A auditoria interna ocupa, na arquitetura da governança corporativa contemporânea, uma posição simultaneamente estratégica e delicada. Estratégica porque é o mecanismo pelo qual a alta administração obtém avaliação independente sobre a eficácia dos controles internos, a adequação dos processos e a conformidade das operações com as normas legais e regulatórias aplicáveis. Delicada porque o auditor interno transita por uma zona de tensão permanente entre a lealdade à organização que o remunera e a independência técnica que o seu papel exige, tensão cujas implicações jurídicas são frequentemente subestimadas por empresas e profissionais.
O presente estudo propõe-se a examinar, sob perspectiva jurídica rigorosa, os principais vetores que regem a auditoria interna no Brasil: (i) os fundamentos legais e regulatórios que norteiam sua atuação; (ii) a natureza jurídica da função e sua distinção em relação a figuras afins, como a auditoria externa e o compliance; (iii) a responsabilidade civil e penal do auditor interno diante de irregularidades identificadas ou omitidas; (iv) os limites impostos pela legislação de proteção de dados e pelo sigilo profissional; e (v) a interface entre auditoria interna e programas de integridade à luz da Lei Anticorrupção.
Fundamentos Legais: O Marco Normativo da Auditoria Interna no Brasil
Ao contrário da auditoria externa, cuja obrigatoriedade para determinadas entidades está expressamente prevista em lei, como nos arts. 177 e 226 da Lei das Sociedades Anônimas (Lei n.º 6.404/1976) e nas normas do Banco Central do Brasil para instituições financeiras, a auditoria interna não possui, no direito brasileiro, uma lei específica que discipline de forma sistemática sua estrutura, composição e obrigações.
Essa ausência de codificação específica não significa, contudo, que o auditor interno opere em vácuo normativo. Seu trabalho é disciplinado por um conjunto heterogêneo de fontes: as normas técnicas do Instituto dos Auditores Internos do Brasil (IIA Brasil), que incorporam os padrões internacionais do Institute of Internal Auditors; as instruções da Comissão de Valores Mobiliários (CVM) para companhias abertas, especialmente a Resolução CVM n.º 23/2021, que trata do Comitê de Auditoria; as normas do Banco Central do Brasil para o Sistema Financeiro Nacional; a Lei n.º 13.303/2016 (Lei das Estatais), que exige auditoria interna em empresas públicas e sociedades de economia mista; e os estatutos e regimentos internos das próprias organizações, que frequentemente detalham as atribuições, a independência e o reporte da unidade de auditoria interna.
Para as empresas sujeitas à Lei Anticorrupção (Lei n.º 12.846/2013) e ao seu Decreto regulamentador (Decreto n.º 11.129/2022), a existência de mecanismos de auditoria interna é um dos elementos expressamente contemplados na avaliação do programa de integridade, com impacto direto na dosimetria da sanção administrativa aplicável à pessoa jurídica em caso de ato lesivo à Administração Pública.
Natureza Jurídica da Função: Auditor Interno, Auditor Externo e Compliance Officer
A compreensão das responsabilidades jurídicas do auditor interno exige, preliminarmente, a distinção precisa entre figuras que, na prática empresarial, são frequentemente confundidas. O auditor externo é profissional ou firma independente, contratado pela empresa mas com vinculação regulatória à entidade de classe (Conselho Federal de Contabilidade) e, quando se trata de companhias abertas ou instituições financeiras, ao órgão regulador competente (CVM ou Bacen). Sua responsabilidade é regida, entre outros diplomas, pela Lei n.º 11.941/2009 e pelas normas do CFC, e inclui, em determinadas hipóteses, a obrigação de comunicar irregularidades aos órgãos reguladores.
O auditor interno, por seu turno, é empregado ou prestador de serviços da própria organização auditada. Sua relação jurídica com a empresa é tipicamente de emprego (regida pela CLT) ou de prestação de serviços (regida pelo Código Civil), o que cria uma assimetria fundamental: diferentemente do auditor externo, ele não tem, em regra, obrigação legal de reportar irregularidades a autoridades externas, salvo nas hipóteses específicas previstas em lei, como a obrigação de comunicação ao COAF prevista na Lei n.º 9.613/1998 para determinadas categorias profissionais.
O compliance officer, por sua vez, é o responsável pela gestão do programa de integridade da organização: elabora políticas, conduz treinamentos, recebe denúncias pelo canal próprio e monitora a conformidade normativa de forma prospectiva e preventiva. A auditoria interna tem função predominantemente retrospectiva e avaliativa: examina se os controles existentes funcionaram adequadamente no passado e emite opinião fundamentada sobre sua eficácia. As duas funções são complementares, mas não se confundem, e a acumulação de ambas pelo mesmo profissional ou unidade é, tecnicamente, desaconselhada pelos padrões internacionais em razão do risco de comprometimento da independência.
A Independência como Pressuposto Jurídico e Técnico
A independência é o atributo central da auditoria interna, e também o de maior relevância jurídica. Os padrões internacionais do IIA definem a independência organizacional como a necessidade de a unidade de auditoria interna estar posicionada hierarquicamente de modo a permitir que cumpra suas responsabilidades sem interferências, reportando-se funcionalmente ao Conselho de Administração ou ao Comitê de Auditoria, e não à Diretoria Executiva.
Do ponto de vista jurídico, a ausência de independência organizacional tem implicações em ao menos dois planos. No plano da responsabilidade civil, se a auditoria interna é estruturalmente subordinada à mesma diretoria que praticou a irregularidade investigada, os relatórios por ela produzidos perdem credibilidade como prova da diligência da empresa, podendo ser desconsiderados pelo juízo em uma ação de responsabilidade. No plano regulatório, órgãos como a CVM e o Bacen avaliam a independência da auditoria interna como critério de adequação da governança, podendo impor medidas corretivas quando identificam vinculação hierárquica inadequada.
A Resolução CVM n.º 23/2021 exige, para companhias abertas que optam por constituir Comitê de Auditoria Estatutário (CAE), que este tenha acesso direto à unidade de auditoria interna e que possa requisitar informações, convocar reuniões e determinar a realização de trabalhos específicos. Essa norma representa a positivação, no direito societário brasileiro, do modelo de reporte funcional da auditoria interna ao órgão de supervisão, em consonância com as melhores práticas internacionais.
Responsabilidade Civil do Auditor Interno
A responsabilidade civil do auditor interno pode ser analisada em duas dimensões: a responsabilidade perante a própria organização e a responsabilidade perante terceiros.
Na dimensão interna, o auditor interno responde por danos causados à organização em decorrência de negligência, imprudência ou imperícia no exercício de suas funções. Isso inclui a omissão no reporte de irregularidades identificadas, a emissão de opinião favorável sem respaldo probatório adequado e a realização de trabalhos em desconformidade com os padrões técnicos aplicáveis. Tratando-se de vínculo empregatício, a responsabilidade é regida pelos arts. 186 e 927 do Código Civil, aplicados em consonância com o art. 462 da CLT, que limita os descontos salariais por dano causado pelo empregado, salvo dolo.
Na dimensão externa, a questão é mais complexa. Em regra, o auditor interno não tem responsabilidade direta perante terceiros, credores, investidores ou órgãos reguladores, porque sua relação jurídica se estabelece apenas com a organização contratante. No entanto, esse princípio comporta exceções relevantes. Nos casos em que relatórios de auditoria interna são deliberadamente distorcidos para induzir terceiros a erro, como ocorre em fraudes contábeis que afetam investidores do mercado de capitais, o auditor interno que participou da falsificação pode responder civilmente perante esses terceiros com base no art. 186 do Código Civil, bem como sofrer imputação penal pelos crimes de falsidade ideológica (art. 299 do CP) ou de manipulação de mercado (art. 27-C da Lei n.º 6.385/1976).
Responsabilidade Penal: Omissão, Falsidade e Conivência
O exame da responsabilidade penal do auditor interno demanda atenção a três cenários distintos, cada qual com seu enquadramento típico próprio.
O primeiro é o da omissão diante de irregularidade identificada. O auditor interno que detecta a prática de crimes como corrupção, lavagem de dinheiro ou fraude fiscal e deliberadamente deixa de reportar essa informação internamente, ou, pior, emite relatório favorável para encobrir a irregularidade, pode incorrer em favorecimento real (art. 349 do CP), se a conduta contribuir para garantir o proveito do crime, ou em prevaricação (art. 319 do CP), quando se tratar de servidor público. Para profissionais sujeitos à Lei n.º 9.613/1998, a omissão na comunicação ao COAF de operações suspeitas de lavagem pode configurar o crime do art. 12 daquela lei.
O segundo cenário é o da participação ativa na irregularidade. O auditor interno que, em vez de fiscalizar, integra o esquema fraudulento, elaborando documentos falsos, validando operações fictícias ou orientando a ocultação de ativos, responde penalmente pelos crimes cometidos em concurso com os demais agentes, na medida de sua participação (art. 29 do CP). A posição funcional de auditor não atenua a culpabilidade; ao contrário, pode ser considerada circunstância judicial desfavorável na dosimetria da pena, por representar abuso de confiança e violação de dever profissional.
O terceiro cenário, jurídica e praticamente mais relevante, é o da chamada "auditoria de fachada": a realização de trabalhos formalmente conformes aos padrões técnicos, mas deliberadamente superficiais, com o propósito implícito de não descobrir irregularidades que se sabe existirem. Nesse caso, a caracterização da responsabilidade penal depende da demonstração do elemento subjetivo, o dolo eventual do auditor que assume o risco de encobrir irregularidades ao escolher metodologia sabidamente insuficiente. A doutrina da cegueira deliberada, acolhida pelo STJ em matéria de lavagem de capitais, é inteiramente aplicável a esse cenário: o auditor que fecha os olhos para o que não quer ver não pode invocar ausência de conhecimento para afastar a imputação.
Auditoria Interna e Proteção de Dados: Os Limites da Investigação Interna
A vigência da Lei Geral de Proteção de Dados (LGPD — Lei n.º 13.709/2018) introduziu restrições relevantes à atividade de auditoria interna, especialmente quando esta envolve o acesso a dados pessoais de empregados, clientes ou fornecedores.
O ponto central é a legitimidade do tratamento de dados pessoais no contexto das investigações internas. A LGPD admite, em seu art. 7.º, o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória, para o exercício regular de direitos em processo judicial, administrativo ou arbitral, e para a proteção do crédito. O auditor interno que acessa registros de comunicações, movimentações financeiras ou dados cadastrais de funcionários no exercício de suas funções deve fazê-lo com base em uma dessas hipóteses legais, sob pena de caracterizar tratamento irregular de dados pessoais, com as sanções administrativas previstas no art. 52 da LGPD e a potencial responsabilização civil por danos morais.
Questão especialmente sensível é a do monitoramento de e-mails e comunicações corporativas de empregados. A jurisprudência trabalhista brasileira, consolidada no TST, admite o acesso pelo empregador a e-mails corporativos desde que haja política interna clara e previamente comunicada aos empregados sobre a possibilidade desse monitoramento. Na ausência dessa política, a prova obtida pode ser considerada ilícita no processo, com reflexos tanto na ação trabalhista quanto em eventual ação penal derivada da investigação interna.
Auditoria Interna e Programas de Integridade: A Interface com a Lei Anticorrupção
O Decreto n.º 11.129/2022, que regulamenta a Lei n.º 12.846/2013, lista entre os parâmetros de avaliação do programa de integridade a existência de "auditoria interna periódica para verificar o funcionamento do programa de integridade e a ocorrência dos atos lesivos previstos no art. 5.º da Lei". Essa previsão normativa confere à auditoria interna um papel formal no ecossistema anticorrupção brasileiro, com implicações diretas na responsabilidade da pessoa jurídica.
A relevância prática é significativa: em processos administrativos de responsabilização (PAR) conduzidos pela Controladoria-Geral da União (CGU) ou por outros órgãos de controle, a existência de auditoria interna efetiva, documentada por relatórios, plano anual de auditoria e evidências de reporte à alta administração, pode atenuar a sanção imposta à pessoa jurídica, demonstrando que a empresa investiu em mecanismos de prevenção e detecção. Por outro lado, a existência de uma auditoria interna meramente formal, incapaz de identificar irregularidades sistêmicas que duraram anos, pode ser utilizada como indício de que o programa de integridade era fachada, agravando, nesse caso, a avaliação do órgão sancionador.
O Reporte de Irregularidades: Entre o Dever Interno e a Obrigação Legal
Um dos dilemas mais recorrentes enfrentados pelo auditor interno é a decisão sobre quando e como reportar irregularidades que transcendem o âmbito interno da organização. O padrão técnico do IIA estabelece que o auditor interno deve comunicar irregularidades significativas à alta administração e ao Conselho de Administração, mas não cria, por si só, uma obrigação de denúncia a autoridades externas.
No entanto, o ordenamento jurídico brasileiro prevê, em diversas normas setoriais, obrigações de reporte externo que podem recair sobre o auditor interno conforme sua posição na organização. A Lei n.º 9.613/1998 impõe a comunicação ao COAF de operações suspeitas de lavagem a profissionais de determinados setores, incluindo contadores e administradores de recursos. A Lei n.º 6.385/1976 prevê, para entidades do mercado de capitais, obrigações de comunicação à CVM. As normas do Bacen estabelecem deveres de reporte para instituições financeiras. O descumprimento dessas obrigações, quando aplicáveis ao auditor interno em razão de sua posição ou da natureza da irregularidade identificada, pode ensejar responsabilidade administrativa e penal.
O cenário mais complexo é aquele em que o auditor interno identifica uma irregularidade grave, um esquema de corrupção, uma fraude contábil relevante, e recebe pressão da administração para não reportá-la ou para suavizar o relatório. Nessa hipótese, o profissional se vê diante de uma escolha com consequências jurídicas em ambos os sentidos: ceder à pressão pode configurar favorecimento real, prevaricação ou participação na fraude; reportar externamente sem respaldo legal pode caracterizar violação de sigilo e sujeitar o profissional a ação por danos morais ou rescisão contratual por justa causa. A única saída juridicamente segura, e tecnicamente correta, é a de documentar rigorosamente a irregularidade, reportá-la à instância máxima de supervisão interna disponível (Conselho de Administração ou Comitê de Auditoria) e, se aplicável, buscar orientação jurídica especializada antes de qualquer comunicação externa.
Conclusão
A auditoria interna é, no direito empresarial contemporâneo, muito mais do que uma função técnica de verificação contábil: é um pilar jurídico da governança corporativa, cujo funcionamento adequado tem reflexos diretos na responsabilidade civil e penal da pessoa jurídica e de seus administradores, na avaliação regulatória pela CVM, pelo Bacen e pelos órgãos anticorrupção, e na credibilidade da organização perante o mercado e a sociedade.
A responsabilidade jurídica do auditor interno é proporcional à sua posição e ao seu conhecimento. O profissional que identifica irregularidades e as documenta com rigor, reportando-as às instâncias competentes, cumpre seu papel e está juridicamente protegido. O que omite, distorce ou se submete a pressões para encobrir ilícitos assume uma exposição penal e civil que pode ser devastadora, e que não será mitigada pela alegação de que agiu por ordens superiores.
Em um ambiente regulatório cada vez mais exigente, em que a Lei Anticorrupção, a LGPD e as normas do mercado de capitais convergem para ampliar as obrigações de transparência e controle, investir em uma auditoria interna estruturalmente independente, tecnicamente qualificada e juridicamente consciente de seus limites e deveres não é apenas uma boa prática de governança: é uma necessidade estratégica de gestão de risco.
Precisa de Orientação Jurídica em Direito Penal e Compliance?
As questões abordadas neste artigo, organização criminosa, lavagem de capitais, cegueira deliberada, compliance e responsabilidade penal do colaborador externo, são matérias de alta complexidade técnica, cujas consequências para o investigado ou acusado podem ser devastadoras: penas elevadas, bloqueio de bens, vedação a benefícios prisionais e restrições profissionais duradouras. A fronteira entre uma conduta lícita e a configuração de cumplicidade em organização criminosa é, muitas vezes, mais tênue do que parece, e ignorá-la não afasta a responsabilidade penal.
Se você é empresário, gestor, profissional de compliance ou simplesmente tem dúvidas sobre os limites jurídicos de uma relação comercial ou contratual que envolva terceiros investigados, a orientação de um advogado criminalista especializado não é um luxo: é uma necessidade. A consulta preventiva, antes de qualquer inquérito ou ação penal. é sempre mais eficaz e menos custosa do que a defesa em juízo.
O escritório Paulo Klein Advogados, com expertise consolidada em Direito Penal Econômico e assessoria a empresas e pessoas físicas em situações de risco jurídico, estão à disposição para analisar casos com a profundidade e a discrição que ele merece. Juntos, unem experiência prática em defesa criminal, conhecimento aprofundado da legislação anticrime e visão estratégica para proteger os interesses de seus clientes, tanto na esfera preventiva quanto no contencioso penal.
Não aguarde a instauração de um inquérito para buscar ajuda. Entre em contato com advogados especializados, esclareça suas dúvidas e proteja seu patrimônio, sua reputação e sua liberdade.
