Antes de comprar de um fornecedor, a empresa precisa responder perguntas básicas:
- a organização existe?
- quem a representa?
- qual é sua estrutura societária?
- os dados bancários são legítimos?
- ela pode fornecer o objeto?
- possui documentos e licenças necessários?
- apresenta riscos relevantes?
- está apta a receber pedidos e pagamentos?
- quem manterá o cadastro atualizado?
Know Your Supplier — KYS — é uma abordagem para conhecer e validar o fornecedor antes e durante o relacionamento.
O onboarding é o processo de coletar, verificar, aprovar, integrar e ativar o fornecedor nos sistemas e processos da organização.
Os dois conceitos se conectam, mas não são idênticos.
KYS orienta o que precisa ser conhecido. Onboarding organiza como o fornecedor entra em operação.
Cadastro, onboarding, homologação e due diligence
Cadastro
Registro de dados básicos no sistema.
Onboarding
Jornada de entrada, validação, aprovação, integração e ativação.
Homologação
Confirmação de que o fornecedor atende critérios definidos para uma categoria, uso ou nível de risco.
Due diligence
Investigação proporcional sobre riscos legais, financeiros, reputacionais, sociais, ambientais, cibernéticos ou outros.
KYS ou KYB
Know Your Supplier ou Know Your Business concentra-se em identidade, existência, propriedade, representação e legitimidade da contraparte.
Uma empresa pode estar cadastrada sem estar homologada. Pode estar homologada para uma categoria e não para outra. Pode ter passado por due diligence na entrada e precisar de nova análise após uma mudança relevante.
O princípio da proporcionalidade
Não exija o mesmo dossiê de:
- uma pequena papelaria;
- um operador logístico crítico;
- uma empresa de cloud;
- um laboratório;
- um consultor individual;
- um fornecedor de produto químico;
- uma construtora.
O processo deve considerar:
- categoria;
- valor;
- acesso;
- dados;
- criticidade;
- localização;
- subcontratação;
- regulação;
- impacto;
- duração.
Exigências excessivas podem excluir pequenas empresas sem reduzir risco. Exigências insuficientes podem ativar uma contraparte inadequada.
O evento que inicia o onboarding
Possibilidades:
- fornecedor convidado para uma concorrência;
- fornecedor vencedor;
- compra emergencial;
- indicação da área;
- cadastro espontâneo;
- renovação;
- mudança societária;
- expansão para nova categoria;
- novo país ou unidade.
A organização precisa decidir em que momento cada validação ocorre.
Exemplo:
- informações básicas antes da RFP;
- due diligence aprofundada apenas para finalistas;
- dados bancários após o award;
- integração fiscal antes do pedido;
- treinamento antes da operação.
Coletar tudo de todos os participantes aumenta custo e exposição de dados.
Dados de identidade
Para pessoa jurídica:
- razão social;
- nome comercial;
- identificador fiscal;
- endereço;
- situação cadastral;
- constituição;
- representantes;
- beneficiários finais quando aplicável;
- grupo econômico;
- contatos;
- atividade.
Para pessoa física ou profissional:
- identidade;
- registro;
- endereço;
- atividade;
- representação;
- dados tributários.
As exigências devem respeitar a lei e a finalidade.
Beneficiário final
Conhecer quem possui ou controla a organização pode ajudar a identificar:
- conflito;
- sanção;
- parte relacionada;
- estrutura opaca;
- exposição política;
- fraude;
- concentração.
A definição de beneficiário final depende da jurisdição e da finalidade. Não presuma irregularidade apenas porque a estrutura é complexa.
Representação e poderes
Valide:
- quem pode assinar;
- procuração;
- prazo;
- poderes;
- limites;
- revogação;
- assinatura eletrônica;
- identidade.
Um contato comercial não possui automaticamente autoridade para contratar ou alterar dados.
Dados bancários
Fraudes de alteração de conta podem ocorrer por:
- e-mail comprometido;
- fornecedor falso;
- manipulação interna;
- documento adulterado;
- identidade sintética.
Um fluxo robusto pode incluir:
- solicitação em canal autenticado;
- documento;
- validação do titular;
- callback independente;
- dupla aprovação;
- segregação;
- notificação;
- período de espera conforme risco;
- log;
- monitoramento do primeiro pagamento.
A conta não deve ser alterada apenas com base em uma mensagem recebida.
Dados fiscais
Inclua conforme o país e operação:
- situação fiscal;
- regime;
- retenções;
- inscrições;
- documentos;
- classificação;
- endereço;
- estabelecimento;
- notas;
- obrigações.
Procurement não deve interpretar sozinho regras tributárias complexas.
Licenças e autorizações
Podem ser necessárias para:
- vigilância;
- transporte;
- produtos químicos;
- saúde;
- alimentos;
- engenharia;
- resíduos;
- telecom;
- trabalho;
- meio ambiente;
- importação.
Valide:
- órgão;
- escopo;
- unidade;
- atividade;
- validade;
- responsável;
- restrições.
Uma licença válida pode não cobrir a atividade contratada.
Capacidade técnica e operacional
Evidências:
- experiência;
- equipe;
- instalações;
- equipamentos;
- certificados;
- amostras;
- testes;
- referências;
- metodologia;
- capacidade;
- cobertura;
- suporte;
- contingência;
- subcontratados.
Certificação não substitui validação do uso real.
Capacidade financeira
Possíveis dados:
- demonstrações;
- rating;
- liquidez;
- dívida;
- concentração;
- capital de giro;
- seguros;
- garantias.
A análise financeira é uma dimensão do onboarding, não uma sentença sobre o futuro.
Integridade
Verifique conforme risco:
- sanções;
- impedimentos;
- processos;
- listas;
- conflitos;
- beneficiários;
- partes relacionadas;
- histórico;
- canal de ética;
- programa de integridade.
Uma correspondência de nome exige confirmação de identidade.
Direitos humanos e ambiente
A orientação da OCDE para due diligence responsável recomenda identificar, prevenir, mitigar e acompanhar impactos reais e potenciais nas operações, cadeias e relações de negócio.
O onboarding pode coletar informações iniciais sobre:
- trabalho;
- saúde e segurança;
- ambiente;
- comunidades;
- subfornecedores;
- mecanismos de reclamação.
Questionário não é evidência suficiente para riscos elevados.
Cibersegurança e dados
Avalie quando o fornecedor:
- acessa sistemas;
- processa dados;
- fornece software;
- utiliza cloud;
- administra identidades;
- opera infraestrutura;
- desenvolve código.
Possíveis requisitos:
- arquitetura;
- controles;
- incidentes;
- suboperadores;
- continuidade;
- vulnerabilidades;
- acesso;
- exclusão;
- portabilidade.
O risco da cadeia deve ser tratado ao longo do ciclo, não apenas na entrada.
Segmentação de risco
Um modelo simples pode usar quatro níveis.
Nível 1 — Baixo
Baixo valor, sem acesso, sem criticidade e objeto padronizado.
Nível 2 — Moderado
Exposição operacional limitada ou contrato recorrente.
Nível 3 — Alto
Acesso, dados, regulação, segurança, impacto ou dependência relevante.
Nível 4 — Crítico
Fornecedor essencial, alto impacto, concentração ou risco significativo.
Cada nível determina:
- dados;
- documentos;
- análises;
- aprovadores;
- validade;
- monitoramento.
Questionário dinâmico
Perguntas devem variar conforme:
- categoria;
- país;
- porte;
- risco;
- dados;
- subcontratação;
- atividade.
Evite questionários de centenas de campos iguais para todos.
Use coleta progressiva:
- identidade;
- triagem;
- perguntas específicas;
- documentos;
- validação;
- pendências.
Reutilização de dados
Um fornecedor não deveria enviar o mesmo documento para cada unidade, evento ou comprador.
A plataforma pode reutilizar dados válidos e solicitar apenas:
- atualização;
- nova categoria;
- mudança;
- informação específica.
Reutilização exige controle de acesso e versionamento.
Validade e expiração
Defina validade por documento e risco:
- licença;
- seguro;
- certificado;
- demonstração;
- questionário;
- análise;
- procuração.
O cadastro não deve permanecer "aprovado para sempre".
Pendências
Classifique:
- impeditiva;
- condicionante;
- informativa;
- em regularização.
Uma pendência condicionante pode permitir ativação limitada com prazo, owner, compensação e monitoramento.
Aprovação e ativação
Papéis possíveis:
- cadastro;
- procurement;
- financeiro;
- fiscal;
- compliance;
- jurídico;
- segurança;
- área técnica;
- qualidade;
- sustentabilidade.
A aprovação deve seguir o risco.
Depois:
- criar identificador;
- liberar organização;
- habilitar categoria;
- ativar pagamento;
- publicar catálogo;
- configurar acesso;
- treinar;
- comunicar.
Aprovação de compliance não significa que o fornecedor está tecnicamente pronto para receber pedido.
Supplier enablement
O fornecedor pode precisar de:
- acesso;
- treinamento;
- manual;
- canal;
- integração;
- teste;
- dados;
- catálogo;
- faturamento.
Onboarding termina quando a relação consegue operar corretamente, não apenas quando o cadastro é criado.
Experiência do fornecedor
Métricas:
- tempo para preencher;
- devoluções;
- documentos repetidos;
- suporte;
- status;
- clareza;
- abandono;
- satisfação.
Um processo hostil pode afastar fornecedores qualificados.
Privacidade
O onboarding coleta dados de sócios, representantes, contatos e trabalhadores.
Defina:
- finalidade;
- base;
- minimização;
- acesso;
- retenção;
- compartilhamento;
- correção;
- segurança;
- exclusão.
Não colete informação apenas porque a ferramenta possui o campo.
Mudanças que exigem revalidação
- razão social;
- controle;
- conta;
- endereço;
- licença;
- categoria;
- país;
- subcontratado;
- incidente;
- sanção;
- fusão;
- falência;
- acesso;
- escopo.
O fornecedor deve ter obrigação contratual de comunicar mudanças.
Indicadores
- fornecedores convidados;
- iniciados;
- aprovados;
- reprovados;
- abandonados;
- tempo;
- first-time-right;
- pendências;
- documentos vencidos;
- risco;
- conta alterada;
- chamados;
- satisfação;
- duplicidades.
Caso prático: fornecedor de SaaS
O fluxo:
- área descreve o uso;
- fornecedor valida identidade;
- procurement verifica mercado;
- segurança avalia arquitetura;
- privacidade analisa dados;
- jurídico define termos;
- financeiro valida conta;
- fornecedor é ativado;
- integração é testada;
- risco passa ao monitoramento contínuo.
O cadastro fiscal é apenas uma parte.
Erros comuns
- cadastro como homologação;
- mesmo questionário para todos;
- coletar tudo na RFP;
- documento sem escopo;
- conta alterada por e-mail;
- aprovação sem categoria;
- fornecedor ativado sem enablement;
- dados pessoais excessivos;
- aprovação permanente;
- due diligence como checklist único.
Como a CapturaMe se conecta a esse cenário
A CapturaMe pode estruturar KYS, questionários, documentos, aprovações, integrações e ativação por nível de risco.
A plataforma preserva versões, pendências e trilhas, além de oferecer uma experiência única para o fornecedor e para as áreas responsáveis.
Conclusão
KYS e onboarding criam a base de confiança operacional do relacionamento.
A empresa precisa conhecer a contraparte, validar dados e ativá-la para o uso correto. O processo deve ser proporcional ao risco, rigoroso nos pontos críticos e simples onde a exposição é baixa.
Conheça a CapturaMe para gestão de fornecedores
Perguntas frequentes
KYS é igual a homologação?
Não. KYS concentra-se em conhecer e validar a contraparte; homologação confirma aptidão para um uso ou categoria.
Cadastro significa fornecedor aprovado?
Não. Cadastro é o registro; aprovação depende das validações aplicáveis.
Todo fornecedor precisa de due diligence aprofundada?
Não. A profundidade deve ser proporcional ao risco.
Como proteger alterações bancárias?
Use canal autenticado, validação independente, segregação e logs.
O onboarding termina com o cadastro no ERP?
Não. O fornecedor precisa estar habilitado a contratar, receber pedidos, entregar e faturar.
Como reduzir o tempo?
Use segmentação de risco, perguntas condicionais, reutilização de dados e validações paralelas.