Compliance

ISO 37301: como estruturar o programa de compliance na prática

Compliance virou uma daquelas palavras que todo mundo usa e quase ninguém define do mesmo jeito. Para o dono da empresa, costuma ser "não dar problema com a fiscalização". Para o jurídico, é "cumprir a lei". Para o comercial, é aquele questionário chato que o cliente grande manda antes de fechar contrato. E, na maioria das empresas que visito, o programa de compliance existe no papel: tem um Código de Conduta que ninguém leu, um canal de denúncias que ninguém usa e um treinamento anual que a equipe clica até o fim para liberar o certificado. Isso não protege a empresa de nada — só cria a ilusão de proteção, que é pior.

A ISO 37301:2021 existe justamente para tirar o compliance do território das boas intenções e colocá-lo na lógica de um sistema de gestão: obrigações mapeadas, riscos avaliados, controles definidos, evidência de funcionamento. Neste guia você vai ver o que a norma exige, o passo a passo para estruturar o programa, como montar o coração do sistema — a matriz de obrigações e a avaliação de riscos de compliance — e quais são os erros que transformam programa em fachada.

ISO 37301: o que a norma exige (e o que ela não exige)

A ISO 37301 substituiu a ISO 19600, que era apenas uma diretriz. A mudança mais importante não foi de conteúdo, foi de status: a 37301 traz requisitos e, por isso, é certificável. Uma empresa pode ser auditada por uma certificadora e provar a terceiros que tem um Sistema de Gestão de Compliance de verdade.

O que a norma não faz é dizer quais leis você precisa cumprir. Ela não lista obrigações, não define percentual de brinde aceitável, não determina que o canal de denúncias seja terceirizado. Ela diz: "levante todas as suas obrigações, avalie o risco de descumprir cada uma e mantenha controles proporcionais — de forma organizada e verificável". Quais obrigações e quais controles, quem define é a empresa, a partir do seu contexto e do seu risco.

Como as demais normas de sistema de gestão, a ISO 37301 segue a estrutura de alto nível (Anexo SL), a mesma da ISO 9001, da ISO 14001 e da ISO 27001:

RequisitoO que a empresa precisa fazer
4. ContextoEntender o negócio, as partes interessadas e — o ponto central — identificar as obrigações de compliance e avaliar os riscos de compliance; definir o escopo do SGC
5. LiderançaA direção assumir o sistema, aprovar a política de compliance, definir os papéis e garantir a independência e a autoridade da função de compliance
6. PlanejamentoDefinir ações para tratar riscos e oportunidades, objetivos de compliance e como alcançá-los
7. ApoioRecursos, competência, conscientização, comunicação (interna e externa) e informação documentada
8. OperaçãoOperar os controles, gerir a due diligence de terceiros, o canal de relatos e o processo de apuração
9. AvaliaçãoMonitoramento, indicadores, auditoria interna e análise crítica pela direção
10. MelhoriaTratar não conformidades e desvios de conduta, e melhorar continuamente o sistema

💡 Se a sua empresa já é certificada ISO 9001, você tem meio caminho andado. Contexto, liderança, competência, auditoria interna, análise crítica, tratativa de não conformidade e melhoria contínua funcionam com a mesma lógica nas duas normas. Um sistema de gestão da qualidade maduro serve de esqueleto para o SGC — você agrega a camada de compliance em vez de construir tudo do zero.

Obrigações de compliance: você não cumpre o que não conhece

Antes de falar em política, treinamento ou canal de denúncias, tem um passo que quase todo mundo pula e depois se arrepende: levantar as obrigações de compliance. A lógica é a mesma do inventário de ativos na segurança da informação — não dá para cumprir o que você não sabe que existe. E "obrigação de compliance" é mais amplo do que a maioria imagina. A ISO 37301 divide em dois grupos:

  • Requisitos — o que é obrigatório: leis e decretos, normas regulamentadoras, resoluções de agências (ANVISA, ANATEL, ANEEL), licenças ambientais e sanitárias, LGPD, obrigações tributárias, acordos coletivos, cláusulas contratuais com clientes;
  • Compromissos — o que a empresa escolheu assumir: código de ética próprio, políticas internas, códigos setoriais, compromissos públicos de ESG, exigências de matriz ou de grupo internacional, certificações voluntárias.

O produto desse levantamento é a matriz de obrigações de compliance — o documento mais importante do programa, e o primeiro que um auditor experiente vai pedir. Para cada obrigação, você registra:

CampoO que preencherExemplo
ObrigaçãoO que precisa ser cumpridoEmitir e enviar o eSocial nos prazos legais
OrigemA lei, norma, contrato ou compromissoDecreto 8.373/2014 e legislação trabalhista
Área responsávelQuem responde pelo cumprimentoDepartamento Pessoal
Como cumprimos hojeO controle existenteRotina mensal no sistema, com conferência do contador
EvidênciaO que prova o cumprimentoProtocolos de envio arquivados
Frequência / prazoQuando é devidaMensal, até o dia 15

Parece burocrático até você fazer o exercício pela primeira vez. Já vi empresa descobrir, na terceira linha da matriz, que uma licença de operação estava vencida havia oito meses — ninguém era o dono daquela obrigação, então ninguém renovou. É esse tipo de buraco que a matriz encontra.

⚠️ Não terceirize integralmente o levantamento. Consultoria ajuda a estruturar, mas quem conhece as obrigações reais do dia a dia é quem opera: o DP sabe das trabalhistas, o fiscal das tributárias, a produção das sanitárias, o comercial das contratuais. Matriz feita só por gente de fora fica bonita e incompleta.

Riscos de compliance: onde o programa ganha foco

Com as obrigações mapeadas, vem a pergunta que dá foco ao programa: qual o risco de descumprirmos cada uma? Porque tratar todas as obrigações com a mesma intensidade é a receita para um programa caro e ineficaz. A mecânica é a mesma lógica de gestão de riscos que já usamos na qualidade, aplicada agora ao cumprimento de obrigações. Para cada uma, você avalia:

  1. Qual a probabilidade de descumprir? Depende do controle atual, da rotatividade da equipe, da complexidade da obrigação, do histórico. Obrigação que depende da memória de uma pessoa tem probabilidade alta, sempre.
  2. Qual a consequência se descumprir? Multa, interdição, perda de licença, rescisão de contrato, ação judicial, dano reputacional, responsabilização pessoal de dirigentes.
  3. Qual o nível de risco? A combinação dos dois — e é ela que define quanto controle, treinamento e monitoramento aquela obrigação merece.

Uma matriz de risco simples de 5×5 resolve. O importante não é a sofisticação do cálculo, é a conversa que ele força: sentar com as áreas e discutir honestamente onde a empresa está exposta. Se você quiser um método rápido para priorizar o que atacar primeiro, a lógica de quantificar o custo ajuda muito a convencer a diretoria — multa evitada é número que todo diretor entende.

📌 Riscos de compliance típicos que costumam aparecer alto na matriz de PMEs: licenças e alvarás vencidos, terceiros sem due diligence (fornecedor que usa mão de obra irregular respinga em você), tratamento de dados pessoais sem base legal, obrigações acessórias fiscais, e a área comercial oferecendo brindes ou vantagens a agentes públicos sem regra clara.

Os pilares do programa: como estruturar na prática

Com obrigações e riscos na mão, o programa se monta em cima de peças bem definidas. Nenhuma delas funciona sozinha — é o conjunto que sustenta.

1. Política de compliance e Código de Conduta

A política de compliance é o documento curto em que a direção declara o compromisso e define as diretrizes gerais. O Código de Conduta é onde o compromisso vira comportamento esperado: conflito de interesses, brindes e hospitalidade, relacionamento com agente público, uso de informação privilegiada, assédio, concorrência, uso dos recursos da empresa.

Regra de ouro: o Código precisa ser lido por um operador de máquina e por um diretor com a mesma facilidade. Código de Conduta escrito em juridiquês de 40 páginas não é lido — e o que não é lido não vira comportamento. Prefira linguagem direta, situações reais do seu negócio e a pergunta que resolve 90% dos dilemas: "se isso saísse no jornal amanhã, a empresa se envergonharia?".

2. Canal de denúncias que funciona

O canal (a norma chama de "levantamento de preocupações") é o termômetro do programa. E o critério de sucesso não é "zero denúncias" — canal com zero denúncia em empresa de 200 pessoas não significa que está tudo certo; significa que ninguém confia nele. Um canal que funciona precisa de:

  • Anonimato garantido e possibilidade de acompanhamento pelo denunciante;
  • Não retaliação — declarada pela direção e cumprida no primeiro caso, que é quando todo mundo está olhando;
  • Independência de quem recebe — se a denúncia sobre o gerente cai na caixa de e-mail do gerente, o canal está morto;
  • Processo de apuração definido — prazo, responsável, registro, decisão e retorno;
  • Consequência aplicada — desvio apurado precisa gerar medida disciplinar proporcional, do diretor ao estagiário.

3. Independência da função de compliance

Este é o requisito que mais gente subestima. A ISO 37301 exige que a função de compliance tenha autoridade, recursos e acesso direto à alta direção — sem filtro. Não é preciso criar um departamento: em PME, é perfeitamente possível designar um responsável com dedicação parcial. O que não pode é colocar compliance subordinado a quem ele precisa fiscalizar. Compliance dentro do comercial, respondendo ao diretor comercial, não vai barrar o negócio do diretor comercial.

4. Treinamento e conscientização

Treinamento de compliance sofre do mesmo mal que todo treinamento obrigatório: vira teatro. O que funciona em campo é diferenciar público e usar casos reais. A área comercial precisa discutir brinde, hospitalidade e agente público; o DP precisa discutir dados pessoais e obrigações trabalhistas; a produção precisa discutir licença ambiental e segurança. Slide genérico sobre "ética empresarial" não muda comportamento nenhum. E cada treinamento precisa de registro, avaliação de eficácia e entrada na matriz de competências — porque o auditor vai pedir a evidência.

5. Due diligence de terceiros

O ponto cego mais comum. A empresa arruma a própria casa e contrata um fornecedor que usa trabalho irregular, um despachante que "resolve" na prefeitura, um representante que paga propina para fechar contrato. Risco de terceiro é risco seu — e responsabilidade sua, inclusive na Lei Anticorrupção. Due diligence proporcional ao risco resolve: fornecedor de material de escritório merece uma checagem cadastral simples; representante comercial que fala com agente público em seu nome merece verificação séria, cláusula contratual de compliance e monitoramento.

Passo a passo: implantando o SGC em 8 etapas

EtapaO que fazerEntregável
1. Comprometer a direçãoApresentar exposição e custo do não compliance; obter mandato e recursosAta de decisão e política aprovada
2. Definir escopo e contextoDelimitar unidades, processos e partes interessadas cobertosEscopo do SGC
3. Levantar obrigaçõesMapear requisitos e compromissos com cada áreaMatriz de obrigações
4. Avaliar riscosProbabilidade × consequência por obrigação; priorizarMatriz de riscos de compliance
5. Definir controlesO que fazer para os riscos altos: procedimento, alçada, sistema, verificaçãoPlano de tratamento
6. Documentar e comunicarCódigo de Conduta, políticas, canal de relatos, treinamento por públicoDocumentos e registros de treinamento
7. MonitorarIndicadores, verificações periódicas, auditoria internaPainel de indicadores e relatório de auditoria
8. Analisar e melhorarAnálise crítica pela direção, tratativa de desvios, ajustesAta da análise crítica e planos de ação

✅ Comece pelas etapas 3 e 4. Empresa que passa seis meses escrevendo política antes de saber quais são as suas obrigações produz documento genérico, copiado da internet, que não protege de nada. Matriz primeiro, texto depois.

Indicadores: como saber se o programa está vivo

Programa de compliance sem indicador é fé. E, como todo indicador de gestão, o valor não está no número, está na conversa que ele provoca na reunião de análise crítica. Os que funcionam bem:

  • % de obrigações com responsável e evidência definidos — mede a maturidade da matriz;
  • % de obrigações críticas verificadas no período — mede se o monitoramento sai do papel;
  • Nº de relatos recebidos e % apurados no prazo — mede a confiança no canal e a capacidade de resposta;
  • % da equipe treinada por público-alvo — separado por área, não a média geral, que esconde o buraco;
  • Nº de desvios reincidentes — o mais revelador: reincidência significa que a causa raiz não foi tratada;
  • % de terceiros de alto risco com due diligence válida.

Quando um desvio se repete, vale a pena aplicar os 5 Porquês antes de partir para a punição. Muita coisa que parece má-fé é, na verdade, processo mal desenhado — regra que ninguém conhece, alçada confusa, meta comercial que empurra a equipe para o atalho.

Erros que transformam o programa em fachada

  • Código copiado da internet. Documento que fala de situações que não existem no seu negócio e ignora as que existem. A equipe percebe na primeira leitura e o programa perde credibilidade no primeiro dia.
  • Compliance sem independência. Responsável subordinado a quem ele precisa fiscalizar, sem acesso à direção. Não barra nada que importe.
  • Canal de denúncias decorativo. Sem anonimato real, sem apuração, sem retorno. A primeira denúncia engavetada mata o canal para sempre.
  • Regra que não vale para todos. Nada destrói um programa mais rápido do que o desvio do diretor ser "compreendido" e o do operador virar justa causa.
  • Terceiros fora do radar. Casa arrumada e fornecedor irregular fechando contrato em seu nome.
  • Objetivos sem plano de ação. "Fortalecer a cultura de integridade" sem dizer como, quem e até quando. Todo objetivo precisa virar um plano de ação 5W2H com responsáveis e prazos.
  • Sistema só no papel. Documentação impecável e nada acontecendo — sem verificação registrada, sem relato apurado, sem treinamento evidenciado. SGC de gaveta não passa em auditoria e, o que é pior, não protege a empresa quando o problema chega.

Por onde começar amanhã

Não espere a consultoria completa nem o software caro. Comece pelo mais concreto: reúna os responsáveis pelas áreas e peça a cada um que liste as obrigações que, se descumpridas, parariam a operação ou gerariam multa relevante — licenças, obrigações fiscais e trabalhistas, exigências sanitárias, cláusulas de contrato com os maiores clientes. Esse é o embrião da sua matriz. Depois, para cada uma, pergunte: "quem é o dono disso e o que prova que estamos cumprindo hoje?". As respostas hesitantes são o seu mapa de risco — e quase sempre aparecem duas ou três obrigações relevantes sem dono nenhum.

A ISO 37301 assusta de longe e simplifica de perto: no fundo, é a empresa assumindo, de forma organizada e verificável, a responsabilidade por aquilo que ela já é obrigada a cumprir de qualquer jeito. Se você já domina a lógica de um sistema de gestão — contexto, planejamento, controle, verificação, melhoria — o programa de compliance é a aplicação dessa mesma lógica às obrigações do negócio. Para ver como as peças se conectam, vale revisitar o artigo sobre gestão de riscos e o controle de documentos, porque, no fim das contas, todo programa de compliance responde a uma pergunta só: o que somos obrigados a cumprir, e o que estamos fazendo para garantir que cumprimos?

Perguntas frequentes

O que é a ISO 37301 e para que serve?

A ISO 37301:2021 é a norma internacional que define os requisitos de um Sistema de Gestão de Compliance (SGC). Ela dá estrutura ao que muitas empresas fazem de forma solta: identificar todas as obrigações que a organização precisa cumprir (leis, regulamentos, contratos, normas, códigos voluntários), avaliar o risco de descumprir cada uma e manter controles, treinamento e monitoramento proporcionais a esse risco. Serve tanto para reduzir o risco de multa e dano reputacional quanto para atender exigências de clientes, editais e grupos internacionais — e, ao contrário da antiga ISO 19600, ela é certificável.

Qual a diferença entre a ISO 37301 e a ISO 37001?

O escopo. A ISO 37001 é focada em um único tema: antissuborno. Ela trata de brindes, hospitalidade, doações, due diligence de terceiros e pagamentos de facilitação. Já a ISO 37301 é guarda-chuva: cobre todas as obrigações de compliance da empresa — trabalhista, ambiental, tributária, LGPD, concorrencial, setorial e também antissuborno. Na prática, muitas empresas usam a 37301 como estrutura geral do programa e a 37001 como aprofundamento no risco de suborno, quando esse risco é relevante para o negócio.

Empresa pequena precisa de programa de compliance?

Precisa — o que muda é o tamanho, não a existência. Uma empresa de 30 pessoas tem obrigações trabalhistas, tributárias, ambientais, sanitárias e de proteção de dados exatamente como uma de 3.000, e o impacto de uma multa costuma ser proporcionalmente maior nela. A própria ISO 37301 manda dimensionar o sistema conforme o porte, a complexidade e o risco. Para uma PME, um programa honesto pode ser uma matriz de obrigações bem-feita, um Código de Conduta curto, um canal de denúncias que funcione e uma rotina de verificação — não um departamento inteiro.

Compliance é a mesma coisa que jurídico?

Não, e confundir os dois é um dos erros mais caros. O jurídico defende a empresa quando o problema já aconteceu e assessora nas decisões; o compliance trabalha antes, para que o problema não aconteça — mapeando obrigações, treinando pessoas, monitorando controles e apurando desvios. Além disso, a ISO 37301 exige independência da função de compliance e acesso direto à alta direção. Quando compliance é só mais uma pasta na mesa de quem já responde por contratos e processos, o conflito de interesse aparece no primeiro caso difícil.

Newsletter

Receba o melhor do blog por e-mail

Guias práticos de gestão da qualidade, direto na sua caixa — sem spam, de quem vive isso há 15 anos.

Ao se inscrever você concorda com a Política de Privacidade. Cancele quando quiser, em 1 clique.