top of page
  • LinkedIn
Buscar

Auditoria em Contratos Públicos: O Pilar que Seu Programa de Compliance Não Pode Ignorar

  • Foto do escritor: Sandro Valerio
    Sandro Valerio
  • há 4 dias
  • 10 min de leitura

A Empresa Que Achava Que Tinha Compliance

Uma empresa de tecnologia venceu uma licitação de R$ 40 milhões. Tinha código de ética aprovado pela diretoria, canal de denúncias ativo, política anticorrupção assinada por todos os colaboradores. O programa de integridade estava documentado, organizado e pronto para ser apresentado à CGU a qualquer momento.

Dois anos depois, a empresa respondeu a um Processo Administrativo de Responsabilização. A CGU concluiu que o programa existia no papel. Nenhuma auditoria havia verificado se os procedimentos documentados eram aplicados na prática. Nenhum auditor externo havia testado os controles, validado os registros contábeis ou confrontado o que estava escrito com o que era feito. O programa de integridade, formalmente impecável, era uma declaração de intenções sem verificação independente.

A multa chegou a 8% do faturamento bruto. Os contratos foram suspensos. A reputação da empresa, construída em anos de trabalho, foi destruída em meses de processo.

Esse cenário não é hipotético. É o padrão do que acontece quando o compliance é tratado como exercício burocrático, e não como sistema real de gestão de riscos. E o elemento que separa o compliance real do compliance decorativo tem um nome preciso: auditoria externa independente.

O Que Mudou: O Novo Marco Regulatório do Compliance Público

Durante anos, o programa de integridade foi tratado pelas empresas como um diferencial voluntário, uma boa prática para quem quisesse participar do Programa Empresa Pró-Ética da CGU. Esse tempo passou.

O Decreto nº 12.304, de 9 de dezembro de 2024, regulamentou dispositivos da Lei nº 14.133/2021 e tornou o programa de integridade condição operacional obrigatória em três situações precisas: nas contratações de obras, serviços e fornecimentos de grande vulto; no desempate entre propostas concorrentes; e na reabilitação de licitante ou contratado. A Portaria Normativa SE/CGU nº 226, de 9 de setembro de 2025, foi mais longe, estabelecendo a metodologia detalhada de avaliação do programa, com critérios objetivos e documentação exigível.

O resultado prático é direto. Contratos de grande vulto exigem programa de integridade avaliado pela CGU. Empate técnico é desfeito em favor da empresa com programa mais bem avaliado. Reabilitação de empresa sancionada pressupõe programa estruturado e verificável. Compliance deixou de ser opcional. É requisito de participação no mercado público.

E o ponto central está explícito no Art. 2º do Decreto 12.304: o programa de integridade é definido como o conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades. Auditoria não é consequência do programa. É elemento constitutivo.

Os 15 Parâmetros da CGU: Onde a Auditoria Aparece

A Portaria SE/CGU 226/2025 define os parâmetros pelos quais o programa de integridade será avaliado. São quinze critérios objetivos, e a auditoria perpassa ao menos quatro deles de forma direta. O comprometimento da alta direção não é demonstrado por declaração formal, mas por destinação comprovável de recursos adequados. Os controles internos que asseguram a confiabilidade de relatórios e demonstrações financeiras precisam ser testados, não apenas descritos. As diligências para contratação de fornecedores baseadas em risco precisam de processo verificável. E os procedimentos específicos para prevenir fraudes em processos licitatórios, para serem considerados efetivos pela CGU, precisam de evidência de que foram implementados e monitorados.

Uma empresa que descreve seus controles sem auditá-los independentemente apresenta à CGU um programa cujos parâmetros não são verificáveis. A CGU avalia o que pode ser demonstrado, não o que é declarado.

O Que Auditoria Externa Faz Que Auditoria Interna Não Faz

Essa distinção é fundamental e pouco compreendida pelo mercado. A auditoria interna é feita por profissionais que pertencem à organização auditada. Por melhor que seja, ela opera dentro dos limites estruturais do vínculo empregatício: o auditor interno reporta à organização que o remunera, avalia processos nos quais colegas estão envolvidos e produz relatórios que circulam internamente. A auditoria interna é útil para gestão cotidiana de riscos. Não é suficiente como instrumento de verificação independente.

A auditoria externa é conduzida por profissionais sem vínculo com a organização auditada. Ela analisa os controles internos sem interesse no resultado. Ela emite opinião sobre a efetividade dos processos, não sobre sua formalização. Ela identifica lacunas que a estrutura interna, por razões humanas compreensíveis, tende a minimizar ou não enxergar.

Para fins do programa de integridade avaliado pela CGU, a diferença entre os dois é a diferença entre autoavaliação e verificação independente. A CGU entende essa diferença. O mercado ainda está aprendendo.

Há três funções específicas que a auditoria externa cumpre e que a auditoria interna estruturalmente não consegue substituir.

Independência formal perante órgãos de controle. Quando a CGU analisa um programa de integridade no contexto de um PAR, ela distingue entre declarações da empresa e verificações independentes. O relatório de auditoria externa funciona como evidência de terceiro. A ausência desse relatório, numa instrução processual de PAR, é lacuna que pesa na dosimetria.

Detecção de risco que a organização não enxerga a si mesma. A maior parte das fraudes em contratos públicos não ocorre apesar dos controles internos, mas dentro deles, aproveitando brechas que os próprios controladores não identificaram. O auditor externo olha de fora. Enxerga o que o olhar de dentro deixou de ver.

Credibilidade perante parceiros, financiadores e o mercado. Empresas que contratam com a Administração Pública Federal movimentam volume expressivo de recursos. Instituições financeiras, seguradoras e parceiros comerciais de grande porte exigem, cada vez mais, evidência de compliance verificável. O relatório de auditoria externa é essa evidência.

O Risco de Não Ter: O Que Está em Jogo

A Lei nº 12.846/2013, conhecida como Lei Anticorrupção, estabelece responsabilidade objetiva da pessoa jurídica. Isso significa que a empresa responde pelos atos lesivos praticados em seu interesse ou benefício, independentemente de quem dentro da empresa praticou o ato e independentemente de dolo ou culpa. Não é necessário provar que a diretoria sabia. Basta demonstrar que o ato ocorreu e que a empresa beneficiou-se.

As sanções administrativas chegam a 20% do faturamento bruto do exercício anterior. Se não for possível calcular sobre o faturamento, a multa pode chegar a R$ 60 milhões. A publicação extraordinária da decisão condenatória, que é a divulgação pública da condenação à custa da empresa, é sanção cumulativa. No processo judicial, as sanções incluem perdimento de bens e valores obtidos na infração, proibição de receber recursos públicos por até cinco anos e dissolução compulsória da pessoa jurídica.

Um programa de integridade efetivo, com auditoria externa documentada, é fator atenuante obrigatório na dosimetria dessas sanções. O Art. 7º, inciso VIII, da Lei 12.846/2013 é norma cogente: a autoridade julgadora é obrigada a considerar o programa na dosimetria. Uma decisão que ignora o programa de integridade é nula por vício de motivação.

Mas o programa precisa ser efetivo. E a efetividade, nos termos do Decreto 12.304/2024 e da Portaria SE/CGU 226/2025, exige demonstração verificável, não apenas declaração formal. É aqui que a auditoria externa transforma o programa de integridade em instrumento de defesa real.

A Auditoria como Ferramenta de Defesa no PAR

Quando uma empresa enfrenta um PAR, a defesa opera em duas linhas simultâneas. A primeira são as preliminares: vícios processuais, incompetência da autoridade, nulidades na instrução. A segunda é o mérito: demonstrar que o ato lesivo não ocorreu ou que os fatos não se enquadram nos tipos taxativos do Art. 5º da Lei 12.846/2013.

Mas mesmo quando as duas linhas não eliminam completamente a responsabilidade, a dosimetria pode ser decisiva. Uma multa de 20% do faturamento e uma multa de 0,1% do faturamento são, para uma empresa de médio porte, a diferença entre sobreviver e fechar.

O programa de integridade, auditado externamente e documentado, é o instrumento mais eficaz disponível para redução da sanção. O relatório de auditoria externa demonstra à autoridade julgadora que a empresa não apenas tinha controles documentados, mas que esses controles foram verificados por profissionais independentes, que vulnerabilidades foram identificadas e corrigidas, e que a cultura organizacional de integridade é real e operacional. Uma empresa que apresenta esse dossiê numa defesa de PAR está em posição radicalmente diferente daquela que apresenta apenas o manual de conduta aprovado pela diretoria.

O Que a Auditoria em Contratos Públicos Abrange

A auditoria externa especializada em contratos públicos não é uma auditoria financeira genérica. Ela tem objeto específico e protocolo técnico próprio. O escopo mínimo de uma auditoria de compliance em contratos públicos cobre seis áreas críticas.

Verificação dos controles internos contra fraude em licitações. O Art. 3º, VIII, do Decreto 12.304/2024 exige procedimentos específicos para prevenir fraudes em processos licitatórios. A auditoria testa se esses procedimentos existem na prática, não apenas na política documentada. Verifica se há segregação de funções nas fases de preparação das propostas, se há alçada de aprovação independente, se os registros de decisão são rastreáveis.

Validação dos registros contábeis e financeiros. O Art. 3º, VI, do Decreto 12.304/2024 exige que os registros contábeis reflitam de forma completa e precisa as transações da empresa. A auditoria verifica se as transações com o setor público, incluindo subcontratações, despesas diretas no âmbito dos contratos e pagamentos a terceiros, estão registradas com precisão e rastreabilidade.

Avaliação dos canais de denúncia. O canal de denúncias é um dos critérios mais objetivamente verificáveis pela CGU. A auditoria avalia se o canal existe, se é acessível a funcionários e terceiros, se garante anonimato e proteção ao denunciante, e se as denúncias recebidas foram apuradas com tempestividade.

Due diligence de terceiros. Fornecedores, subcontratados e parceiros comerciais são um dos maiores vetores de risco de corrupção em contratos públicos. A auditoria verifica se a empresa realiza diligências baseadas em risco antes de contratar terceiros que atuam em seu nome perante a Administração Pública.

Adequação da gestão de riscos. O programa de integridade precisa ser atualizado periodicamente conforme os riscos relevantes das atividades da empresa mudam. A auditoria verifica se a matriz de riscos está atualizada, se foi submetida a revisão periódica e se as medidas adotadas correspondem aos riscos identificados.

Conformidade na execução dos contratos públicos em curso. Esta é a área de maior risco operacional. A auditoria verifica se os procedimentos de integridade estão sendo cumpridos na execução específica dos contratos, incluindo a gestão de modificações contratuais, o tratamento de pedidos de reequilíbrio e o registro das comunicações com a Administração.

O Novo Ciclo do Compliance: Prevenção, Detecção e Remediação

A CGU organiza o compliance em três funções complementares: prevenir, detectar e remediar. Nenhuma das três funciona sem verificação independente. A prevenção depende de controles internos que, sem auditoria, não têm como demonstrar que funcionam. A detecção depende de monitoramento que, sem auditor externo, é feita pelo mesmo sistema que o programa está avaliando. A remediação, que é a capacidade de corrigir desvios quando detectados, só é credível quando documentada por terceiro independente que confirme que a correção foi efetiva.

O Programa Empresa Pró-Ética da CGU, que desde 2010 reconhece empresas com programas de integridade exemplares, utiliza exatamente esse modelo. As empresas aprovadas no Pró-Ética não são as que têm os manuais mais detalhados. São as que demonstram implementação real, com evidências verificáveis de que cada componente do programa funciona na prática.

A aprovação no Pró-Ética não é obrigatória. Mas o padrão que ela estabelece é o parâmetro real pelo qual a CGU avalia programas de integridade em processos de responsabilização. Uma empresa que alinha seu programa de compliance ao padrão Pró-Ética e audita externamente essa conformidade está operando no mesmo referencial que a CGU usará para avaliá-la.

Por Que Contratar Advocacia Especializada para Conduzir ou Supervisionar a Auditoria?

A auditoria de compliance em contratos públicos tem dimensão técnica e dimensão jurídica. A dimensão técnica, verificar controles, testar processos, avaliar registros, é trabalho do auditor. A dimensão jurídica, interpretar o enquadramento normativo, identificar quais lacunas geram risco de responsabilização, e documentar os resultados de forma que sejam utilizáveis em eventual defesa administrativa, é trabalho do advogado especializado. As duas dimensões precisam funcionar juntas.

Uma auditoria tecnicamente perfeita que produz relatórios sem conexão com os tipos legais do Art. 5º da Lei 12.846/2013 e com os parâmetros do Decreto 12.304/2024 é auditoria que não cumpre sua função jurídica. E uma análise jurídica que não se baseia em verificação factual dos controles é parecer sem lastro.

A Advocacia Valerio atua nessa interface. Com mais de cinco anos de assessoria jurídica contínua a empresas com contratos públicos em carteira, conhecemos os parâmetros que a CGU utiliza, os pontos que os órgãos de controle examinam primeiro e as lacunas que mais frequentemente resultam em PAR. Estruturamos e supervisionamos programas de auditoria de compliance que produzem dois resultados simultâneos: melhoria real dos controles internos da empresa e documentação jurídica utilizável em eventual defesa.

O Guia de Boas Práticas em Contratação Pública (2026): A Mensagem do Próprio Governo

O Guia de Boas Práticas em Contratação Pública publicado pelo Ministério dos Direitos Humanos e da Cidadania em maio de 2026, com base na Lei 14.133/2021, destaca que as exigências de habilitação e integridade, o que inclui o compliance, e a prevenção de sobrepreço e restrição indevida são responsabilidades centrais tanto do gestor público quanto da empresa contratada.

O guia estabelece, entre as boas práticas na análise de propostas e documentos, que a rastreabilidade dos registros é condição de legitimidade do processo. Empresas que executam contratos públicos com registros auditados e verificáveis não apenas se protegem: elas facilitam a fiscalização do gestor público, reduzem o risco de questionamento posterior e constroem a reputação de parceiro confiável que o mercado público cada vez mais valoriza.

O compliance auditado não é custo. É fator de competitividade.

O Que Fazer Agora

Se sua empresa contrata com a Administração Pública e ainda não submeteu seu programa de integridade a uma auditoria externa independente, há três situações que exigem ação imediata.

Contratos em execução acima de R$ 200 milhões. A partir desse valor, você está no radar do controle externo do TCU e da CGU. A ausência de programa de integridade auditado é vulnerabilidade documentável.

Participação em licitações de grande vulto. O Decreto 12.304/2024 já está em vigor. Editais de grande vulto passaram a incluir, ou incluirão em breve, exigência de programa de integridade como requisito de habilitação ou como critério de desempate. Sua proposta precisa estar acompanhada de programa verificável.

Histórico de sanções ou processos administrativos em curso. Se sua empresa já respondeu a processo da CGU ou do TCU, a ausência de programa de integridade auditado é agravante real na dosimetria. A existência de programa auditado, mesmo constituído após o fato, é fator que demonstra mudança de cultura organizacional e pode reduzir a sanção.

Em qualquer dessas situações, o primeiro passo não é contratar auditoria. É realizar diagnóstico jurídico do programa de integridade existente, identificar as lacunas críticas e estruturar o escopo de auditoria que produza o maior efeito protetivo.

Conclusão: Compliance Sem Auditoria Não É Compliance

Toda empresa que contrata com o poder público tem um programa de integridade. Algumas têm documentos. Outras têm sistemas. Poucas têm os dois, mais a verificação independente que transforma sistema em prova.

A diferença entre o programa que protege e o programa que apenas ocupa espaço num servidor não é de tamanho, nem de sofisticação do documento. É de verificação. O que foi auditado pode ser demonstrado. O que não foi auditado é declaração.

Quando a CGU bate na porta, ela não lê o manual. Ela pede evidências.

Sandro Valerio | OAB-PR nº 70.516

Advogado especialista em Licitações, Contratos Públicos e Compliance Público.

 
 
 

Posts recentes

Ver tudo

Comentários

Stat Crux dum volvitur orbis

Valerio Sociedade de Advocacia
Inscrição na OAB-PR nº 10.743

Sandro Valerio - Advogado titular

Inscrição na OAB-PR Nº 70.516

Telefone e WhatsApp+55 41 3798-4339

© 2023 ADVOCACIA VALERIO | CNPJ: 38.259.316/0001-75 

bottom of page