A integridade não é um conceito abstrato nem um slogan corporativo, em especial no Brasil, em que representa uma necessidade moral, regulatório e competitivo, essencial para sustentar a confiança dos stakeholders, proteger o valor das empresas e garantir o bom funcionamento das instituições públicas e privadas. Aqui estou falando de uma escolha consciente por um caminho mais exigente, e certamente mas mais duradouro,, onde decisões difíceis são tomadas com base em princípios, onde a transparência deixa de ser um risco reputacional e se torna um ativo de legitimidade, e onde a gestão do risco de corrupção passa a ser parte integrante da estratégia, da cultura e do cotidiano organizacional.
Nos últimos quinze anos o Brasil construiu um arcabouço normativo poderoso, em parte como sempre como uma reação natural pos-fato a escândalos sistêmicos e ao escrutínio internacional, mas também como expressão de uma demanda social crescente por ética e responsabilidade.
Para começar a Lei Anticorrupção (12.846 de 2013) foi um marco por responsabilizar empresas de forma objetiva por atos lesivos contra a Administração Pública, nacional ou estrangeira. Já o Decreto nº 11.129 de 2022, ao regulamentar essa lei, deu contornos técnicos e operacionais ao que se espera de um programa de integridade efetivo.
Outras norma, como a Nova Lei de Licitações (14.133 de 2021), a Lei das Estatais (13.303 de 2016), a Lei de Conflito de Interesses (12.813 de 2013) e a LGPD (13.709 de 2018), reforçam essa arquitetura, impondo exigências concretas sobre governança, transparência, controle, responsabilização e gestão de riscos.
O desafio no entanto, não está apenas no cumprimento literal das normas, mas sim na internalização desses princípios na cultura de decisão, na conduta cotidiana e na estratégia institucional, o que exige sair do campo do jurídico e transitar para o da gestão, que por sua vez exige transformar o programa de integridade de um documento protocolar em um verdadeiro sistema vivo de integridade, operado por pessoas, sustentado por dados e movido pela liderança.
É dentro dessa perspectiva que este texto se insere de apresentar, com base em boas práticas internacionais e na legislação brasileira, de trazer um roteiro detalhado de como implementar um sistema de gestão de riscos de corrupção robusto, eficaz, auditável e proporcional ao risco, começando pelas fundações legais e normativas, passando pela estruturação técnica dos princípios e culminando na metodologia prática de avaliação de riscos, que é o coração operacional de qualquer programa de integridade.
Arcabouço legal brasileiro da responsabilização à governança baseada em riscos:
O primeiro passo para compreender como gerenciar o risco de corrupção no Brasil é reconhecer o ponto de partida normativo, em que o país adota um modelo que combina responsabilização objetiva, incentivos à prevenção e transparência de sanções.
A Lei nº 12.846 de 2013 inovou ao responsabilizar empresas independentemente de culpa, desde que comprovada a vantagem indevida. Isso coloca o foco não apenas na punição do ato consumado, mas na prevenção estruturada como diferencial de responsabilidade.
Essa lógica foi aprofundada pelo Decreto nº 11.129 de 2022, que sistematizou os elementos esperados de um programa de integridade, como a avaliação periódica de riscos, due diligence de terceiros, canais de denúncia, investigações internas e cultura de ética. O decreto também definiu critérios objetivos para mensurar a efetividade do programa, especialmente em processos sancionadores ou negociações de acordos de leniência. Isso obriga organizações a tratarem integridade como sistema de gestão, e não como retórica.
A Lei nº 14.133 de 2021 trouxe por sua vez a exigência de gestão de riscos e integridade em processos licitatórios, inclusive como critério de desclassificação ou impedimento. Ela também integrou os cadastros sancionadores CEIS (Cadastro de Empresas Inidôneas e Suspensas) e CNEP (Cadastro Nacional de Empresas Punidas), que hoje funcionam como uma espécie de “banco central da integridade”. Ignorar esses cadastros é, além de imprudente, juridicamente arriscado.
Complementam esse arcabouço outras normas essenciais: a Lei nº 13.303 de 2016 exige que estatais tenham programas de integridade com estruturas de compliance independentes e políticas anticorrupção próprias, mais a Lei nº 12.813de 2013 proíbe conflitos de interesse entre o público e o privado, e a LGPD (13.709 de 2018) impõe padrões de proteção de dados que impactam diretamente os canais de denúncia e as investigações internas, e ainda a Lei nº 14.457de 2022 tornou obrigatória a existência de canal de denúncia em empresas com CIPA. Essa constelação normativa forma a base regulatória que exige e legitima a construção de sistemas robustos de integridade e gestão do risco de corrupção no Brasil
Princípios estruturantes de integridade e combate à corrupção e como alinhar teoria e prática:
Com o fundamento jurídico estabelecido, o segundo passo é traduzir esse arcabouço em princípios operacionais de integridade, que possam ser incorporados no dia a dia da organização, com clareza, autoridade e coerência. A literatura técnica internacional e os guias nacionais (como os da CGU, do TCU e da ABNT) convergem para um conjunto de pilares recorrentes.
O primeiro e mais decisivo deles é o comprometimento da alta administração,. pois a Integridade só se sustenta quando o “tom vindo do topo” não é apenas um discurso em eventos internos, mas uma prática demonstrável em decisões, incentivos, consequências, prioridades orçamentárias e posturas públicas. O tom do meio também importa: lideranças intermediárias devem ser agentes multiplicadores da ética.
Outro princípio-chave é a avaliação de riscos estruturada e contínua. Sem conhecer onde os riscos estão, com que intensidade, através de quais processos e com quais atores, é impossível desenhar controles eficazes. Integridade sem mapa de riscos é uma ilusão de controle. Por isso, a avaliação de risco não é apenas um requisito técnico, é o centro de gravidade do programa.
A seguir vem a governança do sistema de integridade, em que é preciso ter estruturas com autoridade, independência e clareza de mandatos para monitorar, decidir e escalar temas críticos. Isso inclui compliance, auditoria, jurídico, e principalmente o envolvimento do Conselho de Administração ou da Alta Direção, com comitês responsáveis, política de consequências clara e gestão de conflitos de interesse.
A prevenção por sua vez deve estar ancorada em políticas robustas e bem comunicadas, como o código de ética, política anticorrupção, regras para hospitalidade, viagens, doações, patrocínios, interações com o setor público, participação em processos licitatórios, entre outros. Já a detecção exige canais de denúncia efetivos, auditorias, monitoramento de transações e uso inteligente de dados.
Por fim a resposta adequada envolve investigações internas com metodologia e governança, medidas disciplinares proporcionais, remediação de causas-raiz e reporte às autoridades quando necessário. E tudo isso deve ser continuamente monitorado, auditado e aprimorado, com indicadores de eficácia, ciclos de lições aprendidas e revisão periódica da avaliação de riscos.
Avaliação de risco de corrupção e o coração do programa de integridade:
Entre todos os componentes de um programa de integridade, a avaliação de risco de corrupção é o que conecta a realidade da empresa ao desenho dos controles. Sem ela as políticas são genéricas, treinamentos são irrelevantes e o programa vira ornamento institucional. Mas com ela tudo se alinha: controles se tornam proporcionais, investimentos se justificam e a liderança toma decisões informadas.
A avaliação de risco deve ser feita por áreas técnicas, com metodologia clara, governança definida e o envolvimento das linhas de negócio. O processo se inicia com a definição do escopo de quais áreas, processos, contratos, parcerias ou jurisdições serão analisadas? Empresas com contratos públicos, operações internacionais ou cadeias longas de terceiros devem priorizar esses temas.
Em seguida é necessário criar uma taxonomia clara dos riscos de corrupção, classificando os tipos de eventos (suborno ativo, passivo, facilitação, tráfico de influência, fraude em licitação, favorecimento ilícito), os canais (pagamentos diretos ou indiretos, brindes, patrocínios), os atores envolvidos (internos, externos, públicos, privados) e os meios utilizados (contas paralelas, empresas de fachada, contratos simulados).
Essa taxonomia deve ser aplicada a processos reais como vendas governamentais, obtenção de licenças, negociação de benefícios fiscais, contratações públicas, gestão de doações, ações de lobbying ou relações com reguladores. É nesse ponto que os riscos inerentes são avaliados, considerando probabilidade e impacto. Impactos devem incluir os financeiros (multas, acordos de leniência), reputacionais (perda de contratos, desvalorização de marca), operacionais (suspensão de atividades) e legais (bloqueios, sanções, inidoneidade).
É fundamental identificar os fatores que amplificam o risco, como metas comerciais agressivas, comissionamento atípico, uso de intermediários não auditados, atuação em regiões com enforcement forte (como Lava Jato ou Gaeco), relacionamento intenso com agentes públicos, ou histórico de sanções. A partir daí, elabora-se um mapa de riscos que orientará todo o desenho do programa.
Mitigações e controles e como transformar o mapa de riscos em ação concreta:
Com o risco mapeado, o desafio seguinte é convertê-lo em ações práticas, verificáveis e proporcionais. Aqui, o foco é desenhar ou revisar os controles mitigatórios, de forma que sejam capazes de reduzir a probabilidade de ocorrência e/ou o impacto do evento.
Primeiramente é preciso mapear os controles existentes. Isso inclui políticas, fluxos de aprovação, matrizes de alçada, due diligence de terceiros, cláusulas contratuais, segregação de funções, sistemas de TI, validações contábeis e mecanismos de prestação de contas. Muitas vezes, as organizações já possuem esses controles, mas eles não estão integrados à lógica de risco de corrupção, são “controles genéricos”. O objetivo é alinhar os controles aos riscos específicos mapeados.
Depois se avalia a eficácia desses controles: são bem implementados? São seguidos na prática? Têm trilha de auditoria? Cobrem todos os pontos vulneráveis? Quando os controles existentes não forem suficientes, é preciso desenvolver ações corretivas ou preventivas adicionais, definindo responsáveis, prazos e recursos necessários. Este plano de ação deve ter priorização por risco residual, ou seja maior foco nos riscos de alto impacto e alta probabilidade que não estão adequadamente cobertos.
É aqui também que entram os indicadores de eficácia, que permitem monitorar se os controles estão funcionando. Esses indicadores podem medir tanto ações (ex.: percentual de terceiros com due diligence concluída) quanto resultados (ex.: número de incidentes registrados, sanções aplicadas, investigações abertas). Mais do que medir o que foi feito, eles permitem aprender e ajustar, transformando o programa de integridade em um sistema vivo, que evolui com o risco.
Terceiros, patrocínios, interações com o setor público e os verdadeiros pontos cegos da integridade:
Uma das áreas mais críticas e recorrentes nas grandes investigações de corrupção no Brasil, como Lava Jato, Zelotes, Greenfield, entre outras, é justamente a utilização de terceiros intermediários para canalizar propinas, disfarçar benefícios indevidos ou facilitar pagamentos ocultos. Por isso a gestão de terceiros deve ser encarada como uma fronteira decisiva entre discurso e prática em integridade.
No contexto brasileiro as empresas que atuam em setores regulados, com forte interação com agentes públicos, ou que participam de licitações, são especialmente vulneráveis à figura do "consultor externo", "representante comercial", "facilitador de acesso", ou mesmo "despachante" que na prática opera em nome da empresa, mas sem controles, contratos claros ou trilha de auditoria. A due diligence de terceiros precisa deixar de ser uma formalidade e passar a ser uma prática integrada à cadeia de suprimentos e ao ciclo de contratação.
Isso envolve classificar os terceiros por risco (com base no objeto, valor, tipo de interação, região, sensibilidade da função e estrutura jurídica), exigir documentação completa (contrato com cláusula anticorrupção, comprovação de capacidade técnica, beneficiário final, plano de trabalho, entregáveis), consultar bancos públicos como CEIS e CNEP, bem como realizar checagens em listas internacionais (OFAC, ONU, UE) e aplicar ferramentas de screening reputacional. Remunerações acima da média de mercado, adiantamentos fora de padrão, comissionamentos percentuais sem lastro objetivo ou pagamentos via paraísos fiscais devem acionar alertas imediatos.
No mesmo sentido os patrocínios e doações representam outra zona de risco, especialmente quando envolvem associações com vínculos políticos, clubes sociais, sindicatos, organizações beneficentes ligadas a agentes públicos ou entidades com histórico opaco. Por isto é imprescindível ter política específica para esse tipo de despesa, com critérios objetivos de aprovação (valores, finalidades, exposição pública, contrapartidas, regularidade fiscal da entidade), segregação de funções e documentação completa. Além disso o patrocínio não pode, direta ou indiretamente, ser condicionado a vantagem em licitações, isenções fiscais ou favorecimentos regulatórios, o que configura suborno indireto.
Já no que diz respeito às interações com o poder público, o compliance brasileiro precisa incorporar a cultura da transparência institucional. Reuniões com agentes públicos devem ser previamente agendadas, registradas em agenda oficial, realizadas com a presença de mais de um colaborador da empresa e documentadas com pauta e resultados. Brindes, hospitalidades e viagens ofertadas a servidores públicos devem seguir regras claras e limites definidos por política, sempre com rastreabilidade, propósito legítimo e conformidade com as regras do ente público em questão. Importante lembrar de que o pagamento de facilitação é ilegal no Brasil, sem exceção qualquer vantagem indevida, ainda que pequena ou justificada por “acelerar processos”, configura crime de corrupção ativa (art. 333 do Código Penal).
Esses temas são especialmente sensíveis para empresas que contratam com o Estado, operam concessões públicas, estão em fase de obtenção de licenças ou são reguladas por agências como ANS, ANTT, ANEEL, SUSEP ou BACEN. Em todos esses contextos, a gestão de terceiros, doações e relacionamento público-privado precisa ser cercada de controles preventivos, dados auditáveis e rastros documentais que sustentem a integridade da decisão e da execução.
Canais de denúncia e cultura de speak-up e o oxigênio do sistema de integridade:
A existência de um canal de denúncias efetivo é hoje não apenas uma boa prática, mas uma obrigatoriedade legal no Brasil, inclusive para empresas privadas com CIPA, conforme estabelecido pela Lei nº 14.457 de 2022. Esse canal representa na prática o pulmão e o oxigênio do sistema de integridade: é através dele que as fraudes são detectadas, os abusos são interrompidos, os desvios são reportados e a cultura da ética se afirma como valor concreto e não apenas declaratório.
Mas nem todo canal de denúncias é efetivo, aonde o que define sua eficácia é um conjunto de elementos que envolvem tecnologia, governança, anonimato, proteção de dados, resposta rápida e cultura organizacional. O canal precisa estar disponível 24 horas por dia, em múltiplos meios (telefone, site, app, e-mail), com possibilidade de denúncia anônima, proteção garantida contra retaliação, resposta padronizada (SLA), feedback ao denunciante (quando possível) e gestão profissional das triagens. A Lei Geral de Proteção de Dados (LGPD) exige que os dados coletados nesse canal tenham base legal clara, sejam minimizados, protegidos, acessíveis apenas por quem precisa saber, e mantidos sob políticas de segurança da informação robustas.
Além disso a cultura de "speak-up" precisa ser trabalhada de forma contínua: campanhas internas, treinamentos, mensagens da liderança e reforços positivos quando denúncias geram ações corretivas concretas. A pior coisa que pode acontecer a um canal de denúncias é cair no descrédito por omissão ou inação. É preciso dar resposta proporcional, tempestiva e transparente a cada relato, com trilha de investigação e registro de decisão. Isso transforma o canal em ferramenta de aprendizagem organizacional, e não apenas de contenção de danos.
Investigações internas e governança disciplinar e quando a integridade precisa agir:
Quando uma denúncia é recebida, ou quando uma anomalia é detectada por monitoramento ou auditoria, se inicia uma fase delicada, mas fundamental que é a investigação interna. Esse processo deve ser conduzido com método, isenção, governança e senso de justiça. É ele que definirá se a organização reagirá de forma ética, proporcional e transparente ou se, ao contrário, optará por abafar, distorcer ou empurrar o problema para debaixo do tapete.
Uma investigação interna adequada começa por uma política formal que define quem investiga, quando envolver terceiros externos (advogados, forenses, auditores), como tratar o anonimato, como garantir a cadeia de custódia das evidências, como escalonar os achados e como documentar conclusões. É essencial preservar os direitos de todos os envolvidos, aliás inclusive do acusado, evitar julgamentos apressados, adotar matriz de materialidade e manter registros íntegros do processo.
Ao final a investigação deve gerar um relatório técnico com conclusões objetivas, evidências claras, e quando for o caso recomendações de sanções disciplinares, remediações estruturais, e se aplicável a comunicação às autoridades públicas, inclusive para fins de colaboração premiada ou acordos de leniência, com base nos critérios do Decreto nº 11.129 de 2022. Nesse ponto a decisão sobre reportar deve envolver o Conselho de Administração, com base em critérios de proporcionalidade, risco jurídico e valor ético da colaboração.
Em paralelo se devee avaliar os aprendizados da investigação com o que falhou no sistema de controles? Quais sinais foram ignorados? Quais vulnerabilidades precisam ser corrigidas? Assim, cada investigação se transforma também em fator de melhoria contínua da integridade.
Integração aos cadastros CEIS e CNEP e as sanções públicas como ferramenta de compliance:
No Brasil o sistema público de integridade passou a contar, nos últimos anos, com ferramentas relevantes para a gestão de riscos de terceiros: os cadastros CEIS (Cadastro de Empresas Inidôneas e Suspensas) e CNEP (Cadastro Nacional de Empresas Punidas por atos de corrupção). Ambos são mantidos pela CGU e estão integrados ao Portal da Transparência, permitindo consultas abertas e exportação de dados para sistemas de due diligence.
Esses cadastros devem ser checados sistematicamente por qualquer empresa que contrate terceiros com acesso a recursos públicos ou que atue em setores sensíveis. A empresa que contrata um fornecedor ou parceiro listado nesses cadastros pode ser questionada por má diligência, omissão ou conivência. Por isso que se recomenda integrar essas consultas aos sistemas de compras, contratos e M&A, com alertas automatizados e exigência de justificativa caso a contratação seja mantida mesmo diante de histórico negativo.
Além disso essas listas devem ser utilizadas como base para cláusulas resolutivas nos contratos: empresas que forem incluídas no CEIS ou CNEP durante a vigência do contrato podem ter suas relações encerradas por justa causa, com base na quebra da integridade contratual. Isso fortalece a cadeia de valor como sistema ético e previne contaminações reputacionais.
Contratações públicas e a Nova Lei nº 14.133 e a integridade como critério de elegibilidade:
A nova Lei de Licitações e Contratos Administrativos, que é a Lei nº 14.133 de 2021, introduziu uma série de avanços na gestão pública brasileira, e um dos mais relevantes para a integridade é a incorporação explícita da gestão de riscos e da integridade como elementos obrigatórios nos processos licitatórios.
Empresas que desejam contratar com o Estado devem comprovar não apenas regularidade fiscal, mas também reputação ilibada, ausência de penalidades e estrutura de integridade compatível com o porte e o risco da contratação. A lei exige planejamento prévio, matriz de riscos, gestão documental estruturada, responsabilização objetiva de contratados e previsão de mecanismos de resolução de disputas. Isso amplia significativamente a responsabilidade dos fornecedores e obriga organizações privadas a elevar seus padrões de governança para permanecerem competitivas no mercado público.
Além disso a lei valoriza critérios objetivos de desempenho, exige transparência de aditivos, limitações a reajustes e maior rastreabilidade de fiscalizações e medições. No contexto da integridade, isso significa que qualquer irregularidade identificada ao longo da execução contratual pode ser interpretada como violação do dever de diligência, sujeitando a empresa a sanções, inclusive inidoneidade.
Indicadores, monitoramento e melhoria contínua e a integridade que aprende:
Por fim nenhum programa de integridade se sustenta sem monitoramento contínuo, indicadores e ciclos de aprendizagem. Integridade não é um estado fixo, mas um processo dinâmico em constante ajuste diante de novos riscos, falhas de controles, mudanças regulatórias e transformações culturais.
Os indicadores devem ser estruturados com base no mapa de riscos e nos controles desenhados. É importante medir tanto os aspectos de atividade (número de treinamentos realizados, percentual de terceiros avaliados, número de contratos com cláusulas anticorrupção) quanto os de resultado (número de incidentes reportados, sanções aplicadas, reincidências, acordos de leniência celebrados, economias obtidas com prevenção). Indicadores de percepção também são valiosos — como pesquisas de clima ético e confiança no canal de denúncias.
Esse monitoramento precisa alimentar um ciclo formal de melhoria contínua, com revisões periódicas da avaliação de risco, testes de desenho e efetividade dos controles, auditorias internas temáticas, feedbacks das investigações e benchmark com práticas do setor. Mais do que cumprir uma norma, o objetivo é evoluir, para tornar o sistema de integridade cada vez mais eficaz, coerente, responsivo e legítimo.
Integração a normas e padrões de gestão: ISO 37001, guias da CGU e referencial do TCU:
A conformidade regulatória no Brasil é uma exigência inafastável. Mas as empresas que buscam excelência em integridade vão além da mera obediência à lei. Elas se orientam por padrões reconhecidos internacionalmente, que funcionam como bússolas para a estruturação robusta, auditável e escalável dos seus programas. Entre esses referenciais se destaca a norma ISO 37001 – Sistema de Gestão Antissuborno, publicada originalmente em 2016, atualizada internacionalmente em 2025, e ainda vigente no Brasil na versão ABNT NBR ISO 37001:2017.
Essa norma estabelece requisitos para a implementação, manutenção e melhoria de um sistema de gestão antissuborno eficaz, baseado nos pilares clássicos da governança de compliance: avaliação de riscos, controles financeiros e não financeiros, due diligence de terceiros e operações, canais de denúncia, resposta disciplinar, investigações internas, ações corretivas e melhoria contínua. Um diferencial da ISO 37001 é a exigência de que o sistema seja independente, com liderança capacitada, poder decisório autônomo e acesso direto à alta administração.
Embora a certificação ISO seja voluntária, sua adoção serve como evidência de diligência e de boa-fé, especialmente em disputas jurídicas, avaliações de leniência ou processos de descredenciamento público. No entanto é fundamental reconhecer que a ISO 37001 não substitui o cumprimento das leis brasileiras, mas deve ser vista como complementar ao Decreto nº 11.129 e às demais normas aplicáveis. Seu valor está em oferecer uma linguagem comum, critérios auditáveis e estruturação padronizada.
No plano nacional, a Controladoria-Geral da União (CGU) oferece alguns documentos técnicos de enorme valor, como o Guia de Diretrizes para Empresas Privadas (edição 2024) e a Coleção Programa de Integridade Pública, voltada para órgãos e entidades do setor público. Esses guias traduzem os critérios do Decreto nº 11.129 em elementos operacionais e são fortemente utilizados na análise de programas nos processos de responsabilização, avaliações para o selo Pró-Ética e nos acordos de leniência.
Para os órgãos públicos e estatais, o Referencial de Combate à Fraude e Corrupção do TCU, publicado em 2018, é um framework abrangente que estrutura cinco mecanismos de prevenção, detecção, investigação, correção e monitoramento, de forma integrada com as diretrizes de governança e gestão de riscos. Esse documento é útil não apenas para o setor público, mas também como referência para empresas privadas que contratam com o Estado ou operam em regime de parceria público-privada (PPP).
Assim, a combinação da ISO 37001, dos guias da CGU e do Referencial do TCU fornece uma base sólida e adaptável para estruturar um sistema de integridade de classe mundial, alinhado às expectativas regulatórias e de mercado no Brasil e no exterior.
Roteiro prático de implementação em 12 a 18 meses com entregas concretas e progressivas:
Implementar um sistema completo de integridade e gestão do risco de corrupção pode parecer desafiador, e de fato exige método, prioridade institucional e dedicação. Mas quando estruturado por etapas, com entregas claras e responsáveis definidos, o processo se torna viável e efetivo. Queria trazer então a dica de um roteiro prático de implementação, organizado em quatro blocos trimestrais, que pode ser adaptado conforme o porte e a maturidade da organização:
Nos primeiros três meses, o foco deve ser o diagnóstico e a avaliação de riscos. Isso inclui entrevistas com lideranças-chave, levantamento de processos críticos (ex.: vendas públicas, licitações, doações, concessões, benefícios fiscais, relações com reguladores), análise documental e mapeamento de controles existentes. O resultado esperado é um mapa de riscos com priorização, indicação de pontos cegos e um plano de ação inicial com prazos e responsáveis.
Entre o quarto e o sexto mês, as entregas devem se concentrar nas bases estruturantes da governança de integridade com a elaboração e aprovação do Código de Ética, Política Anticorrupção, Política de Interação com o Setor Público, Política de Brindes e Hospitalidades, Política de Doações e Patrocínios, entre outras. Devem ser criados o Comitê de Integridade, os fluxos de aprovação (matrizes de alçada), os registros documentais e os modelos contratuais com cláusulas específicas. Esse período também deve incluir ações de comunicação interna e treinamento da liderança.
Entre o sétimo e o nono mês, o foco recai sobre a gestão de terceiros, controles financeiros e canal de denúncias. É o momento de implementar a due diligence baseada em risco para fornecedores, prestadores de serviço e parceiros comerciais, integrando consultas aos cadastros públicos (CEIS/CNEP) e plataformas internacionais. Também devem ser estruturados os controles de pagamentos, reembolsos, adiantamentos e contratações sensíveis. O canal de denúncias deve ser implantado (ou revisto), com governança, SLA, integração à LGPD, treinamento dos triadores e definição dos fluxos de investigação.
Do décimo ao décimo oitavo mês, o foco se volta ao monitoramento contínuo e à auditoria do programa com a implementação de indicadores (KPIs/KRIs), testes de efetividade, auditorias temáticas, entrevistas de percepção, pesquisas de cultura ética, revisões periódicas do mapa de riscos e elaboração do Relatório de Integridade anual, com prestação de contas à alta administração. Esse momento também pode incluir a preparação para auditorias externas, certificações (ex.: ISO 37001), avaliação para o selo Pró-Ética e negociação de acordos de leniência, quando aplicável.
Esse roteiro permite uma evolução progressiva e concreta, com entregas tangíveis, engajamento institucional crescente e fortalecimento cultural da integridade como valor compartilhado, e não como mero requisito regulatório.
Orientações setoriais e relações com autoridades com coerência, transparência e colaboração:
As empresa que atuam em setores específicos como construção pesada, infraestrutura, energia, saúde, finanças, tecnologia ou educação, enfrentam riscos próprios que exigem controles adaptados à realidade setorial. A gestão de obras públicas, por exemplo, exige controles sobre medições, aditivos, reequilíbrios contratuais e prestações de contas. Já no setor financeiro, o foco está nos controles de compliance regulatório, prevenção à lavagem de dinheiro, relacionamento com reguladores e controles antifraude.
Para empresas sujeitas a órgãos como BACEN, SUSEP, ANS, ANATEL ou ANEEL, a interlocução com as autoridades reguladoras deve seguir princípios de transparência, imparcialidade, rastreabilidade e respeito às regras da função pública. Qualquer ação de lobbying, advocacy regulatória ou prestação de informações deve ser documentada, com registros formais e alinhamento prévio com o jurídico ou a área de compliance. O uso indevido de contatos pessoais, presentes, viagens ou patrocínios ligados a agentes públicos é expressamente vedado, além de configurar risco penal.
Outro ponto de atenção é a colaboração com as autoridades, especialmente em casos de investigação ou potencial responsabilização. O Decreto nº 11.129 estabelece critérios claros para o acordo de leniência com a cessação da prática, confissão da infração, colaboração efetiva, entrega de provas, implementação ou aprimoramento do programa de integridade e pagamento de multa. A decisão de buscar leniência deve ser estratégica, baseada em parecer jurídico e submetida à governança da empresa (inclusive ao Conselho de Administração).
Importante lembrar que empresas que colaboram de boa-fé com a CGU e a AGU fornecendo provas, documentos, sistemas e testemunhos, podem obter benefícios relevantes na dosimetria da sanção, inclusive abatimentos de multa, redução de sanções acessórias e preservação de contratos. Mas a leniência exige coerência, transparência e capacidade de resposta, empresas mal preparadas ou contraditórias tendem a perder credibilidade e agravar sua situação.
Assim o diálogo com autoridades precisa ser construído com base em valores institucionais, preparo técnico e cultura de legalidade, mas não como tentativa de influência, mas sim como exercício legítimo de defesa e prestação de contas.
Integridade como escolha consciente, cultura organizacional e estratégia de futuro:
A integridade não é um projeto de compliance, mas é uma escolha institucional profunda de longo prazo, que define a forma como uma empresa se posiciona no mundo, como ela toma decisões difíceis, como lida com dilemas éticos e como trata seus stakeholders nos momentos de crise. No Brasil onde o histórico de escândalos, a complexidade normativa e a pressão social se combinam de forma intensa, adotar um sistema robusto de integridade é mais do que um diferencia, mas é uma questão de sobrevivência, reputação e legitimidade.
A jornada da integridade exige método, coragem e paciência. Exige reconhecer os riscos com honestidade, desenhar controles com realismo, aplicar sanções com justiça, ouvir os sinais com humildade e aprender com cada erro. Mas também exige inspiração com a convicção de que vale a pena fazer o certo mesmo quando ninguém está olhando; de que a ética não é custo, mas investimento; e de que a confiança não se impõe, mas se conquista, um gesto por vez, um processo por vez, uma decisão por vez.
A integridade é em última instância uma forma de governar, de liderar e de construir o futuro. E todo sistema de integridade, por mais técnico que seja, carrega em sua essência um compromisso com a verdade, com o interesse público e com a responsabilidade que temos como líderes, gestores e cidadãos de deixar um legado que resista ao tempo, à tentação e à omissão.
