Compliance é o conjunto de políticas, controles e práticas que garantem que uma empresa e seus parceiros cumpram as leis, as normas e o próprio código de conduta. O termo vem do inglês to comply, cumprir. Na prática, é o sistema que previne, detecta e corrige desvios antes que virem multa ou crise.

O que significa compliance?

Significa estar em conformidade. Vem do verbo inglês to comply (cumprir), e descreve o esforço organizado de uma empresa para agir dentro da lei e das próprias regras, todo dia, não só durante uma fiscalização.

Quais são os tipos de compliance?

Os principais são: empresarial (o guarda-chuva geral), trabalhista, tributário e fiscal, financeiro e de prevenção à lavagem (PLD), ambiental, anticorrupção e integridade, concorrencial, de proteção de dados (LGPD) e criminal. Cada um recorta um tipo de risco, mas todos se conectam no mesmo programa.

Quais leis exigem compliance no Brasil?

A principal é a Lei Anticorrupção (12.846/2013), que responsabiliza a empresa por atos lesivos à administração pública e trata o programa de integridade como atenuante. Somam-se a Lei das Estatais (13.303/2016), a Lei de Lavagem de Dinheiro (9.613/1998) e a LGPD (13.709/2018), além das normas setoriais (como as regras de PLD do Banco Central).

Compliance é obrigatório?

Não há uma lei única que obrigue toda empresa a ter um departamento de compliance. Mas a Lei Anticorrupção responsabiliza a empresa por atos lesivos de quem age em seu nome, e um programa de integridade efetivo reduz a punição. Em contratações públicas e em setores regulados (banco, saúde), o programa é exigido na prática.

Qual a diferença entre compliance e auditoria?

O compliance é o sistema contínuo que previne e detecta desvios no dia a dia, em tempo real. A auditoria é a verificação independente e periódica de que esse sistema e os controles realmente funcionam. Compliance opera o tempo todo; auditoria confere de tempos em tempos.

Inteligência · Conceito

Compliance: o que é, tipos e como funciona um programa na prática

Compliance é o esforço organizado de uma empresa para agir dentro da lei e das próprias regras, todo dia, não só quando o fiscal bate na porta. Este guia explica o que é compliance de forma direta, os tipos, os pilares de um programa, as leis que o exigem no Brasil e o ponto que quase todo material trata no abstrato: como verificar a integridade de terceiros na prática, por CNPJ. Sem juridiquês. Como gente conversa.

O que é compliance

Compliance é o conjunto de políticas, controles e práticas que uma empresa adota para garantir que ela, seus funcionários e seus parceiros cumpram as leis, as normas regulatórias e o próprio código de conduta. O termo vem do inglês to comply, que significa cumprir, estar em conformidade.

Traduzindo pro português do dia a dia: compliance é transformar a obrigação de seguir regra em um sistema. Prevenir o desvio antes que ele aconteça. Detectar quando acontece. E corrigir antes que vire multa, processo ou crise de reputação.

Pensa assim: a lei é o código de trânsito. Compliance não é só não passar no sinal vermelho. É ter freio que funciona, cinto, espelho ajustado e olhar pra placa antes de errar a conversão. É o sistema inteiro que faz você dirigir dentro da lei sem depender da sorte. Empresa sem compliance é carro sem freio em ladeira: anda liso até a primeira curva.

Para que serve o compliance (e por que não é luxo de multinacional)

Um programa de compliance protege a empresa em três frentes ao mesmo tempo. Legal: reduz o risco de sanção. Financeira: evita multa, perda de contrato e prejuízo. Reputacional: preserva a confiança de cliente, parceiro e investidor. Mais do que fugir de punição, ele cria previsibilidade e sustenta decisão que você consegue defender depois, com documento na mão.

Tem um detalhe que muita gente ignora: desde a Lei Anticorrupção, ter um programa de integridade efetivo é atenuante. Quer dizer, se um colaborador cometer um ato lesivo contra a administração pública, a empresa que prova que tinha controle de verdade pode ter a punição reduzida. O programa vira sua apólice de seguro na hora do aperto.

E não é papo de gigante. Imagine uma construtora média que fecha contrato com um fornecedor de concreto barato. O fornecedor estava na Lista Suja do trabalho escravo. Adivinha de quem vira a manchete e o problema reputacional. Risco de terceiro não pergunta o tamanho do seu faturamento.

As leis que sustentam o compliance no Brasil

A espinha dorsal é a Lei 12.846/2013, a Lei Anticorrupção, que responsabiliza a empresa por atos lesivos à administração pública e prevê o programa de integridade como atenuante. Some-se a Lei das Estatais (13.303/2016), a Lei de Lavagem de Dinheiro (9.613/1998, alterada pela 12.683/2012) e a Lei Geral de Proteção de Dados (13.709/2018).

Em cima disso, cada setor empilha as próprias normas. Banco e fintech seguem as regras de prevenção à lavagem do Banco Central. Plano de saúde responde à ANS. Construtora que vende pro governo encara as exigências de licitação. A lógica, no entanto, é sempre a mesma: a regra existe, e cabe à empresa provar que tem como cumpri-la.

Repara que não existe uma lei única dizendo "toda empresa tem que ter um departamento de compliance". O que existe é responsabilização. A empresa responde pelo que faz e pelo que seus parceiros fazem em nome dela. O programa é a resposta a essa cobrança, não um formulário a mais pra preencher.

Os pilares de um programa de compliance

Um programa efetivo se apoia em alguns pilares. O comprometimento da alta direção, porque o tom vem do topo: se o dono fura a regra, ninguém abaixo respeita. A análise de riscos, que diz onde a empresa está mais exposta. O código de conduta e as políticas. O treinamento e a comunicação. O canal de denúncias. A due diligence de terceiros. O monitoramento contínuo. E a investigação e remediação dos desvios que aparecem.

O segredo é que nenhum pilar funciona sozinho. Um código de conduta sem canal de denúncias é quadro bonito na parede: ninguém olha. Uma due diligence feita uma vez, no começo da relação, envelhece no dia seguinte, porque o fornecedor que era limpo ontem pode entrar numa lista de sanção hoje.

Exemplo concreto: a empresa treina todo mundo, tem código de conduta lindo, mas o canal de denúncias é um e-mail que cai na caixa do RH e ninguém abre. O desvio acontece, alguém tenta avisar, a mensagem morre na caixa. Quando estoura, a defesa de "a gente tinha um canal" não cola, porque ninguém operava o canal. Pilar de enfeite não conta na hora da fiscalização.

Os principais tipos de compliance

Compliance não é uma coisa só. É um guarda-chuva com vários recortes, cada um cuidando de um tipo de risco.

Compliance empresarial é o guarda-chuva geral da conformidade na organização. O trabalhista cuida da CLT e da cadeia de fornecedores (aquela construtora do exemplo lá em cima). O tributário e fiscal cuida de imposto e obrigação acessória. O financeiro e de prevenção à lavagem (PLD) é o que segura banco e fintech. O ambiental olha licença e auto de infração. O anticorrupção e de integridade é o coração da Lei Anticorrupção. O concorrencial evita cartel e abuso de mercado. O de proteção de dados (LGPD) cuida do dado pessoal. E o criminal previne que a empresa vire instrumento de crime.

Na vida real, eles se cruzam o tempo todo. Um fornecedor com passivo trabalhista grave costuma ter também dívida tributária e processo rolando. Os riscos andam em bando, raramente sozinhos.

Compliance, governança e auditoria: quem é quem

Muita gente embola esses três e sai falando como se fossem sinônimo. Não são.

Governança é o andar de cima: quem decide o quê, como o poder é distribuído, qual o rumo da empresa. Compliance é o sistema do dia a dia que garante que esse rumo respeite as regras: previne e detecta desvio o tempo inteiro, em tempo real. Auditoria é a foto periódica: alguém independente chega, abre a tampa e confere se o sistema de compliance e os controles estão mesmo funcionando.

Analogia rápida: governança é o capitão decidindo a rota. Compliance é a tripulação operando o navio dentro das regras durante toda a viagem. Auditoria é a vistoria que confere o casco quando o navio atraca. Você precisa dos três, mas eles não se substituem.

Os 4Ks: conhecer cliente, funcionário, fornecedor e operação

Boa parte do compliance se resume a uma frase simples: saber com quem você está se metendo. Isso virou sigla. Know Your Customer (KYC), o cliente. Know Your Employee (KYE), o funcionário. Know Your Supplier (KYS), o fornecedor. E Know Your Operation (KYO), a própria operação. É a checagem de integridade aplicada a cada elo da corrente.

O elo mais frequentemente negligenciado é o fornecedor. E é justamente onde mora boa parte do risco de responsabilização da empresa. A área de compras quer fechar rápido, com o preço mais baixo, e a verificação de integridade fica pra depois. Esse "depois" é onde a manchete nasce.

Pensa numa empresa aberta na semana passada que já está disputando um contrato milionário, com sócio que aparece em outras cinco empresas com dívida ativa. No KYS bem feito, esse fornecedor acende vermelho antes da assinatura. No KYS de mentira (só pediu o cartão CNPJ e o contrato social), ele passa batido e o problema chega depois, com juros.

Compliance de terceiros na prática: onde o Brasil entrega o dado

Aqui a teoria encosta na realidade. Verificar a integridade de um terceiro no Brasil é, em grande parte, cruzar bases públicas oficiais por CNPJ. E o Brasil, surpreendentemente, abre bastante coisa.

Idoneidade e sanção: CEIS, CNEP e CEPIM (mantidos pela CGU), os inidôneos do TCU, o cadastro de improbidade do CNJ e a Lista Suja do trabalho escravo. Passivo fiscal: a dívida ativa da União, na PGFN. Risco ambiental: os autos de infração do IBAMA. Exposição judicial: os tribunais. E, no plano internacional, as listas de sanção (OFAC nos Estados Unidos, ONU, União Europeia) mais o screening de pessoa politicamente exposta (PEP).

É o KYS deixando de ser conceito de manual e virando checagem concreta. A pegadinha é esta: o problema nunca foi falta de dado. O dado está lá, público, de graça. O problema é consolidar dezenas de fontes por CNPJ, cruzar com o quadro societário (porque o risco mora no sócio, não só na empresa) e manter tudo atualizado. Fazer isso na mão, fornecedor por fornecedor, numa carteira de centenas de parceiros, é trabalho de formiga que ninguém consegue manter por muito tempo.

Sinais de alerta: os red flags que você não pode ignorar

Tem padrões que, sozinhos, não condenam ninguém, mas juntos pedem um segundo olhar antes de assinar.

Empresa recém-aberta já disputando contrato grande, sem histórico que sustente o porte. Sócio que se repete em várias empresas com dívida ou sanção. Endereço de fachada compartilhado por dezenas de CNPJs. Capital social ridiculamente baixo pra operação que se propõe a entregar. Sócio que entra e sai do quadro pouco antes de um contrato. Nome do sócio aparecendo em lista de sanção ou de PEP sem que ninguém tenha checado.

Nenhum desses é veredito automático. Empresa nova pode ser legítima. Capital baixo pode ser começo honesto. O ponto do red flag é outro: ele dispara a pergunta, não a condenação. É o sinal de que aquele terceiro merece due diligence mais funda antes de virar seu parceiro e, junto, seu risco.

Como o Sentinela automatiza o compliance de terceiros

O Sentinela executa o KYS de ponta a ponta. Parte do CNPJ, consolida sanções nacionais e internacionais, dívida ativa, risco ambiental, exposição judicial e screening de PEP, cruza com os sócios sem inferência por nome (homônimo não vira acusação) e entrega um score de risco explicável, com cada fator aberto, e um dossiê auditável que serve de trilha pra defender cada decisão depois.

E, porque risco de terceiro não fica parado, o monitoramento contínuo dispara alerta automático quando uma sanção nova, uma dívida ou uma alteração societária aparece na sua carteira. O fornecedor que estava limpo na assinatura e entrou numa lista seis meses depois deixa de ser uma surpresa: você é avisado.

Na prática, o programa de compliance para de depender de reconsulta manual e passa a vigiar a carteira sozinho. A due diligence deixa de ser uma foto que envelhece e vira um filme que continua rodando. É a diferença entre olhar o retrovisor uma vez e ter alguém vigiando a estrada por você o tempo todo.

Perguntas frequentes

O que é compliance?: Compliance é o conjunto de políticas, controles e práticas que garantem que uma empresa e seus parceiros cumpram as leis, as normas e o próprio código de conduta. O termo vem do inglês to comply, cumprir. Na prática, é o sistema que previne, detecta e corrige desvios antes que virem multa ou crise.
O que significa compliance?: Significa estar em conformidade. Vem do verbo inglês to comply (cumprir), e descreve o esforço organizado de uma empresa para agir dentro da lei e das próprias regras, todo dia, não só durante uma fiscalização.
Quais são os tipos de compliance?: Os principais são: empresarial (o guarda-chuva geral), trabalhista, tributário e fiscal, financeiro e de prevenção à lavagem (PLD), ambiental, anticorrupção e integridade, concorrencial, de proteção de dados (LGPD) e criminal. Cada um recorta um tipo de risco, mas todos se conectam no mesmo programa.
Quais leis exigem compliance no Brasil?: A principal é a Lei Anticorrupção (12.846/2013), que responsabiliza a empresa por atos lesivos à administração pública e trata o programa de integridade como atenuante. Somam-se a Lei das Estatais (13.303/2016), a Lei de Lavagem de Dinheiro (9.613/1998) e a LGPD (13.709/2018), além das normas setoriais (como as regras de PLD do Banco Central).
Compliance é obrigatório?: Não há uma lei única que obrigue toda empresa a ter um departamento de compliance. Mas a Lei Anticorrupção responsabiliza a empresa por atos lesivos de quem age em seu nome, e um programa de integridade efetivo reduz a punição. Em contratações públicas e em setores regulados (banco, saúde), o programa é exigido na prática.
Qual a diferença entre compliance e auditoria?: O compliance é o sistema contínuo que previne e detecta desvios no dia a dia, em tempo real. A auditoria é a verificação independente e periódica de que esse sistema e os controles realmente funcionam. Compliance opera o tempo todo; auditoria confere de tempos em tempos.

Inteligência relacionada

Investigue qualquer empresa em segundos

Dossiê completo, sócios, contratos, sanções e score de risco explicável por IA.

Criar conta gratuita Consultar uma empresa