Lei das Estatais: o risco de homologar fornecedor sem trilha de auditoria

Sistema de homologação de fornecedores com trilha de auditoria que evidencia as etapas do processo e alerta para risco de quebra da rastreabilidade em conformidade com a Lei das Estatais.

A Lei 13.303, sancionada em 30 de junho de 2016 e conhecida como Lei das Estatais, regula a governança, as licitações e a gestão de risco de empresas públicas, sociedades de economia mista e suas subsidiárias, incluindo a relação com fornecedores.

Na prática, esse ponto costuma passar despercebido até virar problema: uma estatal pode homologar um fornecedor corretamente e, ainda assim, não conseguir comprovar isso depois. Sem trilha de auditoria, checagem documentada e monitoramento contínuo, a lei considera o processo incompleto, mesmo que o fornecedor em si nunca tenha dado motivo para preocupação.

No blog Gedanken de hoje, mostramos o que a Lei 13.303 exige especificamente da homologação de fornecedores, os riscos reais de não estruturar esse processo e o passo a passo para deixá-lo auditável.

O que é a Lei das Estatais e por que ela foi criada

A Lei 13.303, sancionada em 30 de junho de 2016 e conhecida como Lei das Estatais, regula a governança, as licitações e a gestão de risco de empresas públicas, sociedades de economia mista e suas subsidiárias, incluindo a relação com fornecedores.

Ela nasceu num momento específico: no contexto de escândalos de corrupção em empresas estatais expostos pela operação Lava Jato, o Congresso sancionou a norma para reduzir o espaço para indicação política sem qualificação técnica e fechar brechas que permitiam decisões de gestão, licitação e contratação de terceiros sem controle formal.

Para quem se aplica e qual o escopo da norma?

A lei vale para empresas controladas pelo poder público na União, nos estados, no Distrito Federal e nos municípios, sempre que estas exerçam atividade econômica ou prestem serviço público. Na prática, isso cobre desde grandes estatais federais até subsidiárias estaduais e municipais menores, que muitas vezes só percebem a abrangência da lei quando já estão em processo de auditoria.

O escopo da norma vai além de fornecedores: ela trata de governança corporativa, requisitos para composição de diretoria e conselhos, um regime próprio de licitações e contratos, e mecanismos de transparência e prestação de contas. 

Fornecedores entram como uma das frentes onde esse conjunto de exigências vira rotina operacional, com pré-qualificação permanente, cadastro atualizado e gestão de risco. Homologar fornecedor deixou de ser boa prática. Virou obrigação legal, com trilha de auditoria cobrada por órgãos de controle como Tribunal de Contas da União (TCU) e Controladoria Geral da União (CGU).

E é nesse ponto que pode haver desafios: se um fornecedor homologado há dois anos entra em dificuldade financeira, ou aparece numa lista restritiva, a estatal só fica sabendo no momento da autuação. Quando isso acontece, o custo já não é mais só de compliance.

Quais pontos da Lei 13.303 impactam diretamente a homologação de fornecedores

A Lei das Estatais exige que essas empresas mantenham processos permanentes de homologação de fornecedores, com pré-qualificação, cadastro atualizado e gestão de risco.

Veja os principais pontos impactados:  

1. Gestão de risco

O Art. 9º determina que a estatal implemente sistemas de gestão de risco e controle interno para prevenir os principais riscos a que está exposta, incluindo os ligados à integridade das informações e à ocorrência de corrupção e fraude. Só que isso não termina na homologação inicial.

Um fornecedor pode entrar limpo e apresentar problemas meses depois. Por isso o controle interno eficaz cobre o que chamamos de três ciclos de deterioração de risco: financeiro, de governança e compliance e socioambiental. 

2. Prevenção de corrupção, conflito de interesse e due diligence auditável

O Código de Conduta e Integridade previsto na lei orienta sobre prevenção de conflito de interesses e vedação a atos de corrupção e fraude. As boas práticas de compliance recomendam acompanhar se os envolvidos são Pessoas Politicamente Expostas, se possuem presença em listas restritivas nacionais e internacionais, como OFAC, Interpol e FBI; se há histórico de doações eleitorais ou conflito de interesses

Vale ressaltar que a Lei 13.303 também exige elementos que são responsabilidade interna da estatal e não terceirizáveis, como a formalização do Código de Conduta e Integridade, o canal de denúncias, o Comitê de Auditoria Estatutário e os treinamentos periódicos obrigatórios.

3. Avaliação de performance e ESG

O controle interno também espera que a estatal acompanhe a evolução do fornecedor ao longo do contrato, e é aí que a avaliação de performance e ESG completa o processo, não como etapa opcional, mas como parte da mesma obrigação de monitoramento.

Na prática, isso significa avaliar periodicamente o desempenho do fornecedor além da nota de risco inicial, e diagnosticar seu nível de maturidade em governança, meio ambiente, responsabilidade social e compras sustentáveis. 

Para uma estatal, isso reforça exatamente o compromisso de transparência e responsabilidade que a lei espera também da cadeia de fornecimento, não só do processo de entrada.

Tabela comparativa

Na tabela abaixo, listamos os principais pontos que devem ser considerados e os riscos sofridos caso não haja uma adequação dos processos.

Exigência da leiO que isso significa na práticaRisco se não for feito
Pré-qualificação permanente e registro cadastralManter cadastro de fornecedores sempre atualizado, não só no momento da contrataçãoHabilitação questionada em licitação, contratação de fornecedor inapto
Gestão de risco e controle interno (Art. 9º)Sistemas que identifiquem e mitiguem riscos de integridade, corrupção e fraude na cadeiaApontamento de auditoria por ausência de controle interno formal
Prevenção de corrupção, fraude e conflito de interesseChecagem de sócios, listas restritivas, vínculos com agentes públicosContratação de fornecedor com PPE oculto ou conflito de interesse não identificado
Due diligence auditávelHistórico de checagens, documentos e decisões registrado e rastreávelImpossibilidade de comprovar diligência devida diante de TCU ou CGU
Avaliação de performance e ESGAcompanhamento periódico do fornecedor após a entrada, não só na homologaçãoManutenção de fornecedor que deteriorou risco sem que ninguém perceba

Essas cinco frentes formam o que a lei chama de estrutura de governança, gestão de risco, controle interno e integridade na cadeia de relacionamento com terceiros. Nenhuma delas se resolve com uma checagem única no início do contrato. 

                                                                          Veja como o G-Certifica cobre as cinco frentes da lei em um só fluxo 

Os riscos reais de não ter um processo estruturado

Um dos principais riscos é a glosa de crédito e a autuação, mas não é o único. Processo manual costuma gerar três problemas em cascata: a equipe de compras fica sobrecarregada tentando dar conta de checagens que deveriam ser automáticas, a área de compliance perde visibilidade sobre a base de fornecedores ativa, e a estatal fica exposta a apontamentos de TCU, CGU e controladorias internas.

Isso acontece justamente por ausência de trilha de auditoria, o que faz com que o risco se acumule com o tempo. Cada mês em que o processo continua manual é mais um lote de fornecedores homologados sem trilha completa, e essa exposição costuma só ser identificada no momento da auditoria.

Há também um risco reputacional. Um fornecedor homologado sem checagem de conflito de interesse ou de vínculo político, se descoberto depois, pode ser associado à estatal, mesmo que a falha tenha sido pontual. Nesses casos, reconstruir a confiança institucional costuma exigir mais tempo e esforço do que o processo de homologação em si.

Passo a passo: como estruturar a homologação de fornecedores para atender a Lei 13.303

Um processo aderente à lei segue uma sequência específica, do primeiro contato com o fornecedor até o registro que sustenta uma eventual auditoria. Veja um passo a passo prático. 

  1. Solicitação e preenchimento de dados. O fornecedor recebe acesso a um formulário estruturado e preenche os dados da empresa.
  2. Envio de documentos. Certidões, termos e balanços são enviados diretamente pelo fornecedor, sem que sua equipe precise correr atrás de cada peça.
  3. Checagem em bases de dados. O cruzamento cobre listas restritivas nacionais e internacionais, sócios PPE, doações eleitorais e vínculos com servidores públicos.
  4. Leitura de balanços e DREs. A saúde financeira do fornecedor entra na análise sem depender de leitura manual de planilha.
  5. Classificação de risco. O fornecedor recebe uma nota que reflete o cruzamento de todos os dados anteriores, não uma avaliação subjetiva de quem está com pressa de fechar o cadastro.
  6. Workflow de aprovação. A decisão passa por todos os tomadores de decisão envolvidos, com cada etapa registrada.
  7. Registro na trilha de auditoria. Todo o histórico de checagens, documentos e aprovações fica documentado e disponível para consulta futura.

Homologação manual x homologação estruturada com tecnologia

Para atender a lei 13.303 a checagem manual de centenas de fornecedores não torna o objetivo impossível, mas sim desafiador. Se o processo sugerido acima não for bem construído a estatal pode enfrentar dificuldades e informações se perderem no caminho. Veja na tabela abaixo os prós e contras.

Processo manualProcesso estruturado com a Gedanken
Checagem de fornecedorPontual, feita por analista, sujeita a esquecimentoAutomática, cruzando mais de 400 bases de dados
Tempo médio de homologaçãoSemanas, com backlog acumulandoRedução de até 90% no tempo médio
Trilha de auditoriaDispersa em e-mails e planilhasDocumentada e centralizada, pronta para consulta
Monitoramento pós-homologaçãoInexistente ou manualAlertas automáticos por e-mail a cada mudança de risco
Exposição a apontamento de auditoriaAlta, por falta de registro formalBaixa, com decisão de cada tomador registrada

 

Como a Gedanken pode auxiliar nesse processo

A Lei 13.303 não pede apenas que a estatal compre de fornecedores confiáveis. Ela exige provar, de forma contínua e auditável, que essa diligência foi feita. Quem ainda depende de planilha para isso corre o risco constante de ter documentos que demonstrem esse controle. E isso mantém o time de compras e compliance preso a trabalho manual que a plataforma resolve sozinha.

A Gedanken com a solução G-Certifica transforma essa obrigação legal em um processo rápido, documentado e à prova de auditoria, liberando sua equipe do trabalho operacional para focar em decisão estratégica.

1. Pré-qualificação permanente e registro cadastral de fornecedores

A plataforma G-Certifica automatiza todo o processo incluindo solicitação simplificada, checagem automática em mais de 400 bases de dados, jornada

digital do fornecedor (formulários, termos, certidões, balanços) e classificação automática de risco, reduzindo em até 90% o tempo médio de homologação.

2. Gestão de riscos e controle interno 

Além disso, o monitoramento contínuo da Gedanken envia alertas automáticos por e-mail sempre que o nível de risco de um fornecedor é alterado, garantindo à área de compliance visibilidade permanente sobre toda a base.

2. Prevenção de corrupção, fraude e conflito de interesses

Para ampliar a prevenção de riscos, a Gedanken consulta sócios PEP, listas restritivas nacionais e internacionais (OFAC, Interpol e FBI), doações eleitorais, vínculos com servidores públicos e possíveis conflitos de interesse em relação à lista de bloqueio da própria empresa. Como complemento, apresenta uma rede societária interativa que aumenta a transparência das relações entre empresa e contraparte.

4. Due diligence completa e auditável

Todo o histórico de checagens, documentos e decisões de aprovação permanece registrado na plataforma, em um workflow que envolve todos os tomadores de decisão. Consequentemente, a organização mantém uma trilha de auditoria capaz de atender às exigências da Lei das Estatais e às demandas de auditorias internas e dos Comitês de Auditoria Estatutária.

5. Avaliação de performance e gestão de sustentabilidade

A plataforma permite avaliar periodicamente o desempenho dos fornecedores e

diagnosticar seu nível de maturidade ESG (governança, meio ambiente, responsabilidade social, compras sustentáveis). Isso reforça o compromisso de transparência e responsabilidade que a lei espera das estatais também na sua cadeia de fornecimento.

Agende uma demonstração do G-Certifica e leve o volume de fornecedores da sua estatal para a análise. 

Perguntas frequentes sobre Lei 13.303 e homologação de fornecedores

1. O que a Lei 13.303 exige das estatais em relação a fornecedores?

Exige pré-qualificação permanente, cadastro atualizado, gestão de risco e controle interno, prevenção de corrupção e conflito de interesse, e due diligence documentada e auditável ao longo de toda a relação com o fornecedor.

2. Toda estatal precisa ter um processo formal de homologação de fornecedores?

Sim. Empresas públicas, sociedades de economia mista e suas subsidiárias estão sujeitas à lei, com exigências mais rígidas quanto maior for o volume de fornecedores e a exposição a recursos públicos.

3. Quais documentos a lei exige para homologar fornecedores? 

Certidões, termos aceitos pelo fornecedor, balanços e DREs, além de registros de checagem de listas restritivas e de conflito de interesse. É preciso documentar, não apenas coletar.

4. Quais são os riscos de não homologar fornecedores conforme a Lei das Estatais?

Autuações, glosas de crédito, apontamentos de TCU e CGU, e exposição reputacional caso um fornecedor de risco seja descoberto depois da contratação sem que houvesse trilha de diligência.

5. Qual a diferença entre pré-qualificação permanente e homologação pontual de fornecedores?

A homologação pontual checa o fornecedor uma vez, no início do contrato. A pré-qualificação permanente, exigida pela lei, mantém esse cadastro e esse nível de risco atualizados durante toda a relação comercial.

Gedanken
Gedanken