No compliance brasileiro, por anos, o rigor das palavras substituiu o rigor das práticas. Manuais de conduta impecáveis conviveram, sem constrangimento, com rotinas corporativas que os ignoravam. A Resolução CGE/SP nº 4/2026 veio romper esse acordo tácito — e, ao fazê-lo, redesenha as regras do jogo para empresas que dependem de contratos públicos em São Paulo.
A norma, editada pela Controladoria Geral do Estado, cria uma metodologia inédita de avaliação de programas de integridade. Ela distingue, com precisão, o que existe na prática do que existe apenas no papel. Para os departamentos jurídicos e de compliance das empresas fornecedoras do Estado, portanto, a mudança é estrutural: o ônus da prova deixou de ser retórico e passou a ser documental. Entender essa virada é, hoje, uma vantagem competitiva — e ignorá-la pode custar contratos milionários.
Compliance de vitrine não passa mais
A distinção central que a resolução estabelece é tão simples quanto radical em suas consequências: não basta declarar — é preciso demonstrar. O novo modelo avalia a capacidade concreta da empresa de prevenir riscos, responder a ocorrências e manter o programa funcionando no cotidiano. Assim, não há espaço para programas que existem apenas no papel.
"O erro mais comum seria a empresa declarar que possui programa de compliance implementado, com políticas bem escritas, mas, na prática, não conseguir demonstrar a sua efetivação", explica Cristiana Molineiro, advogada do Gaia Silva Gaede Advogados.
A norma estrutura 46 questões em um Relatório de Conformidade, com pontuação máxima de 92 pontos. Além disso, quatro delas têm atendimento obrigatório — e sua ausência encerra a avaliação antes mesmo que a pontuação seja calculada. São elas: existência de instância interna responsável, análise de riscos nos últimos 12 meses, código de conduta disponível em português e canal de denúncias com garantia de anonimato. "A ausência de qualquer uma dessas quatro condições torna inócua qualquer outra excelência que o programa possa apresentar", alerta Jean Paolo Simei e Silva, sócio do Fonseca Brasil Serrão Advogados.
Por fim, o envolvimento da liderança deixou de ser retórica institucional. Sabine Schuttoff, sócia do DDSA Advogados, é direta: "Programa de integridade sem tone at the top é decoração institucional."
Tamanho não é tudo: o fator exposição pública
A metodologia paulista introduz um critério sem precedentes na regulamentação federal. O rigor da exigência não depende apenas do porte da empresa — depende, sobretudo, de quanto ela fatura com o poder público. Essa combinação de variáveis distribui as empresas em três grupos de exigência crescente.
O cálculo funciona assim: o faturamento bruto anual define o porte — menor porte até R$ 25 milhões, médio até R$ 300 milhões e grande acima disso. Já o percentual de receita proveniente de contratos públicos define o perfil de risco: baixo (até 10%), médio (entre 10% e 40%) e alto (acima de 40%). A combinação dessas variáveis posiciona a empresa nos grupos G1, G2 ou G3.
Entretanto, os especialistas alertam que, na prática, uma empresa menor pode enfrentar exigências maiores do que uma gigante do setor privado. "Uma empresa de tecnologia com faturamento de R$ 30 milhões, mas com 80% da receita vinda de contratos com a administração pública, pode ser chamada a demonstrar um grau de maturidade mais elevado do que uma indústria com faturamento três vezes maior, mas sem relação relevante com o setor público", exemplifica Sabine Schuttoff.
O advogado virou gestor de evidências
A exigência documental da nova resolução transforma, de forma concreta, o papel do advogado de compliance. A atuação que antes se concentrava na redação de políticas agora exige uma função adicional: a articulação e organização de uma trilha documental rastreável, capaz de sustentar o programa perante a CGE.
Essa mudança tem impacto direto no cotidiano. Atas de reunião, listas de presença em treinamentos, relatórios de auditoria com data identificável e registros de apuração de denúncias passaram a ter valor probatório concreto. O problema, contudo, é que muitas empresas simplesmente não os produziram de forma sistemática.
Para Sabine Schuttoff, os documentos mais difíceis de reconstituir são os que dependem de continuidade: "histórico de apurações, registros de due diligence de terceiros, revisões periódicas de risco, avaliação de eficácia de treinamentos e acompanhamento de medidas corretivas. A melhor evidência é a que já nasce como parte do processo, não a que precisa ser reconstruída sob pressão."
Jean Paolo Simei e Silva, por sua vez, chama atenção para uma consequência inevitável: empresas que iniciam o processo sem histórico documental precisam aceitar que "o nível de maturidade alcançado no curto prazo será necessariamente mais modesto do que o desejado."
Canal de denúncias: o elo mais frágil
Segundo os especialistas, o canal de denúncias é o elemento que mais frequentemente derruba a classificação de maturidade das empresas avaliadas. Não basta que ele exista — é preciso que funcione de forma acessível, confiável e independente, com fluxo estruturado de triagem, apuração e encerramento de casos.
A CGE analisa o canal sob quatro dimensões: acessibilidade e divulgação ampla, garantia de anonimato ao denunciante, independência em relação a estruturas com potencial conflito de interesse e efetividade real da apuração. A ausência de anonimato, especificamente, é item eliminatório.
Cristiana Molineiro detalha os critérios considerados: "o órgão considerará na avaliação se há efetiva proteção do denunciante, mais de um meio para recebimento de denúncias, comunicação do canal para todos os colaboradores, além de avaliar a forma de tratamento das denúncias e a possibilidade de acompanhamento da apuração pelo denunciante."
Outro ponto crítico é a independência. Canais controlados exclusivamente por estruturas com potencial conflito de interesse são problemáticos. Por isso, a terceirização para plataformas ou escritórios independentes tornou-se prática cada vez mais comum entre empresas em processo de adequação. Em síntese, o canal não é um fim em si mesmo — é o início de um fluxo que precisa funcionar inteiro, da recepção à consequência.
Compliance como ativo estratégico em licitações
A adequação à resolução não precisa ser encarada apenas como custo regulatório. Para empresas que disputam contratos públicos, um programa de integridade bem estruturado pode funcionar como critério de desempate — e, portanto, como vantagem comercial concreta e mensurável.
A Lei nº 14.133/2021 já previa o compliance como fator de desempate em licitações. Agora, a resolução paulista regulamenta como essa comprovação deve ocorrer. Para o desempate, a empresa precisa demonstrar ao menos o Nível I de maturidade. Os especialistas, no entanto, alertam que esse não deve ser o teto do esforço.
"Quando bem implementado, o programa de compliance mitiga riscos operacionais, financeiros e reputacionais da companhia e, assim, representará não só uma vantagem comercial, mas ferramenta que auxiliará nos negócios à longo prazo", afirma Cristiana Molineiro.
Sabine Schuttoff amplia o olhar além do ambiente público: "Em processos de M&A, em due diligence de investidores e até em linhas de crédito com instituições financeiras, a existência de um programa de integridade minimamente documentado já é, cada vez mais, um fator de análise. A régua privada também está subindo."
Além disso, Jean Paolo Simei e Silva destaca que a certificação de avaliação, com validade de 24 meses, pode ser incluída no portfólio institucional como diferencial explícito em propostas. O compliance, nesse cenário, deixa de ser apêndice formal e passa a integrar a arquitetura estratégica da empresa.
O caminho das médias empresas: etapas, não atalhos
Empresas de médio porte que dependem de contratos públicos e ainda não têm estrutura de compliance formalmente constituída enfrentam um desafio duplo: urgência regulatória e custo de construção. Não existe atalho legítimo — mas existe método, e ele começa pelo diagnóstico.
O ponto de partida é mapear honestamente a situação atual da empresa frente às 46 questões do Relatório de Conformidade. Em seguida, a prioridade recai sobre os itens eliminatórios, seguida pela constituição prospectiva do acervo documental e pelo monitoramento contínuo até a avaliação formal.
Sabine Schuttoff é direta: "Empresas que começam antes conseguem distribuir melhor esse esforço e chegar a uma eventual avaliação com muito mais consistência." Cristiana Molineiro reforça que o modelo não precisa replicar o de grandes corporações: "O erro seria acreditar que empresas menores precisam de programas compliance idênticos aos de grande porte e tentar copiá-los." Vale lembrar ainda que o prazo para adequação após a assinatura de um contrato de grande vulto é de apenas seis meses — portanto, a antecipação é, também, estratégica.
São Paulo como laboratório: o que vem por aí
São Paulo tem funcionado historicamente como laboratório regulatório para o restante do Brasil — e a política de integridade em contratações públicas segue esse padrão. Outros estados avançam na mesma direção e, em março de 2026, a CGU apresentou uma proposta referencial para harmonizar as exigências em todo o país.
Rio Grande do Sul e Minas Gerais já possuem legislação própria sobre programas de integridade, como a Lei Estadual nº 15.228/2018 (RS) e a Política Mineira de Promoção da Integridade. Além disso, a tendência de convergência com o modelo federal é clara — e empresas que operam em múltiplos estados precisam se antecipar.
Jean Paolo Simei e Silva é enfático: "Estruturar hoje um programa que atenda aos parâmetros federais e à metodologia paulista equivale a construir um programa que resistirá à maioria das regulamentações que ainda estão por vir. A assimetria de risco está clara: adaptar-se proativamente custa menos do que ser apanhado por uma nova norma estadual sem a documentação mínima exigida."