Blog

ISO 37301 — Como estruturar um sistema de gestão de compliance

Toda organização está sujeita a obrigações legais, regulatórias e contratuais. O problema não costuma ser desconhecimento — é falta de controle. São prazos que passam, regulamentações que mudam, departamentos que operam sem saber de uma exigência nova. A ISO 37301 propõe uma forma estruturada de lidar com isso.

O que é a ISO 37301

A ISO 37301 é a norma internacional que define os requisitos para um Sistema de Gestão de Compliance (SGC). Publicada em 2021, ela substitui a ISO 19600:2014 (que era apenas orientativa) e estabelece requisitos certificáveis.

Compliance, no contexto da norma, significa cumprir todas as obrigações que a organização precisa atender — não apenas leis, mas também regulamentações, normas setoriais, contratos, políticas internas e compromissos voluntários.

A norma não lista quais obrigações a organização deve cumprir — isso depende do setor, da localização e das atividades de cada uma. O que ela define é o sistema de gestão necessário para que a organização identifique, monitore e cumpra essas obrigações de forma consistente.

Por que implementar

  • Visibilidade das obrigações — muitas organizações não têm uma visão consolidada de todas as obrigações legais e regulatórias que precisam atender. O SGC resolve isso;
  • Prevenção de sanções — descumprir obrigações legais pode gerar multas, suspensão de atividades, perda de licenças e responsabilização de dirigentes;
  • Gestão de mudanças regulatórias — leis e regulamentações mudam. O SGC estabelece um processo para monitorar essas mudanças e adaptar a organização;
  • Cultura de conformidade — o sistema envolve toda a organização, criando consciência sobre a importância do cumprimento das obrigações;
  • Integração com outros sistemas — a ISO 37301 se integra com a ISO 9001, ISO 27001, ISO 37001 e outras normas ISO, aproveitando processos e estruturas comuns.

Estrutura da norma

A ISO 37301 segue a estrutura de alto nível (HLS) comum às normas ISO. Os requisitos principais:

Identificação de obrigações

A organização precisa identificar, documentar e manter atualizado o conjunto de obrigações que lhe são aplicáveis. Isso inclui:

  • Legislação federal, estadual e municipal;
  • Regulamentações setoriais;
  • Normas técnicas obrigatórias;
  • Cláusulas contratuais;
  • Decisões judiciais e administrativas;
  • Políticas internas e códigos de conduta.

Para cada obrigação, a organização deve identificar os requisitos específicos, os responsáveis pelo cumprimento e os prazos aplicáveis.

Avaliação de riscos de compliance

Nem todas as obrigações têm o mesmo nível de risco. A organização deve avaliar a probabilidade e o impacto do descumprimento de cada obrigação, considerando fatores como:

  • Gravidade das sanções;
  • Probabilidade de fiscalização;
  • Complexidade do requisito;
  • Histórico de não conformidades.

Essa avaliação orienta a priorização dos controles.

Função de compliance

A norma exige a designação de uma função de compliance com autonomia, acesso direto à alta direção e recursos adequados. Essa função é responsável por operar o SGC no dia a dia, monitorar o cumprimento das obrigações e reportar à liderança.

Controles operacionais

  • Procedimentos para garantir o cumprimento de cada obrigação;
  • Monitoramento de prazos e vencimentos;
  • Processos para acompanhar mudanças na legislação e regulamentação;
  • Gestão de não conformidades e ações corretivas;
  • Canal de comunicação para que colaboradores possam reportar preocupações de compliance.

Treinamento

Os colaboradores devem conhecer as obrigações relevantes para suas funções e os procedimentos para cumprí-las. O treinamento deve ser contínuo e atualizado quando as obrigações mudam.

Como implementar

  1. Levante todas as obrigações — faça um inventário completo das obrigações legais, regulatórias e contratuais. Organize por área, responsável e prazo;

  2. Avalie os riscos — priorize com base na gravidade do descumprimento e na probabilidade de ocorrência;

  3. Designe a função de compliance — pode ser uma pessoa, um comitê ou um departamento, dependendo do porte da organização;

  4. Defina controles — para cada obrigação de alto risco, estabeleça procedimentos específicos de cumprimento e monitoramento;

  5. Crie um sistema de monitoramento — acompanhe prazos, vencimentos e mudanças regulatórias. Automatize onde possível;

  6. Treine a equipe — cada área precisa conhecer as obrigações que lhe são aplicáveis;

  7. Implemente o canal de comunicação — um meio para que colaboradores reportem preocupações ou dúvidas sobre compliance;

  8. Audite e melhore — auditoria interna periódica do SGC, análise crítica pela direção e tratamento de não conformidades.

Compliance em cartórios

Para serviços notariais e de registro, o compliance tem uma dimensão adicional: os requisitos dos Tribunais de Justiça, do CNJ e das Corregedorias. O acompanhamento de provimentos, portarias e resoluções é parte do dia a dia. O Provimento 213/2026 do CNJ, por exemplo, traz requisitos técnicos de segurança da informação com prazos definidos por classe de serventia.

Ter um SGC estruturado ajuda a não perder prazos e a demonstrar conformidade em correições.

Próximos passos

O compliance se conecta diretamente com a gestão antissuborno (ISO 37001) e com a gestão da qualidade (ISO 9001). No SIG Virtual, o SGC permite acompanhar obrigações legais, regulatórias e contratuais integrado aos demais sistemas de gestão — tudo no mesmo ambiente.

Faça o teste gratuito e organize o compliance da sua organização. Confira nossos planos e preços ou entre em contato.

Quer ver o SIG Virtual funcionando?

Teste grátis e veja se faz sentido pra sua empresa.

Testar Grátis