Como este tema funciona no porte da sua empresa
O monitoramento é simples: uma lista de verificação mensal com os indicadores mais críticos — certidões em dia, obrigações fiscais e trabalhistas entregues no prazo, contratos revisados. O gestor monitora sozinho, sem sistema dedicado. A planilha é suficiente. O que importa é a regularidade da verificação, não a sofisticação do instrumento.
Com mais processos e obrigações, o gestor organiza os indicadores por dimensão de conformidade e revisa periodicamente com os responsáveis de cada frente — contador, RH, TI, DPO. Uma planilha ou painel simples consolida a visão. O indicador que está vermelho tem um responsável e um prazo para resposta.
Os indicadores de conformidade são parte do painel de controladoria ou do relatório periódico de compliance. O gestor administrativo alimenta os indicadores da sua área e reporta ao compliance officer ou ao DPO nos ciclos definidos pelo programa. O sistema pode ser um BI integrado ao ERP ou ao software de compliance.
Indicadores de conformidade são métricas que permitem ao gestor monitorar se a empresa está cumprindo suas obrigações legais, regulatórias e internas ao longo do tempo. São a diferença entre gestão reativa — descobrir o problema quando já virou autuação ou notificação — e gestão proativa — identificar o risco antes que ele se materialize. Um indicador de conformidade bem definido responde a uma pergunta específica: a certidão negativa está válida? Qual percentual dos fornecedores com acesso a dados tem cláusula de proteção no contrato? Quantas solicitações de titulares foram respondidas no prazo?
Por que indicadores são diferentes de listas de obrigações
Uma lista de obrigações diz o que a empresa precisa fazer. Um indicador de conformidade diz se a empresa está fazendo — e em que medida. A diferença é a mensurabilidade: o indicador tem um valor atual, um valor esperado e revela o gap quando estão distantes.
Por exemplo: "manter certidões negativas em dia" é uma obrigação. "100% das certidões negativas com validade superior a 30 dias" é um indicador — ele pode ser vermelho (duas certidões vencidas), amarelo (todas válidas mas com menos de 30 dias) ou verde. A obrigação é binária; o indicador é uma régua de controle contínuo.
A tabela abaixo organiza os principais indicadores por dimensão de conformidade, com frequência de revisão recomendada e o que cada indicador revela quando está fora do esperado:
| Dimensão | Indicador | Frequência | Alerta quando... |
|---|---|---|---|
| LGPD / Dados | % de fornecedores com acesso a dados com cláusula de proteção no contrato | Trimestral | Abaixo de 100% dos fornecedores ativos com acesso a dados |
| LGPD / Dados | Solicitações de titulares recebidas vs. respondidas no prazo | Mensal | Qualquer solicitação sem resposta documentada dentro do prazo |
| LGPD / Dados | Data da última atualização do inventário de dados | Semestral | Inventário não atualizado após novo sistema ou fornecedor |
| LGPD / Dados | Número de incidentes de dados no período | Mensal | Qualquer incidente não registrado ou não comunicado ao DPO |
| Fiscal | Certidões negativas federais, estaduais e municipais — validade atual | Mensal | Qualquer certidão com vencimento em menos de 30 dias ou vencida |
| Fiscal | % de obrigações acessórias entregues no prazo | Mensal | Qualquer obrigação entregue com atraso no período |
| Trabalhista | eSocial — pendências abertas | Mensal | Qualquer pendência não resolvida no mês |
| Trabalhista | % de funcionários com ASO (Atestado de Saúde Ocupacional) válido | Trimestral | Abaixo de 100% da equipe com exame em dia |
| Contratos | % de contratos com fornecedores com vencimento mapeado | Trimestral | Qualquer contrato ativo sem data de vencimento registrada |
| Contratos | Contratos revisados antes do vencimento vs. renovados sem revisão | Trimestral | Qualquer renovação sem revisão de cláusulas de proteção de dados |
| Conformidade interna | % de colaboradores que completaram treinamentos obrigatórios de compliance | Semestral | Abaixo de 100% da equipe com treinamento concluído |
Indicadores de conformidade com dados pessoais
Os indicadores de proteção de dados exigem que o gestor tenha acesso a quatro informações básicas, que precisam estar registradas para ser mensuráveis:
- Lista de fornecedores ativos com acesso a dados pessoais: sem essa lista, não é possível calcular o percentual com cláusula de proteção. O inventário de fornecedores é o pré-requisito do indicador.
- Registro de solicitações de titulares: toda solicitação recebida (acesso, correção, exclusão, portabilidade) deve ser registrada com data de recebimento e data de resposta. Sem registro, o indicador de atendimento no prazo não existe.
- Data da última atualização do inventário de dados: o inventário de dados desatualizado é um dos erros mais frequentes na adequação — e o indicador de data de atualização é o que faz essa lacuna visível.
- Registro de incidentes: todo evento que possa comprometer dados pessoais (acesso indevido, perda de dispositivo, envio para destinatário errado) deve ser registrado, mesmo que seja avaliado como de baixo impacto. O número de incidentes no período e o status de cada um (comunicado ao DPO, comunicado à ANPD, encerrado) são os indicadores de resposta a incidentes.
Indicadores fiscais e trabalhistas: o que o contador já deveria entregar
Para as dimensões fiscal e trabalhista, a maioria dos indicadores vem do contador ou do escritório de contabilidade — mas é responsabilidade do gestor verificar que estão sendo reportados e que as informações estão corretas.
O gestor deve solicitar, em periodicidade regular, o relatório de posição de certidões negativas (com validade de cada uma), a confirmação de entrega de obrigações acessórias no prazo e o status do eSocial. Receber o relatório e não lê-lo tem o mesmo efeito que não tê-lo: o problema existe, mas o gestor não sabe.
O contador envia os relatórios; o gestor verifica mensalmente. Uma lista de verificação com os cinco indicadores mais críticos (certidões, eSocial, ASO, contratos vencidos, fornecedores com cláusula) é suficiente. Como orientação prática de mercado, uma verificação mensal de 30 minutos já representa uma melhora significativa em relação ao monitoramento reativo.
Os indicadores são organizados por dimensão em uma planilha ou painel compartilhado, revisada com cada responsável de área trimestralmente. O gestor consolida a visão e escalona ao DPO e ao jurídico os indicadores que estão fora do esperado. A revisão semestral avalia a maturidade geral do controle.
Os indicadores são alimentados automaticamente pelos sistemas (ERP, sistema de compliance, HCM) e consolidados no painel do compliance officer ou da controladoria. O gestor administrativo alimenta os dados da sua área e reporta nos ciclos formais do programa. A discussão é sobre tendências e desvios, não sobre coleta manual de dados.
O que fazer quando um indicador está vermelho
Um indicador vermelho é um sinal de ação — não de pânico. A resposta correta depende do tipo de indicador e da causa raiz do desvio:
- Escalar: o indicador revela um risco de conformidade que está fora da alçada do gestor (uma irregularidade fiscal descoberta, um incidente de dados, um contrato com exposição jurídica relevante). A ação é levar ao especialista (contador, DPO, advogado) com o diagnóstico já feito.
- Acionar o especialista: o indicador revela uma lacuna que o especialista externo precisa resolver — certidão negativa vencida vai ao contador; cláusula de proteção ausente vai ao advogado ou DPO; ASO vencido vai ao RH e ao médico do trabalho.
- Corrigir o processo interno: o indicador revela que um processo está falhando sistematicamente — contratos estão sendo renovados sem revisão porque não há gatilho no calendário; solicitações de titulares estão chegando sem registro porque não há canal definido. A ação é corrigir o processo, não só o resultado do indicador.
Indicadores são instrumentos de gestão — não de punição interna. O gestor que usa indicadores para identificar onde o processo falha tem mais autoridade para exigir correção do que o que busca culpados.
Sinais de que sua empresa precisa estruturar o monitoramento de conformidade
Se você se reconhece em três ou mais cenários abaixo, a conformidade da empresa provavelmente está sendo gerenciada de forma reativa — e indicadores poderiam mudar isso.
- A empresa descobre irregularidades (certidão vencida, obrigação em atraso, contrato expirado) de forma reativa, não por monitoramento.
- Não há painel ou lista de verificação que consolide o status de conformidade da empresa em um único lugar.
- O gestor não sabe quantos fornecedores têm cláusula de proteção de dados no contrato nem quantos estão sem.
- Solicitações de titulares são respondidas sem registro — não há como saber quantas chegaram nem se foram atendidas dentro do prazo.
- A empresa não monitora a data de vencimento de certidões — quando precisa apresentar uma para fechar um contrato, corre para tirar na última hora.
- Os treinamentos de compliance são realizados, mas ninguém verifica se toda a equipe os concluiu.
Caminhos para monitorar e reportar a conformidade
Há dois caminhos para estruturar o monitoramento de conformidade com indicadores, e a escolha depende do volume de obrigações, do nível de integração com sistemas e da capacidade interna.
O gestor monta o painel de indicadores em planilha, define a frequência de revisão e os responsáveis por cada dimensão, e conduz as revisões periódicas.
- Perfil necessário: gestor administrativo para montar e manter o painel; contador, DPO e RH para alimentar os dados de cada dimensão.
- Tempo estimado: de 2 a 4 semanas para montar o painel inicial; manutenção é contínua nos ciclos de revisão definidos.
- Faz sentido quando: o volume de indicadores é gerenciável em planilha, a empresa tem os especialistas externos que alimentam os dados e o gestor tem disciplina para conduzir as revisões regulares.
- Risco principal: a planilha fica desatualizada quando a rotina aperta — o monitoramento retorna ao reativo se não houver calendário fixo de revisão.
Uma consultoria estrutura o painel de indicadores, define os parâmetros de cada dimensão e, quando aplicável, integra os indicadores aos sistemas da empresa.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, Contabilidade com serviço de relatório de conformidade, DPO as a Service com relatório periódico.
- Vantagem: painel configurado com os indicadores certos para o porte e o setor; integração com ERP ou sistema de compliance quando disponível; relatório periódico entregue sem esforço do gestor.
- Faz sentido quando: a empresa precisa de relatório de conformidade para diretoria ou conselho, auditoria de conformidade ou integração de indicadores com sistemas.
- Resultado típico: painel de indicadores operacional em 4 a 6 semanas; relatório periódico de conformidade entregue nos ciclos definidos.
Precisa de apoio para monitorar e reportar a conformidade da sua empresa?
Se estruturar o monitoramento de conformidade com indicadores virou prioridade, o oHub conecta a sua empresa, de forma gratuita, a consultorias em compliance, escritórios de contabilidade e serviços de DPO. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais indicadores medir para saber se a empresa está em conformidade?
Os principais indicadores por dimensão: conformidade com dados pessoais (% de fornecedores com cláusula de proteção, solicitações de titulares respondidas no prazo, data de atualização do inventário); fiscal (certidões negativas válidas, obrigações acessórias entregues no prazo); trabalhista (eSocial sem pendências, % da equipe com ASO válido); contratos (% com vencimento mapeado, renovações com revisão de cláusulas); conformidade interna (% de treinamentos concluídos).
O que é KPI de compliance?
É uma métrica que mensura o desempenho de conformidade da empresa — o equivalente, na área de compliance, ao que um KPI financeiro faz para o resultado. Na prática do back-office, preferir a denominação "indicador de conformidade" em vez de KPI — o conceito é o mesmo, mas a linguagem de indicador é mais clara para quem não tem formação em gestão de performance.
Como monitorar a conformidade com a LGPD?
Com quatro indicadores básicos: percentual de fornecedores com acesso a dados que têm cláusula de proteção no contrato, número de solicitações de titulares recebidas vs. respondidas no prazo, data da última atualização do inventário de dados, e número de incidentes de dados registrados e comunicados ao DPO no período. Todos dependem de registros — sem registro, o indicador não existe.
Quais indicadores de conformidade fiscal o gestor deve acompanhar?
Os dois principais: validade das certidões negativas federais, estaduais e municipais (com alerta quando o vencimento está em menos de 30 dias), e percentual de obrigações acessórias entregues no prazo no período. O contador deve ser a fonte desses dados, entregando relatório de posição regularmente.
Com que frequência revisar os indicadores de conformidade?
A frequência varia por dimensão: mensal para fiscal, trabalhista e resposta a titulares; trimestral para contratos, saúde ocupacional e fornecedores com cláusula de proteção de dados; semestral para inventário de dados, política de privacidade e maturidade geral do controle. Como orientação prática de mercado, o mínimo para qualquer porte é uma revisão mensal dos indicadores mais críticos.
Fontes e referências
- Instituto Brasileiro de Governança Corporativa (IBGC). Código das Melhores Práticas de Governança Corporativa — Conformidade e Controles Internos. São Paulo: IBGC.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Monitoramento e Responsabilização. Brasília: ANPD. Disponível em: gov.br/anpd.