Auditoria

Simulador de Fiscalização

Simule fiscalizações, auditorias e questionamentos difíceis antes que eles aconteçam. A Centriu cruza consentimentos, campanhas, atendimentos, IA, políticas, solicitações de titulares e evidências para mostrar o que sua empresa conseguiria provar hoje, onde existem lacunas e quais correções reduzem risco.

  • Índice de prontidão e perguntas difíceis testadas
  • Lacunas, plano de correção e dossiês defensáveis
  • Modo Due Diligence, Modo Crise e Pergunte como Auditor

Índice de Prontidão para Fiscalização

75/100
Em revisão
Ponto não defensável

Há ponto que hoje não seria defensável

A empresa possui boa rastreabilidade em campanhas e políticas, mas ainda não conseguiria provar consentimento para parte dos contatos importados nem justificar retenções em alguns pedidos de exclusão.

  • Consentimentos com evidência68%
  • Campanhas com aprovação90%
  • Conversas críticas com dossiê76%
  • Pedidos de titulares no SLA70%
  • Políticas versionadas e publicadas88%
  • Evidências com cadeia de custódia84%
  • IA com logs e aprovação humana64%
  • Guardrails ativos80%
  • Retenção justificada60%
  • Exportações com justificativa84%
  • Módulos com trilha de auditoria86%
  • Lacunas críticas tratadas58%
  • Tempo médio de correção66%
  • Unidades com governança mínima72%

Resumo executivo de prontidão

Simulações, lacunas, evidências, dossiês e o que está mais exposto a uma fiscalização.

Simulações realizadas

3

No trimestre

Em altaVer resultados

Prontidão geral

74

Índice de prontidão

Em altaVer índice

Lacunas críticas

3

Bloqueiam dossiê

Em quedaVer lacunas críticas

Lacunas médias

5

Atenção recomendada

EstávelPriorizar ações

Evidências fortes

11

Com hash e custódia

Em altaVer evidências

Evidências ausentes

8

Sem prova suficiente

Em quedaCorrigir evidências

Dossiês prontos

2

Disponíveis para apoio

Em altaGerar dossiê

Dossiês incompletos

1

Lacuna crítica aberta

EstávelCompletar dossiê

Políticas vencidas

1

Retenção em revisão

Em altaRevisar políticas

Campanhas em risco

1

Texto antigo no público

EstávelVer campanha

Pedidos em risco

2

SLA vencido

Em quedaPriorizar pedidos

Ações corretivas abertas

8

Plano priorizado

EstávelAbrir plano

Ações concluídas

4

Com evidência

Em altaVer concluídas

Unidades com maior risco

Centro

Consentimento frágil

EstávelVer unidades

Módulos com maior risco

Titulares

Retenção e SLA

EstávelVer módulos

Cenários de Fiscalização

Doze cenários prontos: proteção de dados, campanha, reclamação, exclusão, IA, políticas, evidências, unidade, due diligence, crise, cobrança e retenção.

Fiscalização de proteção de dados

Crítico

Testar se a empresa prova consentimento, finalidade, base legal e retenção.

Consentimento VivoSolicitações de TitularesCofre de EvidênciasCentral de Políticas
  • ≈ 8 perguntas críticas
  • Consentimentos com hash · Mapa de finalidades · Justificativas de retenção
Crítico

Última: 20 de jun. de 2026 · 40/100

Questionamento de campanha

Atenção

Reconstruir por que a campanha foi enviada e a quem, com aprovação e opt-out.

Campanhas SegurasConsentimento VivoCofre de Evidências
  • ≈ 6 perguntas
  • Aprovação da campanha · Público e consentimentos · Contatos removidos antes do envio
Parcialmente pronto

Última: 15 de jun. de 2026 · 70/100

Reclamação de cliente

Atenção

Montar a linha do tempo de um cliente: campanhas, conversas e respostas.

Radar de AtendimentoCampanhas SegurasCofre de EvidênciasConsentimento Vivo
  • ≈ 7 perguntas
  • Histórico de conversas · Campanhas recebidas · Resposta enviada ao cliente
Ainda não simulado

Pedido de exclusão de dados

Crítico

Testar identidade, dados localizados, retenção e resposta de um pedido de exclusão.

Solicitações de TitularesCofre de EvidênciasCentral de Políticas
  • ≈ 6 perguntas
  • Validação de identidade · Dados localizados · Justificativa de retenção parcial
Ainda não simulado

Auditoria de IA

Crítico

Explicar modelo, prompt, dados usados, aprovação humana e guardrails.

Governança de IACofre de EvidênciasCentral de Políticas
  • ≈ 7 perguntas
  • Logs de IA · Guardrails ativos · Aprovação humana em casos sensíveis
Atenção

Última: 22 de jun. de 2026 · 54/100

Auditoria de políticas

Em revisão

Mostrar versão vigente, publicação, aceite e impacto operacional.

Central de PolíticasCofre de Evidências
  • ≈ 5 perguntas
  • Versão publicada vigente · Aceites registrados · Scripts aprovados vinculados
Ainda não simulado

Auditoria de evidências

Em revisão

Verificar cadeia de custódia, hash, acesso e exportação das evidências.

Cofre de EvidênciasAuditoria geral
  • ≈ 5 perguntas
  • Hash das evidências · Logs de acesso · Justificativas de exportação
Ainda não simulado

Auditoria de unidade ou franquia

Atenção

Comparar unidades e expor riscos locais de scripts, atendimento e evidências.

Radar de AtendimentoCampanhas SegurasCofre de EvidênciasAuditoria geral
  • ≈ 6 perguntas
  • Scripts por unidade · Atendimentos críticos locais · Evidências por unidade
Ainda não simulado

Due diligence enterprise

Em revisão

Visão agregada de maturidade para clientes, parceiros e investidores.

Consentimento VivoGovernança de IACofre de EvidênciasCentral de PolíticasAuditoria geral
  • ≈ visão agregada
  • Controles implantados · Relatórios executivos · Guardrails ativos
Ainda não simulado

Simulação de crise reputacional

Crítico

Preparar resposta a reclamação pública, atendimento crítico e contenção.

Radar de AtendimentoCampanhas SegurasCofre de EvidênciasGovernança de IA
  • ≈ sala de crise
  • Linha do tempo do caso · Respostas aprovadas · Plano de contenção
Ainda não simulado

Auditoria de cobrança

Atenção

Verificar scripts, linguagem e promessas em conversas de cobrança.

Radar de AtendimentoCentral de PolíticasCofre de Evidências
  • ≈ 6 perguntas
  • Script de cobrança aprovado · Conversas de cobrança · Linguagem prudente aplicada
Ainda não simulado

Auditoria de retenção de dados

Atenção

Explicar por que dados foram mantidos: prazo, base e justificativa.

Solicitações de TitularesCentral de PolíticasCofre de Evidências
  • ≈ 5 perguntas
  • Política de retenção vigente · Justificativas de retenção · Pedidos de exclusão tratados
Ainda não simulado

Perguntas Difíceis

40 perguntas que um auditor, órgão ou cliente enterprise pode fazer. Rode uma simulação para ver o que a empresa conseguiria provar.

  • ?
    Mostre a prova de consentimento desse cliente.
  • ?
    Qual texto foi exibido no momento do consentimento?
  • ?
    O cliente autorizou WhatsApp promocional ou apenas comunicação transacional?
  • ?
    Quando o cliente revogou a autorização?
  • ?
    Essa campanha respeitou o opt-out?

Resultados recentes

Abra o resultado completo: nota, perguntas, lacunas, linha do tempo, plano e dossiê.

Fiscalização de proteção de dados

Ponto não defensável

Fiscalização de proteção de dados — Q2/2026

40/100

3 lacunas · 3 ações · 20 de jun. de 2026

Questionamento de campanha

Parcialmente pronto

Questionamento da campanha de Maio

70/100

2 lacunas · 2 ações · 15 de jun. de 2026

Auditoria de IA

Ponto não defensável

Auditoria de IA — atendimento assistido

54/100

3 lacunas · 3 ações · 22 de jun. de 2026

Lacunas Encontradas

2 críticas de 8 lacunas mapeadas. Cada lacuna mostra o que faltou e a ação corretiva recomendada.

Contatos importados sem evidência de origem

Consentimento sem evidência · Consentimento Vivo · Importação abr/2026 (1.240 contatos)

Gravidade crítica

Sem evidência, hash, política vinculada ou origem clara, não há como provar a autorização.

Evidência esperada
Registro de consentimento com hash, texto exibido, canal e origem.
Evidência encontrada
Apenas planilha de importação, sem texto nem origem.
Consequência potencial
Dificuldade de sustentar o contato em fiscalização ou reclamação.
Ação corretiva
Gerar novo consentimento ou localizar a evidência de origem antes de novo uso.
Responsável sugerido: DPO · prazo 7d
Bloqueia dossiê

Respostas de IA sensíveis sem aprovação humana

IA sem aprovação humana · Governança de IA · 12 respostas em temas sensíveis

Gravidade crítica

IA atuando em caso sensível sem aprovação humana fragiliza a rastreabilidade.

Evidência esperada
Log da IA com prompt, output, guardrail e aprovação humana.
Evidência encontrada
Logs de IA presentes, sem etapa de aprovação.
Consequência potencial
Dificuldade de explicar decisão assistida por IA.
Ação corretiva
Revisar as respostas de IA sensíveis e registrar a aprovação humana.
Responsável sugerido: Compliance · prazo 7d
Bloqueia dossiê

Retenção sem justificativa em exclusões parciais

Retenção sem justificativa · Solicitações de Titulares · 3 pedidos de exclusão parcial

Gravidade alta

Retenção sem justificativa não responde 'por que o dado foi mantido'.

Evidência esperada
Base legal/fiscal/contratual e responsável pela retenção.
Evidência encontrada
Registro do pedido, sem justificativa da retenção.
Consequência potencial
Questionamento sobre retenção indevida após pedido de exclusão.
Ação corretiva
Registrar justificativa de retenção e a política aplicável.
Responsável sugerido: DPO · prazo 10d

Dois pedidos de titular com SLA vencido

SLA vencido · Solicitações de Titulares · CTR-DSR-0188 e CTR-DSR-0193

Gravidade alta

SLA vencido em pedido de titular indica atraso no direito.

Evidência esperada
Resposta dentro do prazo ou justificativa de prorrogação.
Evidência encontrada
Pedidos abertos com data de vencimento ultrapassada.
Consequência potencial
Atraso difícil de justificar perante o titular.
Ação corretiva
Priorizar a resposta e registrar a justificativa de prazo.
Responsável sugerido: DPO · prazo 5d

Reclamação sem evidência da resposta final

Conversa crítica sem revisão · Radar de Atendimento · Ticket CH-2041

Gravidade alta

Conversa crítica sem evidência ou escalonamento não tem trilha de revisão.

Evidência esperada
Registro de escalonamento, resposta segura e evidência da conversa.
Evidência encontrada
Histórico parcial da conversa.
Consequência potencial
Exposição em reclamação de cliente ou órgão de defesa.
Ação corretiva
Revisar a conversa, registrar a resposta segura e vincular evidência.
Responsável sugerido: Gestor de CX · prazo 7d

Sem guardrail para ameaça de Procon

Guardrail ausente · Governança de IA · Fluxo de ameaça de Procon

Gravidade alta

Sem guardrail, a IA pode atuar em tema sensível sem barreira registrada.

Evidência esperada
Guardrail ativo cobrindo o fluxo sensível.
Evidência encontrada
Guardrails existentes não cobrem o fluxo.
Consequência potencial
Risco de resposta indevida não bloqueada.
Ação corretiva
Configurar guardrail para o fluxo e vincular à política.
Responsável sugerido: Compliance · prazo 14d

Dados sensíveis sem classificação

Dado sensível sem classificação · Governança de IA · Casos de saúde mencionados

Gravidade alta

Dado sensível sem classificação não recebe os controles adequados.

Evidência esperada
Classificação de sensibilidade aplicada ao dado.
Evidência encontrada
Uso registrado, sem classificação de sensibilidade.
Consequência potencial
Tratamento de dado sensível sem proteção proporcional.
Ação corretiva
Classificar o dado e aplicar os controles correspondentes.
Responsável sugerido: DPO · prazo 21d

Texto de consentimento antigo no público

Script obsoleto · Consentimento Vivo · Público parcial da Campanha Maio

Gravidade média

Script obsoleto em uso pode conter linguagem de risco já corrigida.

Evidência esperada
Vínculo ao script aprovado vigente.
Evidência encontrada
Versão aceita registrada, anterior à vigente.
Consequência potencial
Atendimento fora do padrão aprovado.
Ação corretiva
Vincular o script aprovado vigente ao fluxo de atendimento.
Responsável sugerido: Gestor de CX · prazo 14d

Plano de Correção Prioritário

Ações ordenadas por risco, gravidade e capacidade de reduzir lacunas.

  1. 1

    Gerar novo consentimento ou localizar a evidência de origem antes de novo uso.

    Consentimento sem evidência em Importação abr/2026 (1.240 contatos). Sem evidência, hash, política vinculada ou origem clara, não há como provar a autorização.

    Aberta
    Reduz
    Crítico
    · Consentimento Vivo· DPO· esforço alto· prazo 7d

    Evidência esperada: Registro de consentimento com hash, texto exibido, canal e origem.

  2. 2

    Revisar as respostas de IA sensíveis e registrar a aprovação humana.

    IA sem aprovação humana em 12 respostas em temas sensíveis. IA atuando em caso sensível sem aprovação humana fragiliza a rastreabilidade.

    Aberta
    Reduz
    Crítico
    · Governança de IA· Compliance· esforço alto· prazo 7d

    Evidência esperada: Log da IA com prompt, output, guardrail e aprovação humana.

  3. 3

    Registrar justificativa de retenção e a política aplicável.

    Retenção sem justificativa em 3 pedidos de exclusão parcial. Retenção sem justificativa não responde 'por que o dado foi mantido'.

    Aberta
    Reduz
    Atenção
    · Solicitações de Titulares· DPO· esforço médio· prazo 10d

    Evidência esperada: Base legal/fiscal/contratual e responsável pela retenção.

  4. 4

    Priorizar a resposta e registrar a justificativa de prazo.

    SLA vencido em CTR-DSR-0188 e CTR-DSR-0193. SLA vencido em pedido de titular indica atraso no direito.

    Aberta
    Reduz
    Atenção
    · Solicitações de Titulares· DPO· esforço médio· prazo 5d

    Evidência esperada: Resposta dentro do prazo ou justificativa de prorrogação.

  5. 5

    Revisar a conversa, registrar a resposta segura e vincular evidência.

    Conversa crítica sem revisão em Ticket CH-2041. Conversa crítica sem evidência ou escalonamento não tem trilha de revisão.

    Aberta
    Reduz
    Atenção
    · Radar de Atendimento· Gestor de CX· esforço médio· prazo 7d

    Evidência esperada: Registro de escalonamento, resposta segura e evidência da conversa.

  6. 6

    Configurar guardrail para o fluxo e vincular à política.

    Guardrail ausente em Fluxo de ameaça de Procon. Sem guardrail, a IA pode atuar em tema sensível sem barreira registrada.

    Aberta
    Reduz
    Atenção
    · Governança de IA· Compliance· esforço médio· prazo 14d

    Evidência esperada: Guardrail ativo cobrindo o fluxo sensível.

  7. 7

    Classificar o dado e aplicar os controles correspondentes.

    Dado sensível sem classificação em Casos de saúde mencionados. Dado sensível sem classificação não recebe os controles adequados.

    Aberta
    Reduz
    Atenção
    · Governança de IA· DPO· esforço médio· prazo 21d

    Evidência esperada: Classificação de sensibilidade aplicada ao dado.

  8. 8

    Vincular o script aprovado vigente ao fluxo de atendimento.

    Script obsoleto em Público parcial da Campanha Maio. Script obsoleto em uso pode conter linguagem de risco já corrigida.

    Aberta
    Reduz
    Em revisão
    · Consentimento Vivo· Gestor de CX· esforço médio· prazo 14d

    Evidência esperada: Vínculo ao script aprovado vigente.

Prontidão por Módulo

Onde cada módulo está mais forte e onde precisa de evidência.

Consentimento Vivo

Atenção
64/100
Forças:
Canais registrados
Lacunas:
Origem de importação sem evidência
Evidências:
4 encontradas · 2 ausentes

Ação: Gerar consentimento para contatos importados.

Campanhas Seguras

Pronto
88/100
Forças:
Aprovações registradas, Opt-out claro
Lacunas:
Nenhuma relevante
Evidências:
7 encontradas · 0 ausentes

Ação: Manter dossiês de campanhas aprovadas.

Solicitações de Titulares

Atenção
62/100
Forças:
Respostas registradas
Lacunas:
SLA vencido, Retenção sem justificativa
Evidências:
5 encontradas · 3 ausentes

Ação: Registrar justificativas de retenção e prazo.

Central de Políticas

Pronto
90/100
Forças:
Versões publicadas, Aceites registrados
Lacunas:
Nenhuma relevante
Evidências:
6 encontradas · 0 ausentes

Ação: Manter vínculo de versão vigente aos eventos.

Cofre de Evidências

Pronto
84/100
Forças:
Hash e custódia
Lacunas:
Nenhuma relevante
Evidências:
9 encontradas · 1 ausentes

Ação: Justificar exportações sensíveis.

Prontidão por Operação

Onde a operação está mais exposta: unidades, canais, times, campanhas e produtos.

  • Unidade Centro
    Crítico

    Unidade · Consentimento Vivo mais frágil

    Nota 58 · 2 lacunas críticas · Gerente Centro ·

  • Unidade Sul
    Em revisão

    Unidade · Solicitações de Titulares mais frágil

    Nota 76 · 1 lacunas críticas · Gerente Sul ·

  • Canal WhatsApp
    Atenção

    Canal · Consentimento Vivo mais frágil

    Nota 70 · 1 lacunas críticas · Growth ·

Recomendações de Prontidão

Onde agir primeiro para reduzir risco antes de uma fiscalização real.

Priorizar consentimentos importados sem evidência antes da próxima campanha

Crítico

Há lista importada sem texto exibido nem origem confiável.

Risco reduzido:
Crítico
Esforço:
médio
Impacto executivo:
Reduz exposição em fiscalização de dados
Impacto compliance:
Sustenta base legal dos contatos
Área:
DPO
Dependências:
Growth, DPO

Revisar respostas de IA em casos críticos dos últimos 30 dias

Crítico

12 respostas sensíveis foram enviadas sem aprovação humana registrada.

Risco reduzido:
Crítico
Esforço:
médio
Impacto executivo:
Reduz risco de decisão automatizada sensível
Impacto compliance:
Reforça aprovação humana
Área:
Compliance
Dependências:
Compliance

Registrar justificativa de retenção em pedidos de exclusão parcial

Atenção

Retenções aplicadas sem base registrada após pedidos de exclusão.

Risco reduzido:
Atenção
Esforço:
baixo
Impacto executivo:
Evita retenção indevida
Impacto compliance:
Documenta base de retenção
Área:
DPO
Dependências:

Configurar guardrail para impedir IA de responder ameaça de Procon

Atenção

Não há guardrail cobrindo o fluxo de ameaça de Procon.

Risco reduzido:
Atenção
Esforço:
baixo
Impacto executivo:
Reduz risco reputacional
Impacto compliance:
Garante revisão humana
Área:
Compliance
Dependências:
IA

Criar evidência final para solicitações encerradas sem comprovante

Em revisão

Há atendimento e pedido encerrados sem evidência da resposta final.

Risco reduzido:
Em revisão
Esforço:
baixo
Impacto executivo:
Fecha lacunas de prova
Impacto compliance:
Comprova o atendimento
Área:
CX
Dependências:

Pergunte como Auditor

Faça a pergunta difícil em linguagem natural e veja o que a empresa conseguiria provar.

Linha do Tempo Reconstruída

Caso em foco: Fiscalização de proteção de dados — Q2/2026. Eventos esperados; lacunas marcam o que não foi encontrado.

  1. Política de privacidade v3.0 publicada

    Versão vigente com evidência de publicação.

    Central de Políticas · Política v3.0 · Marina (DPO) · EVD-2026-0210

  2. Importação de contatos (abr/2026)

    Lista importada sem texto de consentimento nem origem.

    Consentimento Vivo · Importação abr/2026 · Growth · sem evidência

    Evento esperado não encontrado: evidência de origem do consentimento.

  3. Campanha promocional aprovada

    Aprovação humana registrada antes do envio.

    Campanhas Seguras · Campanha Maio · Compliance · EVD-CMP-0504

  4. Pedido de exclusão parcial

    Dados mantidos sem justificativa registrada.

    Solicitações de Titulares · CTR-DSR-0188 · DPO · sem evidência

    Evento esperado não encontrado: justificativa de retenção.

Resumo para Diretoria

Leitura simples e não técnica do caso em foco para a liderança.

A operação está razoavelmente preparada, mas há pontos que hoje seriam difíceis de explicar.

A empresa consegue provar

  • Aprovação de campanhas
  • Política vigente por data
  • Cadeia de custódia das evidências

A empresa ainda não consegue provar

  • Origem de parte dos contatos importados
  • Base de algumas retenções

Maiores riscos

Consentimento de contatos importadosRetenção sem justificativaDois SLAs vencidos

Ações de 7 dias

  • Gerar consentimento para contatos importados
  • Responder os 2 pedidos vencidos

Ações de 30 dias

  • Registrar justificativas de retenção
  • Revisar finalidades promocionais

Ações de 90 dias

  • Padronizar evidência de origem na importação
  • Auditoria por unidade
Módulos mais críticos
Consentimento Vivo, Solicitações de Titulares
Unidades mais críticas
Unidade Centro
Esforço recomendado
Esforço concentrado de DPO e Growth por 2 semanas.
Decisão esperada da liderança
Aprovar plano de correção e priorizar consentimentos importados.

Exportações e Acessos Sensíveis

Acessos e exportações com justificativa, horário e risco — incluindo acessos incomuns.

  • Dossiê
    Marina (DPO)Dossiê — Fiscalização de dados Q2
    Em revisão
    20 de jun., 12:00

    Justificativa: Preparação interna para reunião de compliance.

  • Evidência
    Rafael (Compliance)Evidências de IA — atendimento
    Atenção
    22 de jun., 07:00

    Justificativa: Revisão das respostas sensíveis.

  • Acesso sensível
    Usuário externo (auditor)Acesso a dados de titulares
    Crítico
    23 de jun., 19:40

    Sem justificativa registrada — Solicitar justificativa do acesso fora do horário comum.

Modo Due Diligence

Visão agregada de maturidade para grandes contas, parceiros e investidores.

Visão preparada para grandes contas, parceiros e investidores. Por padrão exibe apenas métricas agregadas e oculta dados pessoais; libere detalhes apenas com autorização.

Privacidade

Em revisão
78/100

Detalhes ocultos por padrão (dados agregados).

IA governada

Em revisão
70/100

Detalhes ocultos por padrão (dados agregados).

Evidências

Seguro
86/100

Detalhes ocultos por padrão (dados agregados).

Políticas

Seguro
88/100

Detalhes ocultos por padrão (dados agregados).

Atendimento

Em revisão
76/100

Detalhes ocultos por padrão (dados agregados).

Campanhas

Em revisão
84/100

Detalhes ocultos por padrão (dados agregados).

Solicitações de titulares

Atenção
68/100

Detalhes ocultos por padrão (dados agregados).

Modo Crise

Sala de controle para incidentes: linha do tempo, responsáveis, ações urgentes e comunicação.

Sala de crise — reclamação pública sobre cobrança

Reclamação viralizada + ameaça de Procon · aberta 24 de jun., 05:30

Crítico
Marina (DPO)
Rafael (Compliance)
Jurídico externo

Ações urgentes

  • Reconstruir linha do tempo do caso
  • Pausar campanhas para o cliente afetado
    Exige aprovação humana
  • Bloquear resposta automática da IA no caso
    Exige aprovação humana
  • Aprovar comunicado oficial
    Exige aprovação humana
  • Montar dossiê do caso

Fluxos pausados

  • · Campanha de cobrança automática
  • · Lembretes de pagamento

IA bloqueada

  • · Resposta automática a ameaça de Procon

Próximo comunicado: Comunicado oficial aguardando aprovação do jurídico.

Riscos ainda abertos

  • · Texto de cobrança pode ter sido percebido como coercitivo
  • · Aguardando evidência de resposta final

A Centriu apoia a governança e a rastreabilidade da operação, mas decisões jurídicas devem ser revisadas por profissionais responsáveis.