Skip to content
Caso de estudoPreçosSegurançaComparativoBlog
GlossárioGuias por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Conformidade11 min de leitura

Como construir um programa de conformidade documental

Guia metodológico para construir um programa de conformidade documental: modelo de maturidade em 5 níveis, Lei 9.613/1998, Bacen, LGPD e automatização.

Equipe CheckFile
Equipe CheckFile·
Illustration for Como construir um programa de conformidade documental — Conformidade

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Um programa de conformidade documental não se constrói da noite para o dia. Exige uma abordagem metódica, partindo de um diagnóstico do estado atual, definindo políticas claras e implementando controles proporcionais aos riscos reais da organização. No Brasil, as obrigações decorrentes da Lei 9.613/1998 (prevenção à lavagem de dinheiro e ao financiamento do terrorismo), da LGPD (Lei 13.709/2018) e da regulamentação setorial impõem às entidades obrigadas a coleta, verificação e conservação de documentos conforme regras rigorosas. O Banco Central do Brasil (Bacen) aplicou diversas penalidades em 2024 por deficiências nos sistemas de controle documental de instituições financeiras, com valores que ultrapassaram R$ 15 milhões em um único caso (Bacen, Relatório de Supervisão).

Este guia propõe uma abordagem em cinco etapas para construir um programa de conformidade documental robusto, com um modelo de maturidade que permite avaliar a progressão e identificar prioridades de ação.

Este artigo tem caráter informativo e não constitui assessoria jurídica, financeira ou regulatória.

Por que estruturar um programa de conformidade documental

A verificação documental não é um ato isolado. É um processo contínuo que abrange toda a cadeia de valor: integração de clientes, KYC, due diligence de fornecedores, gestão de recursos humanos, contratação. Sem um programa formalizado, as empresas se expõem a três riscos principais.

O primeiro é o risco regulatório. A Lei 9.613/1998, artigo 9º, enumera as entidades obrigadas às medidas de devida diligência. O Bacen, a CVM e a SUSEP fiscalizam a qualidade dos dispositivos de verificação. As sanções administrativas podem atingir R$ 20 milhões ou o dobro do valor da operação, conforme o regulador setorial.

O segundo é o risco operacional. Processos manuais, não documentados e não padronizados geram inconsistências. Um dossiê rejeitado por documentação incompleta prolonga os prazos de tratamento em 5 a 15 dias úteis em média.

O terceiro é o risco reputacional. Uma empresa incapaz de demonstrar a rastreabilidade dos seus controles documentais perde a confiança dos parceiros bancários, reguladores e clientes. Para uma análise detalhada do arcabouço regulatório, consulte nosso guia de conformidade documental.

O modelo de maturidade em 5 níveis

Antes de definir um plano de ação, é preciso avaliar o nível de maturidade atual do dispositivo. A tabela a seguir apresenta cinco níveis, desde o tratamento ad hoc até a otimização contínua, com as características observáveis e as ações prioritárias em cada estágio.

Nível Designação Características Ações prioritárias
1 Ad hoc Sem procedimentos escritos. A verificação depende da iniciativa individual. Sem rastreabilidade de controles. Os documentos são armazenados localmente sem política de conservação. Nomear um responsável pelo compliance. Mapear os documentos coletados e as obrigações regulatórias associadas. Redigir uma política documental mínima.
2 Reativo Existem procedimentos, mas não são aplicados uniformemente. Os controles são desencadeados por incidentes ou fiscalizações. A conservação é gerenciada manualmente. Padronizar checklists por tipo de dossiê. Criar um registro centralizado de verificações. Treinar as equipes nos procedimentos escritos.
3 Definido Os processos estão documentados, comunicados e são aplicados de forma coerente. Existem indicadores de acompanhamento (taxa de completude, prazos de tratamento). As não conformidades são registradas. Automatizar os controles de coerência entre documentos. Integrar a verificação documental nos fluxos de trabalho. Realizar revisões periódicas do dispositivo.
4 Gerenciado Os indicadores são monitorados em tempo real. As anomalias geram alertas automáticos. O dispositivo é auditado periodicamente por terceiro independente. O arquivo cumpre os prazos legais. Implementar uma solução de verificação documental automatizada com pontuação de risco. Integrar os controles no ERP ou CRM. Automatizar as exclusões documentais conforme os prazos da ANPD.
5 Otimizado O programa está em melhoria contínua. As lições aprendidas alimentam as atualizações. A empresa antecipa as mudanças regulatórias. Os controles são calibrados conforme o risco real de cada dossiê. Criar um comitê de vigilância regulatória. Utilizar dados analíticos para ajustar os limiares de risco. Compartilhar boas práticas com o setor.

Este modelo não é linear. Uma empresa pode estar no nível 3 para o KYC de clientes mas no nível 1 para a verificação de fornecedores. A avaliação deve ser conduzida por domínio (integração de clientes, RH, compras, contratação) para identificar as lacunas mais críticas.

Etapa 1: mapear as obrigações e os documentos

O primeiro passo consiste em elaborar um inventário exaustivo dos documentos coletados, tratados e conservados pela empresa, e vinculá-los às obrigações regulatórias correspondentes.

Identificar os textos aplicáveis

No Brasil, as principais fontes de obrigações documentais são:

  • Lei 9.613/1998 e regulamentação do Bacen: obrigações de devida diligência, identificação do cliente e do beneficiário final, conservação de documentos por 5 a 10 anos após o término do relacionamento de negócio
  • LGPD (Lei 13.709/2018): minimização de dados, prazos de conservação proporcionados, direitos de acesso e eliminação
  • CLT e legislação trabalhista: obrigações documentais relativas a contratação, folha de pagamento, FGTS e eSocial
  • Código Tributário Nacional: conservação de documentação fiscal por no mínimo 5 anos

Para um enquadramento detalhado das obrigações de PLD/FT, consulte nosso guia PLD. Os aspectos da LGPD aplicáveis à gestão documental são tratados no nosso guia LGPD.

Elaborar a cartografia documental

Para cada processo de negócio, enumere os documentos coletados, sua base legal, o prazo de conservação e o responsável pelo controle. Essa cartografia constitui a base do programa e deve ser formalizada em um registro consultável por todas as partes interessadas. Documentos típicos incluem CPF, RG, CNH, comprovante de endereço, CNPJ, contrato social e certidões negativas — cada um com prazos e obrigações específicos.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Pedir um piloto gratuito

Etapa 2: definir as políticas e os procedimentos

Uma vez estabelecida a cartografia, é necessário traduzir as obrigações em regras operacionais claras.

A política documental

A política documental é o documento de referência que fixa os princípios gerais: quais documentos são aceitos, quais formatos são admissíveis (originais, cópias autenticadas, documentos digitais com certificado ICP-Brasil), quais são os prazos de conservação e as condições de destruição. Deve ser aprovada pela diretoria e difundida entre todos os colaboradores envolvidos.

Os procedimentos operacionais

Cada processo (integração de clientes, contratação trabalhista, due diligence de fornecedores) deve dispor de um procedimento detalhado que especifique as etapas de coleta, os pontos de controle, os critérios de aceitação ou rejeição e os circuitos de escalamento em caso de anomalia. Um dossiê KYC, por exemplo, requer verificações específicas detalhadas no nosso guia KYC.

As matrizes de responsabilidade

Quem coleta, quem verifica, quem valida, quem arquiva. A matriz RACI (Responsible, Accountable, Consulted, Informed) aplicada a cada processo documental elimina as zonas cinzentas e as sobreposições de controle.

Etapa 3: implementar os controles e as ferramentas

Os controles documentais se articulam em três níveis, em linha com as melhores práticas do setor financeiro supervisionado pelo Bacen.

Controle de primeiro nível

É o controle operacional realizado pelo profissional que trata o dossiê: verificação da completude, controle visual do documento de identidade (CPF, RG, CNH), verificação da coerência da informação entre documentos. Esse nível pode ser amplamente automatizado através de ferramentas de validação documental que detectam inconsistências, documentos vencidos e falsificações.

Controle de segundo nível

É realizado pela função de compliance ou por um supervisor. Incide sobre uma amostra de dossiês tratados e verifica se os procedimentos são corretamente aplicados. As anomalias detectadas alimentam um plano de ação corretivo.

Controle de terceiro nível

A auditoria interna ou uma firma externa avalia periodicamente a eficácia global do dispositivo. As conclusões são reportadas ao comitê de auditoria ou à diretoria. O framework COSO fornece uma referência para estruturar esses três níveis de controle.

Etapa 4: treinar e sensibilizar as equipes

Um programa de conformidade documental só funciona se as pessoas que o aplicam entenderem o porquê e o como. O treinamento deve cobrir três dimensões.

A dimensão regulatória explica as obrigações legais, os riscos em caso de descumprimento e as sanções aplicáveis. As equipes devem compreender por que se coleta determinado documento e não outro.

A dimensão procedimental detalha os procedimentos práticos: como verificar a autenticidade de um documento de identidade, como detectar uma inconsistência entre um holerite e uma declaração do IR, quando escalar um dossiê suspeito.

A dimensão instrumental treina os colaboradores na utilização das soluções de verificação documental, dos fluxos de validação e dos painéis de controle de acompanhamento.

O treinamento não deve ser um evento pontual. O GAFI recomenda frequência mínima anual, com atualizações específicas diante de alterações regulatórias ou procedimentais. No Brasil, a Circular Bacen 3.978/2020 exige explicitamente que as instituições financeiras mantenham programas de treinamento para seus colaboradores sobre PLD/FT.

Etapa 5: pilotar, medir e melhorar

Os indicadores-chave de desempenho

Um programa de conformidade documental deve ser pilotado por indicadores objetivos e mensuráveis:

  • Taxa de completude dos dossiês na primeira submissão (objetivo: superior a 85%)
  • Prazo médio de tratamento de um dossiê completo (objetivo: inferior a 48 horas)
  • Taxa de detecção de anomalias pelos controles de primeiro nível
  • Número de não conformidades detectadas pelos controles de segundo e terceiro nível
  • Taxa de treinamento do pessoal (objetivo: 100% do pessoal relevante treinado anualmente)

A revisão periódica do dispositivo

O programa deve ser objeto de uma revisão pelo menos anual, cobrindo a adequação dos procedimentos às obrigações em vigor, a análise de incidentes e não conformidades, a pertinência dos indicadores e as evoluções regulatórias a integrar. No Brasil, o ciclo de revisão deve considerar as frequentes atualizações normativas do Bacen, da CVM e da ANPD. Essa revisão produz um plano de ação que alimenta o ciclo de melhoria.

A automatização como alavanca de maturidade

A passagem do nível 3 ao nível 4 do modelo de maturidade assenta em grande medida na automatização dos controles. As soluções de verificação documental baseadas em inteligência artificial permitem tratar volumes elevados com uma consistência que o controle manual não consegue garantir. CheckFile.ai disponibiliza ferramentas de validação adaptadas às exigências das empresas reguladas no Brasil. Para uma análise do retorno sobre o investimento, consulte nossa página de preços.

Para uma visão completa, consulte nosso guia completo de conformidade documental.

Perguntas frequentes

Quanto tempo é necessário para implementar um programa de conformidade documental?

A duração depende do nível de maturidade inicial e da complexidade da organização. Para uma empresa que parte do nível 1 (ad hoc), deve-se contar com 6 a 12 meses para atingir o nível 3 (definido), com um responsável de projeto dedicado e uma abordagem por domínios prioritários. Atingir o nível 4 (gerenciado) exige normalmente 12 a 18 meses adicionais, incluindo a implementação de ferramentas automatizadas.

Quais são as sanções por ausência de programa de conformidade documental no Brasil?

Em matéria de prevenção à lavagem de dinheiro, a Lei 9.613/1998 prevê multas de até R$ 20 milhões ou o dobro do valor da operação para pessoas jurídicas (artigo 12). O Bacen pode ainda aplicar sanções acessórias como a inabilitação para exercício de cargos em instituições financeiras. A ANPD pode sancionar descumprimentos da LGPD com multas de até 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração.

É necessário nomear um responsável dedicado à conformidade documental?

Para as instituições financeiras supervisionadas pelo Bacen, a designação de um diretor responsável pelo cumprimento das obrigações de PLD/FT é obrigatória (Circular Bacen 3.978/2020, artigo 7º). Para além dessa exigência legal, nomear um responsável pelo programa de conformidade documental, vinculado à diretoria de compliance ou jurídica, é uma boa prática indispensável para garantir a coerência e a governança do dispositivo.

Pode-se terceirizar total ou parcialmente o programa de conformidade documental?

A terceirização de certas tarefas operacionais (digitalização, controle de primeiro nível) é possível, mas a empresa mantém a responsabilidade regulatória integral. O Bacen deixa claro que a terceirização não exime a entidade obrigada de suas obrigações de devida diligência. O contrato com o prestador deve especificar os níveis de serviço, as modalidades de controle e as condições de auditoria.

Como articular conformidade documental e proteção de dados pessoais?

O programa de conformidade documental deve integrar as exigências da LGPD desde a sua concepção (privacy by design). Isso implica coletar apenas os documentos estritamente necessários (minimização), definir prazos de conservação proporcionados, assegurar os controles de acesso e as transferências, e prever os procedimentos de resposta aos pedidos de exercício de direitos dos titulares. Nosso guia LGPD detalha esses requisitos.

Este artigo tem caráter informativo e não constitui assessoria jurídica, financeira ou regulatória. Consulte um advogado especializado para adaptar essas recomendações à sua situação concreta. Informações válidas na data de publicação.

Nossa plataforma processa mais de 180.000 documentos por mês com uma precisão de OCR de 98,7% e uma disponibilidade de 99,97%.

Mantenha-se informado

Receba as nossas análises de conformidade e guias práticos diretamente no seu email.

Pronto para automatizar as suas verificações?

Piloto gratuito com os seus próprios documentos. Resultados em 48h.

Artigos relacionados

Conformidade12 min

Tipologias de Lavagem de Dinheiro no Brasil: Esquemas e Sinais de Alerta Documentais

Guia completo sobre as principais tipologias de lavagem de dinheiro no Brasil, obrigações da Lei 9.613/1998 e Circular Bacen 3.978/2020, STRs ao COAF e sinais de alerta documentais.

Ler
Conformidade11 min

AML Red Flags: indicadores de atividade suspeita para equipes de compliance no Brasil

Guia completo de AML red flags no Brasil: indicadores transacionais, de cliente, geográficos e setoriais. Quadro Bacen, COAF, Lei 9.613/1998 e Circular 3.978/2020 para equipes de conformidade.

Ler
Conformidade9 min

SOC 2 Compliance para SaaS no Brasil: Segurança Documental, Controles e Auditoria

Guia completo de SOC 2 compliance para empresas SaaS brasileiras: AICPA, Bacen, COAF, LGPD, CVM e preparação para auditoria Tipo II. Segurança documental alinhada ao marco regulatório brasileiro.

Ler