O Fim do Compliance de Fachada: Como a Nota Técnica 1/2026 da Atricon e as Normas ISO Redefinem a Integridade na Gestão Municipal.

Por Gustavo de Antônio Aguiar.[1]

1. O Novo Paradigma da Sobrevivência Política

Existe um equívoco que custa caro a prefeitos, secretários e controladores que é acreditar que compliance é sinônimo de pasta com documentos devidamente arquivados.

Durante décadas, bastava ter um código de ética pendurado na parede, um setor jurídico reativo e um sorriso educado ao auditor, mas esse tempo acabou.

Com a plena vigência da Lei nº 14.133/2021 (a famigerada Nova Lei de Licitações e Contratos) e a edição da Nota Técnica Conjunta Atricon-IRB nº 01/2026, os Tribunais de Contas estão passando a uma nova métrica de avaliação.

Não se pergunta mais apenas "o processo estava formalizado?". A pergunta agora é: "a governança funcionou de verdade?"

Isso transforma integridade em questão de sobrevivência política e administrativa. Gestor que não estrutura seu programa de compliance corre dois riscos simultâneos: a responsabilização pessoal perante os Tribunais de Contas e a vulnerabilidade crônica a fraudes, superfaturamentos e má gestão contratual que drenam os recursos públicos e destroem a capacidade de entrega de serviços à população.

Este artigo não é um manual jurídico, mas um mapa técnico, legal e estratégico para gestores que entendem que a integridade institucional é o maior ativo político de um mandato e que querem sair ilesos das auditorias enquanto entregam resultados reais.

2. O Recado Claro da Nota Técnica Atricon-IRB 01/2026: A Alta Administração no Centro do Risco

A Nota Técnica Conjunta Atricon-IRB nº 01/2026 é direta ao eliminar qualquer zona de conforto para quem ocupa o topo da hierarquia municipal. O Enunciado 1 estabelece com precisão cirúrgica:

"O superior hierárquico deve exercer, de forma efetiva, o papel de direção, coordenação e supervisão dos trabalhos de seus subordinados, corrigindo, quando necessário, lacunas ou omissões que comprometam a legalidade das contratações públicas, especialmente aquelas que revelem afronta manifesta às normas aplicáveis. A Lei nº 14.133/2021 reforça a relevância do controle preventivo a ser exercido pelas autoridades que integram a estrutura de governança do ente contratante, como instrumento de mitigação de riscos e de promoção da regularidade dos processos decisórios."

A mensagem é clara, a “ignorância hierárquica não é defesa”.

O prefeito que alega desconhecimento de falhas sistêmicas nos processos licitatórios de suas secretarias, quando há indícios de irregularidade, assume o risco de ser responsabilizado.

Nesse sentido é o Enunciado 2 da referida Nota Técnica da Atricon-IRB, que vai além e impõe uma obrigação ativa de governança:

"A Alta Administração deve assumir papel ativo na governança das contratações públicas, assegurando e possibilitando o funcionamento integrado das estruturas responsáveis pelo planejamento, pela gestão de riscos e pelo controle interno, em consonância com os objetivos estabelecidos no art. 11 da Lei nº 14.133/2021."

A ideia de "papel ativo" não admite interpretação passiva, ou seja, o gabinete do prefeito, as secretarias e a controladoria precisam funcionar como um sistema integrado com comunicação, métricas e responsabilidades claramente definidas.

2.1 A Rotatividade e a necessidade de capacitação constante

Um dos aspectos mais práticos, e mais ignorados, da Nota Técnica diz respeito à estabilidade das equipes técnicas. O Enunciado 3 documenta um risco que toda administração municipal enfrenta:

"A rotatividade excessiva de servidores e empregados públicos em funções estratégicas relacionadas às contratações públicas compromete a continuidade administrativa, fragiliza a governança, eleva o risco de falhas procedimentais e reduz a eficiência e a qualidade das decisões administrativas. A adequada implementação da Lei nº 14.133/2021 pressupõe a existência de equipes técnicas estáveis, capacitadas e com tempo mínimo de permanência suficiente para assimilação normativa, consolidação de rotinas e amadurecimento institucional das práticas de planejamento, licitação e gestão contratual."

Aqui reside uma das armadilhas mais comuns da gestão pública em realizar a constante prática de escalar servidores comissionados, estagiários ou profissionais sem qualificação específica para conduzir certames licitatórios de alto valor.

A Recomendação 1.10 da Nota Técnica fecha esse cerco com uma cláusula de responsabilização direta:

"Garantir que a designação de agentes de contratação e pregoeiros recaia, como regra, sobre servidores efetivos ou empregados públicos dos quadros permanentes da Administração, admitindo-se exceções apenas em situações extraordinárias devidamente fundamentadas pela autoridade competente, com a ressalva de que, em caso de falhas na condução do certame, a autoridade que nomear agente em desacordo com tais requisitos poderá ser responsabilizada por culpa in eligendo."

A culpa in eligendo pode ser traduzida diretamente para “responsabilidade por má escolha”. Se o prefeito ou secretário nomeia um agente despreparado e a licitação resulta em irregularidade, a cadeia de responsabilidade remonta à decisão de nomeação, ou seja, o superior hierárquico que o nomeou será responsabilizado.

A qualificação contínua dos agentes de contratação não é uma opção do Gestor ou um mero capricho, mas sim um verdadeiro escudo jurídico do gestor.

2.2 O Modelo das Três Linhas: A segregação que protege

O Enunciado 19 da Nota Técnica endossa explicitamente o Modelo das Três Linhas, referencial internacional de governança adotado pelo Institute of Internal Auditors (IIA):

"A estruturação das funções de controle interno, controle da gestão e auditoria interna deve observar o Modelo das Três Linhas, com segregação funcional, independência técnica e qualificação dos agentes, como previsto no art. 169 da Lei nº 14.133/2021."

Na prática municipal, isso significa que a primeira linha são as próprias secretarias, responsáveis pelos controles operacionais do dia a dia, já a segunda linha é a controladoria interna, que define políticas e monitora os riscos de forma independente e a assessoria jurídica, e, por fim, a terceira linha é integrado pelo órgão central de controle interno, que avalia com independência se o sistema como um todo funciona e, juntamente com o Tribunal de Contas, integram o complexo de auditoria.

Quando as três linhas operam com clareza e segregação, o gestor tem evidência documentada de que o sistema de governança estava ativo, tornando sua principal defesa perante qualquer órgão de controle externo.

3. A necessidade de se pensar no padrão ISO. A ISO 37301 e ISO 37001 na Administração Pública

Se a Nota Técnica Atricon-IRB 01/2026 define o "o quê", os requisitos de governança que os Tribunais de Contas passarão a verificar, as normas internacionais ISO 37301 e ISO 37001 fornecem o "como", através da engenharia de prevenção que transforma exigências normativas em processos gerenciáveis e auditáveis.

3.1 ISO 37301: A referência em Conformidade

A ISO 37301 (Sistema de Gestão de Compliance) é, em essência, um método estruturado para que uma organização identifique todas as suas obrigações legais, avalie os riscos de não conformidade e construa os mecanismos para mitigá-los de forma contínua.

Para um município, a aplicação desta norma começa com o mapeamento das obrigações, tais como: licitações e contratos (Lei 14.133/2021), transparência ativa (LAI), responsabilidade fiscal (LRF), legislação ambiental, urbanística e tributária.

Cada secretaria tem seu próprio universo de obrigações, para tanto, a ISO 37301 oferece o método para inventariar, priorizar e monitorar tudo isso sem depender da memória individual de servidores, que, como o Enunciado 3 da Atricon alerta, estão sujeitos à rotatividade, mesmo não sendo o melhor caminho.

Mais do que um documento, a norma institui uma cultura através de reuniões periódicas de revisão, indicadores de desempenho de compliance, canais de reporte e ciclos de melhoria contínua.

É exatamente o funcionamento integrado que o Enunciado 2 da Nota Técnica exige da Alta Administração, sendo este, operacionalmente, o Modelo das Três Linhas em ação, o que atende diretamente ao Enunciado 19.

3.2 ISO 37001: A Barreira Antissuborno nas Licitações

A ISO 37001 (Sistema de Gestão Antissuborno) é a norma que transforma o processo licitatório de ponto de vulnerabilidade em ponto de controle.

Desenvolvida para ambientes de alta exposição ao risco de corrupção, ela é particularmente relevante para secretarias com grande volume contratual, como obras, saúde, educação, segurança e assistência social.

Seus controles mais relevantes para a gestão municipal incluem due diligence rigorosa de fornecedores antes da habilitação (verificando histórico sancionatório, vínculo com agentes públicos e estrutura societária), bem como controles sobre presentes, hospitalidade e conflitos de interesse envolvendo servidores que conduzem licitações, além de auditorias periódicas específicas sobre o risco de suborno em contratos em execução.

A certificação, ou mesmo a adoção parcial dos controles da ISO 37001, envia um sinal inequívoco ao mercado, à sociedade e aos órgãos de controle que este município tem barreiras reais contra a corrupção.

Isso não é imunidade. É credibilidade ativa.

4. O Programa de Integridade Municipal na Prática

Princípios sem ação são apenas boas intenções. Assim, passamos a expor a seguir quatro linhas de ação concretas, adaptáveis ao porte de qualquer município, que traduzem as exigências da Atricon e das normas ISO em rotinas gerenciáveis.

1°) Tecnologia e uso correto de IA para prevenção

O maior erro da gestão pública tradicional é auditar contratos após a execução quando o dano já está consumado. A tecnologia inverte essa lógica.

Ferramentas de inteligência artificial já disponíveis no mercado permitem o cruzamento automatizado de dados cadastrais de licitantes com bases de sanção (CEIS, CNEP, TCU), sócios envolvidos com servidores públicos e histórico de preços praticados.

Sistemas de análise de editais por jurimetria identificam cláusulas direcionadoras ou restritivas antes da publicação eliminando vícios ab initio.

O resultado é um ciclo preventivo, onde o edital entra no sistema, é analisado, as inconsistências são sinalizadas, o gestor corrige. Quando o Tribunal de Contas auditar, encontrará evidências de que o controle prévio existia e funcionou.

2°) Canal de denúncias independente e protegido

Um programa de integridade sem canal de denúncias efetivo é estruturalmente incompleto. A ISO 37301 e as orientações da OCDE exigem tal observância.

A prática demonstra que a maioria das fraudes é identificada primeiro por insiders (servidores, fornecedores ou cidadãos) e não por auditorias externas.

O canal precisa reunir três características inegociáveis, sendo o anonimato garantido tecnicamente (não apenas prometido), independência da linha de reporte (queixas sobre a própria controladoria não podem ser geridas pela controladoria) e protocolo de resposta com prazos e evidências de encaminhamento.

A ausência de qualquer desses elementos converte o canal em ferramenta de fachada, sendo o que exatamente a Nota Técnica Atricon veio combater.

3°) Treinamento contínuo: a principal resposta e proteção à culpa in eligendo

A Recomendação 1.10 da Nota Técnica Atricon criou um novo imperativo para os departamentos de gestão de pessoas, ou seja, deve registrar, com evidências, o nível de qualificação dos agentes de contratação.

Isso exige mais do que cursos avulsos, exige um calendário estruturado de capacitação, com avaliações, certificações e trilhas específicas por função.

O gestor que consegue demonstrar ao Tribunal de Contas que o servidor responsável pelo certame tinha treinamento atualizado, passagens por simulações de casos práticos e registro de participação em atualizações normativas constrói uma defesa técnica robusta.

O gestor que não consegue essa prova carrega o ônus da culpa in eligendo.

Programas de treinamento online, cursos da ENAP, capacitações do TCE e treinamentos in company são opções acessíveis a municípios de todos os portes. O custo é baixo comparado ao custo de não fazê-lo que pode ser a inabilitação política do gestor e outras consequências.

4°) Matriz de risco ativa: monitoramento contínuo por Secretaria

Risco não mapeado é risco gerenciado pelo acaso. A ISO 37301 e o Modelo das Três Linhas da Atricon convergem na mesma exigência, qual seja, a gestão de riscos não pode ser um documento estático produzido no início do mandato e arquivado.

Uma Matriz de Risco Ativa é revisada trimestralmente, atualizada por evento (mudança de lei, novo contrato de grande porte, troca de secretário) e apresentada à Alta Administração com indicadores de exposição.

Secretarias de obras, saúde, educação, assistência social e segurança, que concentram os maiores orçamentos e, portanto, os maiores riscos, devem ter matrizes individuais com responsáveis nominais por cada controle.

Esse instrumento não é burocracia, mas sim a materialização do "papel ativo" que o Enunciado 2 da Nota Técnica atribui à Alta Administração. E este é o documento que o auditor vai querer ver primeiro.

5. Integridade como ativo e não como custo

Existe uma narrativa equivocada que ainda circula em gabinetes municipais, a de que compliance é despesa, burocracia e obstáculo à execução, mas é o oposto.

O município que implementa um programa de integridade estruturado, alinhado à Nota Técnica Atricon-IRB 01/2026, fundamentado nas ISOs 37301 e 37001, e suportado por tecnologia preventiva, reduz o tempo de processos licitatórios (menos retrabalho e menos impugnações), diminui o risco de paralisação de contratos por irregularidades, fortalece a reputação institucional com fornecedores idôneos e demonstra aos órgãos de controle que a governança é real, não performática.

O prefeito que chega ao final do mandato com os processos licitatórios íntegros, as auditorias do TCE sem ressalvas e a confiança da população preservada não é aquele que teve sorte, mas aquele que decidiu que integridade seria uma prioridade de gestão desde o primeiro dia.

A Nota Técnica Conjunta Atricon-IRB nº 01/2026 não é um aviso acadêmico, mas um roteiro que os Tribunais de Contas usarão para julgar cada licitação, cada nomeação e cada contrato dos próximos anos.

Gestores que lerem esse roteiro antes da auditoria terão vantagem. Já os demais aprenderão da maneira mais cara.

O fim do compliance de fachada não é uma ameaça, mas uma oportunidade para os gestores que sempre quiseram fazer diferente e agora têm o arcabouço normativo, tecnológico e metodológico para provar que fizeram.

A boa gestão só depende da vontade!

[1] Gustavo de Antônio Aguiar, Advogado, especialista em Licitações e em Gestão Pública, além de outras especialidades, sendo em: Regularização Fundiária, Processo Legislativo, Análise e Consultoria Legislativa, Direito Eleitoral, Legislação Educacional, Consórcios Públicos e Direito Tributário. Graduando em Ciências Contábeis. Professor e palestrante nas áreas de Licitações e Contratos, Regularização Fundiária, Consórcios Públicos e Convênios e Processo Legislativo. Membro da Comissão Estadual de Licitação da OAB/ES. Autor de obra e artigos jurídicos com publicação nacional e internacional. Membro da Brazilian-American Chamber of Commerce of Florida (BACCF - Câmara de Comércio Brasileiro-Americana da Flórida) e Membro Comitê de Policy, Governance, Risk & Compliance (GRC) Subcommittee da BACCF. Auditor Líder nas normas ISO 37001:2025, 37301:2021 e ISO 19011:2018.