Compliance e Investigações: os destaques que marcaram abril de 2026

O mês de abril de 2026 começou marcado por movimentos relevantes no cenário de Compliance e Investigações, evidenciando um ambiente regulatório cada vez mais dinâmico e orientado por novas expectativas de governança, transparência e gestão de riscos.

Destaques Nacionais

CGU reforça responsabilização de pessoas jurídicas: sinais de maturidade regulatória e impactos para programas de integridade

A Controladoria-Geral da União (CGU) publicou, em abril de 2026, decisões sancionadoras aplicadas a cinco pessoas jurídicas por atos lesivos contra a Administração Pública, incluindo multa, impedimento de contratar e a exigência de divulgação pública das sanções, além de ter indeferido pedidos de reconsideração em outros processos, mantendo penalidades anteriormente impostas.  O movimento evidencia o uso consistente de instrumentos administrativos de responsabilização e a crescente expectativa de que organizações operem com controles capazes de prevenir, detectar e responder a riscos de fraude e corrupção em contratações públicas.

Segundo a CGU, parte das decisões decorre do encerramento de julgamentos de Processos Administrativos de Responsabilização relacionados a apurações de corrupção, fraudes licitatórias, cartel e lavagem de dinheiro envolvendo contratações na área da saúde, com aplicação de impedimento de licitar e contratar com a União por cinco anos e descredenciamento no SICAF, com fundamento na Lei do Pregão (Lei nº 10.520/2002).  Em paralelo, outra decisão tratou de irregularidades sanitárias na cadeia de fornecimento, com responsabilização por fraude à fiscalização administrativa em insumos fora de padrões, multa e obrigação de publicação extraordinária da decisão por 45 dias.

Do ponto de vista de Compliance, as decisões reforçam que o risco não se limita ao ato de contratar: ele permeia todo o ciclo de relacionamento com o poder público e com cadeias reguladas, exigindo diligência sobre terceiros, governança de licitações, controles de qualidade e rastreabilidade, e mecanismos robustos de reporte e investigação interna.  A exigência de divulgação pública, em especial, amplia o componente reputacional e reforça a importância de respostas rápidas, bem documentadas e juridicamente consistentes, inclusive na interação com autoridades e na condução de remediações.

Por fim, a CGU destacou que os processos observaram garantias legais, com ampla defesa e apresentação de provas, reiterando o compromisso institucional com integridade, transparência e correta aplicação de recursos públicos.  Para organizações que buscam crescimento sustentável em ambientes regulados, o recado é positivo: investir em programas de integridade “executáveis”, com controles proporcionais ao risco e evidências de efetividade, não é apenas requisito de conformidade, mas também um diferencial competitivo em mercados que valorizam previsibilidade e confiança institucional.

INTEGRideiase a evolução da integridade pública: IA, processos e gestão de riscos no centro da governança

A CGU realizou, em 23 de abril de 2026, o webinar INTEGRideias com foco no uso de inteligência artificial combinada a ações de integridade e monitoramento de riscos, reunindo gestores, servidores e especialistas para compartilhar experiências práticas voltadas ao fortalecimento da governança e da integridade no setor público.  Nesse contexto, a iniciativa reforça uma tendência relevante: programas de integridade efetivos têm se aproximado cada vez mais de uma lógica de gestão, orientada por processos e por priorização baseada em risco, em vez de depender exclusivamente de controles formais e reativos.

Ao apresentar a experiência do Instituto Federal da Paraíba (IFPB), o evento destacou a importância de uma abordagem estratégica de integridade conectada às decisões e aos fluxos operacionais, com ênfase em mapeamento de processos e gestão de riscos como instrumentos para antecipar falhas, padronizar atividades e aumentar a segurança na execução administrativa.  A mensagem é pragmática: risco não é um “evento excepcional”, mas um componente inerente à gestão, que precisa ser conhecido, tratado e acompanhado de forma controlada para elevar eficiência e previsibilidade institucional.

Na sequência, a Universidade Federal do Ceará (UFC) apresentou aplicações de IA para apoiar rotinas de governança e integridade, como análise de documentos normativos, preenchimento automatizado de formulários de mapeamento de processos e identificação de riscos com base em dados históricos, apontando ganhos potenciais de produtividade e redução de retrabalho quando os processos estão bem desenhados. A experiência sugere um caminho de maturidade: tecnologia tende a gerar valor quando se apoia em desenho de processos consistente, métricas e bases de dados adequadas, fortalecendo a capacidade de monitorar e ajustar controles de maneira contínua.

Ao mesmo tempo, o próprio debate ressaltou um ponto crítico para Compliance: o uso de IA em integridade exige governança, com validação humana, critérios claros e normatização institucional, para garantir confiabilidade, rastreabilidade e responsabilidade sobre resultados e recomendações geradas por sistemas automatizados.  Em termos práticos, a lição é direta: integrar pessoas, processos e tecnologia tende a elevar o patamar de integridade e gestão de riscos, desde que a automação seja tratada como apoio ao julgamento técnico (e não como substituição), com controles proporcionais à criticidade da decisão administrativa.

PL sobre “gestão fraudulenta” em companhias abertas: endurecimento penal e efeitos práticos para governança e compliance

Tramita no Senado um projeto de lei que pretende reforçar a resposta estatal a fraudes relevantes no mercado de capitais, por meio da criação de novos tipos penais aplicáveis a companhias abertas e do aumento de multas. A proposta, apresentada ao final de março, altera dispositivos da Lei dos Crimes contra o Sistema Financeiro Nacional e busca aproximar o tratamento dado a fraudes em companhias listadas daquele já previsto para instituições financeiras, sob o argumento de que ambas atraem recursos de um grande número de investidores e, portanto, exigem tutela penal equivalente.

O texto propõe tipificar a “gestão fraudulenta de companhia aberta”, com pena de reclusão de 3 a 12 anos e multa, e a “gestão temerária”, com reclusão de 2 a 8 anos e multa, além de prever agravamento quando houver, como consequência, recuperação judicial, falência ou regime equivalente. Também admite que a multa possa ser majorada em até mil vezes quando o julgador entender que, diante da condição econômica do réu, a sanção seria ineficaz mesmo no patamar máximo, sinalizando uma aposta explícita em sanções com efeito dissuasório mais intenso.

A discussão técnica mais sensível está na amplitude dos conceitos propostos e no potencial de produzir insegurança jurídica para administradores, diretores e conselheiros, especialmente se a fronteira entre risco empresarial legítimo e conduta penalmente relevante não ficar descrita com precisão. Na prática, tipificações excessivamente abertas tendem a elevar o custo de conformidade e de tomada de decisão, com efeitos indiretos sobre apetite ao risco, atratividade de cargos de gestão e estruturação de seguros e mecanismos de governança, tema que já mobiliza atores do mercado e do meio jurídico.

Outro impacto relevante decorre do desenho processual: como o acordo de não persecução penal depende, em regra, de crimes com pena mínima inferior a quatro anos, a nova moldura punitiva pode reduzir significativamente a viabilidade desse instrumento em certos cenários, alterando incentivos de cooperação e estratégias de resolução de casos. Para companhias abertas e seus administradores, o debate reforça a importância de programas de integridade que traduzam “boa governança” em evidências concretas, como documentação robusta do processo decisório, controles internos proporcionais ao risco, gestão de terceiros e canais efetivos de reporte e apuração, de modo a reduzir exposição e aumentar previsibilidade em um ambiente regulatório em evolução.

STJ e Lei Anticorrupção: responsabilidade solidária em grupos econômicos volta ao centro do debate

A 1ª Turma do STJ voltou a examinar o alcance do artigo 4º da Lei nº 12.846/2013, especialmente a regra que preserva a responsabilidade da pessoa jurídica mesmo após reorganizações societárias e a previsão de responsabilidade solidária entre controladoras, controladas, coligadas e consorciadas, limitada ao pagamento de multa e à reparação integral do dano.  O caso retoma uma discussão recorrente em estruturas complexas: até que ponto vínculos societários e arranjos contratuais justificam a manutenção de empresas do mesmo grupo no polo passivo de ações voltadas a apurar atos lesivos contra a Administração Pública.

No julgamento mais recente, que segue pendente por pedido de vista, o relator sinalizou compreensão no sentido de que empresas integrantes do mesmo grupo podem ser chamadas ao processo relacionado a outra empresa do conglomerado, justamente para preservar a produção de prova e permitir, se for o caso, a aplicação da solidariedade no âmbito das obrigações de multa e ressarcimento.  A controvérsia costuma se concentrar na leitura sistemática entre o caput do art. 4º (subsistência da responsabilidade em alterações como fusão, incorporação, cisão e transformação) e o §2º (solidariedade no grupo), e em como se fixa o nexo entre benefício, comunhão de interesses e a extensão patrimonial da responsabilização

O debate ocorre em um ambiente em que a Turma já consolidou precedente relevante ao afirmar que o caput do art. 4º não funciona como “condição” para a solidariedade, mas como regra de continuidade da responsabilidade, reforçando a intenção de evitar lacunas e impedir que reestruturações societárias esvaziem a efetividade do regime sancionador. Essa linha interpretativa, quando prevalece, tende a aumentar a relevância de diligências de integridade em operações societárias e contratações em consórcio, bem como de mecanismos de governança que evidenciem controles, autonomia decisória e segregação adequada de riscos dentro de grupos empresariais.

Para programas de Compliance, a sinalização prática é clara: além de políticas e treinamentos, ganha peso a capacidade de demonstrar “integridade operacional”, mapeamento de riscos por unidade e por terceiros, controles internos proporcionais, documentação do processo decisório e monitoramento contínuo em contratos sensíveis, especialmente em estruturas com participações cruzadas e cadeias longas de fornecedores.  Em um cenário de possível ampliação do risco de solidariedade, empresas que investem em governança e evidências de efetividade tendem a navegar com mais previsibilidade tanto em reestruturações quanto em disputas e apurações, preservando valor e continuidade de negócios.

Nova norma de auditoria reforça a “lente de fraude”: o que muda para governança e Compliance

A agenda global de auditoria independente está passando por um ajuste importante para responder à evolução das tipologias de fraude e às expectativas do mercado quanto à transparência. Nesse contexto, ganhou destaque a revisão da norma internacional de fraude ISA 240 (Revised), que explicita responsabilidades do auditor, fortalece a avaliação e a resposta a riscos com uma abordagem orientada por “fraud lens” e amplia a transparência para usuários das demonstrações financeiras, especialmente em entidades com valores mobiliários negociados em bolsa.

No Brasil, a adoção local segue a mesma direção: a norma equivalente (NBC TA 240 (R1)) reforça que a responsabilidade primária pela prevenção e detecção de fraudes é da administração, ao mesmo tempo em que exige do auditor maior rigor na consideração de distorções relevantes decorrentes de fraude e seus impactos nas demonstrações auditadas.  Em linha com a revisão internacional, o texto também enfatiza a necessidade de comunicações mais estruturadas com a administração e os responsáveis pela governança ao longo do trabalho, além de maior clareza sobre como o tema foi tratado na auditoria.

Do ponto de vista prático, a mudança desloca o eixo de “reação” para “prevenção baseada em risco”: a auditoria passa a exigir evidências mais robustas de que a companhia conhece seus principais vetores de fraude (incluindo aqueles associados a tecnologia), avalia controles e respostas e mantém governança ativa sobre o tema, com interlocução mais frequente e qualificada.  Para o mercado, isso tende a reduzir a ambiguidade sobre o papel de cada ator: a companhia é responsável por controles e integridade da informação; a auditoria, por planejar e executar procedimentos que ofereçam segurança razoável quanto à ausência de distorções relevantes por fraude — sem confundir esse papel com o de investigação de natureza policial.

Para programas de Compliance e controles internos, o recado é positivo e objetivo: quanto mais madura for a gestão de riscos de fraude, com processos bem desenhados, trilhas de decisão, registros consistentes e governança efetiva, maior a capacidade de responder às novas exigências de comunicação e transparência com previsibilidade e menor fricção operacional. Em nível internacional, a ISA 240 (Revised) tem vigência para auditorias de períodos iniciados em ou após 15 de dezembro de 2026, e o movimento de convergência no Brasil reforça a oportunidade de antecipar ajustes e alinhar, desde já, as práticas de governança, risco e integridade ao novo padrão.

Destaques Internacionais

FCPA: a régua de enforcementsegue alta, e não distingue nacionalidade

Estudo recente conduzido por Robert Luskin e Bridget Vuona, com base em uma análise detalhada de todos os casos de aplicação da Foreign Corrupt Practices Act (FCPA) entre 2016 e 2025, concluiu que não há evidências empíricas de que a legislação anticorrupção norte-americana seja aplicada de forma mais rigorosa contra empresas estrangeiras ou, em sentido oposto, de que prejudique desproporcionalmente empresas dos Estados Unidos. Segundo os autores, ambas as narrativas amplamente difundidas no debate público carecem de sustentação nos dados.

A pesquisa demonstra que, embora empresas estrangeiras frequentemente enfrentem desfechos mais severos, como acordos de persecução diferida ou confissões de culpa, essa diferença não decorre de viés das autoridades, mas sim de fatores objetivos considerados pelo Department of Justice (DOJ). Em especial, verificou-se que companhias estrangeiras tendem a recorrer com menor frequência à autodenúncia voluntária e a adotar posturas menos cooperativas durante investigações, o que impacta diretamente a natureza e a severidade das resoluções.

Ao testar a consistência da atuação do DOJ com base em seus próprios critérios públicos de enforcement, os autores identificaram aplicação relativamente uniforme das diretrizes de dosimetria e cooperação a empresas “em situações equivalentes”, independentemente de sua nacionalidade. O diferencial nos resultados está, portanto, menos relacionado à origem da companhia e mais à qualidade da resposta institucional frente a potenciais violações, especialmente no que se refere à transparência, à remediação tempestiva e à colaboração efetiva com as autoridades.

Sob a ótica de compliance, o estudo reforça que a gestão adequada de riscos anticorrupção vai muito além da existência formal de políticas. A maturidade dos programas de integridade, a eficácia dos canais de denúncia, a prontidão para conduzir investigações internas independentes e a tomada de decisões estratégicas quanto à autodenúncia são fatores centrais na mitigação de riscos legais, financeiros e reputacionais em contextos transnacionais.

Cooperação público‑privada e resposta rápida: lições de Compliance no combate ao “pigbutchering”

Fraudes de investimento em criptoativos baseadas em engenharia social — frequentemente chamadas de “pig butchering” — têm se consolidado como uma das tipologias mais danosas do ecossistema digital, combinando aliciamento gradual da vítima, indução a transferências e posterior lavagem dos valores em camadas, muitas vezes com uso de canais de mensageria e plataformas que simulam serviços legítimos.  Nesse contexto, o desafio de compliance deixa de ser apenas “detectar transações atípicas” e passa a envolver a proteção do usuário, a integridade de canais digitais e a capacidade de resposta rápida a incidentes.

Em 23 de abril de 2026, o Departamento de Justiça dos EUA anunciou ações coordenadas por meio do Scam Center Strike Force, incluindo acusações criminais, o sequestro de um canal no Telegram usado para recrutamento e a apreensão de 503 domínios associados a falsas “plataformas de investimento”.  O comunicado também destaca a restrição de mais de US$ 700 milhões em criptoativos supostamente vinculados à lavagem de recursos provenientes desses golpes, evidenciando a prioridade operacional de interromper fluxos financeiros e viabilizar recuperação de ativos.

Um aspecto particularmente relevante para o mercado é a ênfase na colaboração público‑privada: após alertas das autoridades, organizações como JPMorgan Chase, Microsoft e Meta adotaram medidas internas voluntárias para mitigar fraudes realizadas em seus ambientes e o uso indevido de seus nomes, reforçando a expectativa de que empresas maduras atuem de forma proativa na redução de riscos e na preservação de evidências. Esse tipo de cooperação tende a se tornar cada vez mais decisivo para acelerar “takedowns”, conter danos e apoiar investigações, sem prescindir de governança e critérios claros de privacidade, segurança e conformidade.

Para programas de integridade, a mensagem central é que controles eficazes precisam integrar prevenção e resposta: monitoramento de impersonação de marca e canais, prontidão para acionar rotinas de contenção e preservação de registros, e coordenação ágil entre jurídico, segurança e áreas de negócio, especialmente quando há exposição a criptoativos e a pagamentos digitais.  Em um cenário de perdas reportadas em forte alta nos EUA, a maturidade do programa se mede também pela capacidade de agir cedo com procedimentos que reduzam risco, protejam usuários e sustentem decisões defensáveis.

Mudança na fiscalização da SEC e impactos no cenário regulatório

A recente nomeação de David Woodcock como novo Diretor da Divisão de Fiscalização da Securities and Exchange Commission (SEC) dos Estados Unidos representa um sinal claro de reposicionamento estratégico da autoridade reguladora quanto às suas prioridades e à forma de atuação no enforcement do mercado de capitais. Woodcock assume o cargo em 4 de maio, em um momento institucional sensível, marcado por mudanças na liderança da divisão e por uma orientação explícita do atual presidente da SEC, Paul Atkins, no sentido de reconduzir a atuação da agência à sua “intenção original”: o combate direto a fraudes, manipulações e condutas que causem prejuízo efetivo aos investidores.

 Em 2025, foram ajuizadas 456 ações de fiscalização, em um exercício que a própria agência descreveu como marcado por uma corrida atípica para a instauração de processos antes da posse presidencial e pela adoção agressiva de novas teses jurídicas sob a comissão anterior. Esse movimento vem sendo agora publicamente reavaliado, com um discurso claro de retorno ao “básico” do enforcement, ainda que com elevado grau de sofisticação técnica.

Do ponto de vista das empresas e de seus administradores, esse reposicionamento não significa, de forma alguma, relaxamento regulatório. Ao contrário, a expectativa é de uma fiscalização mais seletiva, profunda e baseada em evidências robustas, com menor tolerância a fragilidades reais em controles internos, práticas contábeis, processos de divulgação de informações e mecanismos de prevenção a abusos de mercado. A seletividade tende a elevar o impacto de cada investigação, ampliando riscos financeiros, regulatórios e reputacionais.

Nesse cenário, programas de compliance e governança corporativa deixam de ser avaliados apenas sob um prisma formal e passam a ser examinados quanto à sua efetividade concreta. Estruturas capazes de demonstrar prevenção ativa, monitoramento contínuo, resposta adequada a incidentes e documentação consistente ganham relevância estratégica. Especial atenção deve ser dada à interação entre áreas jurídica, financeira, de auditoria interna e de relações com investidores, sobretudo em organizações com exposição ao mercado de capitais norte-americano.

Em síntese, embora o discurso regulatório atual seja de “volta ao básico”, o ambiente que se desenha é de maior rigor técnico e menor margem para falhas estruturais. Investir de forma estratégica em compliance, com apoio jurídico altamente especializado, consolida-se como elemento indispensável para a sustentabilidade e a segurança institucional das organizações em um contexto regulatório cada vez mais exigente.

Observatório CGU

Tendências dos PARs Instaurados no Mês

Em abril de 2026, os procedimentos administrativos instaurados pela CGU envolveram diversos órgãos públicos sob a tutela desta autoridade para fins de abertura do PAR:

Órgãos Envolvidos:

– Controladoria-Geral da União

– Ministério de Minas e Energia

– Ministério da Fazenda

– Ministério das Comunicações

– Ministério da Integração e do Desenvolvimento Regional

Objeto dos Fatos:

– Fraude em procedimento licitatório da administração pública nacional;

– Comportamento inidôneo, Pagamento de vantagem indevida ou seu oferecimento, direto ou indireto, a agente público nacional ou a terceiro relacionado;

– Utilização dissimulada de interposta pessoa para a obtenção de vantagem indevida junto à administração pública nacional;

– Financiamento, custeio, patrocínio ou subvenção de ato ilícito previsto na Lei Anticorrupção (Lei nº 12.846/2013);

– Irregularidades ou fraudes em licitações ou contratos.

Este material tem caráter meramente informativo. Nossa equipe de Compliance e Investigações está à disposição para prestar aconselhamento jurídico específico.