Investigação Interna Corporativa: Como Conduzir Passo a Passo [2026]

Em 2025, a CGU e a AGU celebraram acordos de leniência que já somam mais de R$ 20 bilhões em valores pactuados, dos quais cerca de R$ 10 bilhões já foram efetivamente pagos aos cofres públicos. Os casos incluíam desde irregularidades em licitações até pagamento de propina a agentes públicos. O que essas empresas têm em comum? Falharam em detectar — ou ignoraram — sinais que uma investigação interna bem conduzida teria revelado.

O cenário brasileiro exige atenção redobrada: segundo a Pesquisa Diagnóstico das Fraudes no Brasil 2024 da Grant Thornton, 63% das empresas brasileiras detectaram ao menos uma fraude nos últimos 12 meses. A investigação interna corporativa deixou de ser um procedimento reativo para se tornar ferramenta estratégica de gestão de riscos e proteção do patrimônio empresarial.

Este guia apresenta a metodologia completa para conduzir investigações internas que produzam resultados — desde a triagem da denúncia até o relatório final, passando pela preservação de provas e aspectos trabalhistas que podem definir a validade jurídica de todo o processo.

O que é investigação interna corporativa?

A investigação interna corporativa é um procedimento estruturado que a empresa conduz para apurar suspeitas de irregularidades, fraudes, desvios de conduta ou violações de políticas internas. Diferente de uma auditoria — que examina processos e controles de forma ampla — a investigação foca em fatos específicos, pessoas envolvidas e evidências que comprovem ou afastem as suspeitas.

O objetivo não é apenas punir. Uma investigação bem conduzida serve para:

• Esclarecer fatos antes que virem processos judiciais ou administrativos
• Preservar provas que podem ser necessárias em procedimentos futuros
• Proteger a empresa demonstrando diligência às autoridades
• Identificar falhas nos controles internos que permitiram a irregularidade
• Subsidiar decisões disciplinares com base em evidências concretas

A base legal que sustenta as investigações internas no Brasil inclui a Lei Anticorrupção (Lei 12.846/2013), que prevê atenuantes para empresas com programas de integridade efetivos; a CLT, que estabelece o poder diretivo do empregador; e a LGPD (Lei 13.709/2018), que impõe limites à coleta e tratamento de dados pessoais durante o processo investigativo.

A diferença entre empresas que superam crises de integridade e aquelas que sucumbem a elas está, frequentemente, na qualidade da investigação interna conduzida nos primeiros dias após a descoberta do problema.

Quando conduzir uma investigação interna?

Nem toda irregularidade justifica uma investigação formal. O custo, o tempo envolvido e o impacto no clima organizacional exigem critério na decisão. Porém, alguns gatilhos tornam a investigação não apenas recomendável, mas necessária.

Sinais de alerta que demandam investigação

Denúncias no canal de ética representam o principal gatilho. Dados da pesquisa Diagnóstico das Fraudes no Brasil 2024 da Grant Thornton mostram que 59% das fraudes corporativas no Brasil são detectadas por meio de denúncias anônimas — especialmente em canais formais. Uma denúncia consistente, com detalhes verificáveis, deve ser investigada mesmo que o denunciante não se identifique.

Auditorias que identificam anomalias são outro gatilho comum. Discrepâncias contábeis, transações sem justificativa, fornecedores com padrões atípicos de pagamento — tudo isso pode indicar problemas que exigem aprofundamento investigativo.

Comportamentos atípicos de colaboradores merecem atenção. Relacionamento incomum com terceiros, estilo de vida incompatível com a remuneração, resistência a férias ou mudanças de função — esses são red flags documentados em pesquisas sobre o perfil de fraudadores.

Solicitações de autoridades como CGU, Ministério Público ou Polícia Federal frequentemente precedem investigações externas. Conduzir uma apuração interna antes pode posicionar a empresa de forma proativa.

Segundo o Report to the Nations 2024 da ACFE (Association of Certified Fraud Examiners), fraudes corporativas não detectadas por canais de denúncia ou auditorias levam em média 12 meses para serem descobertas — e fraudes detectadas "por acidente" podem levar até 18 meses. Quanto mais cedo a investigação começa, menores os danos — financeiros e reputacionais.

Quem deve conduzir a investigação?

A escolha de quem investiga é tão importante quanto a metodologia aplicada. Uma investigação comprometida por conflito de interesses ou falta de expertise técnica pode ser pior do que não investigar — expõe a empresa sem produzir resultados válidos.

Comitê interno ou consultoria externa?

A decisão depende de fatores como a gravidade da suspeita, o nível hierárquico dos envolvidos e a complexidade técnica do caso.

Investigações internas funcionam bem quando:

• Os envolvidos não ocupam cargos de alta gestão
• A empresa possui equipe de compliance qualificada
• O tema não exige conhecimento técnico especializado (forense digital, por exemplo)
• Não há risco de interferência ou obstrução interna

Consultorias externas são recomendadas quando:

• A alta administração está sob suspeita
• Há risco de conflito de interesses na equipe interna
• O caso pode escalar para autoridades ou litígio
• São necessárias competências específicas (forensics, análise de dados em escala)

Independentemente da escolha, o investigador deve ter independência funcional durante o processo. Isso significa reportar diretamente ao Conselho de Administração ou Comitê de Auditoria, não à diretoria executiva — especialmente se executivos estiverem entre os investigados.

O papel do compliance officer

O compliance officer geralmente coordena investigações de menor complexidade e atua como ponte entre a equipe investigativa e a alta gestão. Suas responsabilidades incluem:

• Fazer a triagem inicial das denúncias
• Definir o escopo preliminar da investigação
• Recomendar se o caso exige apoio externo
• Garantir que os procedimentos sigam a política interna e a legislação
• Reportar o andamento ao comitê responsável

A ISO 37008, norma internacional para investigações internas, estabelece cinco princípios que devem guiar qualquer investigador: independência, confidencialidade, competência profissional, objetividade e imparcialidade, e legalidade.

Etapas da investigação interna corporativa

A metodologia de investigação interna segue um fluxo estruturado que vai do recebimento da denúncia até a aplicação de medidas corretivas. Cada etapa tem requisitos específicos que impactam a validade do processo como um todo.

1. Recebimento e triagem da denúncia

Toda denúncia deve ser registrada, mesmo que inicialmente pareça infundada. O registro cria histórico que pode revelar padrões — denúncias recorrentes sobre a mesma área ou pessoa ganham peso cumulativo.

A triagem avalia:

• Credibilidade: a denúncia contém fatos verificáveis ou é genérica?
• Gravidade: o potencial dano justifica os recursos da investigação?
• Urgência: há risco de destruição de provas ou continuidade do ilícito?
• Competência: a empresa pode investigar ou deve reportar a autoridades?

2. Planejamento e definição de escopo

Um erro comum é iniciar a investigação sem definir claramente o que se busca apurar. O planejamento deve estabelecer:

• Escopo: quais fatos serão investigados (e quais não serão)
• Hipóteses: o que a investigação pretende confirmar ou afastar
• Recursos: equipe, ferramentas, orçamento e cronograma
• Riscos: possíveis obstruções, vazamentos ou retaliações
• Comunicação: quem será informado sobre a existência da investigação

O escopo deve ser documentado e aprovado pela instância responsável. Investigações que "crescem" sem controle consomem recursos, demoram mais e frequentemente perdem o foco.

3. Preservação de evidências

Esta é a etapa mais crítica — e a mais frequentemente negligenciada. Provas destruídas, adulteradas ou coletadas de forma irregular podem invalidar toda a investigação e expor a empresa a riscos adicionais.

A cadeia de custódia documenta cada etapa do ciclo de vida da evidência: quem coletou, quando, onde estava armazenada, quem teve acesso. Para provas digitais, isso inclui a geração de códigos hash que funcionam como uma "impressão digital" do arquivo — qualquer alteração posterior torna-se detectável.

Ações imediatas de preservação incluem:

• Backup de e-mails e arquivos dos envolvidos
• Preservação de logs de sistemas e acessos
• Cópia forense de dispositivos (computadores, celulares corporativos)
• Guarda de documentos físicos relevantes
• Notificação ao TI para suspender rotinas de exclusão automática

A norma ABNT NBR ISO/IEC 27037 fornece diretrizes técnicas para identificação, coleta, aquisição e preservação de evidências digitais.

4. Coleta de documentos e dados

Com as evidências preservadas, inicia-se a coleta sistemática. Documentos relevantes podem incluir:

• Contratos, notas fiscais, comprovantes de pagamento
• Comunicações (e-mails, mensagens, atas de reunião)
• Registros de sistemas (ERP, controle de acesso, logs)
• Políticas e procedimentos internos
• Histórico funcional dos envolvidos

A coleta deve respeitar a LGPD. Dados pessoais só podem ser tratados com base legal adequada — no caso de investigações, geralmente o legítimo interesse do controlador ou o exercício regular de direitos em processos.

5. Entrevistas com testemunhas e envolvidos

Entrevistas são frequentemente a fonte mais rica de informações, mas também a mais sensível. A abordagem errada pode contaminar depoimentos, gerar reclamações trabalhistas ou alertar suspeitos.

Boas práticas incluem:

• Começar por testemunhas periféricas, não pelos principais suspeitos
• Preparar roteiro, mas permitir que o entrevistado desenvolva seu relato
• Nunca fazer promessas que a empresa não pode cumprir
• Documentar detalhadamente (gravação, quando autorizada, ou ata assinada)
• Informar claramente que se trata de investigação interna

O investigado tem direito de saber que está sendo investigado? Depende. A notificação prévia pode ser obrigatória em alguns contextos trabalhistas, mas pode comprometer a investigação se houver risco de destruição de provas. A avaliação deve ser feita caso a caso, preferencialmente com apoio jurídico.

6. Análise e cruzamento de informações

É na análise que padrões emergem. Transações aparentemente isoladas revelam esquemas quando cruzadas. Versões contraditórias entre entrevistados apontam para quem está mentindo.

Ferramentas de análise de dados e inteligência artificial aceleram esse processo significativamente. Algoritmos podem processar milhares de e-mails identificando palavras-chave, detectar padrões atípicos em transações financeiras ou mapear relacionamentos entre pessoas e empresas que não seriam visíveis em análise manual.

A tecnologia não substitui o julgamento humano, mas amplia a capacidade de identificar anomalias em volumes de informação que seriam impossíveis de revisar manualmente. Plataformas como o Sherlocker utilizam IA especializada para cruzamento de dados e detecção de padrões em investigações empresariais, reduzindo o tempo de análise e aumentando a precisão das conclusões.

7. Relatório conclusivo

O relatório materializa todo o trabalho investigativo. Deve ser claro, objetivo e fundamentado exclusivamente nas evidências coletadas — não em suposições ou impressões.

Estrutura típica:

• Sumário executivo: principais conclusões em linguagem acessível
• Escopo e metodologia: o que foi investigado e como
• Fatos apurados: descrição cronológica e detalhada
• Evidências: lista e descrição das provas que sustentam cada conclusão
• Conclusões: se as suspeitas foram confirmadas, afastadas ou inconclusivas
• Recomendações: medidas disciplinares, melhorias em controles, comunicações

O relatório deve ser entregue apenas aos destinatários autorizados — tipicamente o Comitê de Auditoria, Conselho de Administração ou área jurídica. A confidencialidade protege tanto a empresa quanto os envolvidos.

8. Medidas disciplinares e remediação

A investigação não termina no relatório. As conclusões devem se traduzir em ações concretas:

• Medidas disciplinares proporcionais à gravidade (advertência, suspensão, demissão por justa causa)
• Comunicação a autoridades, quando obrigatória ou estrategicamente recomendável
• Recuperação de ativos desviados, quando possível
• Correção de vulnerabilidades nos controles que permitiram a irregularidade
• Treinamentos para prevenir recorrência

Preservação da cadeia de custódia em provas digitais

A cadeia de custódia é o registro que documenta toda a movimentação de uma evidência, desde sua coleta até sua eventual apresentação em um processo. Para provas digitais, esse conceito ganha complexidade adicional pela natureza imaterial e volátil dos dados.

O código hash é a principal ferramenta técnica para garantir a integridade de evidências digitais. Trata-se de uma função matemática que gera uma sequência única de caracteres a partir de um arquivo. Qualquer alteração no arquivo — mesmo um caractere — produz um hash completamente diferente. Isso permite demonstrar que a evidência não foi adulterada desde sua coleta.

Tribunais brasileiros têm reconhecido o hash como elemento válido para comprovar autenticidade de provas digitais. Em decisão de maio de 2024 (Agravo de Instrumento 2059287-20.2024.8.26.0000), o TJSP considerou que relatórios de captura técnica com hash podem dispensar até mesmo a ata notarial tradicional, reconhecendo a validade jurídica de ferramentas de coleta digital.

Desafios específicos das provas digitais incluem:

• Volatilidade: dados podem ser alterados ou excluídos remotamente
• Volume: investigações podem envolver terabytes de informação
• Privacidade: a coleta pode esbarrar em dados pessoais protegidos pela LGPD
• Expertise: a preservação adequada exige conhecimento técnico especializado

A ABNT NBR ISO/IEC 27037 estabelece diretrizes para tratamento de evidências digitais: identificar antes de coletar, documentar o estado original, usar ferramentas forenses validadas, manter registro de todas as operações realizadas.

Aspectos trabalhistas da investigação interna

A investigação interna opera na interseção entre o poder diretivo do empregador e os direitos fundamentais do empregado. Erros nessa área podem gerar passivos trabalhistas significativos e invalidar as conclusões investigativas.

Limites do poder diretivo

O empregador pode investigar condutas que afetem a empresa, mas não pode:

• Violar a intimidade do empregado além do necessário
• Acessar dispositivos ou contas pessoais sem autorização
• Realizar buscas físicas vexatórias
• Expor o investigado a situações humilhantes

E-mails corporativos podem ser monitorados, desde que o empregado tenha sido informado dessa possibilidade — preferencialmente por política formal. Aplicativos de mensagem pessoal (WhatsApp privado, por exemplo) exigem maior cautela.

Justa causa por má conduta

A investigação interna pode fundamentar demissão por justa causa, mas os requisitos são rigorosos:

• Imediatidade: a punição deve ocorrer logo após a conclusão da investigação
• Proporcionalidade: a penalidade deve ser compatível com a gravidade da falta
• Non bis in idem: o empregado não pode ser punido duas vezes pelo mesmo fato
• Prova robusta: a justa causa exige evidências consistentes, não apenas suspeitas

Prevenção de assédio durante a investigação

Investigar não é perseguir. Práticas que configuram assédio moral incluem:

• Isolamento injustificado do investigado
• Comentários públicos sobre a investigação
• Retirada de atribuições sem fundamento
• Pressão psicológica para obter confissão

O investigado mantém seus direitos trabalhistas durante o processo. Afastamento preventivo pode ser necessário em casos graves, mas deve ser fundamentado e, quando possível, remunerado.

ISO 37008: a norma internacional para investigações internas

Publicada em 2023 e adotada no Brasil como ABNT ISO/TS 37008 em maio de 2024, esta norma técnica fornece orientações abrangentes para todo o ciclo de uma investigação interna.

Princípios fundamentais

A ISO 37008 estabelece cinco princípios que devem permear toda investigação:

1. Independência: o investigador não pode ter interesse no resultado
2. Confidencialidade: informações são compartilhadas apenas com quem precisa saber
3. Competência profissional: investigadores devem ter qualificação adequada
4. Objetividade e imparcialidade: conclusões baseadas em evidências, não em preconceitos
5. Legalidade: todos os procedimentos devem respeitar a legislação aplicável

Estrutura da investigação segundo a norma

A ISO 37008 organiza a investigação em fases distintas:

Pré-investigação: estabelecimento de políticas, procedimentos e padrões antes que irregularidades ocorram. Inclui a designação de responsabilidades, definição de gatilhos e planejamento de recursos.

Condução da investigação: duas atividades principais — gestão documental e entrevistas. A norma enfatiza a análise científica de informações e a produção de dados úteis para o relatório final.

Relatório e comunicação: estrutura do relatório, destinatários, níveis de confidencialidade.

Medidas corretivas: não apenas punições, mas melhorias sistêmicas para prevenir recorrência.

A adoção da ISO 37008 demonstra maturidade do programa de integridade e pode ser relevante em avaliações como o Pró-Ética da CGU.

Tecnologia em investigações corporativas

O volume de dados gerados pelas empresas tornou inviável a investigação puramente manual. Ferramentas tecnológicas não são mais diferencial — são requisito.

Inteligência artificial na análise investigativa

A IA transforma a capacidade de processar informações em investigações corporativas:

• Análise de e-mails: algoritmos de processamento de linguagem natural identificam comunicações suspeitas em milhões de mensagens
• Detecção de padrões: machine learning reconhece anomalias em transações financeiras que escapariam à revisão humana
• Cruzamento de dados: relacionamentos entre pessoas, empresas e transações são mapeados automaticamente
• Priorização: a IA indica quais documentos ou entrevistados merecem atenção imediata

OSINT e inteligência de fontes abertas

Informações públicas complementam dados internos. Técnicas de OSINT permitem:

• Verificar antecedentes de pessoas e empresas
• Identificar relacionamentos não declarados
• Mapear patrimônio e estilo de vida de suspeitos
• Detectar conflitos de interesse

O Sherlocker combina IA especializada em investigação com OSINT para oferecer uma plataforma completa de due diligence e investigação empresarial — desde o background check inicial até a análise forense de dados complexos.

E-discovery e forense digital

Investigações que podem escalar para litígio exigem procedimentos de e-discovery: preservação, coleta, processamento, revisão e produção de evidências eletrônicas de forma juridicamente válida.

A forense digital vai além: recupera dados deletados, analisa metadados, reconstrói cronologias de ações em sistemas.

Erros comuns em investigações internas

Conhecer os erros mais frequentes ajuda a evitá-los:

Escopo mal definido: investigações que tentam apurar "tudo" frequentemente não apuram nada. Defina hipóteses claras.

Falta de documentação: o que não está documentado não existe. Registre cada etapa, cada decisão, cada evidência.

Vazamento de informações: uma investigação vazada perde efetividade e pode gerar processos por danos morais. Limite o círculo de conhecimento ao mínimo necessário.

Punição antes da conclusão: afastar ou punir o suspeito antes de concluir a investigação pode configurar assédio e prejudicar a validade das conclusões.

Ignorar aspectos trabalhistas: uma investigação que produz provas ilícitas pode ser pior do que não investigar.

Subestimar a tecnologia: análise manual de grandes volumes de dados é ineficiente e falha. Use ferramentas adequadas.

Conclusão: cultura de integridade começa pela investigação

A investigação interna corporativa é mais do que um procedimento reativo a problemas. Quando bem estruturada, ela comunica à organização que irregularidades serão detectadas e tratadas — criando um ambiente onde o desvio de conduta encontra menos espaço para prosperar.

Os dados são claros: empresas com programas de integridade robustos, que incluem canais de denúncia efetivos e capacidade investigativa, sofrem menos fraudes e detectam problemas mais rapidamente. A CGU reconhece isso ao prever atenuantes na Lei Anticorrupção para organizações que demonstram diligência.

A ISO 37008 fornece um framework validado internacionalmente. A tecnologia oferece ferramentas que ampliam a capacidade humana de análise. A legislação brasileira, apesar de desafios, dá base legal para investigações bem conduzidas.

O que diferencia empresas resilientes é a decisão de investir nessa capacidade antes que a crise aconteça — e a disciplina de aplicá-la corretamente quando necessário.

Perguntas frequentes

O que é investigação interna corporativa?

É um procedimento estruturado conduzido pela própria empresa para apurar suspeitas de irregularidades, fraudes ou violações de políticas internas, preservando evidências e produzindo conclusões fundamentadas.

Quando uma empresa deve fazer investigação interna?

Sempre que houver denúncias consistentes no canal de ética, anomalias identificadas em auditorias, comportamentos atípicos de colaboradores ou solicitações de autoridades.

Quem pode conduzir uma investigação interna?

Pode ser conduzida por equipe interna (compliance, jurídico, auditoria) ou consultoria externa, dependendo da gravidade, complexidade e nível hierárquico dos envolvidos.

O que é cadeia de custódia em investigação?

É o registro que documenta toda a movimentação de uma evidência — quem coletou, quando, onde foi armazenada, quem teve acesso — garantindo sua integridade e validade jurídica.

Quais são as etapas de uma investigação corporativa?

Triagem da denúncia, planejamento, preservação de evidências, coleta de documentos, entrevistas, análise de informações, relatório conclusivo e medidas corretivas.

A investigação interna pode fundamentar justa causa?

Sim, desde que as evidências sejam robustas, a punição seja imediata após a conclusão, proporcional à gravidade e o empregado não tenha sido punido anteriormente pelo mesmo fato.