Toda companhia regulada vive a mesma cena: uma agência publica uma norma, ela aterrissa em uma caixa de e-mail, alguém da área jurídica ou de conformidade lê o anexo, interpreta, redige um memorando, distribui para as áreas operacionais. As áreas leem. Algumas implementam. Outras esquecem. Auditoria descobre meses depois.
A operação acontece em uma cadeia de e-mails que ninguém consegue auditar sem reconstruir manualmente. E o tempo entre “norma publicada” e “norma operando” é medido em semanas — quando deveria ser medido em horas.
Esta nota descreve, sem rodeio, o pipeline que substitui essa cena.
Seis estágios
Um sistema de compliance auditável tem seis estágios. Cada um é independente, instrumentado e versionado. O cliente pode operar com três deles e crescer para os outros — não é tudo ou nada.
1. Ingestão
A norma entra no sistema, não na caixa de e-mail. Webhooks de fontes oficiais, raspagem programada, e-mail dedicado processado por um classificador. Cada documento ingerido recebe um identificador imutável e um timestamp. A partir deste momento, há rastreabilidade.
O ponto sensível aqui não é técnico — é institucional. Exige que jurídico aceite redirecionar o canal. Sem essa decisão, o pipeline não começa.
2. Classificação
Cada norma é classificada por: agência, tipo (lei, instrução, comunicado, ofício), áreas afetadas, urgência operacional, e relação com normas anteriores (revogação, alteração, complemento). Modelos atuais fazem isso com acurácia alta — não perfeita — em segundos.
A interface de revisão é onde o trabalho real acontece. O sistema apresenta a classificação proposta. Um operador confirma ou corrige em até dois cliques. Cada correção volta como sinal de treino. Em três meses, a taxa de correção cai para abaixo de 5%.
3. Tradução operacional
Esta é a etapa que ninguém antecipa, e que faz toda a diferença. Norma publicada não é instrução executável. “Comunicar à clientela” precisa virar: qual peça, qual canal, qual prazo, qual gatilho de envio. “Implementar controle interno” precisa virar: qual área, qual sistema, qual evidência aceitável.
A tradução é feita por um agente especializado, treinado nos modelos de evidência da própria companhia. O output é uma lista de tarefas com responsável, prazo e formato de evidência. Não é interpretação livre — é mapeamento contra uma matriz já estabelecida.
4. Distribuição
As tarefas chegam aos responsáveis no canal que eles já usam — não em uma plataforma nova. Slack, Teams, e-mail, ticket no Jira. Cada tarefa carrega: o trecho original da norma, a interpretação, o formato de evidência esperado, e o prazo.
Distribuir bem é o que separa pipeline de teatro. Se cada área precisa abrir uma ferramenta nova para descobrir suas obrigações, a adoção fica em zero.
5. Plano de ação e execução
O responsável marca a tarefa como em execução, anexa a evidência (documento, screenshot, link, log), confirma. Cada confirmação carrega uma pergunta padrão — “essa evidência cobre o requisito?” — assinada por quem confirma. Confirmação cega não funciona; a pergunta força leitura.
Tarefas paradas além de 72h escalam automaticamente para o gestor da área. Tarefas paradas além de 7 dias entram no relatório de exceções para o sponsor.
6. Monitoramento e auditoria
A qualquer momento, um auditor (interno, externo, ou regulador) consegue: (a) puxar todas as normas relativas a uma agência específica em um período, (b) ver o status de cada tarefa derivada, (c) baixar a evidência associada, e (d) reconstruir a cadeia decisória — quem leu, quem confirmou, quando, com base no quê.
Auditoria deixa de ser um evento. Vira uma consulta.
O que falha
Os pipelines reais falham em três pontos que não estão nos slides:
Falha 1 — A confiança no classificador é assimétrica. A área jurídica aceita correção automática para classificação trivial, mas exige revisão para qualquer norma que envolva sanção. O envelope precisa ser desenhado caso a caso, não em massa. Tentar automatizar tudo derruba a adoção.
Falha 2 — A evidência aceitável muda. O que valia em janeiro pode não valer em junho. O sistema precisa versionar a matriz de evidências e marcar tarefas afetadas por mudança retroativa. Sem isso, a próxima auditoria descobre buracos.
Falha 3 — A escalação automática é política, não técnica. “Tarefa parada há 72h escala para o gestor” parece simples até o gestor receber 30 escalações no primeiro mês. Calibrar é trabalho contínuo. Quem implanta sem reservar tempo de calibração no segundo trimestre está implantando metade.
Tempo de norma à ação
Companhias que operam esse pipeline reduzem o tempo entre publicação e execução em uma ordem de grandeza — semanas viram horas para o caso médio. Mas o número que importa não é o tempo médio. É o pior caso.
A pergunta de auditoria nunca é “em média, quanto tempo vocês levam?” É: “para esta norma específica, em que data ela entrou em ação aqui?” O sistema precisa responder essa pergunta com evidência. Tudo o mais é otimização secundária.
Como começamos
Quando uma companhia nos chama para construir esse pipeline, a primeira fase é diagnóstico — não código. Mapeamos o fluxo atual, identificamos onde a evidência se perde, e quantificamos o atraso em três normas concretas dos últimos seis meses.
Quase sempre o problema não é onde a área de tecnologia esperava. E quase sempre a primeira fase do pipeline a operar é a Distribuição (estágio 4), não a Ingestão. Resolver o “como a tarefa chega ao responsável” antes de resolver “como a norma entra no sistema” é o que torna a adoção possível.
Pipeline de compliance não é um produto. É uma operação que tinha que existir antes — e que a tecnologia, finalmente, torna factível.