Como este tema funciona na sua empresa
Em pequenas empresas, compliance é intuição. "A gente não discrimina, a gente é honesto, tudo bem aqui." Quando aparece problema (assédio, acusação injusta, erro de folha), não há processo para lidar — improvisa-se. O desafio é começar documentar princípios básicos (igualdade, confidencialidade, processo de denúncia) antes de crescer, antes de problema explodir.
Em empresas médias, compliance começa emergir como programa. Há código de conduta documentado, há política de não-discriminação e assédio, há processo básico para investigação de denúncia. Ainda é informal, mas existem políticas. O desafio é estruturar: ter processo claro, ter investigação imparcial, ter comunicação contínua de políticas.
Em grandes organizações, compliance é esperado. Há comitê de compliance, há investigações conduzidas por terceiros independentes, há trilha de auditoria, há reporte regular. Pode haver officer dedicado. Compliance é crítico para reputação e risco. A empresa que tem denúncia de assédio ou discriminação publicamente exposta sofre dano reputacional enorme.
Compliance interno de RH é conjunto de políticas, processos e práticas que garantem que empresa opera com integridade, respeitando direitos legais, cumprindo regras, e vivendo valores declarados. Compliance não é apenas conformidade legal ("cumprir lei") — é conformidade cultural ("ser coerente com valores"). Uma empresa que segue lei mas internamente discrimina sistematicamente é não-conforme. Para RH, compliance não é "cumprir regulação", é ser "garantidor de que empresa faz o certo — legal e eticamente". Segundo pesquisa de McKinsey, empresas com programa de compliance robusto reduzem risco legal em 40% e impacto de denúncias em 60%[1].
Pilares de compliance em RH
Compliance interno em RH tem sete pilares que trabalham juntos:
Pilar 1: Código de Conduta. Documento que declara valores da empresa e comportamentos esperados. Não é regra punitiva — é orientação de "como nos comportamos aqui". Exemplo: "Respeitamos diversidade de pensamento. Discordância é bem-vinda. Descumprimento não é." Código é comunicado durante onboarding, reforçado em treinamento anual.
Pilar 2: Políticas de não-discriminação e igualdade. Políticas que declaram: não discriminamos por raça, gênero, orientação sexual, religião, deficiência, idade, estado civil, origem. Política não é suficiente — precisa de ação: recrutamento inclusivo, promoção baseada em mérito, plano de desenvolvimento sem viés. Política sem ação é "compliance theater".
Pilar 3: Política de assédio moral e sexual. Definição clara de que é assédio (comportamento repetido que prejudica ambiente), diferença de brincadeira versus assédio (intenção, frequência, impacto), processo de denúncia, investigação e ação. Política deve proteger denunciante de retaliação.
Pilar 4: Confidencialidade de dados. LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil exige que dados de colaborador sejam protegidos: quem acessa salário de pessoa? Quem vê avaliação? Quem tem acesso a informação médica? RH é guardião de dados sensíveis e precisa ter processo claro de quem acessa o quê.
Pilar 5: Conflito de interesse. Política que diz: colaborador não pode participar de decisão que afeta seu interesse (recrutamento de amigo, promoção de cônjuge, contratação de fornecedor do qual sócio é sócio). Conflito de interesse danifica integridade. Processo é ter alguém que revisa e "sinaliza" conflito potencial.
Pilar 6: Processo de denúncia e investigação. Quando alguém denuncia assédio, discriminação ou fraude, como a empresa reage? Há confidencialidade protegida? Há investigação imparcial? Há proteção de denunciante contra retaliação? Processo claro reduz risco e protege ambos — denunciante e acusado.
Pilar 7: Comunicação e treinamento contínuo. Compliance não é uma vez por ano. É contínuo. Treinamento no onboarding, reforço anual, reforço quando há denúncia. Comunicação clara de que "aqui, integridade importa". Quando CEO vive compliance (não trata diferente amigos, segue regra como todos), equipe acredita que é verdade.
Em pequena, compliance é começar com base mínima: código de conduta simples (uma página), política de assédio (porque problema pequeno pode virar grande), processo de denúncia (para quem vai denúncia? Como fica confidencial?). Não precisa ser sofisticado — precisa existir. Quando ultrapassa 50 pessoas, risco de problema aumenta exponencialmente.
Em empresa média, compliance emerge como programa estruturado. Políticas são documentadas (código de conduta, assédio, discriminação, confidencialidade). Processo de denúncia é claro (pode ser email, pode ser hotline, pode ser conversa com RH). Investigação tem passos definidos (quem investiga, como, quanto tempo, sigilo). Treinamento é anual. Falta: terceiro independente para investigação complexa.
Em grande empresa, compliance é robusto. Há comitê (representantes de RH, Legal, Auditoria, Liderança). Há denúncia formalizada (hotline terceirizada que recebe denúncia anonimamente). Há investigação por terceiro independente em caso complexo (imparcialidade é crítica). Há trilha de auditoria. Há reporte trimestral de denúncias, investigações, ações tomadas. CEO e board recebem relatório de compliance.
Diferença entre compliance legal e compliance cultural
Compliance legal é "cumprir regra de governo". Brasil exigeix CLT (Consolidação das Leis do Trabalho) — respeitar férias, 13º salário, fundo de garantia, segurança. Exige LGPD — proteger dados. Se empresa não cumpre, leva multa, leva processo.
Compliance cultural é "viver valor que declaramos". Se empresa declara "respeitamos diversidade", compliance cultural é perguntar: estamos recrutando diverso? Promovemos diverso? Ou estamos apenas cumprindo lei (contratamos deficiente porque lei exige cota)? Diferença é enorme.
Exemplo real: empresa que cumpre lei (não demite sem justa causa) mas internamente discrimina mulher (ela não é promovida porque "vai ficar grávida", ela ganha menos porque "é mais fácil") é legalmente conforme mas culturalmente não-conforme. Compliance verdadeiro é ambos.
Impacto é reputação. Empresa que tem processo trabalhista é ruim. Empresa que é acusada publicamente de discriminação ou assédio sofre dano reputacional gigante — candidatos não querem trabalhar lá, clientes questionar parceria, fornecedores recusam contrato. Compliance cultural protege reputação.
Processo de denúncia e investigação
Quando alguém denuncia assédio, discriminação ou fraude, que acontece? Processo claro protege empresa, protege denunciante e protege acusado.
Passo 1: Recebimento de denúncia. Pessoa denuncia. Pode ser formal (email para RH) ou informal (conversa). RH precisa estar preparada para receber em qualquer formato. Quando recebe, primeiro passo é: confirmar que denúncia foi recebida, comunicar que será investigada confidencialmente, comunicar que há proteção contra retaliação.
Passo 2: Decisão sobre investigação. Nem toda denúncia vira investigação formal. Denúncia muito vaga ("o chefe não gosta de mim") talvez não justifique. Denúncia clara ("meu chefe tocou minha coxa na reunião") justifica. Decisão deve ser documentada: "Denúncia foi recebida, foi avaliada, decisão é investigar / não investigar porque X razão."
Passo 3: Investigação. Processo tem passos: (a) Revisar fatos: o que exatamente foi denunciado? Quando? Onde? Quem viu? (b) Coletar evidência: conversar com denunciante, com acusado, com testemunhas. (c) Avaliar: baseado em evidência, o que aconteceu? Houve sim? Não houve? Houve parcialmente? (d) Documentar: investigador escreve relatório com fatos, evidência, conclusão.
Passo 4: Ação disciplinar. Se investigação confirma infração, que faz empresa? Opções: advertência escrita, suspensão, demissão. Decisão deve ser proporcional (assédio de contato físico não é mesma coisa que história de "esse chefe é chato"). Importante: documentar tudo (denúncia, investigação, decisão).
Passo 5: Reporte e aprendizado. RH reporta ao CEO e liderança: "Tivemos X denúncias, Y foram investigadas, Z resultaram em ação disciplinar." Pergunta reflexiva: há padrão? "Sempre mesma equipe?" "Sempre mesmo tipo de violação?" Se sim, problema é sistêmico — treinar, remover líder, mudar processo.
Importante em todo processo: sigilo. Quem sabe de investigação? Apenas investigador, denunciante, acusado, CEO/responsável por decisão. Não é anunciado em reunião de todos. Sigilo protege denunciante de retaliação e acusado de assédio social ("todo mundo sabe que você foi acusado").
Processo é simples: denúncia vai para dono/CEO, CEO conversa com ambos (denunciante, acusado), toma decisão. Não precisa investigador externo para denúncia simples. Importante: documentar (email de denúncia, registro de conversa, decisão). Sigilo é proteger: não conta para resto da empresa.
Processo é estruturado. Há policy de como denúncia é feita (email para RH, conversa com gerente que repassa para RH). Há investigação clara: RH conversa com ambos, coleta fatos, toma decisão. Para denúncia complexa (palavra de um contra outro), considerar mediador externo. Documentação é completa.
Processo é formal. Há hotline para denúncia anônima (terceirizado). Há investigador externo independente para investigação (imparcialidade é crítica). Há comitê que revisa investigação e recomenda ação. Há trilha de auditoria completa. Há proteção contra retaliação (alguém monitora se denunciante está sendo prejudicado).
Tone at the top: liderança vivendo compliance
Programa de compliance é inútil se CEO não acredita. Se CEO trata amigos diferente (amigo chega atrasado, nada, outro chega atrasado, é criticado), equipe não acredita em igualdade. Se CEO ignora denúncia de amigo (amigo é acusado de assédio e CEO o protege), equipe vê que compliance é teatro.
Tone at the top é decisivo. Significa: CEO segue mesma regra que todos (chega na hora, cumpre processo, é responsabilizado). CEO pergunta sobre denúncias ("Temos quantas investigações abertas?"). CEO apoia investigação imparcial mesmo que resultado prejudique seu amigo. CEO comunica publicamente valor de integridade e toma ação visível quando há violação.
Exemplo: CEO de empresa grande descobriu que VP (seu amigo de muitos anos) foi acusado de assédio. Investigação confirmou. CEO disse: "Integridade é mais importante que amizade. Ele vai ser demitido." Mensagem que reverberou: "Aqui, ninguém está acima de regra." Compliance virou real.
Atualização contínua de programa de compliance
Programa não é implementado uma vez e esquecido. É revisado:
Anualmente: Revisar denúncias de períodos anteriores. Há padrão? Há departamento com muita denúncia? Há tipo de violação que aparece frequentemente? Aprendizado é ajustar: retraining de equipe, mudança de líder, reforma de processo.
Quando há mudança legal: Nova lei de igualdade? Nova regra de LGPD? Programa precisa ser atualizado. Comitê de compliance revisa, marca treinamento, comunica mudança.
Quando há denúncia complexa: Se denúncia abriu questão que programa não cobria, programa é ajustado. Exemplo: denúncia de assédio via Whatsapp (comunicação que não era coberta explicitamente). Programa é ajustado para deixar claro que assédio em qualquer canal é assédio.
LGPD (Lei Geral de Proteção de Dados) aplicado a RH
Lei exige que dados pessoais (nome, email, CPF) e dados sensíveis (raça, religião, saúde) sejam protegidos. Empresa precisa saber:
Que dados coleta? RH coleta muitos: CPF, endereço, telefone, histórico de saúde (atestado), informação financeira (conta para depósito), dados de emergência. Processo é documentar que dados coleta, por que, e por quanto tempo mantém.
Quem acessa? Nem todo mundo da empresa precisa saber que alguém tem depressão (dado sensível de saúde). Acesso é restrito: beneficiário da saúde, ninguém mais. Criador de folha precisa saber CPF, mas não precisa saber saúde. Processo é controlar acesso.
Direito do colaborador: LGPD dá direito: colaborador pode pedir "que dados vocês têm de mim", "apague dados meu que não precisa mais", "quem acessou meus dados". RH precisa estar pronta para responder.
Vazamento de dados: Se RH sofrer vazamento (laptop perdido com dados de colaboradores, email hackeado), precisa notificar colaboradores em prazo, oferecer crédito de monitoramento de fraude, reportar para autoridade. Processo é ter plano: como vamos responder se vazamento acontecer?
Sinais de que programa de compliance é fraco
Se você se reconhece em três ou mais cenários abaixo, é provável que programa de compliance precise reforço.
- Não há código de conduta documentado ou ele é ignorado por liderança.
- Quando há denúncia (assédio, discriminação), não há processo claro — improvisa-se.
- CEO ou líderes tratam alguns colaboradores diferente de outros (amigos, parentes) sem justiça.
- Não há treinamento de compliance — colaboradores não sabem política ou processo de denúncia.
- Há denúncia, mas investigação é feita por pessoa que tem relação com acusado — imparcialidade questionada.
- Denunciante sofre retaliação (piora no tratamento, isolamento) e empresa não reage.
- Não há rastreamento de dados (quem acessou salário de pessoa, quem viu avaliação) — LGPD não está sendo cumprida.
- Há denúncia de assédio repetido do mesmo perpetrador — significa que primeira ação disciplinar não foi suficiente.
Caminhos para implementar ou reforçar programa de compliance
Implementação de compliance pode ser feita internamente ou com apoio especializado. Melhor abordagem depende de complexidade da empresa e recursos disponíveis.
RH desenha políticas, define processo, treina equipe. Abordagem mais econômica, mas requer expertise em compliance.
- Perfil necessário: Alguém em RH com conhecimento de legislação trabalhista, LGPD, experiência em investigação imparcial
- Tempo estimado: 3-4 meses para programa básico, 6 meses para programa robusto
- Faz sentido quando: RH tem pessoa com expertise, empresa é pequena-média, há tempo disponível
- Risco principal: Programa fraco porque falta expertise legal, processo inefetivo porque falta experiência em investigação
Consultoria de compliance ou jurídica desenha programa, treina equipe, acompanha implementação.
- Tipo de fornecedor: Consultoria de compliance, consultoria jurídica laboral, agência de investigação corporativa
- Vantagem: Expertise em legislação, programa baseado em best practices, investigação imparcial, proteção legal melhor
- Faz sentido quando: Empresa é grande, há risco alto, há denúncia recente que precisa ser bem investigada
- Resultado típico: Políticas desenhadas em 6-8 semanas, implementação em 2-3 meses, treinamento completo em 1 mês
Quer implementar ou reforçar programa de compliance de RH?
Se estruturar compliance robusto é prioridade, o oHub conecta você gratuitamente a especialistas em compliance corporativo, investigação de denúncias e conformidade legal em RH. Em menos de 3 minutos, sem compromisso.
Encontrar fornecedores de RH no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é diferença entre compliance legal e compliance cultural?
Compliance legal é cumprir regra de governo (CLT, LGPD). Compliance cultural é viver valor declarado (igualdade, integridade). Empresa que cumpre lei mas internamente discrimina é legalmente conforme mas culturalmente não-conforme. Compliance verdadeiro é ambos.
Como estruturar processo de denúncia e investigação?
Passos: (1) Receber denúncia com confidencialidade, (2) Decidir se investiga, (3) Investigar imparcialmente, (4) Tomar ação disciplinar se confirmado, (5) Reportar e aprender. Importante: sigilo, imparcialidade, documentação, proteção contra retaliação.
O que é "tone at the top" em compliance?
É CEO vivendo compliance: segue mesma regra que todos, apoia investigação imparcial mesmo se prejudica seu amigo, comunica valor de integridade. Sem tone at the top, programa é theater. Com tone at the top, compliance vira real.
Como LGPD se aplica a RH?
RH protege dados pessoais (CPF, endereço) e sensíveis (saúde, religião). Controla quem acessa (nem todo mundo precisa saber saúde de pessoa). Respeita direito do colaborador (acesso a dados, apagamento, notificação se vazamento). Tem plano de resposta a vazamento.
Como responder a denúncia de assédio?
Receba com seriedade, investigue imparcialmente, documente tudo, proteja denunciante de retaliação, tome ação disciplinar se confirmado (proporcional à infração). Erro comum: ignorar denúncia, investigação parcial (confia no acusado porque é amigo), falta de proteção contra retaliação.
Com que frequência atualizar programa de compliance?
Anualmente: revisar denúncias, há padrão? Há mudança legal? Programa é atualizado. Quando há denúncia complexa: programa é ajustado para cobrir lacuna. Não é implementar uma vez — é processo contínuo de melhoria.
Referências e fontes
- McKinsey. The Five Focuses of Highly Effective Compliance Programs. mckinsey.com
- Brasil. Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD). planalto.gov.br
- Brasil. Lei nº 12.846/2013 — Lei Anticorrupção. planalto.gov.br
- SHRM. Harassment and Discrimination in the Workplace: A Guide for Investigators. shrm.org
- EEOC (Equal Employment Opportunity Commission). Investigation Procedures and Guidelines. eeoc.gov