Lei 13.303 de 30 de junho de 2016:
Art. 9º A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam:
I – Ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno;
II – Área responsável pela verificação de cumprimento de obrigações e de gestão de riscos;
III – auditoria interna e Comitê de Auditoria Estatutário.
§ 1º Deverá ser elaborado e divulgado Código de Conduta e Integridade, que disponha sobre:
I – Princípios, valores e missão da empresa pública e da sociedade de economia mista, bem como orientações sobre a prevenção de conflito de interesses e vedação de atos de corrupção e fraude;
II –Instâncias internas responsáveis pela atualização e aplicação do Código de Conduta e Integridade;
III – Canal de denúncias que possibilite o recebimento de denúncias internas e externas relativas ao descumprimento do Código de Conduta e Integridade e das demais normas internas de ética e obrigacionais;
IV – Mecanismos de proteção que impeçam qualquer espécie de retaliação a pessoa que utilize o canal de denúncias;
V – Sanções aplicáveis em caso de violação às regras do Código de Conduta e Integridade;
VI – Previsão de treinamento periódico, no mínimo anual, sobre Código de Conduta e Integridade, a empregados e administradores, e sobre a política de gestão de riscos, a administradores.
§ 2º A área responsável pela verificação de cumprimento de obrigações e de gestão de riscos deverá ser vinculada ao diretor-presidente e liderada por diretor estatutário, devendo o estatuto social prever as atribuições da área, bem como estabelecer mecanismos que assegurem atuação independente.
§ 3º A auditoria interna deverá:
I – Ser vinculada ao Conselho de Administração, diretamente ou por meio do Comitê de Auditoria Estatutário;
II – Ser responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança e a confiabilidade do processo de coleta, mensuração, classificação, acumulação, registro e divulgação de eventos e transações, visando ao preparo de demonstrações financeiras.
§ 4º O estatuto social deverá prever, ainda, a possibilidade de que a área de compliance se reporte diretamente ao Conselho de Administração em situações em que se suspeite do envolvimento do diretor-presidente em irregularidades ou quando este se furtar à obrigação de adotar medidas necessárias em relação à situação a ele relatada.
IADES (2019):
QUESTÃO ERRADA: A área responsável pelas verificações de cumprimento de obrigações e de gestão de riscos e a respectiva auditoria interna deverão ser vinculadas ao diretor-presidente da estatal.
Errada. A área responsável pela verificação de cumprimento de obrigações e de gestão de riscos deve sim ser vinculada ao diretor-presidente da estatal (art. 9º, § 2º). Contudo, a auditoria interna deve ser vinculada ao Conselho de Administração, diretamente ou por meio do Comitê de Auditoria Estatutário (art. 9º, º 3º).
CEBRASPE (2021):
QUESTÃO ERRADA: Em empresas públicas, o conselho de administração é responsável por aferir a adequação do controle interno e a efetividade do gerenciamento dos riscos e dos processos de governança.
CEBRASPE (2021):
QUESTÃO ERRADA: As estatais devem adotar regras de estrutura organizacional e práticas de gestão de riscos e de controle interno e, também, de controle externo.
LEI 13.303/2016
Art. 6º O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei.
De acordo com o art. 9º da Lei das Estatais, a empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam: (1) a ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno; (2) área responsável pela verificação de cumprimento de obrigações e de gestão de riscos; e (3) auditoria interna e Comitê de Auditoria Estatutário.