Artigos · Advocacia Valerio

Auditoria em Contratos Públicos: O Pilar que Seu Programa de Compliance Não Pode Ignorar

Publicado em 27 de maio de 2026

A Empresa Que Achava Que Tinha Compliance

Uma empresa de tecnologia venceu uma licitação de R$ 40 milhões. Tinha código de ética aprovado pela diretoria, canal de denúncias ativo, política anticorrupção assinada por todos os colaboradores. O programa de integridade estava documentado, organizado e pronto para ser apresentado à CGU a qualquer momento.

Dois anos depois, a empresa respondeu a um Processo Administrativo de Responsabilização. A CGU concluiu que o programa existia no papel. Nenhuma auditoria havia verificado se os procedimentos documentados eram aplicados na prática. Nenhum auditor externo havia testado os controles, validado os registros contábeis ou confrontado o que estava escrito com o que era feito. O programa de integridade, formalmente impecável, era uma declaração de intenções sem verificação independente.

A multa chegou a 8% do faturamento bruto. Os contratos foram suspensos. A reputação da empresa, construída em anos de trabalho, foi destruída em meses de processo.

Esse cenário não é hipotético. É o padrão do que acontece quando o compliance é tratado como exercício burocrático, e não como sistema real de gestão de riscos. E o elemento que separa o compliance real do compliance decorativo tem um nome preciso: auditoria externa independente.

O Que Mudou: O Novo Marco Regulatório do Compliance Público

Durante anos, o programa de integridade foi tratado pelas empresas como um diferencial voluntário, uma boa prática para quem quisesse participar do Programa Empresa Pró-Ética da CGU. Esse tempo passou.

O Decreto nº 12.304, de 9 de dezembro de 2024, regulamentou dispositivos da Lei nº 14.133/2021 e tornou o programa de integridade condição operacional obrigatória em três situações precisas: nas contratações de obras, serviços e fornecimentos de grande vulto; no desempate entre propostas concorrentes; e na reabilitação de licitante ou contratado. A Portaria Normativa SE/CGU nº 226, de 9 de setembro de 2025, foi mais longe, estabelecendo a metodologia detalhada de avaliação do programa, com critérios objetivos e documentação exigível.

O resultado prático é direto. Contratos de grande vulto exigem programa de integridade avaliado pela CGU. Empate técnico é desfeito em favor da empresa com programa mais bem avaliado. Reabilitação de empresa sancionada pressupõe programa estruturado e verificável. Compliance deixou de ser opcional. É requisito de participação no mercado público.

E o ponto central está explícito no Art. 2º do Decreto 12.304: o programa de integridade é definido como o conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades. Auditoria não é consequência do programa. É elemento constitutivo.

Os 15 Parâmetros da CGU: Onde a Auditoria Aparece

A Portaria SE/CGU 226/2025 define os parâmetros pelos quais o programa de integridade será avaliado. São quinze critérios objetivos, e a auditoria perpassa ao menos quatro deles de forma direta. O comprometimento da alta direção não é demonstrado por declaração formal, mas por destinação comprovável de recursos adequados. Os controles internos que asseguram a confiabilidade de relatórios e demonstrações financeiras precisam ser testados, não apenas descritos. As diligências para contratação de fornecedores baseadas em risco precisam de processo verificável. E os procedimentos específicos para prevenir fraudes em processos licitatórios, para serem considerados efetivos pela CGU, precisam de evidência de que foram implementados e monitorados.

Uma empresa que descreve seus controles sem auditá-los independentemente apresenta à CGU um programa cujos parâmetros não são verificáveis. A CGU avalia o que pode ser demonstrado, não o que é declarado.

O Que Auditoria Externa Faz Que Auditoria Interna Não Faz

Essa distinção é fundamental e pouco compreendida pelo mercado. A auditoria interna é feita por profissionais que pertencem à organização auditada. Por melhor que seja, ela opera dentro dos limites estruturais do vínculo empregatício: o auditor interno reporta à organização que o remunera, avalia processos nos quais colegas estão envolvidos e produz relatórios que circulam internamente. A auditoria interna é útil para gestão cotidiana de riscos. Não é suficiente como instrumento de verificação independente.

A auditoria externa é conduzida por profissionais sem vínculo com a organização auditada. Ela analisa os controles internos sem interesse no resultado. Ela emite opinião sobre a efetividade dos processos, não sobre sua formalização. Ela identifica lacunas que a estrutura interna, por razões humanas compreensíveis, tende a minimizar ou não enxergar.

Para fins do programa de integridade avaliado pela CGU, a diferença entre os dois é a diferença entre autoavaliação e verificação independente. A CGU entende essa diferença. O mercado ainda está aprendendo.

Há três funções específicas que a auditoria externa cumpre e que a auditoria interna estruturalmente não consegue substituir.

Independência formal perante órgãos de controle. Quando a CGU analisa um programa de integridade no contexto de um PAR, ela distingue entre declarações da empresa e verificações independentes. O relatório de auditoria externa funciona como evidência de terceiro. A ausência desse relatório, numa instrução processual de PAR, é lacuna que pesa na dosimetria.

Detecção de risco que a organização não enxerga a si mesma. A maior parte das fraudes em contratos públicos não ocorre apesar dos controles internos, mas dentro deles, aproveitando brechas que os próprios controladores não identificaram. O auditor externo olha de fora. Enxerga o que o olhar de dentro deixou de ver.

Credibilidade perante parceiros, financiadores e o mercado. Empresas que contratam com a Administração Pública Federal movimentam volume expressivo de recursos. Instituições financeiras, seguradoras e parceiros comerciais de grande porte exigem, cada vez mais, evidência de compliance verificável. O relatório de auditoria externa é essa evidência.

O Risco de Não Ter: O Que Está em Jogo

A Lei nº 12.846/2013, conhecida como Lei Anticorrupção, estabelece responsabilidade objetiva da pessoa jurídica. Isso significa que a empresa responde pelos atos lesivos praticados em seu interesse ou benefício, independentemente de quem dentro da empresa praticou o ato e independentemente de dolo ou culpa. Não é necessário provar que a diretoria sabia. Basta demonstrar que o ato ocorreu e que a empresa beneficiou-se.

As sanções administrativas chegam a 20% do faturamento bruto do exercício anterior. Se não for possível calcular sobre o faturamento, a multa pode chegar a R$ 60 milhões. A publicação extraordinária da decisão condenatória, que é a divulgação pública da condenação à custa da empresa, é sanção cumulativa. No processo judicial, as sanções incluem perdimento de bens e valores obtidos na infração, proibição de receber recursos públicos por até cinco anos e dissolução compulsória da pessoa jurídica.

Um programa de integridade efetivo, com auditoria externa documentada, é fator atenuante obrigatório na dosimetria dessas sanções. O Art. 7º, inciso VIII, da Lei 12.846/2013 é norma cogente: a autoridade julgadora é obrigada a considerar o programa na dosimetria. Uma decisão que ignora o programa de integridade é nula por vício de motivação.

Mas o programa precisa ser efetivo. E a efetividade, nos termos do Decreto 12.304/2024 e da Portaria SE/CGU 226/2025, exige demonstração verificável, não apenas declaração formal. É aqui que a auditoria externa transforma o programa de integridade em instrumento de defesa real.

A Auditoria como Ferramenta de Defesa no PAR

Quando uma empresa enfrenta um PAR, a defesa opera em duas linhas simultâneas. A primeira são as preliminares: vícios processuais, incompetência da autoridade, nulidades na instrução. A segunda é o mérito: demonstrar que o ato lesivo não ocorreu ou que os fatos não se enquadram nos tipos taxativos do Art. 5º da Lei 12.846/2013.

Mas mesmo quando as duas linhas não eliminam completamente a responsabilidade, a dosimetria pode ser decisiva. Uma multa de 20% do faturamento e uma multa de 0,1% do faturamento são, para uma empresa de médio porte, a diferença entre sobreviver e fechar.

O programa de integridade, auditado externamente e documentado, é o instrumento mais eficaz disponível para redução da sanção. O relatório de auditoria externa demonstra à autoridade julgadora que a empresa não apenas tinha controles documentados, mas que esses controles foram verificados por profissionais independentes, que vulnerabilidades foram identificadas e corrigidas, e que a cultura organizacional de integridade é real e operacional. Uma empresa que apresenta esse dossiê numa defesa de PAR está em posição radicalmente diferente daquela que apresenta apenas o manual de conduta aprovado pela diretoria.

O Que a Auditoria em Contratos Públicos Abrange

A auditoria externa especializada em contratos públicos não é uma auditoria financeira genérica. Ela tem objeto específico e protocolo técnico próprio. O escopo mínimo de uma auditoria de compliance em contratos públicos cobre seis áreas críticas.

O Novo Ciclo do Compliance: Prevenção, Detecção e Remediação

A CGU organiza o compliance em três funções complementares: prevenir, detectar e remediar. Nenhuma das três funciona sem verificação independente. A prevenção depende de controles internos que, sem auditoria, não têm como demonstrar que funcionam. A detecção depende de monitoramento que, sem auditor externo, é feita pelo mesmo sistema que o programa está avaliando. A remediação, que é a capacidade de corrigir desvios quando detectados, só é credível quando documentada por terceiro independente que confirme que a correção foi efetiva.

O Programa Empresa Pró-Ética da CGU, que desde 2010 reconhece empresas com programas de integridade exemplares, utiliza exatamente esse modelo. As empresas aprovadas no Pró-Ética não são as que têm os manuais mais detalhados. São as que demonstram implementação real, com evidências verificáveis de que cada componente do programa funciona na prática.

A aprovação no Pró-Ética não é obrigatória. Mas o padrão que ela estabelece é o parâmetro real pelo qual a CGU avalia programas de integridade em processos de responsabilização. Uma empresa que alinha seu programa de compliance ao padrão Pró-Ética e audita externamente essa conformidade está operando no mesmo referencial que a CGU usará para avaliá-la.

Por Que Contratar Advocacia Especializada para Conduzir ou Supervisionar a Auditoria?

A auditoria de compliance em contratos públicos tem dimensão técnica e dimensão jurídica. A dimensão técnica, verificar controles, testar processos, avaliar registros, é trabalho do auditor. A dimensão jurídica, interpretar o enquadramento normativo, identificar quais lacunas geram risco de responsabilização, e documentar os resultados de forma que sejam utilizáveis em eventual defesa administrativa, é trabalho do advogado especializado. As duas dimensões precisam funcionar juntas.

Uma auditoria tecnicamente perfeita que produz relatórios sem conexão com os tipos legais do Art. 5º da Lei 12.846/2013 e com os parâmetros do Decreto 12.304/2024 é auditoria que não cumpre sua função jurídica. E uma análise jurídica que não se baseia em verificação factual dos controles é parecer sem lastro.

A Advocacia Valerio atua nessa interface. Com mais de cinco anos de assessoria jurídica contínua a empresas com contratos públicos em carteira, conhecemos os parâmetros que a CGU utiliza, os pontos que os órgãos de controle examinam primeiro e as lacunas que mais frequentemente resultam em PAR. Estruturamos e supervisionamos programas de auditoria de compliance que produzem dois resultados simultâneos: melhoria real dos controles internos da empresa e documentação jurídica utilizável em eventual defesa.

O Guia de Boas Práticas em Contratação Pública (2026): A Mensagem do Próprio Governo

O Guia de Boas Práticas em Contratação Pública publicado pelo Ministério dos Direitos Humanos e da Cidadania em maio de 2026, com base na Lei 14.133/2021, destaca que as exigências de habilitação e integridade, o que inclui o compliance, e a prevenção de sobrepreço e restrição indevida são responsabilidades centrais tanto do gestor público quanto da empresa contratada.

O guia estabelece, entre as boas práticas na análise de propostas e documentos, que a rastreabilidade dos registros é condição de legitimidade do processo. Empresas que executam contratos públicos com registros auditados e verificáveis não apenas se protegem: elas facilitam a fiscalização do gestor público, reduzem o risco de questionamento posterior e constroem a reputação de parceiro confiável que o mercado público cada vez mais valoriza.

O compliance auditado não é custo. É fator de competitividade.

O Que Fazer Agora

Se sua empresa contrata com a Administração Pública e ainda não submeteu seu programa de integridade a uma auditoria externa independente, há três situações que exigem ação imediata.

Em qualquer dessas situações, o primeiro passo não é contratar auditoria. É realizar diagnóstico jurídico do programa de integridade existente, identificar as lacunas críticas e estruturar o escopo de auditoria que produza o maior efeito protetivo.

Conclusão: Compliance Sem Auditoria Não É Compliance

Toda empresa que contrata com o poder público tem um programa de integridade. Algumas têm documentos. Outras têm sistemas. Poucas têm os dois, mais a verificação independente que transforma sistema em prova.

A diferença entre o programa que protege e o programa que apenas ocupa espaço num servidor não é de tamanho, nem de sofisticação do documento. É de verificação. O que foi auditado pode ser demonstrado. O que não foi auditado é declaração.

Quando a CGU bate na porta, ela não lê o manual. Ela pede evidências.

Perguntas frequentes

Tenho código de ética e canal de denúncia. Meu programa de integridade já está completo?

Não necessariamente. Para a CGU, o que separa o compliance real do decorativo é a auditoria externa independente. Sem alguém de fora testar os controles e validar os registros, o programa é uma declaração de intenções, e a CGU avalia o que pode ser demonstrado, não o que é apenas declarado.

Qual a diferença entre auditoria interna e auditoria externa no compliance público?

A auditoria interna é feita por quem pertence à empresa e serve à gestão cotidiana de riscos. A externa é conduzida por profissionais sem vínculo, que opinam sobre a efetividade dos controles sem interesse no resultado e funcionam como evidência de terceiro perante a CGU, sobretudo num PAR.

Programa de integridade auditado ajuda a reduzir multa em processo da CGU?

Ajuda de forma decisiva. O art. 7º, VIII, da Lei 12.846/2013 obriga a autoridade a considerar o programa na dosimetria, e a decisão que o ignora é nula por vício de motivação. Programa auditado externamente é o instrumento mais eficaz para reduzir a sanção, por vezes a diferença entre sobreviver e fechar.

Quando minha empresa precisa de auditoria externa de compliance com urgência?

Em três situações: contratos em execução acima de R$ 200 milhões, participação em licitações de grande vulto, já que o Decreto 12.304/2024 exige programa de integridade, e histórico de sanções ou processo em curso, em que a ausência de programa auditado é agravante real na dosimetria.

Precisa de orientação sobre este tema? Fale com a Advocacia Valerio: contato@advocaciavalerio.com.br · WhatsApp +55 41 3798-4339 · Jurisprudência do TCU comentada
Conteúdo informativo elaborado pela Advocacia Valerio. Não substitui a análise jurídica do caso concreto.