Como este tema funciona na sua empresa
Tem código de conduta interno, mas não estende exigências aos fornecedores. Não realiza mapeamento de risco por categoria nem treinamento de terceirizados. Quando ocorre fraude, propina ou descumprimento, descobre que faltava processo e cláusula contratual capaz de sustentar consequência.
Mantém código de conduta e canal de denúncia interno, mas a aplicação ao fornecedor é incipiente. Cláusula anticorrupção está nos contratos. Auditoria de fornecedor existe, mas não é estruturada por matriz de risco. Falta integração entre denúncia, investigação e consequência disciplinar.
Tem programa de integridade formal alinhado ao Decreto 11.129/2022, com sete elementos implementados, código de conduta para fornecedores, treinamento anual obrigatório, plataforma de canal de denúncia, comitê de investigação e matriz de consequência. Auditoria externa anual valida o programa.
Programa de integridade aplicado a fornecedores
é o conjunto estruturado de políticas, cláusulas contratuais, treinamentos, auditorias, canais de denúncia e procedimentos de investigação e consequência que, no marco da Lei 12.846/2013 e do Decreto 11.129/2022, estendem à cadeia de fornecedores os mecanismos de prevenção, detecção e remediação de violações de conformidade aplicáveis à empresa contratante.
O marco normativo e a lógica do programa
A Lei 12.846/2013 (Lei Anticorrupção) institui a responsabilização objetiva administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira. O Decreto 11.129/2022, que substituiu o Decreto 8.420/2015, regulamenta o programa de integridade como atenuante na dosimetria de sanções e detalha seus elementos. A Controladoria-Geral da União (CGU) publica orientações técnicas que servem de referência para implementação.
O programa de integridade não é apenas exigência regulatória — é instrumento de redução de risco. Em Facilities, onde os fornecedores manuseiam acesso físico, sistemas críticos, ativos e contato com fiscalização pública, as oportunidades de violação são frequentes: propina a fiscal do trabalho, suborno a auditor ambiental, conluio em licitação, fraude em medição, contratação de parentes em troca de favores, retenção de funcionários por dívida. Estender o programa à cadeia significa transformar valores corporativos em obrigações contratuais auditáveis.
Os sete elementos essenciais aplicados a fornecedores
Código de conduta
Documento curto (em geral três a cinco páginas), em linguagem acessível, que descreve: políticas anticorrupção (vedação a suborno, propina, facilitação, presentes acima de valor de cortesia); conformidade trabalhista, ambiental e fiscal; integridade comercial (vedação a fraude em medição e faturamento); saúde e segurança ocupacional; direitos humanos e vedação a trabalho análogo a escravo; proteção de dados (LGPD); sustentabilidade; conflito de interesses; canal de denúncia disponível. Deve ser entregue na contratação, assinado pelo representante legal do fornecedor e fixado em mural no posto de trabalho do terceirizado.
Mapeamento de riscos
Avaliação por categoria, considerando fatores como mão de obra intensiva, manuseio de produtos químicos, acesso a áreas críticas, contato com fiscalização pública, porte e maturidade de governança do fornecedor, histórico (antecedentes judiciais e administrativos dos sócios), país de origem se aplicável. O resultado é matriz que determina a frequência e profundidade da auditoria.
Treinamento e comunicação
Treinamento inicial na contratação para gestores do fornecedor (uma a duas horas, presencial ou em videoconferência), com reforço anual. Para funcionários do fornecedor, amostragem mínima recomendada de 50%, podendo ser via plataforma online. Conteúdo: código de conduta, leis aplicáveis, exemplos práticos de violação, direitos e canal de denúncia. Documentação: lista de presença, certificado ou comprovante, avaliação simples para registro.
Auditoria e monitoramento
Auditoria documental (contratos, certificados, declarações), auditoria operacional (visita ao local, entrevista com funcionários, observação de prática), monitoramento contínuo de listas públicas (Lista Suja do MTE, CEIS — Cadastro Nacional de Empresas Inidôneas e Suspensas, CNEP — Cadastro Nacional de Empresas Punidas, OFAC, PEPs). Frequência conforme matriz de risco: alto trimestral, médio semestral, baixo anual.
Canal de denúncia
Acessível ao fornecedor, aos seus funcionários e aos seus terceiros. Anônimo, com múltiplos canais (e-mail, hotline, aplicativo, formulário web), protegido contra retaliação. Confirmação automática de recebimento, mesmo em denúncia anônima. Sigilo durante investigação. Divulgação por cartaz no posto de trabalho do terceirizado, com QR code ou número de telefone.
Investigação
Procedimento estruturado: recepção e classificação de gravidade, avaliação inicial de verossimilhança, investigação (entrevistas, coleta de evidência, análise documental), conclusão (confirmado, não confirmado, inconclusivo), análise de causa raiz, relatório confidencial. Para casos graves, recomenda-se apoio de escritório externo de investigação corporativa.
Consequência e disciplina
Matriz que vincula gravidade da violação a ação proporcional. Aviso por escrito e retraining para violação menor; multa contratual e plano de ação com prazo para violação importante; multa substancial, suspensão de novos contratos e rescisão para violação crítica. Para casos com tipificação penal ou administrativa, denúncia às autoridades competentes (MTE, MPT, CGU, polícia).
Comece pelo essencial: código de conduta enxuto entregue na contratação com assinatura, cláusula anticorrupção em contrato, declaração anual de conformidade, canal de denúncia simples (e-mail dedicado), consulta trimestral à Lista Suja, CEIS e CNEP. Sem grande estrutura, mas com evidência documental organizada.
Estruture matriz de risco por categoria, treinamento inicial obrigatório, auditoria semestral em fornecedores de risco médio e trimestral em risco alto, canal de denúncia com plataforma simples. Comitê interno mensal para tratar denúncias e definir consequência.
Implemente programa formal com os sete elementos, alinhado ao Decreto 11.129/2022 e às orientações da CGU. Plataforma integrada de canal de denúncia, due diligence automatizado de listas públicas, treinamento online com trilha por categoria, comitê de ética com membros independentes, auditoria externa anual.
Código de conduta para fornecedores — o que incluir
Boas práticas de redação: linguagem acessível, exemplos concretos, listas curtas, declarações afirmativas (em vez de apenas vedações), referência a canais de apoio. Tópicos essenciais a cobrir.
Anticorrupção: vedação expressa a suborno, propina, oferta de presentes acima de valor de cortesia, contratação de parentes em troca de favores, pagamento a "facilitadores". Trabalhista: conformidade com CLT e convenção coletiva, vedação a trabalho análogo, jornada legal, segurança e saúde. Ambiental: gestão de resíduos, descarte regular, licenciamento quando aplicável. Comercial: integridade em medição e faturamento, vedação a duplicidade, conformidade fiscal. Dados: LGPD, sigilo de informações da operação contratante. Conflito de interesses: declaração de relações que possam comprometer objetividade.
Distribuição: entrega na contratação com assinatura do representante legal, reforço em reuniões periódicas, cartaz em mural do fornecedor, anexação ao contrato como integrante do conjunto contratual.
Matriz de risco por categoria de fornecedor
A matriz pondera três dimensões: risco de corrupção, risco trabalhista e risco ambiental. O resultado define frequência e profundidade da auditoria.
Limpeza: corrupção baixa, trabalhista alto (mão de obra intensiva, salário próximo ao mínimo, jornada extensa), ambiental médio (produtos químicos). Risco geral: alto, auditoria trimestral. Vigilância: corrupção média (acesso a informações sensíveis, possibilidade de conluio), trabalhista alto, ambiental baixo. Risco geral: alto, auditoria trimestral. Consultoria especializada: corrupção alta (influência em decisões, capacidade de direcionar processos), trabalhista baixa, ambiental baixa. Risco geral: alto, auditoria semestral com foco em integridade. Resíduos: corrupção média (relacionamento com fiscalização ambiental), trabalhista média, ambiental alto. Risco geral: alto, auditoria trimestral.
A matriz é revisada anualmente. Fornecedores que cumprem padrão por dois anos consecutivos podem migrar para frequência menor. Fornecedores com incidente ou denúncia movem-se para frequência maior independentemente da categoria.
Treinamento e comunicação — formato e frequência
Treinamento inicial: obrigatório para gestores do fornecedor (sócios, encarregados, supervisores) na contratação. Carga horária mínima de uma hora, presencial ou em videoconferência. Conteúdo: visão geral do programa, código de conduta, exemplos de violação, canal de denúncia, consequência. Material entregue: cópia do código, cartilha resumida, contato do canal.
Treinamento para funcionários do fornecedor: amostragem mínima de 50%, podendo ser online assíncrono. Avaliação simples (cinco a dez questões) para registro. Reforço anual obrigatório. Reforço ad hoc após qualquer incidente significativo no setor ou no próprio fornecedor.
Documentação a manter: lista de presença com assinatura, comprovante de acesso à plataforma online, certificado ou declaração de conclusão, resultado da avaliação. Pasta organizada por fornecedor e ano, acessível em auditoria.
Canal de denúncia — como estruturar
Múltiplos canais para diferentes preferências: formulário web (acessível por celular, sem necessidade de cadastro), telefone com gravação (linha 0800 ou número direto), e-mail dedicado, aplicativo se houver, presencial em ouvidoria ou comitê de ética. Princípio: o denunciante escolhe o canal mais confortável.
Anonimato opcional e respeitado. Sistema deve permitir que o denunciante anônimo retorne para acompanhar a apuração via código de protocolo. Confirmação automática de recebimento. Prazo definido para retorno (em geral, 30 dias para parecer inicial). Proteção legal contra retaliação reforçada por cláusula contratual e por monitoramento ativo de eventuais represálias.
Divulgação: cartaz no posto de trabalho do terceirizado, com QR code e número de telefone; menção em reuniões periódicas com fornecedor; lembrete em e-mails de comunicação contratual. A divulgação contínua é o que mantém o canal vivo.
Investigação de denúncia
Fluxo recomendado. Recepção: registro com data, tipo, urgência, gravidade preliminar. Avaliação inicial (até cinco dias úteis): verossimilhança, informações suficientes, necessidade de dados adicionais. Investigação (15 a 30 dias, prorrogáveis): entrevistas com denunciante (se identificado), com acusado, com testemunhas; coleta de evidência documental e física; eventual apoio de escritório externo para casos graves. Análise: conclusão (confirmado, não confirmado, inconclusivo), análise de causa raiz, recomendação. Relatório confidencial: assinado, arquivado, distribuído conforme matriz de acesso.
Para denúncias envolvendo agentes públicos ou atos tipificados penalmente, a investigação interna não substitui o dever de comunicação às autoridades — o sigilo da investigação corporativa não pode ser usado para encobrir crime.
Consequências e disciplina
A matriz de consequência deve ser proporcional, escalonada e previsível, comunicada antecipadamente ao fornecedor.
Nível 1, violação menor (atraso documental, falha de divulgação do canal, descumprimento procedimental): aviso formal por escrito, retraining obrigatório, monitoramento reforçado por três a seis meses. Nível 2, violação importante (irregularidade trabalhista, falha de segurança, descarte irregular de resíduos sem dano): multa contratual de 5% a 10% do contrato mensal, plano de ação com prazo de 30 dias, auditoria trimestral por seis meses. Nível 3, violação crítica (constatação em Lista Suja, propina a agente público, fraude em faturamento, retenção de documentos de trabalhador): multa de 20% a 50% do contrato, suspensão de novos contratos, rescisão contratual com ou sem aviso, denúncia às autoridades competentes (MTE, MPT, CGU, polícia conforme tipificação).
Comunicação: violação confirmada gera comunicado interno (transparência com a equipe), eventual comunicado a pares do setor (em casos graves, sem violar privacidade do fornecedor), evitar divulgação pública para não incorrer em risco de difamação.
Exemplo prático de programa em ação
Fornecedor de limpeza recém-contratado. Etapa 1, auditoria inicial: entrega de código de conduta, assinatura do representante legal, declaração anual de conformidade, treinamento de duas horas para a gerência. Etapa 2, monitoramento contínuo: consulta automatizada mensal a Lista Suja, CEIS, CNEP — sem ocorrências. Etapa 3, auditoria trimestral: visita ao posto de trabalho, entrevista com quatro funcionários, conferência de folha de pagamento — conforme.
Mês 6: chega denúncia anônima pelo canal informando "trabalhador da limpeza não recebeu salário de maio". Investigação: confirmação por entrevista com o funcionário e análise de folha — salário foi retido indevidamente. Conclusão: violação importante (Nível 2). Ação: multa contratual de 10%, plano de correção (regularização em cinco dias úteis), auditoria mensal por seis meses, retraining da gerência do fornecedor. Reincidência levaria a Nível 3 (rescisão).
Sinais de que o programa de integridade da sua empresa precisa de revisão
Se você se reconhece em três ou mais cenários abaixo, é provável que o programa exista no papel mas não esteja operacional para a cadeia.
- Código de conduta da empresa não foi entregue formalmente aos fornecedores ativos.
- Não há treinamento obrigatório de fornecedor, mesmo na contratação inicial.
- Canal de denúncia existe internamente, mas não é divulgado aos trabalhadores terceirizados.
- Auditoria de fornecedor é episódica, sem matriz de risco que defina frequência por categoria.
- Consulta a listas públicas (Lista Suja, CEIS, CNEP) não é sistematizada.
- Denúncias passadas não tiveram registro formal nem investigação documentada.
- Não há matriz de consequência previamente comunicada ao fornecedor.
Caminhos para estruturar programa de integridade da cadeia
A escolha entre construir capacidade interna ou contratar consultoria depende da maturidade atual e do número de fornecedores.
Adequada para empresas com área de compliance ou jurídico capaz de coordenar os sete elementos.
- Perfil necessário: compliance officer com conhecimento de Lei 12.846/2013 e Decreto 11.129/2022, apoiado por jurídico e RH
- Quando faz sentido: programa em fase inicial, número médio de fornecedores
- Investimento: 20 a 40 horas mensais nos primeiros seis meses para implantação, depois 8 a 16 horas mensais para operação
Indicado para empresas com cadeia complexa, exposição regulatória forte ou após incidente significativo.
- Perfil de fornecedor: consultoria de compliance, escritório de integridade corporativa, plataforma de due diligence e canal de denúncia
- Quando faz sentido: cadeia grande, exposição internacional, certificação alvo, exigência de cliente corporativo
- Investimento típico: R$ 40.000 a R$ 300.000 anuais, conforme escopo, plataforma e número de fornecedores
Precisa estruturar programa de integridade aplicado a fornecedores?
Se sua empresa quer estender o programa de integridade à cadeia de Facilities, atender exigência da Lei Anticorrupção ou se preparar para auditoria externa, o oHub conecta você a consultorias de compliance e plataformas de integridade corporativa com experiência prática em Facilities.
Encontrar fornecedores de Facilities no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é programa de integridade segundo a Lei Anticorrupção?
É o conjunto de mecanismos internos da pessoa jurídica voltados à prevenção, detecção e remediação de violações contra a administração pública, conforme Lei 12.846/2013 e Decreto 11.129/2022. Funciona como atenuante na dosimetria de sanções e é detalhado em sete elementos pela CGU.
O programa precisa se estender aos fornecedores?
Sim. A jurisprudência consolidada e as orientações da CGU consideram que a efetividade do programa depende de sua aplicação à cadeia. Fornecedor com prática de corrupção contamina o contratante negligente. Cláusulas contratuais, treinamento, auditoria e canal de denúncia estendidos aos fornecedores são elementos esperados.
O que é matriz de risco e como construir?
É a ponderação de risco por categoria de fornecedor, considerando dimensões de corrupção, trabalhista e ambiental. Define frequência e profundidade da auditoria. Limpeza e vigilância tendem a risco alto pela mão de obra intensiva; consultoria especializada pela influência em decisões. Revisa-se anualmente, com ajuste por histórico do fornecedor.
Como funciona o canal de denúncia para fornecedores?
É canal acessível a fornecedor, seus funcionários e terceiros, com múltiplos meios de acesso (formulário web, telefone, e-mail, presencial), anonimato opcional, protegido contra retaliação, com prazo definido de resposta. Divulgação por cartaz no posto de trabalho do terceirizado é prática consolidada.
Qual a consequência típica de violação confirmada?
Depende da gravidade. Violação menor: aviso formal e retraining. Violação importante: multa contratual de 5% a 10%, plano de ação, auditoria reforçada. Violação crítica (Lista Suja, propina, fraude em faturamento): multa substancial, rescisão contratual e denúncia às autoridades competentes (MTE, MPT, CGU, polícia conforme tipificação).