
A ILUSÃO DE MATURIDADE EM COMPLIANCE: O QUE A 3ª PESQUISA NACIONAL DE TENDÊNCIAS SINALIZA PARA PROGRAMAS DE INTEGRIDADE E FORNECEDORES DO SETOR PÚBLICO
Ter canal de denúncias e código de conduta não comprova que o programa funciona; é a aplicação efetiva, e não a existência formal, que pesa quando a empresa precisa responder por um ato lesivo.
A 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance, conduzida pela Be.Aliant em parceria com a Protiviti Brasil e divulgada no início de 2026, com dados coletados em outubro e novembro de 2025 junto a 129 profissionais, traz um diagnóstico que merece atenção jurídica. O estudo mostra um mercado que já não discute se possui compliance, mas se o compliance que possui cobre, de forma efetiva, os riscos reais da organização.
O dado central é o contraste entre infraestrutura visível e fundações de profundidade. Quase todas as empresas possuem canal de denúncias e código de conduta, mas poucas auditam o programa, medem sua efetividade ou estendem a diligência a toda a cadeia de contratações. Esse descompasso, que a pesquisa chama de “ilusão de maturidade”, importa para além do público de compliance officers: atinge diretamente empresas que contratam com o setor público, organizações que dependem do programa de integridade como atenuante e fornecedores sujeitos a auditoria de terceiros.
O retrato: muita parede, pouca fundação
Os números desenham um programa de infraestrutura básica. Canal de denúncias aparece em 96,9% das organizações, código de conduta em 94,6% e investigações internas em 84,5%. Já os pilares que verificam se o programa funciona ficam para trás: a avaliação de riscos está em 62,8% e a auditoria e monitoramento em 56,5%.
A lacuna fica mais nítida na rotina. Apenas metade das empresas mantém indicadores para medir a efetividade do programa, e somente 36% realizam auditoria regular. Na ponta da prevenção, 60% não fazem due diligence para todas as contratações e 33% não submetem colaboradores a qualquer análise de integridade na admissão. O programa existe no papel; a verificação sistemática de seu funcionamento, não.
Existir e aplicar: uma distinção jurídica, não retórica
Essa diferença tem consequência direta na responsabilização. A Lei nº 12.846/2013 (Lei Anticorrupção) prevê, no art. 7º, inciso VIII, que a existência de programa de integridade é circunstância considerada na dosimetria da sanção. O Decreto nº 11.129/2022, ao regulamentar a matéria, é mais preciso: o art. 57 determina que o programa seja avaliado quanto a sua existência e aplicação, e o respectivo § 2º estabelece que a efetividade do programa em relação ao ato lesivo objeto de apuração será considerada nessa avaliação.
Em outras palavras, ter os documentos não basta. O que se examina em um processo administrativo de responsabilização é se o programa estava em funcionamento e se foi capaz de prevenir ou detectar o ato. Vários parâmetros do art. 57 dependem justamente das práticas que a pesquisa apontou como deficitárias: a gestão de riscos com análise e reavaliação periódicas (inciso V) e o monitoramento contínuo do programa (inciso XV). Um programa sem auditoria regular e sem indicadores tende a ser lido como existente, mas pouco aplicado, o que reduz seu peso como atenuante.
Investigações internas: controle ou conflito de interesses?
A pesquisa registra que 72% das organizações conduzem investigações de forma totalmente interna. À primeira vista, sinal de controle; na prática, fonte de risco quando o investigador está subordinado à mesma hierarquia do investigado. Some-se a isso a escassez de marco normativo brasileiro sobre procedimentos de investigação interna, o que deixa as empresas sem direcionamento claro sobre limites e cadeia de custódia das evidências.
Há ainda uma camada de proteção de dados. A apuração trata dados pessoais e, com frequência, dados sensíveis, atraindo as bases legais e os deveres da Lei nº 13.709/2018 (LGPD). Conduzir a investigação sem definir finalidade, retenção e segregação de acesso expõe a organização a um segundo risco, agora regulatório. O modelo mais defensável combina triagem interna com investigadores externos para casos complexos ou com potencial conflito de interesses.
Due diligence e a interface com a contratação pública
O dado de que 60% das empresas não fazem due diligence universal ganha contorno próprio para quem se relaciona com a Administração. A responsabilidade na Lei Anticorrupção é objetiva (art. 2º), e atos de terceiros podem alcançar a contratante. O Decreto nº 11.129/2022 lista, entre os parâmetros do programa, procedimentos específicos para prevenir fraudes e ilícitos em licitações e contratos (art. 57, inciso VIII) e a extensão de padrões de conduta a terceiros (inciso III).
A Lei nº 14.133/2021 reforça o ponto: além de exigir programa de integridade em contratações de grande vulto (art. 25, § 4º), trata o programa como critério de desempate (art. 60) e como condição em hipóteses de reabilitação de empresas sancionadas. Para fornecedores do setor público, a diligência seletiva deixa de ser apenas uma questão de maturidade e passa a representar exposição contratual e concorrencial.
A onda regulatória que ampliou o escopo
A pesquisa mostra o compliance absorvendo temas trazidos por novas normas. A judicialização da LGPD cresceu de forma expressiva, ampliando a exigência de governança de privacidade. Os riscos psicossociais entraram na agenda com a atualização da NR-01, promovida pela Portaria MTE nº 1.419/2024, cuja fiscalização punitiva começa em 26 de maio de 2026, sem nova prorrogação. A Lei nº 14.457/2022 (Programa Emprega + Mulheres) antecipou parte desse movimento ao reforçar canais e medidas contra o assédio.
Não por acaso, assédio e discriminação assumem o topo dos riscos gerenciados (86,8%), à frente de conflito de interesses e fraude. O ponto de atenção é que parte das empresas transfere essas responsabilidades ao RH sem a expertise de investigação e gestão de risco que o tema exige, criando zonas cinzentas de governança e de segregação de funções.
IA: prioridade declarada, adoção incipiente
A inteligência artificial é vista como prioridade por 91,5% dos profissionais, mas apenas cerca de um terço a implementou. A barreira não é cultural, e sim técnica: a fragmentação de dados impede análises integradas. Surge também uma nova categoria de risco, o uso indevido de IA (28,7%), associada a vazamentos e ao tratamento de informações sensíveis. Adotar IA sobre dados fragmentados, sem governança e sem revisão humana das decisões, pode converter a ferramenta em passivo, inclusive sob a LGPD.
Riscos típicos
- Programa formalmente completo, mas sem auditoria e sem indicadores que comprovem aplicação efetiva em eventual responsabilização.
- Due diligence restrita a cargos de alto risco, deixando terceiros e contratações relevantes fora do radar.
- Investigações totalmente internas, sem segregação entre investigador e investigado e sem disciplina de proteção de dados.
- Absorção de temas trabalhistas e de privacidade pelo RH sem estrutura de compliance correspondente.
- Uso de IA sobre dados fragmentados, sem governança nem revisão, gerando risco desproporcional ao ganho.
Oportunidades
- Implantar auditoria do programa, ainda que temática ou por amostragem, e indicadores objetivos que sustentem a defesa do orçamento e a demonstração de efetividade.
- Estruturar mapeamento periódico e documentado de riscos, integrado à gestão de riscos corporativos.
- Adotar modelo misto de investigação, com triagem interna e suporte externo para casos sensíveis.
- Estender a due diligence a toda a cadeia com base em risco, em especial para quem contrata com o setor público.
- Investir em integração e governança de dados antes de escalar soluções de IA.
Mensagem central
A pergunta que orienta o setor mudou de “temos compliance?” para “nosso programa resiste a um exame de efetividade?”. A 3ª Pesquisa Nacional confirma que a infraestrutura visível já está, em grande medida, instalada, e que o diferencial dos próximos anos estará na profundidade: auditar, medir, estender a diligência e documentar o funcionamento. Para empresas que contratam com o setor público e dependem do programa como atenuante, essas lacunas não são apenas sinais de imaturidade; são exposições jurídicas concretas, medidas no momento em que o programa é chamado a comprovar que funcionava.
Fontes:
BE.ALIANT; PROTIVITI. 3ª Pesquisa Nacional sobre as Necessidades e Tendências do Compliance: Tendências em Compliance para 2026. São Paulo, 2025/2026. Disponível em: conteudos.aliant.com.br/lp-pesquisas-compliance-etica-gestao-de-riscos. Acesso em: 3 jun. 2026.
Read More
Proteção ao denunciante e apuração segura: o que as orientações da CGU sinalizam para canais de denúncia e investigações internas
Boas práticas de sigilo, antirretaliação e integração entre funções de apuração — e como isso repercute em programas de integridade no setor público e privado.
A Controladoria-Geral da União (CGU) voltou a colocar em evidência um ponto que, na prática, define o sucesso (ou o fracasso) de uma apuração: o denunciante só relata quando percebe que o sistema é confiável. Em notícia publicada em 5 de maio de 2026, a CGU destacou orientações operacionais discutidas no webinário “Proteção ao denunciante: do relato à apuração segura”, com foco no tratamento de denúncias no Fala.BR e na atuação integrada entre ouvidorias e corregedorias.
Embora o evento tenha como público natural unidades do Poder Executivo federal, o conteúdo é útil também para empresas — sobretudo as que contratam com o setor público, reguladas por mecanismos de integridade e sujeitas a auditorias — porque consolida padrões de sigilo, rastreabilidade e prevenção de retaliação que vêm sendo exigidos como boa prática de governança.
O que está em jogo: não é “só um canal”, é um procedimento
Um canal de denúncia não é um e-mail ou uma caixa postal. É um procedimento que precisa responder a perguntas concretas: quem acessa os dados do denunciante, em qual momento, com qual justificativa e por quanto tempo? Como a denúncia é triada? Em que hipótese a área apuratória precisa conhecer a identidade? Como se reduz o risco de vazamento? Quem decide sobre encaminhamento à corregedoria, auditoria, comissões de apuração, ou até mesmo órgãos externos?
Essas perguntas importam porque o conflito típico é conhecido: de um lado, a apuração precisa de informação; de outro, a exposição do denunciante (ou de pessoas citadas) pode gerar retaliação, destruição de provas, contaminação do processo e, para a organização, passivos trabalhistas, reputacionais e sancionatórios.
Bases normativas: o “dever de proteger” tem nome e artigo
No âmbito federal, o arcabouço que sustenta a proteção ao denunciante se distribui em camadas:
– Lei nº 13.460/2017 (direitos do usuário de serviços públicos), que é regulamentada no plano federal e dá fundamento à estrutura de ouvidorias e ao tratamento de manifestações, incluindo denúncias.
– Decreto nº 9.492/2018, que regulamenta a Lei nº 13.460/2017 e institui o Sistema de Ouvidoria do Poder Executivo federal (SisOuv), prevendo a integração/uso da plataforma Fala.BR.
– Decreto nº 10.153/2019, específico sobre salvaguardas de proteção à identidade de denunciantes de ilícitos e irregularidades contra a administração pública federal.
– Decreto nº 10.890/2021, que alterou o Decreto nº 9.492/2018 e o Decreto nº 10.153/2019 para dispor sobre proteção ao denunciante, incluindo o enfrentamento de retaliações.
– Normas procedimentais, com destaque para a Portaria CGU nº 581/2021, que detalha o “como fazer” dentro do SisOuv, inclusive com regras sobre necessidade de conhecer, consentimento, compartilhamento e pseudonimização.
Esse conjunto é relevante para empresas por dois motivos. Primeiro, porque fornecedores e parceiros do Estado convivem com apurações e processos em que o padrão de proteção ao denunciante é referência. Segundo, porque o mesmo raciocínio normativo dialoga com o setor privado em temas como Programa de Integridade (Lei nº 12.846/2013 e Decreto nº 11.129/2022), proteção de dados (Lei nº 13.709/2018 – LGPD) e prevenção de ilícitos.
Identidade, “necessidade de conhecer” e o ponto cego mais comum
A Portaria CGU nº 581/2021 trata a proteção à identidade como medida desde o recebimento da denúncia, e não como etapa posterior. A lógica é simples: se o sistema permite que muitas pessoas vejam dados identificadores no início, a organização perde o controle justamente no momento mais sensível.
Do ponto de vista operacional, o que costuma falhar é o excesso de acesso: triagem feita por equipes grandes; envio de e-mails com relato completo; anexos que “entregam” o denunciante (voz, imagem, metadados, narrativas em primeira pessoa, indicação de setor/turno/escala que permite dedução). A orientação da CGU ajuda a lembrar que, mesmo quando a identidade não é formalmente compartilhada, ela pode ser inferida — e isso, na prática, é o que acende o gatilho de retaliação.
Pseudonimização não é anonimato: é técnica de redução de risco
No vocabulário institucional, a pseudonimização é um mecanismo para permitir que a apuração avance sem expor desnecessariamente o denunciante. A Portaria CGU nº 581/2021 descreve o procedimento e aponta a necessidade de suprimir elementos de identificação também na descrição do fato e anexos.
Para empresas, o paralelo é imediato: relatórios de investigação e dossiês internos precisam ser estruturados para circular com segurança. Quando há necessidade de encaminhamento para auditoria, comitês, conselho, ou mesmo para suporte externo, a ausência de pseudonimização aumenta o risco de vazamento e pode gerar discussão sobre conformidade com a LGPD (princípios de necessidade, finalidade e segurança), além de tensionar o próprio dever de confidencialidade assumido pelo programa de integridade.
O fluxo “ouvidoria ↔ corregedoria”: o valor está na transição
A notícia da CGU enfatiza a atuação integrada de ouvidorias e corregedorias e “cuidados ao longo de todas as etapas”. Na prática, isso chama atenção para o momento mais vulnerável: a passagem de bastão entre quem recebe/triage e quem apura.
É nessa transição que se define:
– qual parte do relato é essencial para instaurar procedimento;
– que evidências devem ser preservadas e como documentar cadeia de custódia;
– como registrar decisões de triagem (por exemplo, arquivamento fundamentado, complementação de dados, ou encaminhamento);
– como limitar o número de pessoas que tiveram contato com dados sensíveis.
Organizações que não padronizam essa transição acabam com apurações longas, contestadas e vulneráveis: questiona-se parcialidade, quebra de sigilo e até mesmo a validade de atos internos (o que pode se refletir em processos administrativos e judiciais).
Retaliação: risco jurídico imediato e frequentemente subestimado
O Decreto nº 10.890/2021 reforça a agenda de proteção contra retaliações no âmbito federal. No setor privado, a retaliação costuma aparecer em formas “sutis” (isolamento, mudança de escala, metas inviáveis, exclusão de projetos) que depois alimentam ações trabalhistas e pedidos de indenização.
Além disso, a retaliação pode comprometer a colaboração futura e criar um ambiente em que o canal de denúncia existe apenas no papel — o que é especialmente perigoso para empresas que dependem de atenuantes e critérios de avaliação de programas de integridade em processos sancionatórios (Lei nº 12.846/2013 e Decreto nº 11.129/2022).
Onde estão as oportunidades e os riscos para clientes
Riscos típicos que vemos em diagnósticos de compliance:
– promessa de confidencialidade que não se sustenta (muitas pessoas com acesso, ausência de trilha de auditoria);
– falta de regras sobre quando a identidade é necessária e quem autoriza o acesso;
– investigações sem documentação adequada (decisões de triagem sem registro, ausência de matriz de risco e plano de apuração);
– tratamento de dados pessoais sem base jurídica clara, sem retenção definida e sem medidas proporcionais de segurança.
Oportunidades:
– redesenhar o fluxo do canal com mecanismos de pseudonimização e segregação de funções;
– rever templates de relatórios e protocolos de preservação de evidências;
– treinar lideranças para evitar retaliação e para saber conduzir comunicações internas durante apurações;
– alinhar o canal de denúncias ao programa de integridade e à governança de dados (LGPD), reduzindo risco de sanções e melhorando a qualidade das apurações.
A mensagem central do movimento da CGU é clara: apurar bem exige tanto técnica investigativa quanto arquitetura institucional. Proteger o denunciante não é um “extra”; é uma condição para que a denúncia exista, para que a prova sobreviva e para que a resposta da organização seja defensável.
Fontes:
CGU debate proteção ao denunciante e fluxos seguros de apuração de irregularidades em webinário
Read More