Última Atualização 12 de junho de 2025
Lei 13.303 de 30 de junho de 2016:
Art. 9º A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam:
I – Ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno;
II – Área responsável pela verificação de cumprimento de obrigações e de gestão de riscos;
III – auditoria interna e Comitê de Auditoria Estatutário.
§ 1º Deverá ser elaborado e divulgado Código de Conduta e Integridade, que disponha sobre:
I – Princípios, valores e missão da empresa pública e da sociedade de economia mista, bem como orientações sobre a prevenção de conflito de interesses e vedação de atos de corrupção e fraude;
II –Instâncias internas responsáveis pela atualização e aplicação do Código de Conduta e Integridade;
III – Canal de denúncias que possibilite o recebimento de denúncias internas e externas relativas ao descumprimento do Código de Conduta e Integridade e das demais normas internas de ética e obrigacionais;
IV – Mecanismos de proteção que impeçam qualquer espécie de retaliação a pessoa que utilize o canal de denúncias;
V – Sanções aplicáveis em caso de violação às regras do Código de Conduta e Integridade;
VI – Previsão de treinamento periódico, no mínimo anual, sobre Código de Conduta e Integridade, a empregados e administradores, e sobre a política de gestão de riscos, a administradores.
§ 2º A área responsável pela verificação de cumprimento de obrigações e de gestão de riscos deverá ser vinculada ao diretor-presidente e liderada por diretor estatutário, devendo o estatuto social prever as atribuições da área, bem como estabelecer mecanismos que assegurem atuação independente.
§ 3º A auditoria interna deverá:
I – Ser vinculada ao Conselho de Administração, diretamente ou por meio do Comitê de Auditoria Estatutário;
II – Ser responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança e a confiabilidade do processo de coleta, mensuração, classificação, acumulação, registro e divulgação de eventos e transações, visando ao preparo de demonstrações financeiras.
§ 4º O estatuto social deverá prever, ainda, a possibilidade de que a área de compliance se reporte diretamente ao Conselho de Administração em situações em que se suspeite do envolvimento do diretor-presidente em irregularidades ou quando este se furtar à obrigação de adotar medidas necessárias em relação à situação a ele relatada.
IADES (2019):
QUESTÃO ERRADA: A área responsável pelas verificações de cumprimento de obrigações e de gestão de riscos e a respectiva auditoria interna deverão ser vinculadas ao diretor-presidente da estatal.
Errada. A área responsável pela verificação de cumprimento de obrigações e de gestão de riscos deve sim ser vinculada ao diretor-presidente da estatal (art. 9º, § 2º). Contudo, a auditoria interna deve ser vinculada ao Conselho de Administração, diretamente ou por meio do Comitê de Auditoria Estatutário (art. 9º, º 3º).
CEBRASPE (2021):
QUESTÃO ERRADA: Em empresas públicas, o conselho de administração é responsável por aferir a adequação do controle interno e a efetividade do gerenciamento dos riscos e dos processos de governança.
CEBRASPE (2021):
QUESTÃO ERRADA: As estatais devem adotar regras de estrutura organizacional e práticas de gestão de riscos e de controle interno e, também, de controle externo.
LEI 13.303/2016
Art. 6º O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei.
De acordo com o art. 9º da Lei das Estatais, a empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam: (1) a ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno; (2) área responsável pela verificação de cumprimento de obrigações e de gestão de riscos; e (3) auditoria interna e Comitê de Auditoria Estatutário.
FGV (2025):
QUESTÃO CERTA: O Estado do Rio Grande do Sul, em observância às formalidades legais, criou a sociedade de economia mista XYZ, tornando-se imprescindível a elaboração e a divulgação de um Código de Conduta e Integridade da estatal. Nesse cenário, considerando o disposto na Lei nº 13.303/2016, o Código de Conduta e Integridade da sociedade de economia mista XYZ disporá sobre os seguintes itens, que estão corretos à exceção de um
A) Previsão de treinamento periódico, no mínimo semestral, sobre o Código de Conduta e Integridade, a administradores, e sobre a política de gestão de riscos, a empregados e administradores.
B) Canal de denúncias que possibilite o recebimento de denúncias internas e externas relativas ao descumprimento do Código de Conduta e Integridade e das demais normas internas de ética e obrigacionais.
C) Princípios, valores e missão da empresa pública e da sociedade de economia mista, bem como orientações sobre a prevenção de conflito de interesses e vedação de atos de corrupção e fraude.
D) Mecanismos de proteção que impeçam qualquer espécie de retaliação à pessoa que utilize o canal de denúncias.
E) Instâncias internas responsáveis pela atualização e aplicação do Código de Conduta e Integridade.
SOLUÇÃO:
A Lei nº 13.303/2016, que dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, exige a elaboração e divulgação de um Código de Conduta e Integridade. O artigo 9º da referida lei estabelece o conteúdo mínimo desse código. Vamos analisar cada alternativa à luz desse artigo:
A) Previsão de treinamento periódico, no mínimo semestral… (INCORRETA): O art. 9º, III, da Lei nº 13.303/2016 determina que o treinamento seja no mínimo anual, e não semestral: “a previsão de treinamento periódico, no mínimo anual, de empregados e administradores sobre o código e sobre a política de gestão de riscos”. Portanto, a alternativa A é a única incorreta.
B) Canal de denúncias… (CORRETA): O art. 9º, IV, exige a “existência de canal de denúncias que possibilite o recebimento de denúncias internas e externas relativas ao descumprimento do código de conduta e integridade e das demais normas internas de ética e de conduta, assegurado o sigilo e a proteção do denunciante de boa-fé”. A alternativa B está em perfeita consonância com a lei.
C) Princípios, valores e missão… (CORRETA): O art. 9º, I, determina que o código disporá sobre “os princípios, valores e missão da empresa pública e da sociedade de economia mista, bem como orientações sobre a prevenção de conflito de interesses e vedação de atos de corrupção e fraude”. A alternativa C reproduz fielmente o texto legal.
D) Mecanismos de proteção que impeçam qualquer espécie de retaliação… (CORRETA): A proteção ao denunciante é garantida pelo art. 9º, IV, que assegura “a proteção do denunciante de boa-fé”. A alternativa D expressa essa garantia.
E) Instâncias internas responsáveis pela atualização e aplicação… (CORRETA): O art. 9º, V, exige a “definição das instâncias internas responsáveis pela aplicação do código de conduta e integridade”. A alternativa E está de acordo com a lei.
