Programa de Integridade: Como Implementar na Sua Empresa (Guia Prático 2026)

Em setembro de 2025, a Controladoria-Geral da União (CGU) publicou a Portaria 226 — e com ela, o jogo mudou. Empresas que contratam com o governo federal em valores acima de R$ 251 milhões agora têm seis meses para implementar um programa de integridade efetivo. Não um documento de gaveta. Um programa real, auditável, que será avaliado por 17 parâmetros específicos.

Mas aqui está o que poucos perceberam: mesmo empresas que não participam de licitações estão implementando programas de integridade às pressas. Por quê? Porque investidores exigem. Parceiros comerciais exigem. E porque, quando a crise chega, ter um programa estruturado pode significar a diferença entre uma multa de 20% do faturamento e uma advertência.

Este guia vai além da teoria. Vamos mostrar exatamente como implementar um programa de integridade que funciona — com os pilares da CGU, as novas regras de 2025, os erros que derrubam empresas, e a etapa que 90% dos programas negligenciam: o monitoramento contínuo.

O que é Programa de Integridade?

Um programa de integridade é um conjunto estruturado de políticas, procedimentos e controles internos que uma empresa implementa para prevenir, detectar e remediar atos de corrupção, fraude e outras condutas antiéticas.

A Lei 12.846/2013 — conhecida como Lei Anticorrupção — foi a primeira a definir o conceito no Brasil. Segundo o artigo 41 do Decreto 11.129/2022, que regulamenta a lei:

"Programa de integridade consiste no conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes."

Programa de Integridade vs. Compliance: Qual a Diferença?

Compliance é um conceito mais amplo — significa estar em conformidade com leis, regulamentos e normas aplicáveis ao negócio. Envolve desde obrigações tributárias até normas trabalhistas e ambientais.

Já o programa de integridade é uma vertente específica do compliance, focada em:

• Prevenção e combate à corrupção
• Ética nas relações comerciais
• Transparência com agentes públicos
• Due diligence de terceiros

Na prática, muitas empresas usam os termos de forma intercambiável. Mas é importante entender que um programa de integridade robusto é apenas uma parte de um sistema de compliance completo.

Por que Empresas Estão Sendo Obrigadas a Implementar

Três fatores estão acelerando a adoção de programas de integridade no Brasil:

1. Pressão regulatória crescente

A Lei Anticorrupção criou responsabilidade objetiva para empresas — isso significa que a empresa pode ser punida independentemente de dolo ou culpa. E as penalidades são severas: multas de até 20% do faturamento bruto ou, se não for possível calcular, de R$ 6 mil a R$ 60 milhões.

2. A Nova Lei de Licitações (Lei 14.133/2021)

A Lei 14.133/2021 tornou o programa de integridade obrigatório em contratos de grande vulto com a administração pública federal. Mais que isso: empresas com programa de integridade implementado têm vantagem em critérios de desempate.

3. Exigência de stakeholders

Investidores institucionais, especialmente estrangeiros, avaliam critérios ESG (Environmental, Social and Governance) antes de aportar capital. Um programa de integridade estruturado é requisito básico de governança.

A Nova Exigência: Portaria CGU 226/2025

Em 9 de setembro de 2025, durante o Dia da Integridade Empresarial, a CGU publicou a Portaria Normativa SE/CGU nº 226/2025 — e ela muda tudo para empresas que contratam com o governo federal.

O que Mudou com a Regulamentação de 2025

A Portaria 226/2025 regulamenta o Decreto 12.304/2024 e, pela primeira vez, estabelece critérios objetivos para avaliação de programas de integridade. Antes, havia margem para interpretação. Agora, existem 17 parâmetros específicos que a CGU vai analisar.

Entre os critérios de avaliação estão:

• Comprometimento real da alta direção (não apenas declarações formais)
• Efetividade da gestão de riscos para prevenir fraudes
• Independência da área de compliance
• Robustez dos canais de denúncia
• Realização de due diligence na contratação de terceiros e parceiros

A avaliação será conduzida pela Secretaria de Integridade Privada da CGU através do SAMPI (Sistema de Avaliação e Monitoramento de Programas de Integridade).

Contratos Acima de R$ 251 Milhões: Obrigatoriedade

Para contratos com o Poder Executivo Federal a partir de R$ 251 milhões, a empresa contratada deve:

1. Implementar o programa de integridade em até 6 meses após a assinatura do contrato
2. Submeter o programa à avaliação da CGU nos 30 dias seguintes
3. Atingir pelo menos 70% da pontuação geral nas áreas avaliadas
4. Cumprir 100% dos elementos mínimos obrigatórios

Os elementos obrigatórios incluem código de ética, canal de denúncias funcional e área responsável pela integridade.

Programa de Integridade como Critério de Desempate

A Lei 14.133/2021 já previa que empresas com programa de integridade teriam vantagem em casos de empate. A Portaria 226/2025 operacionalizou isso.

Uma das formas de comprovar o programa para fins de desempate é através da adesão ao Pacto Brasil pela Integridade Empresarial, iniciativa da própria CGU. Outra forma é a certificação pelo programa Pró-Ética — empresas já certificadas ou em avaliação podem ser dispensadas da exigência de nova análise.

Prazos e Penalidades

Se o programa for considerado "não implantado" na primeira análise, a empresa pode apresentar um plano de conformidade para realizar ajustes. Mas se persistir o descumprimento, as sanções são pesadas:

Penalidade	Detalhamento
Advertência	Para irregularidades leves
Multa	De 1% a 5% do valor do contrato
Impedimento de licitar	Proibição temporária de participar de licitações
Inidoneidade	Declaração de inidoneidade em casos graves

Além disso, para empresas que foram sancionadas com proibição de contratar, ter um programa de integridade implementado tornou-se requisito obrigatório para reabilitação.

Os 5 Pilares do Programa de Integridade (CGU)

A CGU estruturou o programa de integridade em cinco pilares fundamentais. Cada pilar representa uma dimensão essencial — negligenciar qualquer um deles compromete todo o programa.

1º Pilar: Comprometimento e Apoio da Alta Direção

Este é o pilar mais importante — e o mais negligenciado.

Um programa de integridade só funciona quando a liderança demonstra comprometimento genuíno. Não basta assinar um código de ética. Os executivos precisam:

• Comunicar ativamente a importância da integridade
• Destinar recursos adequados ao programa
• Aplicar as regras a si mesmos (tone at the top)
• Responsabilizar violadores, independentemente da posição hierárquica

A Portaria 226/2025 avalia justamente isso: comprometimento real, não apenas declarações formais.

"Sem o comprometimento da liderança, não há programa de integridade efetivo."
— Cristine Ganzenmüller, Diretora de Integridade Privada da CGU

2º Pilar: Instância Responsável pelo Programa

A empresa precisa designar uma área ou pessoa responsável pela gestão do programa de integridade. Esta instância deve ter:

• Autonomia para tomar decisões
• Recursos adequados (orçamento, equipe, ferramentas)
• Acesso direto à alta direção
• Independência para reportar irregularidades

Nas empresas de médio porte, pode ser um comitê de compliance. Em PMEs, pode ser uma pessoa acumulando funções — desde que tenha autonomia real para atuar.

3º Pilar: Análise de Perfil e Riscos

Cada empresa tem um perfil de risco diferente. Uma construtora que participa de licitações públicas tem riscos distintos de uma empresa de tecnologia que vende para o setor privado.

A análise de riscos deve mapear:

• Setores de atuação e exposição a agentes públicos
• Localização geográfica (regiões com maior incidência de corrupção)
• Histórico de irregularidades na empresa ou no setor
• Terceiros com quem se relaciona (fornecedores, parceiros, representantes)
• Processos críticos (contratações, pagamentos, licenciamentos)

Esta análise não é um evento único. Deve ser revisada periodicamente — a CGU recomenda ao menos anualmente ou sempre que houver mudanças significativas no negócio.

4º Pilar: Regras e Instrumentos

Este pilar materializa o programa em documentos e procedimentos:

Código de Ética e Conduta

• Define comportamentos esperados e proibidos
• Deve ser claro, acessível e aplicável a todos
• Precisa abordar situações práticas, não apenas princípios genéricos

Políticas Específicas

• Política anticorrupção
• Política de brindes e hospitalidades
• Política de conflito de interesses
• Política de relacionamento com agentes públicos
• Política de due diligence de terceiros

Canal de Denúncias

• Acessível a funcionários, terceiros e público externo
• Garantia de confidencialidade e não retaliação
• Processo claro de apuração e resposta

Treinamentos

• Obrigatórios para todos os colaboradores
• Customizados por área de risco
• Com registro de participação (evidência documental)

5º Pilar: Monitoramento Contínuo

Este é o pilar que separa programas de papel de programas efetivos.

O monitoramento envolve:

• Auditorias periódicas do programa
• Verificação de terceiros (due diligence contínua, não apenas na contratação)
• Análise de indicadores (denúncias recebidas, tempo de resposta, punições aplicadas)
• Testes de efetividade (os controles estão funcionando?)
• Atualizações com base em novos riscos identificados

O erro mais comum que identificamos em empresas penalizadas é tratar a due diligence como evento pontual. Verificar um fornecedor apenas na contratação inicial e nunca mais monitorá-lo é uma falha grave — e a CGU sabe disso.

Como Implementar na Prática: Passo a Passo

Implementar um programa de integridade não é projeto de um mês. A estruturação adequada leva de 6 a 12 meses, dependendo do porte e complexidade da empresa.

Fase 1: Diagnóstico e Estruturação (Meses 1-3)

1. Avaliação de maturidade atual

• A empresa já possui algum elemento de integridade?
• Existe código de ética? Funciona na prática?
• Há histórico de irregularidades ou investigações?

2. Mapeamento de riscos

• Identificar processos críticos
• Mapear terceiros de alto risco
• Avaliar exposição a agentes públicos
• Documentar o perfil de risco

3. Definição da estrutura de governança

• Designar instância responsável
• Definir linhas de reporte
• Aprovar orçamento e recursos
• Formalizar comprometimento da alta direção

4. Elaboração de documentos base

• Código de Ética e Conduta
• Políticas fundamentais
• Procedimentos de canal de denúncias

Fase 2: Execução e Treinamento (Meses 4-8)

1. Comunicação interna

• Lançamento oficial do programa
• Mensagem da liderança
• Divulgação dos canais de denúncia

2. Treinamentos

• Treinamento geral (todos os colaboradores)
• Treinamento específico (áreas de maior risco)
• Avaliação de absorção do conteúdo

3. Implementação de controles

• Due diligence de terceiros
• Aprovações para brindes e hospitalidades
• Processo de declaração de conflitos de interesse

4. Operacionalização do canal de denúncias

• Testar funcionamento
• Definir fluxo de apuração
• Treinar equipe de investigação

Fase 3: Monitoramento e Melhoria Contínua (Mês 9 em diante)

1. Indicadores de desempenho

• Denúncias recebidas e apuradas
• Treinamentos realizados
• Due diligences conduzidas
• Não-conformidades identificadas

2. Auditorias periódicas

• Testes de controles
• Verificação de aderência
• Identificação de gaps

3. Revisão e atualização

• Ajustar com base em resultados
• Incorporar novas regulamentações
• Responder a mudanças no negócio

Checklist de Implementação

✅ Comprometimento formal da alta direção (ata/declaração)
✅ Instância responsável designada com autonomia
✅ Mapeamento de riscos documentado
✅ Código de Ética e Conduta publicado
✅ Política anticorrupção aprovada
✅ Canal de denúncias operacional
✅ Treinamentos realizados com registro
✅ Due diligence de terceiros implementada
✅ Indicadores de monitoramento definidos
✅ Cronograma de auditorias estabelecido

Due Diligence: O Pilar Esquecido (e Mais Importante)

A due diligence de terceiros é, possivelmente, o elemento mais crítico de um programa de integridade — e o mais negligenciado.

Por que Due Diligence Não Pode Ser Pontual

A Lei Anticorrupção responsabiliza a empresa por atos de corrupção cometidos em seu interesse ou benefício — mesmo que praticados por terceiros. Isso significa que se um fornecedor, representante comercial ou parceiro subornar um agente público para beneficiar sua empresa, você pode ser responsabilizado.

A Portaria 226/2025 incluiu expressamente a "realização de diligências na contratação de terceiros e parceiros" entre os 17 parâmetros de avaliação.

O problema? A maioria das empresas realiza due diligence apenas no momento da contratação. Verificam o fornecedor uma vez e nunca mais.

O Risco do "Set and Forget"

Considere este cenário real:

Uma empresa contratou um fornecedor em 2023. Fez due diligence completa: verificou certidões, analisou reputação, checou processos judiciais. Tudo limpo.

Em 2024, o sócio do fornecedor foi investigado por envolvimento em fraudes em licitações. Em 2025, foi condenado. A empresa contratante nunca soube — porque parou de monitorar.

Quando a irregularidade veio à tona, a empresa contratante foi questionada: "Vocês sabiam do histórico desse fornecedor?". A resposta "fizemos due diligence em 2023" não foi aceita.

Monitoramento Contínuo: A Exigência Que Vem Aí

O 5º pilar do programa de integridade — monitoramento contínuo — não é opcional. E a tendência regulatória é de exigência cada vez maior.

O que um monitoramento contínuo de terceiros deve incluir:

• Alertas em tempo real sobre mudanças cadastrais
• Monitoramento de mídias negativas e envolvimento em escândalos
• Atualização de certidões periodicamente
• Verificação de processos judiciais novos
• Análise de sanções e impedimentos em licitações
• Cruzamento de dados para identificar relacionamentos ocultos

Fazer isso manualmente para dezenas ou centenas de fornecedores é inviável. Por isso, empresas com programas de integridade maduros utilizam ferramentas de investigação automatizada — como o Sherlocker — para monitorar terceiros de forma contínua e receber alertas quando algo muda.

Casos Reais de Empresas Penalizadas

A Operação Lava Jato revelou como grandes empresas foram penalizadas por atos de terceiros:

• Construtoras utilizaram doleiros e intermediários para pagamentos ilícitos
• Empresas contrataram fornecedores de fachada controlados por agentes públicos
• Representantes comerciais pagaram propinas "em nome" das empresas

Em todos esses casos, a ausência de due diligence efetiva — ou a realização apenas pontual — foi fator agravante nas penalidades aplicadas.

Programa de Integridade para PMEs: É Obrigatório?

A obrigatoriedade legal de programa de integridade, conforme a Portaria 226/2025, aplica-se a contratos de grande vulto (acima de R$ 251 milhões) com o governo federal. Para a maioria das pequenas e médias empresas, não há obrigação legal explícita.

Mas isso não significa que PMEs devam ignorar o tema.

Aplicabilidade para Pequenas e Médias Empresas

PMEs podem (e devem) implementar programas de integridade proporcionais ao seu porte e risco. A CGU reconhece isso e permite versões simplificadas.

Empresas que participam de licitações de menor valor também se beneficiam: o programa de integridade é critério de desempate em qualquer valor de contratação pública.

Versão Simplificada do Programa

Para PMEs, o programa pode ser mais enxuto:

• Código de Ética simplificado (5-10 páginas, linguagem direta)
• Canal de denúncias básico (pode ser e-mail específico com garantia de confidencialidade)
• Due diligence de terceiros (verificação de principais fornecedores e parceiros)
• Treinamento básico (reunião anual ou online)
• Termo de comprometimento assinado pelos sócios

O investimento é baixo quando comparado ao custo de uma investigação ou multa.

Benefícios Além da Obrigatoriedade

Mesmo sem obrigação legal, PMEs com programa de integridade:

• Acessam contratos com grandes empresas (que exigem compliance de fornecedores)
• Participam de licitações com vantagem competitiva
• Atraem investidores que avaliam governança
• Protegem sócios de responsabilização pessoal
• Reduzem riscos de fraudes internas

Benefícios de Ter um Programa de Integridade Efetivo

Atenuação de Sanções (Lei Anticorrupção)

A Lei 12.846/2013 prevê que a existência de um programa de integridade efetivo é fator atenuante na aplicação de sanções. O Decreto 11.129/2022 detalha que a atenuação pode reduzir a multa em até 4%.

Considerando que a multa máxima é 20% do faturamento bruto, uma redução de 4% pode representar dezenas de milhões de reais para grandes empresas.

Vantagem Competitiva em Licitações

Com a Lei 14.133/2021 e a Portaria 226/2025, empresas com programa de integridade:

• Vencem em casos de empate
• Demonstram capacidade de cumprir contratos de grande vulto
• Qualificam-se para reabilitação após sanções

Atração de Investidores (ESG)

Fundos de investimento, especialmente estrangeiros, exigem governança robusta. O programa de integridade é componente essencial do "G" (Governance) nos critérios ESG.

Empresas em processo de captação, IPO ou M&A precisam demonstrar maturidade em integridade.

Proteção Reputacional

Um escândalo de corrupção pode destruir décadas de construção de marca. O programa de integridade não elimina todos os riscos, mas demonstra que a empresa fez o que era razoável para prevenir irregularidades.

Erros Comuns na Implementação (e Como Evitar)

Programa "de Papel" vs. Programa Efetivo

O erro mais grave é criar um programa que existe apenas em documentos. A CGU avalia efetividade, não apenas existência.

Sinais de programa de papel:

• Código de ética que ninguém leu
• Canal de denúncias que nunca recebeu relatos
• Treinamentos genéricos sem avaliação
• Nenhuma due diligence de terceiros realizada

Como evitar: Documente tudo. Registre treinamentos. Mantenha evidências de due diligence. Apure denúncias. A efetividade precisa ser demonstrável.

Falta de Autonomia da Instância Responsável

Se o compliance officer precisa pedir permissão para investigar ou não tem acesso à alta direção, o programa está comprometido.

Como evitar: Garanta linha de reporte direta ao conselho ou CEO. Documente a autonomia no regimento interno.

Due Diligence Apenas na Contratação

Como já abordamos, verificar terceiros apenas uma vez é insuficiente. Pessoas e empresas mudam. Investigações surgem. Sanções são aplicadas.

Como evitar: Implemente monitoramento contínuo. Use ferramentas de investigação automatizada para receber alertas de mudanças.

Ausência de Evidências Documentais

Em caso de investigação, a empresa precisa demonstrar que tinha um programa efetivo. Sem documentação, não há como provar.

O que documentar:

• Atas de reuniões sobre integridade
• Registros de treinamentos com assinatura
• Relatórios de due diligence realizados
• Apurações de denúncias conduzidas
• Auditorias e seus resultados
• Comunicações da alta direção

Conclusão: Integridade é Investimento, Não Custo

Implementar um programa de integridade exige recursos — tempo, pessoas, ferramentas, treinamentos. Mas o custo de não ter um programa é incomparavelmente maior.

Uma multa de até 20% do faturamento. Proibição de contratar com o governo por até 5 anos. Danos reputacionais irreversíveis. Responsabilização pessoal de executivos.

A Portaria CGU 226/2025 deixou claro: programas de fachada não serão mais tolerados. A avaliação será por critérios objetivos, incluindo a verificação de que due diligence de terceiros é realizada de forma contínua.

Próximos Passos para Sua Empresa

1. Avalie a maturidade atual — o que já existe? funciona?
2. Mapeie os riscos — onde estão as vulnerabilidades?
3. Priorize ações — comece pelos elementos obrigatórios
4. Implemente monitoramento contínuo — especialmente de terceiros
5. Documente tudo — evidências são essenciais

O programa de integridade não é um projeto com fim. É um sistema vivo que exige atenção permanente. E a due diligence contínua de terceiros é o elemento que mantém esse sistema funcionando.

Para empresas que precisam monitorar fornecedores, parceiros e terceiros de forma automatizada, o Sherlocker oferece investigação empresarial com IA — cruzamento de dados, alertas em tempo real e relatórios prontos para compliance. É o tipo de ferramenta que transforma o 5º pilar (monitoramento contínuo) de teoria em prática.

---

Fontes:

• Lei 12.846/2013 — Lei Anticorrupção
• Decreto 11.129/2022 — Regulamentação da Lei Anticorrupção
• Portaria CGU 226/2025
• Lei 14.133/2021 — Nova Lei de Licitações
• Guia CGU — Programa de Integridade para Empresas Privadas