Tag: ISO 37002:2021 canal de denúncias

Homem tocando um ícone digital de ISO em um painel tecnológico, representando Boas práticas ISO 37002:2021 em canal de denúncias.

Guia ISO 37002:2021: Boas Práticas em Canal de Denúncias

Publicado em | por BCompliance&Law

ISO 37002:2021 e Canal de Denúncias: Estratégias e Boas Práticas para Implementar um Sistema de Gestão Transparente e Seguro

(Whistleblowing Management Systems – WMS)

A norma ISO 37002:2021 (Whistleblowing management systems — Guidelines) proporciona às organizações, de todos os portes e setores, público, privado e terceiro setor, um arcabouço de boas práticas para criar, implementar, manter e aprimorar um sistema de denúncias (ou gestão de denúncias) eficaz, com base nos princípios de confiança, imparcialidade e proteção. 

Neste post iremos explorar as boas práticas associadas à ISO 37002:2021, buscando entender seus fundamentos, principais requisitos, desafios de implementação e aspectos críticos de boas práticas que fortalecem o sistema de gestão de denúncias nas organizações modernas.

1. Fundamentação e escopo da ISO 37002

A ISO 37002:2021 foi publicada em julho de 2021 pelo comitê técnico ISO/TC 309 “Governance of organizations”. O escopo da norma inclui diretrizes para o estabelecimento, implementação, manutenção e melhoria de um sistema de gestão de denúncias (WMS – Whistleblowing Management System) que abranja as seguintes quatro etapas principais:

  • a) recepção de relatórios de irregularidade;
  • b) avaliação dos relatórios;
  • c) tratamento ou resposta aos relatórios;
  • d) encerramento dos casos de denúncia.

Além disso, a norma dedica atenção especial aos princípios de confiança (trust), imparcialidade (impartiality) e proteção (protection) que permeiam todo o sistema.  

Importante destacar que a ISO 37002 não é um padrão de requisitos (não se certifica como uma “norma de requisitos”), mas sim de diretriz (guidance) para apoiar organizações em um sistema de gestão de denúncias eficaz.

Múltiplas mãos segurando peças de quebra-cabeça formando um círculo, simbolizando união e Boas práticas ISO 37002:2021 em canal de denúncias.

2. Princípios essenciais da norma

Para que o sistema de denúncias seja confiável e eficaz, a ISO 37002 destaca alguns princípios que devem permear a concepção, operação e melhoria do sistema. A seguir, discutimos os principais e como aplicá-los em boas práticas.

2.1 Confiança (Trust)

Construir um ambiente em que potenciais denunciantes sintam confiança para reportar irregularidades é central. Conforme a norma, isso inclui a clareza sobre quem pode denunciar, quais condutas são cobertas, que garantias de tratamento receberão e que proteção terão.

Boas práticas:

  • Disponibilizar canais de denúncia acessíveis, fáceis de usar, confidenciais ou anônimos conforme o contexto.
  • Comunicar internamente e externamente a existência do sistema, seus objetivos, os direitos de quem denuncia, os compromissos da organização.
  • Treinar gestores, RH, compliance e outros agentes para reforçar a cultura “speak-up/listen-up” — ou seja, que as denúncias são bem-vindas, ouvidas e tratadas.
  • Garantir que o processo de denúncia não gere represália ou retaliação. A confiança será minada se houver receio de retaliação.

2.2 Imparcialidade (Impartiality)

O sistema precisa operar de modo imparcial, sem favorecimento ou influência indevida, garantindo que os casos sejam tratados com objetividade e justiça.

Boas práticas:

  • Definir claramente nas políticas a independência da função de denúncias (por exemplo, uma função de “canal de denúncias” que não dependa exclusivamente da parte investigada ou da gestão conflitante).
  • Assegurar que a equipe que avalia e investiga denúncias tenha competência técnica, ética e esteja livre de conflitos de interesse.
  • Registrar todas as etapas do processo de denúncia (recepção, triagem, investigação, decisão, encerramento) de modo transparente e rastreável.
  • Rever periodicamente os procedimentos para adequação, melhoria e seguir uma lógica de tratamento isento.

2.3 Proteção (Protection)

Proteger o denunciante (whistleblower) e outros envolvidos no processo é fundamental — tanto a proteção contra retaliação quanto a proteção de dados e confidencialidade.

Boas práticas:

  • Assegurar que o canal permita denúncias anônimas ou confidenciais, conforme legislação aplicável e risco da organização.
  • Garantir que a identificação do denunciante seja protegida — a divulgação só deve ocorrer em casos que a lei exija, e com anterior informação ao denunciante.
  • Estabelecer medidas de segurança da informação apropriadas para proteger os dados associados às denúncias (ex: controles de acesso, criptografia, segregação de funções).
  • Garantir que seja proibida qualquer forma de retaliação contra o denunciante, explicitando isso nas políticas internas e treinamentos.

3. Estrutura de um sistema de gestão de denúncias conforme a ISO 37002

Para operacionalizar um sistema de denúncias robusto, é útil adotar uma estrutura que abarque os seguintes componentes, alinhados aos requisitos e diretrizes da norma. Em cada componente, destacamos boas práticas associadas.

3.1 Política de denúncias (Whistleblowing policy)

Uma política formal que define o propósito, escopo, responsabilidades, canais, garantias e tratamento das denúncias.

Boas práticas:

  • A política deve ser aprovada pela alta direção, comunicada a toda a organização e, se aplicável, a partes interessadas externas (fornecedores, parceiros).
  • Deve definir claramente o que é considerado “denúncia” (por exemplo, condutas ilegais, violações de políticas, risco ao público ou ao negócio da organização).
  • Incluir a garantia de proteção ao denunciante, acesso ao sistema, anonimato (quando permitido) e direitos e obrigações de quem reporta.
  • Estabelecer prazos de tratamento, níveis de escalonamento, responsáveis pelas investigações e critérios para encerramento do caso.
  • Revisar periodicamente a política para assegurar adequação frente a mudanças legislativas, tecnológicas ou de risco.

3.2 Canais de comunicação e recepção de denúncias

Este componente se refere à infraestrutura (tecnológica, humana ou mista) que permite que denúncias sejam recebidas.

Boas práticas:

  • Oferecer uma solução tecnológica de uso intuitivo e com recursos de inclusão para facilitar o “falar” em diferentes contextos e para diferentes denunciantes.
  • Garantir que os canais sejam acessíveis 24/7, confiáveis, e possam ser utilizados de forma confidencial ou anônima (dependendo do contexto).
  • Garantir registro e recepção da denúncia de forma automática, com emissão de protocolo ou identificação de caso para acompanhamento.

3.3 Triagem e avaliação das denúncias

Após a recepção, cabe à organização avaliar se a denúncia cai no escopo, se é fundamentada, e qual o nível de prioridade que deve ser aplicado ao seu tratamento.

Boas práticas:

  • Definir critérios de triagem claros, que permitam identificar denúncias plausíveis, urgentes ou de baixo risco.
  • Garantir que a avaliação inicial ocorra dentro de prazo definido, comunicando ao denunciante (se aplicável) que recebeu a denúncia e que será tratada.
  • Registrar a decisão de abertura ou não de investigação, bem como justificativas, para fins de rastreabilidade e reporte.
  • Segregar responsabilidades entre quem recebe e quem investiga, garantindo imparcialidade.

3.4 Investigação e tratamento da denúncia

Uma vez aberta investigação, a organização deve coletar evidências, entrevistar partes, avaliar fatos e tomar decisões de correção ou disciplinar, conforme o caso.

Boas práticas:

  • Montar equipe de investigação competente, com pessoas treinadas em técnicas de investigação, ética, proteção de dados e imparcialidade.
  • Garantir que o denunciante e demais envolvidos sejam tratados com respeito, seu anonimato (se aplicado) seja preservado, e que sejam comunicados sobre andamento (quando aplicável).
  • Documentar adequadamente cada etapa — coleta, análise, conclusão — e manter trilha de auditoria.
  • Avaliar as causas-raiz do incidente, não apenas o evento em si, de forma a propor melhorias no sistema de controle ou processo subjacente.

3.5 Encerramento do caso e feedback

Fechamento formal dos casos de denúncia, com comunicação apropriada, lições aprendidas e registro para melhoria contínua.

Boas práticas:

  • Definir critérios de encerramento claros — por exemplo, investigação concluída, ação corretiva tomada, comunicação ao denunciante (se aplicável).
  • Fornecer feedback (quando possível) ao denunciante sobre o resultado ou status do caso, respeitando restrições de confidencialidade.
  • Registrar indicadores (ex: número de denúncias, tempo médio de resposta, proporção de casos investigados vs encerrados) para análise de desempenho.
  • Usar os resultados para revisar riscos, controles, políticas e treinamento, de forma a fomentar melhoria contínua do sistema.

3.6 Monitoramento, auditoria e melhoria contínua

Uma gestão adequada do sistema inclui mensuração, análise de desempenho, auditoria interna/externa, revisão pela direção e ações de melhoria contínua.

Boas práticas:

  • Estabelecer métricas relevantes para o sistema de denúncias: número de casos, tempo de triagem, percentual de casos investigados, resultados de investigação, reclamações por represália, etc.
  • Realizar auditorias periódicas para verificar se o sistema está sendo aplicado conforme a política, se as salvaguardas funcionam e se há desvios ou oportunidades de melhoria.
  • Incluir o sistema de denúncias na revisão pela direção, com relatório de desempenho, análise de riscos e oportunidades e decisões estratégicas de melhoria.
  • Promover sensibilização e treinamento contínuos dos colaboradores, reforçando a cultura de “falar” e “ouvir”.

Mulher trabalhando em um laptop à noite enquanto analisa dados, simbolizando Boas práticas ISO 37002:2021 em canal de denúncias.

4. Implementação no contexto organizacional: desafios e recomendações

A adoção de um sistema de denúncias conforme a ISO 37002 traz benefícios claros: maior transparência, confiança dos stakeholders, mitigação de risco de condutas danosas ,mas também há desafios práticos e organizacionais que exigem atenção.

4.1 Desafios comuns

  • Resistência cultural: Em muitas organizações, existe receio de denúncias, medo de retaliação ou ausência de hábito de “falar”. A cultura de silêncio pode minar o sistema.
  • Complexidade tecnológica: Implementar canais seguros, capazes de garantir anonimato, confidencialidade e registro adequado, exige infraestrutura e controles bem pensados.
  • Gerenciamento de informação sensível: As denúncias podem envolver dados pessoais, sigilosos ou sensíveis, a organização precisa assegurar conformidade com proteção de dados, privacidade e segurança da informação.
  • Separação de funções/independência: Garantir que o processo de denúncia, investigação e decisão seja imparcial requer definição clara de papéis e segregação, o que nem sempre é trivial.
  • Escalonamento e priorização: Organizações grandes ou internacionais podem receber muitos relatos e precisam de capacidade de triagem, escalonamento e investigação adequados para evitar sobrecarga.
  • Mensuração e relatórios: Identificar métricas relevantes e gerar relatórios significativos para a alta direção demanda maturidade de gestão e governança.

4.2 Recomendações de boas práticas para implementação

  • Realizar um diagnóstico de maturidade: avaliar a cultura organizacional, os processos existentes (se já houver sistema de denúncias), os riscos associados às condutas suspeitas, a capacidade tecnológica e de investigação.
  • Integrar o sistema de denúncias ao sistema geral de gestão da organização. Embora possa estar como sistema autônomo, integrar com gestão de risco, compliance, auditoria interna e governança fortalece sua eficácia. A norma menciona que o sistema pode “ser autônomo ou integrado a um sistema de gestão existente”.
  • Alocar recursos adequados: definir responsáveis (com mandato e autoridade), proporcionar formação, definir orçamento e tecnologia, estabelecer indicadores e relatórios.
  • Desenvolver comunicação e treinamento: sensibilizar todos os níveis da organização, desde a alta direção até colaboradores e terceirizados, sobre a política de denúncias, canais disponíveis, proteção, e benefícios de reportar.
  • Garantir canal de denúncias: oferecer uma solução tecnológica de uso intuitivo e com recursos de inclusão, múltiplas línguas (em organização internacional), anonimato ou confidencialidade, interface amigável e suporte técnico.
  • Definir procedimentos claros, com fluxos documentados para recepção, triagem, investigação, comunicação ao denunciante (quando procedente) e encerramento, além de registro e auditoria.
  • Monitorar indicadores de desempenho do sistema (por exemplo: tempo médio de resposta, número de denúncias, proporção de investigações, casos de represália relatados) e reportar periodicamente à alta direção.
  • Revisar e melhorar continuamente o sistema: aplicar lições aprendidas, ajustar políticas, treinar novamente, atualizar tecnologia, responder a novas legislações ou requisitos de mercado.
  • Assegurar proteção do denunciante: políticas de não-retaliação, anonimato ou confidencialidade quando permitido, salvaguardas de segurança da informação, comunicações claras aos denunciantes sobre seu tratamento.
  • Comunicar aos stakeholders externos (quando aplicável) que a organização possui um sistema de denúncias maduro, fortalecendo reputação e governança.

5. Alinhamento com requisitos regulatórios e de governança

Embora a ISO 37002 seja uma diretriz voluntária, ela alia-se bem a requisitos legais em diversos países e constitui um pilar de governança corporativa.

5.1 Legislação no Brasil

No Brasil, houve avanços recentes que reforçam a obrigatoriedade e os requisitos mínimos de canais de denúncias, ética e compliance. De modo destacado:

Lei nº 14.457/2022 – “Emprega + Mulheres”

Essa legislação tornou obrigatória a adoção de medidas de prevenção e combate ao assédio sexual e a outras formas de violência no ambiente de trabalho por empresas que possuam CIPA (Comissão Interna de Prevenção de Acidentes). Entre essas medidas, destaca-se a implementação de um canal de denúncias que garanta o sigilo e permita o anonimato do denunciante, promovendo um ambiente mais seguro e acolhedor para colaboradores.

Lei nº 12.846/2013 – Lei Anticorrupção

Em vigor desde 2014, essa lei responsabiliza empresas por atos lesivos cometidos contra a administração pública, como corrupção, suborno e fraudes. A adoção de um canal de denúncias integra as boas práticas de compliance, sendo uma ferramenta fundamental para identificar e mitigar riscos legais e reputacionais, especialmente em projetos que envolvem recursos públicos.

Lei nº 14.133/2021 – Nova Lei de Licitações e Contratos Administrativos

Esta norma estabelece princípios como a transparência, controle de fraudes e responsabilização em contratações públicas. Empresas que contratam com o setor público devem manter canais de denúncias eficazes, que permitam a identificação de desvios éticos, irregularidades em contratos e possíveis fraudes nos processos licitatórios.

Lei nº 14.611/2023 – Igualdade Salarial

Essa legislação reforça o direito à igualdade salarial entre homens e mulheres, proibindo discriminações com base em sexo, raça, etnia, origem ou idade. A norma introduz mecanismos preventivos e punitivos mais rigorosos, e recomenda a adoção de canais de denúncias e escuta ativa como instrumentos para coibir práticas discriminatórias no ambiente de trabalho.

Lei nº 14.831/2024 – Empresa Promotora da Saúde Mental

Institui o Certificado de Empresa Promotora da Saúde Mental, concedido a organizações que adotam práticas estruturadas, contínuas e avaliáveis para promover o bem-estar mental no trabalho. Entre os requisitos para obtenção do selo está a existência de canais de comunicação acessíveis para sugestões, avaliações e denúncias dos colaboradores, contribuindo para um ambiente mais saudável e engajado.

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)

A LGPD regula o tratamento de dados pessoais por empresas e instituições no Brasil. No setor de engenharia e construção civil, onde há grande circulação de dados de funcionários, fornecedores e terceiros, é imprescindível a conformidade com essa norma. A implementação de um Canal LGPD permite que os titulares de dados exerçam seus direitos, como acesso, correção ou exclusão de informações, promovendo transparência e segurança jurídica.

5.2 – No contexto de governança, reputação e risco organizacional, adotar boas práticas em denúncias demonstra compromisso com integridade, transparência, accountability e controle de risco.

A norma também se conecta com Objetivos de Desenvolvimento Sustentável (ODS), tais como ODS 8 (Trabalho decente e crescimento económico), ODS 11 (Cidades e comunidades sustentáveis) e ODS 16 (Paz, justiça e instituições eficazes) segundo a publicação da ISO.

Para organizações que já implementaram outros sistemas de gestão (como ISO 37001 anti­-suborno, ISO 9001 qualidade, ISO 45001 segurança e saúde no trabalho, etc.), a ISO 37002 pode ser integrada como complemento, reforçando o ecossistema de compliance e governança.

6. Indicadores e métricas recomendadas

Para medir a eficácia do sistema de denúncias, algumas métricas são recomendadas como boas práticas:

  • Número total de denúncias recebidas em determinado período (mensal, trimestral, anual).
  • Taxa de denúncias que foram avaliadas como dentro do escopo / fora do escopo.
  • Tempo médio de triagem (desde recepção até decisão de investigação).
  • Tempo médio de investigação (desde abertura até encerramento).
  • Percentual de casos com ação corretiva implementada.
  • Número de denúncias anônimas vs identificadas.
  • Número de eventos de represália reportados ou confirmados.
  • Satisfação dos denunciantes – se a organização realiza pesquisa de feedback pós-caso (quando possível).
  • Relatório de custos associados ao sistema (tecnologia, investigação, treinamento) vs benefícios (prevenção de perdas, melhoria de controle, reputação).

Esses indicadores permitem à alta direção e ao comitê de governança monitorar a saúde do sistema, identificar tendências (ex: aumento de denúncias pode indicar melhoria da cultura, ou ao contrário, um problema emergente) e tomar decisões estratégicas.

Várias mãos de pessoas diferentes unidas em um gesto de apoio e confiança, representando Boas práticas ISO 37002:2021 em canal de denúncias.

7. Integração com outros sistemas de gestão

A ISO 37002 deve ser vista em sinergia com outros sistemas de gestão e normas relevantes:

  • ISO 37001:2016 – Sistema de gestão antissuborno: muitas denúncias envolvem suborno ou corrupção; integrar com Sistemas de Gestão de Denúncias fortalece o ecossistema de compliance.
  • ISO 31000 – Gestão de riscos: a triagem, avaliação e priorização de denúncias alinhadas com a matriz de risco da organização.
  • ISO 9001 / ISO 45001 / ISO 27001 – Dependendo do tipo de denúncia (qualidade, segurança do trabalho, segurança da informação), o fluxo de tratamento pode se articular com outros sistemas de gestão já existentes. Essa integração facilita a alocação de recursos, evita duplicação de esforços, permite relatórios consolidados de governança e reforça a cultura de integridade global da organização.

8. Benefícios esperados da adoção de boas práticas segundo a ISO 37002

Ao aplicar com diligência as boas práticas descritas acima, espera-se que a organização obtenha benefícios como:

  • Melhoria da cultura organizacional, com maior abertura à comunicação de condutas inadequadas;
  • Redução de perdas financeiras, de reputação ou de compliance por meio de detecção precoce e tratamento de irregularidades.
  • Maior confiança dos stakeholders (colaboradores, clientes, investidores, reguladores) na integridade da organização;
  • Monitoramento efetivo de denúncias e melhoria dos processos internos, controles e governança;
  • Atender ou antecipar exigências regulatórias e de mercado relativas à proteção de denunciantes, transparência e governança;
  • Criar vantagem competitiva — organizações com sistemas maduros de denúncias são percebidas como mais rigorosas, éticas e confiáveis.

9. Pontos de atenção e risco residual

Mesmo com boas práticas em vigor, é importante estar atento a alguns riscos residuais:

  • O simples estabelecimento de um canal de denúncias não garante que os colaboradores irão usá-lo se não houver confiança ou cultura de abertura.
  • Sistemas mal protegidos tecnologicamente podem comprometer a confidencialidade, colocar os denunciantes em risco e minar a credibilidade do sistema.
  • Se a triagem, investigação ou encerramento ficarem longos ou sem transparência, o sistema pode gerar frustração e diminuir a utilização futura.
  • Se não houver acompanhamento da ação corretiva e melhoria, o sistema corre o risco de virar “caixa postal” de denúncias sem impacto.
  • Em organizações internacionais ou com múltiplas jurisdições, os requisitos legais podem divergir (anonimato, proteção de dados, obrigações de revelação) — é necessário mapa jurídico adequado.
  • A padronização excessiva pode tornar o sistema rígido demais, não sensível às especificidades do contexto organizacional, o que pode reduzir sua eficácia.

10. Recomendações finais e roadmap de implementação

Para quem está iniciando ou revisando a implementação de um sistema conforme a ISO 37002, sugerimos um roadmap em cinco fases:

  1. Diagnóstico inicial
    • Avaliar a cultura organizacional, os canais existentes, a perceção dos colaboradores, as estatísticas anteriores de denúncias (se houver).
    • Realizar avaliação de risco de condutas, mapeamento de stakeholders, análise das exigências legais aplicáveis.
    • Identificar lacunas frente às diretrizes da ISO 37002.
  2. Planejamento e definição da estrutura
    • Aprovar política de denúncias, definir governança (quem é responsável, que comitê supervisiona).
    • Selecionar e/ou desenvolver canais de denúncia (tecnologia, processo, equipes).
    • Definir procedimentos de triagem, investigação, tratamento e encerramento.
    • Estabelecer indicadores de desempenho, relatórios e revisão pela direção.
  3. Implementação
    • Lançamento oficial do sistema, comunicação interna/externa, treinamento de colaboradores e gestores.
    • Garantir que os canais estejam operacionais, testados, seguros e acessíveis.
    • Executar processo piloto ou fase de adaptação para ajustar fluxos e tecnologia.
  4. Operação e monitoramento
    • Receber e tratar denúncias, realizar triagem, investigação, encerramento conforme procedimentos.
    • Monitorar indicadores, realizar reuniões de revisão, relatar à alta direção.
    • Conduzir auditorias internas e verificar conformidade, imparcialidade, proteção do denunciante.
  5. Melhoria contínua
    • Usar as lições aprendidas para ajustar política, procedimentos, tecnologia, treinamento.
    • Realizar nova avaliação de risco, revisar canais e métodos de comunicação.
    • Fomentar cultura de speak-up/listen-up, reforçar o valor das denúncias como mecanismo de melhoria e não apenas de controle.

12. Conclusão

A adoção das boas práticas da ISO 37002:2021 para sistemas de gestão de denúncias representa um marco relevante para as organizações que buscam consolidar uma governança robusta, cultura de integridade, transparência e proteção de stakeholders.

Embora a norma ofereça diretrizes e não requisitos obrigatórios, a sua correta operacionalização, com foco em confiança, imparcialidade e proteção, gera valor tangível.

Para que isso ocorra, é preciso mais do que “ter um canal de denúncias”: requer estrutura organizacional, tecnologia adequada, cultura de apoio, processos claros, monitoramento e melhoria contínua.

Se a sua organização está em fase de implementação ou revisão de um sistema de denúncias, vale atuar com proatividade, envolvendo a alta direção, comunicação eficaz, treinamento e mensuração de desempenho. Esse investimento contribui para reduzir riscos, preservar reputação e criar ambiente em que as pessoas sintam-se seguras para “falar” e a organização preparada para “ouvir”.

Saiba mais como a BCompliance&Law pode ajudar sua empresa a implementar um canal de denúncia eficaz, personalizado, independente e seguro.

Fale com um de nossos especialistas.