Programa de Compliance Mínimo Viável: o que a sua empresa precisa ter antes de perder um contrato
Uma empresa de tecnologia com 80 funcionários e crescimento acelerado perdeu um contrato federal de R$ 4 milhões porque não tinha programa de compliance documentado. O comprador público exigiu comprovação de canal de denúncias ativo e código de conduta assinado. A empresa não tinha nem um nem outro. O contrato foi para um concorrente menor, com faturamento inferior, mas com o programa em ordem.
Não é caso isolado. É o novo normal.
TL;DR
- Programa de compliance não é gaveta de documentos: é um conjunto de controles ativos e auditáveis.
- Os quatro componentes mínimos viáveis são: (1) código de conduta, (2) canal de denúncias independente, (3) due diligence de terceiros e (4) treinamento documentado.
- A Lei 12.846/2013 (Lei Anticorrupção) e o FCPA (Foreign Corrupt Practices Act) não exigem empresa grande — exigem empresa que contrate com governo ou tenha parceiro estrangeiro.
- Ausência de programa não é neutra: em investigações, a falta de compliance é agravante, não circunstância ordinária.
- Canal de denúncias anônimo e independente é exigência mínima em licitações públicas e due diligences de investidores institucionais.
Atualizado em 18/06/2026
Índice
- O que é um programa de compliance mínimo viável (e o que não é)
- Canal de denúncias: por que é indispensável e como implantar
- Due diligence de terceiros: o elo mais fraco do compliance
- Perguntas frequentes
- Falar com um advogado
O que é um programa de compliance mínimo viável (e o que não é)
Conformidade regulatória não é custo — é gestão de risco.
O erro mais comum de startups e PMEs é confundir compliance com burocracia de grande empresa: um manual de 200 páginas que ninguém lê, uma política que ficou no e-mail de admissão e nunca mais apareceu. Isso não é programa de compliance — é aparência de compliance, e aparência não protege.
Um programa mínimo viável tem quatro componentes funcionais:
- Código de conduta — regras claras sobre conflito de interesse, brindes e hospitalidade, relação com agentes públicos, uso de recursos da empresa e proteção de dados. Deve ser curto o suficiente para ser lido, específico o suficiente para ser seguido, e assinado por todos os colaboradores com registro de data.
- Canal de denúncias independente — mecanismo que permite relato de irregularidades sem que o denunciante precise se identificar ao gestor direto. Independência é o ponto-chave: canal de e-mail gerido pelo RH da própria empresa não conta como independente.
- Due diligence de terceiros — processo documentado de verificação de parceiros comerciais, fornecedores e agentes antes de firmar contrato. É o tema da seção 3, pelo peso específico que carrega.
- Treinamento com registro — ao menos um ciclo anual de treinamento sobre o código de conduta, com lista de presença ou registro digital. Sem registro, o treinamento não existiu para fins de auditoria.
O que o programa mínimo viável não inclui (ainda)
- Auditorias internas formais com equipe dedicada (isso é estágio seguinte, para empresas em crescimento)
- Comitê de ética com reuniões trimestrais (relevante a partir de determinado porte ou setor regulado)
- Certificações ISO 37001 (excelente para contratos internacionais, mas não é ponto de partida)
A Lei 12.846/2013 (Lei Anticorrupção) lista os elementos de um programa de integridade no Decreto 11.129/2022 e em regulamentações setoriais. Para contratos com o setor público federal, o programa precisa ser demonstrável — não apenas declarado.
Para empresas com operações ou parceiros nos Estados Unidos ou no Reino Unido, entram em cena o FCPA (Foreign Corrupt Practices Act) e o UK Bribery Act (Lei de Suborno do Reino Unido), cujas exigências de due diligence e documentação são ainda mais detalhadas.
Caso editorial
Empresa de software com 40 funcionários em processo de seleção para integrar o fornecedor de uma multinacional europeia. A due diligence da compradora incluía um questionário de compliance com 27 perguntas sobre controles internos, política antissuborno e canal de denúncias. A empresa não tinha nenhum desses elementos documentados. A atuação concentrou-se em estruturar o programa em etapas: código de conduta simplificado em primeira rodada, contratação de canal de denúncias independente e política antissuborno alinhada ao UK Bribery Act. O processo de qualificação foi retomado na rodada seguinte com o programa em estágio inicial documentado.
Canal de denúncias: por que é indispensável e como implantar
O canal de denúncias é o componente de compliance que mais frequentemente falta — e o que mais frequentemente é exigido primeiro.
Licitações públicas federais (com base na Lei 12.846/2013 e no Decreto 11.129/2022), contratos com empresas do setor financeiro regulado pelo Banco Central do Brasil (BCB), e due diligences de fundos de private equity ou venture capital costumam pedir evidência de canal ativo antes de qualquer outro documento.
Por que independência importa
Um canal de denúncias interno — gerido pelo RH, pelo jurídico ou por qualquer área da empresa — cria uma barreira psicológica para o relato. O colaborador sabe, ou suspeita, que a denúncia vai chegar ao gestor. O resultado: subnotificação. Irregularidades que poderiam ser contidas internamente crescem até virar problema externo (multa, investigação, crise de reputação).
Independência operacional significa que o canal é gerido por terceiro especializado, com relatórios que chegam direto ao conselho ou ao sócio responsável pela área de compliance, sem filtragem intermediária.
Como implantar em etapas
| Etapa | O que fazer | Tempo estimado |
|---|---|---|
| 1 | Definir quem recebe os relatos (comitê mínimo: CEO + jurídico, ou conselho se houver) | 1 semana |
| 2 | Contratar plataforma independente de canal de denúncias (existem opções acessíveis para PMEs, com planos mensais) | 2 semanas |
| 3 | Comunicar a existência do canal a todos os colaboradores, terceiros e parceiros (e-mail + contrato) | Contínuo |
| 4 | Definir protocolo de investigação: quem investiga, prazo de retorno ao denunciante, registro | 1 semana |
| 5 | Documentar o primeiro ciclo operacional (mesmo sem relatos recebidos, a operação precisa de registro) | Trimestral |
O que o canal não faz
O canal de denúncias não substitui uma política de investigação. Receber o relato sem investigar e documentar o encerramento de cada caso cria risco maior do que não ter canal: demonstra ciência da irregularidade sem ação corretiva.
Due diligence de terceiros: o elo mais fraco do compliance
A maioria dos casos de corrupção corporativa investigados pelo Ministério Público Federal (MPF) e pela Controladoria-Geral da União (CGU) nos últimos dez anos envolve intermediários: agentes de vendas, consultores, distribuidores, lobistas formais ou informais.
A lógica é conhecida: a empresa não paga a propina diretamente — contrata um terceiro que “resolve” o problema e recebe por isso. Para a lei, isso não é atenuante. Tanto a Lei 12.846/2013 quanto o FCPA estabelecem responsabilidade objetiva da empresa por atos de terceiros que atuam em seu nome, ainda que sem ordem expressa.
O que a due diligence de terceiros precisa verificar
A verificação mínima para fornecedores e parceiros que atuam junto a clientes governamentais ou intermediam contratos deve cobrir:
- Existência legal e regularidade fiscal (consulta ao CNPJ, certidões negativas)
- Histórico de sanções (CEIS — Cadastro de Empresas Inidôneas e Suspensas; CNEP — Cadastro Nacional de Empresas Punidas; listas OFAC para operações com componente norte-americano)
- Reputação em fontes abertas (busca estruturada em bases públicas, não apenas Google)
- Compatibilidade da remuneração com o serviço prestado (comissões fora de mercado são sinal de alerta)
- Confirmação de que o terceiro tem programa de compliance próprio (ou ao menos política antissuborno assinada)
Proporcionalidade de risco
Nem todo fornecedor precisa do mesmo nível de verificação. Uma metodologia de due diligence proporcional ao risco classifica parceiros em três camadas:
| Camada | Perfil do parceiro | Verificação |
|---|---|---|
| Alto risco | Agente de vendas para setor público, intermediário de contratos governamentais, parceiro em país de alto risco (Índice de Percepção de Corrupção da Transparência Internacional abaixo de 50) | Due diligence completa com relatório documentado |
| Médio risco | Fornecedor recorrente sem contato com setor público | Checklist simplificado + consulta a cadastros de sanções |
| Baixo risco | Fornecedor pontual, serviço padronizado, sem acesso a informações sensíveis | Verificação de regularidade fiscal básica |
Frequência
Due diligence não é verificação única no momento da contratação. Parcerias de longa duração exigem reavaliação periódica — ao menos anual para parceiros de alto risco, e sempre que houver mudança de controle societário do terceiro.
Perguntas frequentes
Minha empresa é pequena. A Lei Anticorrupção se aplica a mim?
A Lei 12.846/2013 se aplica a toda pessoa jurídica, independentemente de porte, que pratique atos lesivos contra a administração pública nacional ou estrangeira. O tamanho da empresa não é critério de exclusão — é fator de graduação da pena. O que muda no porte é a profundidade do programa esperado: uma microempresa não precisa de comitê de ética formal, mas precisa de política antissuborno documentada se contratar com o governo.
Para empresas que exportam ou têm parceiros nos Estados Unidos, o FCPA também pode se aplicar mesmo que a empresa seja brasileira e de pequeno porte. O critério do FCPA não é o porte — é a conexão com o sistema financeiro norte-americano ou a presença de qualquer elemento de territorialidade dos EUA.
Esta é uma informação geral e não substitui a análise do caso específico com um advogado.
Qual a diferença entre programa de compliance e programa de integridade?
Na prática do direito empresarial brasileiro, os dois termos são frequentemente usados como sinônimos. A distinção mais precisa: “programa de integridade” é o termo usado pela Lei 12.846/2013 e pelo Decreto 11.129/2022 para designar o conjunto de mecanismos internos de prevenção, detecção e remediação de desvios, irregularidades e atos ilícitos contra a administração pública.
“Compliance” é o termo mais amplo, que abrange também conformidade com regulação setorial (LGPD, normas do Banco Central do Brasil, regras da Comissão de Valores Mobiliários — CVM, entre outras) e com normas internacionais (FCPA, UK Bribery Act). Um programa de integridade é, portanto, um componente de um programa de compliance mais amplo.
Para fins práticos: quando uma licitação pede “programa de integridade”, está pedindo o conjunto mínimo da Lei 12.846/2013. Quando um investidor estrangeiro pede “compliance program”, a exigência é mais abrangente.
Esta é uma informação geral e não substitui a análise do caso específico com um advogado.
O que acontece se a empresa for investigada sem ter programa de compliance?
A Lei 12.846/2013 prevê responsabilidade objetiva — a empresa pode ser responsabilizada independentemente de dolo ou culpa. As penalidades administrativas incluem multa de 0,1% a 20% do faturamento bruto do último exercício, além de publicação extraordinária da decisão condenatória.
A existência de programa de integridade efetivo é fator de redução de pena previsto expressamente no Decreto 11.129/2022. Isso significa que a ausência do programa não é apenas a falta de um benefício: em caso de investigação, a falta de programa pode ser usada para demonstrar que a empresa não adotou medidas preventivas, o que influencia tanto a graduação da pena quanto a negociação de acordo de leniência com a Controladoria-Geral da União (CGU) ou com o Ministério Público Federal (MPF).
Para empresas em processo de IPO (abertura de capital) ou em rodada de investimento com due diligence formal, a ausência de programa também pode travar ou encarecer a operação.
Esta é uma informação geral e não substitui a análise do caso específico com um advogado.
Falar com um advogado
Se sua empresa está em processo de licitação, due diligence de investidor ou expansão para mercados regulados, e ainda não tem programa de compliance estruturado, o ponto de partida é um assessment de onde você está e o que precisa ser construído primeiro.
Não é necessário ter tudo de uma vez — é necessário ter o que o seu momento de negócio exige, de forma auditável.
Alessandra De Paula Souza — OAB/PR 31.133
Atuação concentrada em compliance regulatório, programas de integridade e gestão de risco.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico. O conteúdo deste artigo tem finalidade educativa e não configura aconselhamento jurídico.