Compliance para PMES e crime organizado: 6 sinais de risco que todo empresário precisa conhecer

Compliance para PME não é tema exclusivo de grandes corporações. Qualquer empresa que contrata fornecedores, firma parcerias ou opera em setores vulneráveis está exposta a um risco que a maioria dos empresários brasileiros ainda subestima: a infiltração do crime organizado na cadeia de negócios.

O crime organizado não chega à sua empresa com uma placa de identificação. Ele chega como fornecedor. Como parceiro comercial. Como prestador de serviços que apresenta toda a documentação em ordem, atende aos requisitos formais e firma o contrato sem nenhum sinal óbvio de risco.

Em abril de 2026, a ICC Brasil - Câmara Internacional de Comércio publicou, em colaboração com a Controladoria-Geral da União (CGU), o Guia para Empresas sobre Gestão de Riscos Associados a Organizações Criminosas. O documento estima que essas organizações movimentaram cerca de R$ 350 bilhões entre 2022 e 2024 no Brasil. Parte desse dinheiro circulou por empresas legítimas que não tinham mecanismos para identificar o risco.

Este artigo traduz os principais sinais de alerta do Guia para a realidade de quem gerencia uma empresa. Se você contrata fornecedores, assina contratos ou tem sócios, o que vem a seguir é para você.

O cenário brasileiro e compliance para PME: por que o risco cresceu

O crime organizado brasileiro deixou de ser apenas um fenômeno de segurança pública para se tornar uma ameaça direta ao ambiente de negócios. A sofisticação dessas organizações aumentou significativamente na última década: elas operam por meio de estruturas societárias complexas, utilizam instrumentos financeiros legítimos e infiltram cadeias produtivas inteiras para dar aparência de legalidade a recursos de origem ilícita.

Segundo o Guia ICC Brasil + CGU, as principais movimentações monêtárias ilícitas desde 2022 se concentram em quatro frentes: comercialização ilegal de combustíveis (R$ 61,4 bilhões), comercialização ilegal de bebidas (R$ 56,9 bilhões), extração e produção ilegal de ouro (R$ 18,2 bilhões) e comércio ilegal de tabaco e cigarros (R$ 10,3 bilhões). Mas a exposição não se limita a esses setores: empresas de construção, transporte, mercado imobiliário, infraestrutura e até organizações religiosas e sociais figuram entre os setores vulneráveis mapeados.

O que torna o cenário especialmente preocupante para as PMEs é justamente a assimetria de informação: grandes corporações reguladas já operam com estruturas formais de gestão de riscos, auditorias e programas de compliance. As empresas médias e pequenas, que compõem a maior parte da cadeia produtiva brasileira, frequentemente não têm. E é exatamente essa lacuna que organizações criminosas exploram.

Por que empresas legítimas ficam expostas?

A infiltração do crime organizado na economia formal ocorre em três etapas interdependentes: a colocação dos recursos no sistema econômico, a ocultação de sua origem por meio de múltiplas transações e, finalmente, a integração em atividades aparentemente legítimas. É nessa terceira etapa que a sua empresa pode ser instrumentalizada, muitas vezes sem saber.

O problema central para os empresários é que os controles tradicionais não foram desenhados para esse tipo de risco. Uma empresa pode ter certidões negativas, CNPJ ativo, registro mercantil regular e contratos bem redigidos, e ainda assim fazer parte de uma estrutura criminosa. O Guia ICC Brasil + CGU é explícito nesse ponto: certidões e documentos formais não eliminam o risco.

O que protege a empresa é a combinação de due diligence estruturada, monitoramento contínuo dos relacionamentos comerciais e cultura organizacional orientada à integridade. Esses três elementos, juntos, criam um sistema de defesa que vai além da verificação formal.

Os 6 grupos de sinais de alerta

O Guia organiza os principais red flags, sinais de alerta, em seis grupos. Conhecê-los é o primeiro passo para estruturar um processo de due diligence que vá além da verificação documental.

1. Estrutura societária suspeita

Mudanças frequentes de sócios ou diretores sem justificativa, dificuldade em identificar quem é o beneficiário final da empresa, empresa recém-constituída recebendo contratos de alto valor sem histórico operacional comprovável, múltiplos CNPJs concentrados num mesmo endereço e ausência de presença digital são sinais que devem acionar uma análise mais aprofundada antes de qualquer contratação relevante.

2. Operações financeiras atípicas

Uso excessivo de dinheiro em espécie, transferências internacionais sem justificativa econômica clara, fluxos financeiros circulares, em que o dinheiro volta de onde saiu por caminhos diferentes, e inconsistências contábeis são padrões clássicos associados a práticas de lavagem de dinheiro. Valores cobrados muito abaixo ou muito acima do mercado também merecem atenção imediata: preços incompreensíveis quase sempre escondem algo.

3. Atividade operacional incompatível

Uma empresa que declara determinada atividade, mas não possui infraestrutura física, equipe ou histórico compatível com o que contrata é um indicador clássico de empresa de fachada. A sede em endereço predominantemente residencial, o CNAE declarado incompatível com a atividade real e o volume de negócios desproporcional à estrutura visível são variáveis que uma due diligence bem conduzida consegue identificar antes que o contrato seja assinado.

4. Relacionamentos comerciais irregulares

Contratos intermediados por terceiros sem justificativa operacional clara, resistência a fornecer documentação durante o processo de due diligence, vínculos com pessoas físicas investigadas e transações atipicamente diferentes do padrão do setor são sinais de que a relação comercial pode esconder interesses que não aparecem na superfície.

Um detalhe particularmente relevante: solicitações para que o pagamento seja feito em conta bancária de titularidade diferente da empresa contratada é um dos sinais mais diretos de risco.

5. Comportamento organizacional de risco

A ausência de programa de integridade, a resistência ao aceite de cláusulas contratuais anticorrupção e a urgência incomum para fechar negócios são padrões comportamentais que indicam baixa maturidade em governança, ou algo mais grave. Inclusão em listas de sanções nacionais como CEIS e CNEP, ou internacionais como a lista OFAC, e presença recorrente em notícias negativas completam esse grupo de sinais.

6. Indicadores adicionais de exposição

Atuação em setores historicamente vulneráveis, combustíveis, transporte, construção civil, comércio exterior e mercado imobiliário, eleva o nível de atenção necessário. Estruturas societárias opacas com offshores sem justificativa econômica clara e risco financeiro elevado decorrente de autuações fiscais ou processos judiciais também entram nesse grupo.

Due diligence na prática: o que fazer antes de homologar um fornecedor

Conhecer os sinais de alerta é o ponto de partida. O passo seguinte é estruturar um processo mínimo de verificação antes de qualquer contratação relevante. O Guia ICC Brasil + CGU recomenda que, antes da homologação de um terceiro, estejam documentados no mínimo:

•       Cadastro completo com validação de CNPJ e CNAE;

•       Identificação e qualificação do beneficiário final: a pessoa física que efetivamente controla a empresa;

•       Verificação de capacidade operacional compatível com o objeto contratual;

•       Triagem em listas de sanções públicas e privadas;

•       Confirmação da titularidade da conta bancária indicada para pagamento.

Além da verificação inicial, o monitoramento contínuo é essencial. Um fornecedor considerado de baixo risco no momento da contratação pode ser incorporado por uma estrutura criminosa ao longo do tempo, sem alteração imediata dos seus dados cadastrais. Por isso, mudanças de controle societário, alterações de objeto social, picos de faturamento sem explicação operacional e trocas frequentes de conta bancária devem ser tratados como gatilhos para reavaliação imediata.

Para PMEs com recursos limitados, um checklist estruturado, dupla verificação em cadastros e pagamentos e rastreabilidade mínima das decisões de contratação já representam um avanço significativo. O compliance para PME não precisa começar complexo, precisa começar.

O que a lei diz sobre a responsabilidade da sua empresa

Este é o ponto que mais impacta empresários quando entendem suas implicações: a responsabilidade da empresa por atos ilícitos praticados em seu benefício é objetiva no Brasil.

A Lei Anticorrupção (Lei nº 12.846/2013) estabelece que a pessoa jurídica pode ser responsabilizada independentemente da culpa ou dolo de seus administradores. Basta que o ato ilícito tenha sido praticado em seu interesse ou benefício, ainda que sem conhecimento ou autorização expressa da direção. As sanções incluem multas de até 20% do faturamento bruto anual, publicação extraordinária da condenação, proibição de contratar com o poder público e dissolução compulsória da pessoa jurídica nos casos mais graves.

Para os administradores e gestores, a exposição pessoal é igualmente relevante. O Guia ICC Brasil + CGU destaca que, quando gestores e responsáveis por controles internos dispõem de elementos suficientes para identificar irregularidades e deixam de adotar medidas adequadas dentro de sua esfera de atuação, a responsabilização individual torna-se cabível.

A boa notícia é que a mesma lei que cria esse risco também reconhece o programa de compliance como atenuante. Empresas que possuem programas de integridade efetivos, não apenas no papel, mas funcionando na prática, têm esse fato considerado na graduação das sanções. A diferença entre ter e não ter um programa estruturado pode ser determinante no resultado de uma investigação ou processo administrativo.

Em outras palavras: compliance não é apenas proteção operacional. É proteção jurídica, sua e da empresa.

Due diligence é mitigação, não eliminação do risco

É importante ser honesto sobre os limites do processo. O Guia ICC Brasil + CGU faz uma distinção que todo empresário precisa entender: due diligence é instrumento de mitigação, não de eliminação do risco. Mesmo conduzida adequadamente, ela não garante que todos os vínculos ilícitos serão identificados.

O que ela garante é que a empresa fez o que estava ao seu alcance para prevenir a exposição. Isso tem peso jurídico relevante: a omissão diante de indícios consistentes de envolvimento com organizações criminosas pode ser interpretada como falha de diligência, com consequente responsabilização de gestores e administradores. A existência de um processo documentado e a evidência de que os sinais foram verificados, mesmo que não conclusivos, é o que diferencia a empresa diligente da empresa negligente aos olhos da lei.

A combinação de processos robustos de due diligence, monitoramento contínuo e cultura de integridade cria uma estrutura de defesa proporcional ao risco, e demonstrável perante autoridades regulatórias e o Poder Judiciário.

Sua empresa está preparada para identificar esses sinais?

Estruturar compliance para PME não é uma questão de porte, é uma questão de risco. Qualquer empresa que contrata fornecedores, firma parcerias ou opera em setores vulneráveis está exposta. A diferença está em ter, ou não ter, a estrutura para identificar o risco antes que ele se materialize e antes que a lei exija que você explique por que não agiu.

Se você quer entender como estruturar due diligence e compliance proporcionais à realidade da sua empresa, sem complexidade desnecessária e com soluções que funcionam na prática, podemos conversar. Agende uma conversa inicial sem compromisso.