Como este tema funciona no porte da sua empresa
O risco de duplicidade é alto porque o volume é gerenciável, mas sem sistema que impeça o lançamento duplicado. A fraude externa — golpe do e-mail de fornecedor — é o maior risco e o mais subestimado. Prioridade: verificação de CNPJ no primeiro pagamento a qualquer fornecedor novo e confirmação por canal independente de qualquer alteração de dados bancários.
O ERP reduz duplicidade pelo bloqueio automático de nota com mesmo número e valor, mas o risco de fraude interna cresce com o aumento da equipe. Prioridade: auditoria periódica do cadastro de fornecedores e análise de pagamentos atípicos.
Controles sistêmicos automatizados — alerta para CNPJ repetido, valor fora do histórico, alteração de dados bancários. O risco principal é fraude interna sofisticada ou conluio. Prioridade: auditoria interna independente e rotação de responsabilidades críticas.
Pagamento em duplicidade é o pagamento da mesma obrigação duas vezes — por erro de processo, falha de registro ou falta de conferência. Fraude no contas a pagar é o pagamento intencional a destinatário indevido — por manipulação externa (golpe do fornecedor) ou interna (fornecedor fantasma, nota fiscal fria). Os dois problemas têm causas diferentes e controles diferentes, mas se previnem com a mesma disciplina: conferência de dados antes de lançar e verificação independente antes de pagar.
Causas mais comuns de pagamento em duplicidade
O pagamento duplicado quase sempre resulta de uma falha de processo — não de má intenção. Conhecer as causas ajuda a definir o controle certo para cada uma.
- Mesma nota lançada duas vezes por analistas diferentes: a nota chega por dois canais (e-mail e portal do fornecedor) e é registrada por dois analistas sem que o sistema alerte para a duplicidade. Controle: bloqueio no ERP por número de NF e CNPJ.
- Nota corrigida ou substituída sem cancelamento da original: o fornecedor emite uma nota corretiva e a original não é cancelada no sistema. As duas são pagas. Controle: processo de cancelamento obrigatório antes do lançamento de nota substituta.
- Pagamento manual fora do sistema que não foi registrado: o gestor paga um boleto urgente pelo aplicativo do banco sem lançar no ERP. O analista, sem saber, lança e paga novamente. Controle: política de que todo pagamento executado deve ser registrado no sistema antes do próximo processamento.
- Nota paga antes do lançamento e lançada depois: variante do caso anterior — o lançamento tardio não identifica que o pagamento já foi feito. Controle: campo de status "pago manualmente" que bloqueia o reprocessamento automático.
Os três tipos de fraude no contas a pagar e como evitar cada um
Cada tipo de fraude tem um vetor de entrada diferente — e, portanto, um controle específico que o bloqueia.
| Tipo de fraude | Como funciona | Controle específico |
|---|---|---|
| Golpe do e-mail de fornecedor | Fraudador envia e-mail com domínio parecido com o do fornecedor real pedindo alteração de dados bancários. O financeiro altera sem verificar e o pagamento vai para a conta do fraudador. | Nunca alterar dados bancários por e-mail. Ligar para o número previamente cadastrado (não o informado no e-mail) e confirmar antes de qualquer alteração. Alterar cadastro só com dupla aprovação. |
| Fornecedor fantasma | Colaborador interno cadastra um CNPJ próprio ou de terceiro como fornecedor e emite notas por serviços que não foram prestados. Os pagamentos são aprovados normalmente. | Auditoria periódica do cadastro de fornecedores (CNPJ ativo, titularidade dos dados bancários). Sinalizar fornecedores com poucos pagamentos, valores redondos ou sem nota fiscal vinculada a entrega verificável. |
| Nota fiscal fria | Nota emitida por empresa sem prestação real de serviço — usada para desviar recursos ou inflar despesas. Pode envolver conluio entre colaborador interno e emitente externo. | Verificar se o serviço ou produto foi efetivamente recebido antes da aprovação de pagamento. Para valores altos, exigir comprovante de entrega ou aceite formal do requisitante da área. |
Controles preventivos por fase do processo de pagamento
Os controles mais eficazes são aqueles aplicados antes do pagamento ser executado — não depois. Três fases do processo têm pontos de controle críticos.
Fase 1 — Cadastro de fornecedor (antes do primeiro pagamento): verificar CNPJ na Receita Federal (situação cadastral ativa), conferir se o nome da empresa e o sócio correspondem ao que o fornecedor declara, verificar a titularidade da conta bancária informada (o titular deve ser o mesmo CNPJ cadastrado). Nenhum pagamento deve ser executado para fornecedor com cadastro incompleto ou com divergências nesses dados.
Fase 2 — Lançamento da nota: conferir o número e a série da nota fiscal no histórico do fornecedor (detecta duplicidade); verificar se o CNPJ emissor está ativo na Receita Federal; confirmar que o valor corresponde ao pedido de compra ou contrato. Em sistemas com OCR, a leitura automática reduz erro de digitação mas não elimina a conferência de consistência.
Fase 3 — Execução do pagamento: antes de confirmar a transferência no internet banking, verificar o CNPJ do beneficiário exibido pelo banco — ele deve corresponder exatamente ao fornecedor esperado. Boleto adulterado troca o código de barras mas o CNPJ do beneficiário no sistema bancário denuncia a fraude.
Como auditar o cadastro de fornecedores
A auditoria do cadastro de fornecedores é um controle preventivo que deve ser feito ao menos uma vez por ano — e de forma imediata quando há suspeita de irregularidade. O processo em quatro etapas:
- Exportar a lista completa de fornecedores ativos: todos os fornecedores com pagamentos nos últimos 12 meses, com CNPJ, razão social e dados bancários.
- Verificar a situação cadastral de cada CNPJ: consulta gratuita no portal da Receita Federal. CNPJs inaptos, suspensos ou cancelados merecem investigação imediata.
- Identificar padrões suspeitos: fornecedores com poucos pagamentos de valores redondos (múltiplos de R$ 1.000 ou R$ 5.000); fornecedores sem endereço verificável; múltiplos fornecedores com o mesmo sócio ou o mesmo endereço.
- Verificar titularidade bancária: para fornecedores com maior volume de pagamentos, confirmar que o titular da conta bancária cadastrada é o mesmo CNPJ — não uma conta pessoal ou de empresa diferente.
O que fazer quando a empresa descobre um pagamento indevido
A descoberta de pagamento em duplicidade ou fraude exige quatro ações em sequência.
- Registrar e documentar: registrar o ocorrido com todos os dados (valor, data, beneficiário, quem executou, qual foi o processo que falhou). Essa documentação é necessária para a investigação e para o acionamento de seguro ou autoridades, se aplicável.
- Tentar recuperar o valor: para duplicidade, contatar o fornecedor para devolução do valor pago a mais — a maioria dos fornecedores colabora. Para fraude externa, registrar boletim de ocorrência e contatar o banco imediatamente — quanto antes, maior a chance de bloqueio do recurso.
- Identificar o controle que falhou: qual passo do processo não foi seguido ou não existia? A investigação deve resultar em uma mudança concreta de processo ou de controle — não apenas em uma punição.
- Comunicar às instâncias responsáveis: para fraudes internas com indício de envolvimento de colaborador, comunicar ao RH, ao jurídico e à liderança. Para valores relevantes, considerar comunicação ao conselho ou auditoria.
Sinais de que sua empresa está exposta a duplicidades e fraudes no contas a pagar
Se você se reconhece em três ou mais cenários abaixo, os controles atuais têm lacunas que precisam ser endereçadas.
- A empresa já pagou a mesma nota duas vezes sem perceber imediatamente.
- Dados bancários de fornecedores são alterados por e-mail sem nenhuma verificação adicional por canal independente.
- O cadastro de fornecedores nunca foi auditado para verificar CNPJ ativo e titularidade dos dados bancários.
- Não existe controle que impeça o pagamento de nota não lançada no sistema.
- O time financeiro não sabe o que é o golpe do e-mail de fornecedor nem como se proteger.
- A empresa não verifica o CNPJ do beneficiário no internet banking antes de executar pagamentos.
Caminhos para implantar controles que evitem pagamentos indevidos e fraudes
Há dois caminhos para estruturar os controles, dependendo da sofisticação necessária e da existência de histórico de incidentes.
Documentar e implantar os controles de processo com o time financeiro atual — checklist de cadastro, política de alteração de dados bancários, rotina de auditoria periódica.
- Perfil necessário: gestor financeiro disposto a implantar os controles de processo e treinar a equipe nos pontos de verificação críticos.
- Tempo estimado: 2 a 4 semanas para documentar os controles e treinar a equipe.
- Faz sentido quando: empresa sem histórico recente de incidentes, disposta a implantar controles preventivos antes que um problema ocorra.
- Risco principal: controles definidos mas não aplicados em todos os casos — a consistência de execução é o que protege, não a existência da política no papel.
Contratar BPO financeiro ou consultoria para auditar o processo atual, identificar vulnerabilidades e implantar controles sistêmicos.
- Tipo de fornecedor: BPO Financeiro, ERP (Sistemas de Gestão), Consultoria Financeira.
- Vantagem: auditoria imparcial do cadastro de fornecedores e dos pagamentos do período, implantação de alertas automáticos no ERP, treinamento especializado em antifraude.
- Faz sentido quando: histórico de pagamentos indevidos, suspeita de fraude interna, necessidade de auditoria completa do contas a pagar.
- Resultado típico: auditoria concluída e controles implantados em 30 a 60 dias.
Precisa de apoio para implantar controles que evitem pagamentos indevidos e fraudes na sua empresa?
Se estruturar os controles antifraude e anti-duplicidade no contas a pagar é prioridade, o oHub conecta a sua empresa, gratuitamente, a fornecedores de BPO financeiro, ERP e consultoria. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como evitar pagar a mesma nota fiscal duas vezes?
Quatro controles combinados: bloqueio no ERP por número de NF e CNPJ (impede lançamento duplicado); política de cancelamento da nota original antes de lançar nota substituta; registro imediato de pagamentos manuais no sistema antes do próximo processamento; e campo de status "pago manualmente" que bloqueia reprocessamento automático.
Quais controles evitam fraude no contas a pagar?
Os três controles mais eficazes: nunca alterar dados bancários de fornecedor por e-mail — sempre confirmar por ligação para número previamente cadastrado; verificar CNPJ na Receita Federal antes do primeiro pagamento a fornecedor novo; e auditar periodicamente o cadastro de fornecedores para identificar CNPJs inaptos ou padrões suspeitos.
O que é o golpe do e-mail de fornecedor e como se proteger?
O fraudador envia e-mail com domínio parecido com o do fornecedor real pedindo alteração dos dados bancários para um pagamento específico. O financeiro altera o cadastro sem verificar e o pagamento vai para a conta do fraudador. A proteção é uma política inflexível: toda alteração de dados bancários exige confirmação por ligação para o número previamente cadastrado — nunca para o número informado no e-mail suspeito.
Como auditar o contas a pagar para detectar fraudes?
Quatro passos: exportar lista completa de fornecedores com pagamentos nos últimos 12 meses; verificar situação cadastral de cada CNPJ na Receita Federal; identificar padrões suspeitos (valores redondos, poucos pagamentos, endereço não verificável, mesmo sócio em múltiplos CNPJs); confirmar titularidade bancária nos maiores fornecedores.
O que fazer quando a empresa descobre um pagamento em duplicidade?
Quatro ações em sequência: documentar o ocorrido com todos os dados; tentar recuperar o valor (contato imediato com o fornecedor para devolução ou com o banco para bloqueio, no caso de fraude); identificar qual controle falhou e corrigir o processo; comunicar às instâncias responsáveis conforme a natureza do incidente.
Fontes e referências
- Febraban. Segurança digital para empresas: como se proteger de golpes financeiros. Federação Brasileira de Bancos.
- Receita Federal do Brasil. Consulta pública de situação cadastral de CNPJ. Receita Federal do Brasil, Brasília.