sociais (ESG).
Saúde Fiscal: Verificação de Recuperação Judicial ou dívidas ativas de INSS/FGTS que possam comprometer o repasse das parcelas, garantindo a conformidade com a Lei Anticorrupção (Lei 12.846/13).

4. Deep Credit Check (SCR – Banco Central)

Antes de consultar bureaus de alto custo, o motor analisa o endividamento real no SCR.

Capacidade de Pagamento: Reprovação imediata se houver créditos a vencer em 30 dias superiores à renda mensal líquida do proponente.
Exposição do Empregador: Análise se o comprometimento de curto prazo da empresa empregadora é superior ao seu faturamento mensal, visando a verificação da saúde financeira.

5. Score de Crédito Final

A consulta de Score é a última etapa da jornada centralizada. Ela só é executada se o proponente superar todos os filtros anteriores, otimizando o budget de dados da companhia.

Lógica de Decisão: Matriz de Aprovação e Automação

Resultado	Critérios Técnicos	Ação do Sistema
Aprovação Imediata	Score > 600, vínculo > 2 anos, margem disponível e SCR limpo.	Aprovação Automática em segundos.
Análise Manual	Score entre 450 e 600 ou instabilidade financeira no empregador.	Envia para mesa de decisão.
Recusa (Cascata)	Vínculo < 180 dias, PEP, Mandado de Prisão ou CPF Irregular.	Reprovação em Segundos.
Recusa (Endividamento)	Comprometimento de renda superior aos limites de segurança no SCR.	Bloqueio por Risco Financeiro.
Recusa (Score)	Score inferior ao limite de apetite definido pelo Head de Crédito.	Bloqueio por Risco de Crédito.

VAAS

Due Diligence: o que é, como fazer e limites dos processos manuais

O que é Due Diligence

Tipos de due diligence

Due diligence de terceiros (Third-Party Due Diligence)

Due diligence de clientes (KYC — Know Your Customer)

Due diligence corporativa (M&A e investimentos)

Due diligence de integridade (Integrity Due Diligence)

Due diligence simplificada vs. aprimorada

Como fazer due diligence: fontes de dados abertas

Fontes para verificação de identidade e situação cadastral

Fontes para restrições e sanções

Fontes para processos judiciais e administrativos

Fontes para PEPs e vínculos políticos

Fontes de mídia e reputação

Os limites reais do processo manual

Como a VAAS apoia o processo de due diligence

Conclusão

Perguntas frequentes

Due diligence é obrigatória por lei?

Autorização VASP junto ao BACEN: Sua exchange está preparada para a nova regulação do Banco Central?

O que muda na prática

Como funciona o processo de autorização

O que o Banco Central vai avaliar

Por que o timing importa

O que fazer agora

Pergunta frequentes - FAQ

Minha empresa tem menos de três anos. Como fico com a exigência de balanços auditados?

Sócio fantasma no STF: Como fazer o monitoramento de beneficiário oculto e evitar riscos reputacionais.

Introdução

De Sócio Oculto a Escândalo Público: Casos Emblemáticos de Autoridades em Empresas

Mecânica da Solução: Identificação de "Laranjas" via Agentes Inteligentes e Reasoning

Processo Manual vs. Orquestração VAAS

Mesa de Decisão: O Veredito do Head de Compliance sobre Casos de Alto Risco

Pergunta frequentes - FAQ

Como identificar um "laranja" em estruturas societárias?

Como fazer a due diligence de pessoas politicamente expostas em 2026

Introdução

O Cenário de Risco em 2026: Por que a Due Diligence é Vital?

O fluxo manual: Como validar PEPs e riscos relacionados "na mão"

A evolução: Orquestração VAAS com agentes inteligentes

Reasoning e Voto da Maioria

Implementação técnica: Code Hub e Mesa de Decisão

FAQ - Dúvidas frequentes

Como identificar RCAs (Estreitos Colaboradores) de PEPs?

KYS e Cadeia de Suprimentos Limpa: Mitigando riscos de trabalho escravo e ESG em fornecedores

Introdução

O Custo da Invisibilidade: Casos reais que abalaram o mercado (2020-2025)

Por que a Due Diligence tradicional falha no ESG?

Automação com raciocínio lógico: O papel dos agentes inteligentes

Mesa de decisão: Centralizando o veredito de compliance

FAQ — Principais Dúvidas

A Resolução CVM 193 aplica-se a todas as empresas?

O futuro do compliance: Conheça o Agente de IA que elimina falsos positivos e potencializa o combate à lavagem de dinheiro (PLD/FT).

A Exaustão do Compliance Tradicional e a Necessidade de Agentes de IA.

O que define um Agente de IA na Infraestrutura da VAAS?

Aplicações Práticas: Monitoramento em Tempo Real e Eficiência Operacional

Análise Contextual e Identificação de Beneficiário Final (UBO)

FAQ: Agentes de IA e a Infraestrutura de Decisão VAAS

1. Como os Agentes de IA reduzem os falsos positivos em PLD/FT?

10 Tendências Globais que Redefinirão Risco e Compliance em 2026

1. IA no Compliance: Da Euforia à Auditoria Crítica

2. A Morte Definitiva das Planilhas: Hiper-automação em Tempo Real

Comparativo: Gestão Artesanal vs. Orquestração de Dados

3. ISO 27001: O Selo de Maturidade Global Inquestionável, agora acompanhada pelas normas de Compliance e IA.

4. Integridade da Cadeia de Suprimentos: O Elo Mais Fraco

5. A "Moeda da Reputação" e o Custo da Falha

6. Workplace Civility: A Cultura como Indicador de Risco

7. O Novo Perfil: Do Juridiquês ao Data Analytics

8. Fragmentação Regulatória e Horizon Scanning

9. O Papel Ativo do Conselho: Da Recepção à Governança

10. Compliance publicamente anunciado como Motor de Resiliência

Conclusão

Como a IA impacta o risco operacional em 2026?

Por que sua infraestrutura de KYC não deveria exigir múltiplas integrações.

O Custo da Fragmentação no Compliance

Orquestração de Dados: Unificando a Jornada de Verificação

Tabela comparartiva: Eficiência Operacional e Técnica

Segurança Jurídica e Blindagem contra Fraudes

1. Por que a orquestração de KYC é superior ao uso de múltiplos bureaus de dados?

Como a VAAS apoia o processo
de due diligence