Desde 2022, a legislação brasileira exige que empresas com CIPA mantenham um canal de denúncias. A Lei 14.457/2022 estabelece essa obrigação como parte do Programa de Prevenção e Combate ao Assédio Sexual e outras formas de violência no trabalho. O Decreto 11.129/2022, que regulamenta a Lei Anticorrupção, reforça a importância de canais internos para receber relatos de irregularidades.
A lei é clara. O problema é a execução.
A maioria das empresas resolve a questão criando um email genérico — algo como etica@empresa.com.br — ou publicando um formulário no site institucional. A denúncia chega, alguém lê, e o processo segue por email, planilha ou memória de quem recebeu.
Isso gera problemas sérios.
Por que email e formulário não bastam
Sem garantia real de anonimato
Quando a denúncia chega por email, o servidor registra o remetente. Mesmo que a pessoa use um email pessoal, o administrador do sistema pode rastrear o IP, o horário e, em muitos casos, identificar o autor. Formulários genéricos apresentam o mesmo risco: sem criptografia de ponta a ponta e sem separação de acesso, não há anonimato de verdade.
Se o denunciante não confia que será protegido, ele não denuncia.
Sem SLA definido
A denúncia chegou. Quando alguém vai analisar? Em 24 horas? Em uma semana? Sem prazo formal, relatos ficam parados em caixas de entrada. O denunciante não recebe feedback. A empresa não sabe se está cumprindo suas próprias regras internas.
Sem trilha de auditoria
Quem leu a denúncia? Quando? O que foi decidido? Se alguém perguntar — um auditor, o Ministério Público, a própria diretoria — não existe registro. As informações estão dispersas entre emails, anotações pessoais e conversas informais.
Denúncias se perdem
Em um fluxo por email, é questão de tempo até uma denúncia ficar soterrada entre outras mensagens. Sem um sistema que acompanhe o status de cada relato, não há como garantir que todas as denúncias foram analisadas e respondidas.
O fluxo ideal de um canal de denúncias
Um canal de denúncias eficaz não é apenas um ponto de entrada. É um processo completo, com etapas definidas, responsáveis claros e rastreabilidade de ponta a ponta.
1. Recebimento
A denúncia entra por um formulário externo acessível a qualquer pessoa — funcionários, terceiros, fornecedores. O formulário precisa permitir envio anônimo, sem exigir login ou identificação. O denunciante recebe um número de protocolo para acompanhar o andamento sem se identificar.
Campos típicos: tipo de irregularidade, descrição dos fatos, pessoas envolvidas, evidências (anexos opcionais), dados de contato (opcional).
2. Triagem
Um responsável designado recebe a denúncia e faz a primeira análise. Nesta etapa, o objetivo é classificar o relato (assédio, fraude, conflito de interesse, violação de política interna) e verificar se existe conflito de interesse — ou seja, se o denunciado é justamente quem faria a análise.
Se houver conflito, a denúncia é redirecionada para outro responsável ou para um comitê externo.
3. Investigação
Com a denúncia classificada, começa a apuração. Coleta de evidências, entrevistas com envolvidos, análise de documentos e registros. Cada ação precisa ser documentada: quem fez o quê, quando, com base em quais informações.
O acesso ao caso deve ser restrito. Nem todos os membros da organização podem ver os detalhes de uma denúncia em investigação. Controles de acesso granulares são obrigatórios.
4. Deliberação
A investigação resulta em um parecer. Um comitê de ética ou o responsável pela área avalia as evidências e toma uma decisão: a denúncia procede ou não? Se procede, quais medidas devem ser adotadas?
A decisão precisa ser registrada formalmente, com justificativa, data e identificação dos deliberadores. Não pode ser uma conversa de corredor.
5. Resolução
As medidas definidas são executadas: advertência, desligamento, mudança de processo, treinamento, comunicação interna. O denunciante recebe feedback sobre o desfecho — respeitando os limites de confidencialidade.
Se o denunciante se identificou, o canal deve ter mecanismos para protegê-lo contra retaliação.
6. Monitoramento
O caso é encerrado, mas o acompanhamento continua. A empresa precisa verificar se as medidas adotadas surtiram efeito, se houve recorrência e se novos controles internos são necessários.
Relatórios periódicos alimentam a governança: quantas denúncias foram recebidas, em quanto tempo foram resolvidas, quais categorias são mais frequentes, quais áreas concentram mais relatos.
O que cada etapa exige
Para funcionar de verdade, cada etapa do fluxo precisa de quatro elementos:
Trilha de auditoria
Cada ação no processo deve gerar um registro imutável: quem fez, quando, o quê. Isso inclui a entrada da denúncia, cada mudança de estágio, cada documento anexado, cada decisão tomada. Se um auditor pedir o histórico completo de uma denúncia, você precisa entregar em minutos, não em dias.
Controles de acesso
Denúncias envolvem informações sensíveis. Nem todo mundo pode ver tudo. O estagiário do RH não pode acessar uma denúncia de assédio contra o diretor de RH. Controles baseados em papéis (quem pode ver, quem pode editar, quem pode decidir) são fundamentais.
SLA por etapa
Cada estágio do processo precisa ter um prazo. A triagem deve acontecer em até 48 horas. A investigação, em até 30 dias. A deliberação, em até 7 dias após o parecer. Sem prazos definidos e monitorados, o processo não tem accountability.
Gestão de documentos
Evidências, depoimentos, pareceres, decisões. Cada documento precisa ter versão controlada, estar vinculado ao caso correto e ter acesso restrito. Documentos soltos em pastas compartilhadas não atendem os requisitos de uma investigação séria.
Como o CaseFy resolve isso
O CaseFy foi projetado para orquestrar processos com exatamente essas características: formulários externos, controles de acesso, timeline auditável e gestão documental.
Formulários externos para recebimento anônimo
Formulários externos do CaseFy podem ser publicados sem exigir autenticação. O denunciante acessa o link, preenche os campos e envia. A denúncia gera automaticamente um caso no sistema com um número de protocolo. O denunciante pode acompanhar o andamento usando apenas o protocolo, sem se identificar.
RBAC para controle de acesso
O CaseFy utiliza controles de acesso baseados em papéis (RBAC) com mais de 90 permissões granulares. Você define quem pode visualizar denúncias, quem pode investigar, quem pode deliberar. Se um caso envolve conflito de interesse, basta reatribuir o acesso — o sistema registra a mudança na timeline.
Níveis de acesso por caso permitem que diferentes denúncias tenham diferentes regras de visibilidade, mesmo dentro do mesmo canal.
Timeline para trilha de auditoria
Cada ação no CaseFy gera um registro na timeline do caso: criação, mudança de estágio, comentários, documentos, decisões, reatribuições. A timeline é imutável e auditável. Se você precisa demonstrar para um auditor ou para o Ministério Público que seguiu o procedimento correto, a evidência está lá.
Estágios configuráveis com SLA
Você cria um template com os estágios do canal de denúncias (Recebimento, Triagem, Investigação, Deliberação, Resolução, Monitoramento) e define regras de transição. Automações podem notificar responsáveis quando prazos se aproximam ou são ultrapassados.
Gestão documental integrada
Documentos são anexados diretamente ao caso, com controle de versão e permissões de acesso. Pareceres, evidências e decisões ficam centralizados e vinculados ao caso — não em pastas soltas ou emails encaminhados.
Como começar
Você não precisa de meses de implementação. O fluxo mínimo viável de um canal de denúncias no CaseFy é:
- 1Crie um template com os estágios descritos neste artigo
- 2Configure um formulário externo para recebimento de denúncias
- 3Defina permissões de acesso por papel (triagem, investigação, deliberação)
- 4Publique o link do formulário no site institucional e nos canais internos
Em menos de uma hora, você tem um canal de denúncias com rastreabilidade completa, pronto para atender as exigências da Lei 14.457/2022.