Acórdão 157 de 2024 Plenário

TRIBUNAL DE CONTAS DA UNIÃO TC 010.
613/2023-4
GRUPO I – CLASSE ___ – Plenário

TC 010.613/2023-4
Natureza: Relatório de Acompanhamento
Órgãos: Conselho Nacional de Justiça; Controladoria-Geral da
União; Tribunal de Contas da União
Representação legal: não há
SUMÁRIO: ACOMPANHAMENTO. CONTRATAÇÃO DE

UNIDADES DE SERVIÇOS TÉCNICOS DE INTERMEDIAÇÃO
PARA NUVENS PÚBLICA. MITIGAÇÃO DE RISCOS DA
CONTRATAÇÃO POR MEIO DAS MEDIDAS JÁ
IMPLEMENTADAS PELOS ÓRGÃOS FISCALIZADOS OU
QUE AINDA SERÃO IMPLEMENTADAS, CONFORME
INFORMADO NOS PLANOS DE AÇÃO DO CONSELHO
NACIONAL DE JUSTIÇA, CONTROLADORIA-GERAL DA
UNIÃO E TRIBUNAL DE CONTAS DA UNIÃO. CIÊNCIA.
RELATÓRIO
Transcrevo a seguir, nos termos do art. 1º, § 3º, inciso I, da Lei nº 8.443/92, a parte principal do
Relatório de Auditoria elaborado no âmbito da Unidade de Auditoria Especializada em Tecnologia da
Informação (peça 81), cujas conclusões contaram com a anuência do corpo diretivo daquela unidade
técnica (peças 82 e 83).
“1 Introdução
1. Este relatório apresenta o resultado da primeira etapa do acompanhamento realizado pelo
Tribunal de Contas da União (TCU) sobre a contratação de Unidades de Serviços Técnicos de
Intermediação para Nuvens Públicas (USINs) para prestação de serviços técnicos especializados de
natureza contínua na área de tecnologia da informação (TI). No planejamento da contratação, ficou
estabelecido que o TCU será o órgão gerenciador das Atas de Registro de Preços resultantes das três
licitações que irão compor a Solução de Computação em Nuvens Públicas. A Controladoria-Geral da
União (CGU) e o Conselho Nacional de Justiça (CNJ) serão partícipes na contratação.
2. No TCU, o planejamento da contratação foi realizado pela Setid (Secretaria de Tecnologia da
Informação e Evolução Digital). Os artefatos de planejamento produzidos constam do processo
administrativo TC 006.168/2023-0.
3. Considerando a relevância do paradigma de “Computação em Nuvem” (detalhada no
Acórdão TCU 1.739/2015-TCU-Plenário, Rel. Min. Benjamin Zymler), a materialidade da
contratação (mais de R$ 286 milhões de valor total para o período de trinta meses, segundo item 2 do
Edital – peça 58, p. 2), a possibilidade de essa aquisição se tornar referência para a Administração
Pública e a oportunidade de contribuir com a mitigação de riscos desse processo, a AudTI iniciou
acompanhamento da aquisição junto às equipes de planejamento do TCU, da CGU e do CNJ,
adotando uma abordagem da metodologia ágil, na esteira de recentes trabalhos conduzidos por esta
unidade técnica relativos aos acompanhamentos da implementação da Identificação Civil Nacional
(ICN) (Acórdão 1.453/2022-TCU-Plenário, Rel. Min. Vital do Rêgo) e da contratação da solução de
automação de serviços públicos da Plataforma gov.br (Acórdão 1.850/2023-TCU-2ª Câmara, Rel.
Min. Aroldo Cedraz).
Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

TRIBUNAL DE CONTAS DA UNIÃO TC 010.613/2023-4
4. No âmbito do TCU, inicialmente o fornecimento de serviços de computação em nuvem deu-se

por meio do Contrato 24/2018, decorrente do Pregão 22/2017, cujo objeto era a prestação dos
serviços de computação multi-nuvem, suporte técnico especializado e treinamento (peça 66, p. 1).
5. Na modelagem da contratação sucedânea, objeto destes autos, a equipe de planejamento da
aquisição decidiu incluir mais itens e parcelar o objeto, a ser contratado em três licitações. O
primeiro objeto é o Fornecimento de Unidades de Serviços Técnicos de Intermediação para Nuvens
Públicas (USINs) para prestação de serviços técnicos especializados de natureza contínua na área de
Tecnologia da Informação (TI) pelo período de trinta meses, prorrogável, conforme a lei, até o limite
de sessenta meses de prestação dos serviços (objeto do processo administrativo TC 006.168/2023-0).
6. O segundo objeto é uma contratação de mão de obra terceirizada: Unidades de Serviços
Técnicos de Infraestrutura em Nuvens Públicas (USTNs) destinadas à prestação de serviços técnicos
especializados de natureza contínua na área de infraestrutura de computação em nuvens públicas a
serem utilizadas para estruturar e implantar o Núcleo de Serviços Técnicos de Infraestrutura de
Nuvens Públicas (NSTN), suprindo-o com profissionais qualificados para seu regular funcionamento
(TC 006.167/2023-3).
7. O terceiro objeto é a contratação de Unidades de Serviços de Conectividade para Nuvens
Públicas (USCNs) visando estabelecer enlace físico/lógico privado partindo do datacenter do TCU
para até quatro provedores de serviços de computação em nuvem pública (TC 006.169/2023-6).
8. Considerando a importância dessa contratação, durante a etapa atual do acompanhamento
foram identificados e avaliados riscos relevantes da contratação e as respectivas medidas de
tratamento adotadas pelos gestores, bem como a conformidade da contratação à legislação vigente
sobre aquisições de tecnologia da informação (TI).
9. Os trabalhos de análise foram conduzidos com o objetivo de gerar uma matriz de riscos
preliminares (peça 59), artefato que apresenta, na concepção da equipe de fiscalização, os riscos mais
relevantes relacionados à contratação da solução de computação em nuvem.
10. A matriz de riscos foi encaminhada aos gestores para que se manifestassem pela
existência, relevância e tratamento que pretendem dar a cada um dos riscos (peças34, 35 e 36). As
unidades auditadas manifestaram-se tempestivamente sobre os riscos apontados na matriz (peças 61,
62 e 64).
11. Em análise das respostas encaminhadas, a equipe de fiscalização avaliou a adequação
das medidas propostas pelos gestores e o cenário de riscos remanescentes relacionados à contratação
conjunta de solução de computação em nuvem que são objeto do presente relatório.
1.1 Organização do relatório
12. O relatório está organizado em 5 capítulos:
12.1. O capítulo 1 consiste na introdução do trabalho em que são apresentados: a) objetivo e
escopo do trabalho; b) breve visão geral de serviços de computação em nuvem; c) o método
empregado neste acompanhamento;
12.2. No capítulo 2 são apresentados os principais riscos identificados pela equipe de
fiscalização relacionados à contratação, além da manifestação dos gestores sobre os riscos
apontados, e, por fim, a análise da equipe de sobre as medidas de tratamento propostas pelos gestores
para os riscos apresentados.
12.3. Já o capítulo 3 detalha a proposta de continuidade para as demais etapas do
acompanhamento. O capítulo 4 apresenta a conclusão do trabalho, e, por fim, no capítulo 5, consta a
proposta de encaminhamento formulada pela equipe de fiscalização.
1.2 Objetivo e escopo do acompanhamento
13. Este trabalho, realizado com uso de método inovador que vem sendo adotado em
recentes fiscalizações conduzidos pela AudTI, tem como objetivo acompanhar, de forma ágil e
concomitante, a contratação de solução de computação em nuvem conduzida pelo TCU, com
participação da CGU e do CNJ. Como objetivo da presente fiscalização, busca-se aperfeiçoar a

atuação dos gestores no decorrer do andamento da contratação, de forma a aprimorar as ações a

serem adotadas e a mitigar riscos que levem ao insucesso da iniciativa.
14. Os temas desta fiscalização estão associados à estratégia de atuação do TCU no Plano
Estratégico 2023-2028, em especial ao Objetivo 2, que preconiza que a Corte de Contas deve
contribuir para a regularidade e a economicidade de atos e contratos administrativos.
1.3 Visão geral
1.3.1 Breve histórico e conceitos básicos relativos à contratação de soluções em nuvem na
Administração Pública Federal
15. A computação em nuvem (cloud computing) é um modelo que possibilita acesso
universal e sob demanda a um conjunto compartilhado de recursos computacionais (por exemplo:
servidores, armazenamento de dados, redes e aplicações), disponibilizados de forma a minimizar o
esforço de gerenciamento e a interação com o provedor de serviços. Além disso, o modelo destaca-se
pelas características essenciais de autoprovisionamento de serviços, alta disponibilidade, amplo
acesso pela Internet, rápida elasticidade e serviços medidos por utilização.
16. A tecnologia pode ser utilizada de diferentes maneiras, dependendo das necessidades
de uso e de negócio. Considerando as formas de implantação, existem basicamente quatro categorias
de nuvem: pública, privada, comunitária e híbrida. Os serviços mais conhecidos e populares de nuvem
estão em nuvens públicas, como correio eletrônico e armazenamento de arquivos. Conforme a
arquitetura dos serviços, existem três categorias: software como serviço (software as a service –
SaaS), plataforma como serviço (platform as a service – PaaS) e infraestrutura como serviço
(infrastructure as a service – IaaS).
17. Na categoria SaaS, aplicações como ferramentas de produtividade de escritório e
sistemas integrados de gestão são disponibilizadas para o cliente em infraestrutura de nuvem do
próprio fornecedor; na PaaS, são fornecidos recursos como banco de dados, plataforma para
desenvolvedores de aplicações e infraestrutura para execução de aplicações do próprio cliente; e na
IaaS, são providos recursos de computação fundamentais (hardware, armazenamento e rede) nos
quais o cliente pode instalar softwares em geral, incluindo sistemas operacionais e aplicativos.
18. No contexto do setor público, o catálogo de serviços em nuvem pode ser aberto ou
fechado. Catálogo aberto pode vir a disponibilizar ao contratante, serviços diferentes dos presentes
no catálogo considerado no planejamento licitatório. Já o catálogo fechado é fixado pela equipe de
planejamento da licitação e é mantido ao longo da execução contratual.
19. Um dos riscos dos catálogos abertos (ou não delimitados) para a Administração
Pública é sua atualização ad hoc. Assim, é possível que a contratada, unilateralmente, retire um
serviço que atendia à uma necessidade prioritária do órgão, o que poderia ser considerado ilegal.
Ademais, há o risco de a contratante provisionar serviços novos, bem diferentes dos considerados no
planejamento licitatório e no orçamento, o que poderia configurar indefinição do objeto.
1.4 Método
20. Este acompanhamento, por tratar-se de ação inovadora, não seguiu estritamente os
procedimentos previstos no Manual de Acompanhamento do TCU, aprovado pela Portaria-Segecex
27/2016, mas atendeu aos princípios básicos do acompanhamento, assim como aos princípios de
auditoria contidos nas Normas de Auditoria do TCU (NAT).
21. Em síntese, a equipe do acompanhamento realizou avaliações, identificou e comunicou
riscos aos gestores, que os avaliaram e decidiram por adotar medidas para tratá-los ao longo da
fiscalização. Caso algum risco levasse à grave irregularidade, a equipe poderia representar o fato ao
TCU, o que não ocorreu no presente trabalho. Ao final da fiscalização, caso os riscos não estivessem
mitigados ou com plano de ação aceitável para mitigação, segundo avaliação da equipe, o relatório
poderia conter proposta de determinações, recomendações ou ciências aos órgãos fiscalizados.
22. Todas as interações com os gestores se deram de forma remota, por meio da
ferramenta Microsoft Teams. Apesar disso, considera-se que não houve prejuízo ao desenvolvimento
das atividades da fiscalização.

23. Após reunião inicial para apresentação da equipe de fiscalização, a equipe solicitou
diversos documentos para análise e fundamentação do planejamento da fiscalização em 19/4/2023.
24. Os resultados preliminares da fiscalização foram materializados numa matriz de riscos
(peça 59), que foi submetida aos gestores para que: oferecessem réplica à existência ou não dos riscos
apontados, apresentando novos elementos e argumentos, bem como avaliassem a necessidade de
adoção de medidas para mitigar os riscos contidos na matriz.
25. Nenhuma avaliação apresentada neste acompanhamento foi contestada pelos gestores,
que optaram livremente por apresentar medidas para aperfeiçoar os pontos apontados como
deficientes pela equipe de acompanhamento. Essas medidas foram consideradas razoáveis pela
Unidade Técnica, de modo que não resultaram em propostas de determinação, recomendação ou
ciência aos órgãos envolvidos na contratação. Em todo caso, a implementação das ações informadas
pelos órgãos será acompanhada nas próximas etapas desta fiscalização.
26. Por fim, ressalte-se que esse trabalho não tem caráter de controle prévio, mas sim de
controle concomitante e periódico, nos termos do item 10 do Manual de Acompanhamento e dos arts.
241 e 242 do Regimento Interno do TCU.
1.5 Limitações
27. Não houve limitações à fiscalização que impactassem os seus resultados.
2 Principais riscos do processo de contratação
28. Segundo o “Roteiro de Avaliação de Maturidade da Gestão de Riscos”, elaborado pelo
TCU, em 2018i, o risco é a: “possibilidade de ocorrência de um evento que afete adversamente a
realização de objetivos”.
29. No tópico 1.3, o roteiro também descreve possíveis abordagens do risco em trabalhos
do TCU, como: “a avaliação de riscos relacionados a um objeto específico de controle externo, com o
objetivo de revelar as áreas desses objetos que estão expostas a riscos significativos e analisar como a
gestão responde a esses riscos”.
30. A seguir são elencados os principais riscos levantados pela equipe de auditoria no
curso deste acompanhamento:
2.1 Mecanismos de gestão contratual insuficiente podem gerar problemas na execução

contratual– Risco R1
Identificador Risco Possíveis efeitos

R1 Devido à insuficiência de Dificuldade ou impossibilidade de rastrear gastos
mecanismos de gestão e devido à ausência de justificativa de necessidade,
fiscalização contratual (falta parâmetros de alocação de serviços, definição de
de rastreabilidade), poderão quantitativos, análise de custo-benefício e
ocorrer provisionamentos de identificação dos responsáveis pela alocação.
serviços que não atendam às
necessidades planejadas ou Ocorrência de dispêndios acima do planejado no
com custo-benefício Plano de Contratações Anual (PCA), no orçamento
deficiente, o que poderá levar e em outros artefatos devido a aquisições de itens
ao descontrole dos gastos, inicialmente não previstos no planejamento ou em
impactando no atendimento maior quantidade que as orçadas.
dos objetivos da contratação.
Ocorrência de altos dispêndios sem aprovação de
alçadas adequadas à materialidade dos gastos.
Análise preliminar do risco R1

31. De acordo com o art. 18, inc. III, da Instrução Normativa da Secretaria de Governo
Digital do então Ministério da Economia (IN - SGD/ME 94/2022ii), normativo que rege as

contratações de TI por órgãos e entidades integrantes do Sistema de Administração dos Recursos de

Tecnologia da Informação (Sisp), e que também pode ser utilizado como guia de boas práticas para os
demais órgãos e entidades da Administração Pública, devem ser estabelecidos mecanismos formais de
comunicação a serem utilizados para a troca de informações na contratação, adotando-se,
preferencialmente, as “Ordens de Serviço ou Fornecimentos de Bens”.
32. O art. 32 do supramencionado normativo estabelece os requisitos mínimos de uma
requisição de serviço, a saber:
Art. 32. O encaminhamento formal de demandas, a cargo do Gestor do Contrato, deverá
ocorrer por meio de Ordens de Serviço ou de Fornecimento de Bens ou conforme definido
no Modelo de Execução do Contrato, e deverá conter, no mínimo:
I - a definição e a especificação dos serviços a serem realizados ou bens a serem
fornecidos;
II - o volume estimado de serviços a serem realizados ou a quantidade de bens a serem
fornecidos segundo as métricas definidas em contrato;
III - o cronograma de realização dos serviços ou entrega dos bens, incluídas todas as
tarefas significativas e seus respectivos prazos; e
IV - a identificação dos responsáveis pela solicitação na Área Requisitante da solução.
Parágrafo único. O encaminhamento das demandas deverá ser planejado visando a
garantir que os prazos para entrega final de todos os bens e serviços estejam
compreendidos dentro do prazo de vigência contratual.
33. O Edital e o Termo de Referência (TR) da contratação (peça 14 do TC 006.168/2023-0)
não estabeleceram mecanismos de controle adequados para a execução contratual. Não foi sequer
estabelecida a forma de comunicação com a contratada, que, segundo o normativo precitado, deve ser
realizado por meio de ordens de serviço.
34. Uma vez que o modelo de comunicação não foi estabelecido, não há como identificar
parâmetros mínimos existentes em cada requisição de serviço.
35. Portanto, a equipe de auditoria considerou que a ausência de mecanismos de gestão
contratual acarretava o risco de provisionamentos de serviços que não atendam às necessidades
planejadas ou com custo-benefício deficiente, o que poderá levar ao descontrole dos gastos,
impactando no atendimento dos objetivos da contratação.
Manifestação dos gestores sobre o risco R1
36. Na resposta à equipe de fiscalização, os três órgãos informaram que possuem
mecanismos internos de gestão de serviços de TI, com fluxos de tarefas estabelecidos, que supririam
os mecanismos de gestão contratual a serem estabelecidos especificamente para a presente
contratação.
37. Sobre o tema, o TCU apresentou a seguinte argumentação (peça 50, p. 10-11):
A demanda pela utilização dos serviços deverá ser justificada em ordem de serviço (OS)
específica que registre e justifique a necessidade de negócio. Todos os recursos consumidos
na implementação da ordem de serviço na nuvem deverão receber tags. A rastreabilidade
deverá ser feita por meio de relatórios de gestão que possibilitem mapear os recursos
consumidos na ordem de serviço e na respectiva necessidade de negócio ou tecnológica.
[...]
Do mesmo modo como é feito na alocação de recursos on-premise, a análise da demanda
dos serviços em nuvem compete aos gestores da área de tecnologia que assumem o papel de
fiscais técnicos da execução contratual e são responsáveis pela aprovação das demandas.
Os mecanismos para essa análise são as ordens de serviços, as ferramentas de gerência
(console) dos provedores de nuvem, as calculadoras de preço dos cloud providers e os
relatórios financeiros. O rastreamento da análise de demanda será possível pelo parecer do
respectivo gestor aposto à ordem de serviço.

Os parâmetros para provisionamento dos serviços deverão constar da ordem de serviço. As

ordens de serviço deverão ser registradas como tags nos recursos consumidos em nuvem de
modo a proporcionar a rastreabilidade do consumo.
No momento da aprovação da demanda pontual por serviço (ordem de serviço), o fiscal
técnico deverá avaliar se os preços registrados de cada item estão de acordo com os preços
atualizados nos catálogos públicos disponíveis em calculadoras do cloud providers. De
modo contínuo à análise da economicidade no ato da implementação da OS, os fiscais
deverão também avaliar se os preços faturados mensalmente estão compatíveis e
atualizados com os preços das calculadoras.
As responsabilidades deverão estar registradas na portaria de fiscalização contratual, bem
como pela análise de conformidade dos perfis de acesso (contas de administradores)
autorizadas a habilitar serviços nos provedores.
O rastreamento das responsabilidades deverá ser verificado pelo gestor do contrato no
escopo do processo de fiscalização da execução contratual. As alçadas de aprovação
deverão estar explicitas na portaria de fiscalização contratual. Os registros de autorizações
presentes nas ordens de serviço e a devida adequação às responsabilidades previstas na
portaria de fiscalização.
38. Conforme já relatado, a CGU apresentou alegações de que existe um processo
estabelecido para as contratações de TI que estabelece mecanismos de gestão contratual que mitigam
o risco apontado, e, conforme trecho de sua resposta (peça 31, p. 6):
Em resumo, os mecanismos de gestão contratual adotados pela CGU permitirão rastrear
cada evento de provisionamento de recursos na nuvem, garantindo a apresentação de
evidências que respaldaram as decisões tomadas e demais informações solicitadas por
eventuais auditorias.
Por fim, o CNJ respondeu (peça 28, p. 20):
[...] o CNJ, por previsão contida na Resolução CNJ Nº 468/2022, instrumento norteador
das contratações de TI pelo poder judiciário, possui um modelo de execução e de gestão do
contrato. O modelo de execução e de gestão do contrato, contém a forma como será
executado e gerido desde o início até o seu encerramento.
39. Verifica-se que, de fato, os órgãos já possuem controles estabelecidos que mitigariam o
risco apontado. Contudo, o entendimento da equipe de fiscalização era de que o risco persistia, uma
vez que os mecanismos de gestão contratual são independentes dos controles internos estabelecidos
pelo órgão e devem ser especificados em cada contratação, de modo a estabelecer a forma de
comunicação entre as partes do contrato e a definir as responsabilidades de cada uma.
40. Mantido o risco e explicitado tal entendimento da equipe de fiscalização, foram
novamente encaminhadas comunicações aos órgãos fiscalizados solicitando-se que preenchessem
planilha de riscos informando o tratamento que dariam ao risco, a descrição das atividades de
tratamento, o prazo e os responsáveis.
41. Em nova resposta, o TCU informou que acrescentou o item 16.2 no edital
(TC 006.168/2023-0, peça 58, p. 36) cuja redação estabelece:
16.2. Durante a vigência do contrato, a decisão sobre a utilização pelo contratante dos
serviços de qualquer dos provedores de nuvem pública homologados será precedida de
análise comparativa de custos/benefícios, com a utilização de técnicas de FINOPS, que
deverá considerar as respectivas condições comerciais, de arquitetura e tecnológicas
vantajosas, bem como outros incentivos oferecidos à época da utilização dos serviços.
Nesse sentido, cada órgão partícipe do registro de preços oportunamente editará normativo
interno visando à regulação dos critérios de governança do contrato para a efetiva escolha
do provedor previamente homologado quando da implementação de projetos em nuvem
pública. Portanto, qualquer condição comercial privilegiada oferecida à licitante pelos

provedores de nuvem pública Amazon AWS e Microsoft Azure para participação na

licitação não impede que outras condições ainda mais favoráveis que aquela sejam
franqueadas à contratada a qualquer momento durante todo o período de vigência do
contrato.
42. Percebe-se, portanto, que o TR segue não prevendo a execução contratual por meio de
ordens de serviço. Assim, para cumprir o Art. 32 da IN SGD/ME 94/2022 (parágrafo 31) e o que a
própria Setid informou na resposta à equipe de fiscalização (parágrafo 37), será necessário utilizar
ordens de serviço e controles relacionados à governança do contrato, análise de custo-benefício,
dentre outros (parágrafo 41).
43. No mesmo sentido foi a resposta do CNJ, que se comprometeu a elaborar normativo
específico para serviços de nuvem, nos moldes de minuta anexada (peça 62).
44. Já a CGU informa que não dará tratamento ao risco, discordando da existência do
mesmo, alegando que os mecanismos de gestão informados anteriormente são suficientes para que os
possíveis impactos não ocorram (peça 61 p. 1, item 4.1.1).
Análise das medidas propostas pelos gestores para tratamento do risco R1
45. Entende-se que, para tratar adequadamente o presente risco, seria recomendável a
definição, no instrumento convocatório, dos mecanismos de gestão adequados para o caso concreto.
46. Entretanto, a inserção do novo termo editalício realizada pelo TCU e a necessidade de
publicação de normativo específico para tratar da execução do objeto da presente contratação tende a
mitigar o risco apontado.
Conclusão
47. No curso da fiscalização, observou-se a ausência de previsão, no TR, no ETP e em
outros artefatos do planejamento, de controles detalhados de gestão e fiscalização contratual, tais
como alçadas de aprovação, justificativas da necessidade e análises de custo-benefício. Isso poderá
levar, dentre outros efeitos, a eventos de contratação que não atendam às necessidades planejadas ou
com custo-benefício deficiente, resultando em descontrole de gastos e antieconomicidade.
48. Os gestores se comprometeram a efetuar análise de custo-benefício antes de cada
provisionamento e a publicar normativo com controles de gestão e fiscalização contratual
(parágrafo 41). Considera-se que tal normativo é medida que mitiga o risco apontado pela equipe e
pode evitar a antieconomicidade da contratação se forem incluídos controles que prevejam
mecanismos tais como ordens de serviço, definição de papéis e responsabilidades, dentre outros
debatidos com a equipe de fiscalização, que garantam, para cada provisionamento, alinhamento às
necessidades, economicidade, rastreabilidade e alinhamento à IN – SGD/ME 94/2022 e à
jurisprudência do TCU.
49. Por essas razões, considera-se que as medidas informadas pelos gestores para
tratamento do risco são adequadas, motivo pelo qual não será feita proposta de recomendação
adicional, em consonância com o inciso I do parágrafo único do art. 16 da Resolução-TCU 315/2020.
2.2 Contratação por meio de catálogo aberto resultar em ilegalidade, antieconomicidade e
inefetividade– Risco R2

R2 Devido à natureza dinâmica Burla ao processo licitatório, em afronta ao Art. 2º
do catálogo de serviços da Lei 8.666/1993 e outros dispositivos legais e
oferecido pelos provedores infralegais (exemplos abaixo) e à jurisprudência do
(catálogos abertos), poderá TCU (exemplos abaixo)
ocorrer indefinição do objeto,
o que poderá levar à burla ao Objeto indefinido (Art. 3º da Lei 10.520/2002 e Art.
processo licitatório, 7º da Lei 8.666/1993)
impactando na legalidade da
contratação. Alteração unilateral do contrato pela contratada
(Art. 65 da Lei 8.666/1993)

Referência à regra externa ao contrato (item

9.1.1.1.1.1. do Acórdão 2.569/2018-TCU-Plenário
e inciso X do Art. 5º da IN - SGD/ME 94/2022)
Ocorrência de dispêndio acima do planejado no

PCA (Plano de Contratações Anual), orçamento e
outros artefatos devido a aquisições de itens
inicialmente não previstos no planejamento ou em
maior quantidade que as orçadas;
Aquisição de itens que não atendam às

necessidades das organizações ou que possuam
custo-benefício inferior a soluções alternativas

50. O objetivo da contratação é contratar USIN, cujo preço corresponde a um dólar a ser
gasto nos provedores de serviços em nuvem, ao longo da execução contratual, para provisionar
serviços dos provedores de computação em nuvem, como armazenamento, máquinas virtuais, dentre
outros. Isso será intermediado pela contratada (cloud broker), que atuará “como intermediária para
subcontratação e corretagem dos serviços computacionais” (item 5.2 da p. 22 do TR, peça 14 do TC
006.168/2023-0).
51. O TR prevê que TCU, CGU e CNJ (órgãos partícipes do registro de preços) irão
adquirir créditos, isto é, as Unidades de Serviços Técnicos de Intermediação para Nuvens Públicas
(USINs e USINs MP).
52. Os órgãos consumirão USINs para que a contratada provisione “serviços prestados
pelo próprio provedor”, segundo o item 5.4 da p. 24 do TR (peça 14 do TC 006.168/2023-0). As
USINs MP, por sua vez, serão “utilizadas para o consumo de serviços de terceiros com sede fiscal no
exterior e disponíveis/comercializados no marketplace do provedor”, de acordo com este mesmo item.
53. Conforme o TR da contratação (peça 14 do processo TC 006.168/2023-0) é possível
adquirir, por meio destes créditos, qualquer serviço do catálogo dos provedores de nuvem, ao longo
da execução contratual. Neste sentido, o item 5.11 da p. 7 do TR (peça 14 do TC 006.168/2023-0)
determina que todos os serviços dos catálogos devem ser disponibilizados.
54. Assim, ao longo dos trinta meses de contrato, é possível ocorrer a compra de soluções
diferentes das analisadas no planejamento da contratação e em quantidades que podem ser bastante
distintas das estimadas. Afinal, o planejamento teve como base um catálogo estimativo e
exemplificativo (peça 15 do TC 006.168/2023-0, item 5.1 do Estudo Técnico Preliminar - ETP), que
pode ser distinto do catálogo ofertado no momento de cada evento de contratação, em decorrência
das frequentes atualizações dos catálogos por seus provedores.
55. Define-se evento de contratação como cada alocação de recursos feita, ao longo da
execução contratual, de forma pontual (e.g. alocação de máquinas virtuais para alguma atividade) ou
na forma de projetos (eg. contratação de solução disponibilizada no marketplace de algum provedor).
Esses eventos poderiam ser descriminados, por exemplo, utilizando-se ordens de serviço com
mecanismos de controle devidamente estabelecidos, como, por exemplo, justificativa da necessidade,
avaliação da demanda e dos quantitativos, dentre outros itens, e deveriam ser aprovadas por alguma
instância supervisora, embora isso não esteja previsto no TR.
56. A mudança no catálogo pode ocorrer não apenas nas soluções ofertadas como também
nos parâmetros. Por exemplo, após clicar numa solução no site do provedor, é necessário escolher
entre diversas configurações, especificações, localizações, intervalos de tempo de uso, dentre outros
8

parâmetros com impacto material no preço final. De fato, há um vasto portfólio de produtos
disponíveis no marketplace dos provedores, que podem permitir a contratação de serviços/soluções
das mais diversas.
57. Para provisionar armazenamento, por exemplo, há mais de dez campos para preencher
na calculadora da Amazon, sendo que cada campo possui diversas opções de escolha no menu
dropdown, conforme mostra a captura de tela abaixo, obtida no dia 4/8/2023. Um volume de
armazenamento do tipo Solid State Drive (SSD) de uso geral (gp2) tem custo unitário de 13,84 dólares
por mês.
Figura 1: Captura de tela da calculadora da AWS com seleção do SSD de uso geral (gp2) como solução de
armazenamento
58. Uma mudança em um único campo (no exemplo, “tipo de armazenamento”) já provoca
um aumento para 288,28 dólares por mês por volume, conforme ilustra a imagem abaixo, referente ao
armazenamento usando SSD com IOPS provisionado (io2). Assim, esta única escolha pode resultar
num custo unitário mensal 1983% maior que a anterior (SSD de uso geral).
Figura 2: Captura de tela da calculadora da AWS com seleção do SSD com IOPS provisionado (io2) como solução de
armazenamento
9

59. Caso os órgãos contratantes não delimitem as famílias/instâncias de soluções que

poderão ser adquiridas ao longo da execução contratual, incorre-se em imprecisão e indefinição do
objeto, a cada instância de contratação. De fato, consumir USIN e USIN MP de forma irrestrita, em
quaisquer soluções que compõem portfólio de serviços no marketplace, que são mais diversificadas e
sujeitas a constantes substituições, atualizações e/ou exclusões, aumenta o risco de provisionar
serviços diferentes em sua essência dos planejados no ETP e com custos não previstos no orçamento
da contratação. Isso poderia ser considerado como violação ao art. 3º da Lei 10.520/02 (lei do
pregão), segundo o qual “a definição do objeto deverá ser precisa, suficiente e clara”.
60. Há uma lista de serviços demandados no orçamento inicialmente realizado (peça 3),
mas não há exposição precisa e clara do relacionamento entre estas soluções e as necessidades dos
órgãos. Ademais, não há fundamentação suficiente para as demandas, inclusive com justificativas,
premissas e fontes das informações. Por fim, o atual TR não apresenta mecanismos suficientes de
governança, gestão de riscos e controles internos que minimizem a possibilidade de provisionamento
de serviços diferentes em sua essência dos planejados e orçados (ou seja, de famílias/instâncias
diferentes).
61. A utilização de catálogo aberto na contratação propicia que novas soluções recém-
lançadas pelo provedor de serviços possam ser adquiridas sem licitação, apenas com o dispêndio de
USINs e USINs MP. Caso as novas soluções provisionadas sejam meras atualizações, correções de
erros, patches, novas versões com descontos, ou seja, da mesma família/instância que as orçadas, há
ganhos de agilidade e economicidade sem deixar de atender às necessidades dos órgãos consideradas
ao elaborarem o orçamento da contratação.
62. Por outro lado, caso as novas soluções provisionadas sejam de outra família/instância,
há o risco de aquisição, na prática, de serviços quem pode ser substancialmente diferentes dos
serviços cujas especificações embasaram o planejamento e o orçamento da contratação, sem as
análises detalhadas e a especificação de controles internos que são exigidas durante o planejamento
de licitação para contratação de bens/serviços de TI on-premises, como a comparação com soluções
de outros competidores, que podem apresentar menor custo total de propriedade, melhor custo-
benefício e/ou melhor atendimento às necessidades da contratante.
63. Percebe-se, portanto, que adquirir tais serviços, diferentes em sua essência dos
planejados, em catálogo aberto, pode configurar burla ao processo licitatório, o que violaria o art. 2º
da Lei 8.666/1993, que estabelece que “obras, serviços, inclusive de publicidade, compras,
alienações, concessões, permissões e locações da Administração Pública, quando contratadas com
terceiros, serão necessariamente precedidas de licitação, ressalvadas as hipóteses previstas nesta
Lei”. Cabe lembrar que o catálogo aberto não está previsto dentre as exceções expressas ao longo da
Lei de licitações.
64. Realizar uma licitação para cada contratação significa que, antes de cada aquisição,
deverá ser realizado planejamento de acordo com os normativos estabelecidos e que os princípios
gerais da administração pública serão considerados neste processo. O planejamento, dentre outros
benefícios, permite que o contratante selecione a solução com maior efetividade e economicidade, em
detrimento de outras possíveis. Adquirir por meio de catálogo aberto, sem o planejamento detalhado
característico de uma licitação, acarreta o risco de aquisição de itens que não atendam às
necessidades das organizações ou possuam custo-benefício inferior a soluções de outros fornecedores.
65. Ademais, o contratante pode acabar adquirindo serviços diferentes dos inicialmente
planejados ou em quantidades superiores às previstas, resultando em estouro dos limites de gastos
planejados em instrumentos como o PCA. Percebe-se, portanto, que além do risco de se gastar em
soluções sem prévio planejamento, característico de uma licitação de bens/serviços de TI ofertados no
modelo tradicional (on premises), há o risco de se adquirir quantidades superiores às necessárias,
resultando em gastos acima do planejado e suficiente.
66. Cabe lembrar que, no âmbito da Administração Pública Federal, a contratação de
servidores, softwares e storages nos termos das normas exige um rito de planejamento licitatório,
10

incluindo alçadas de aprovação, além da transparência dos artefatos produzidos, como ETP e TR, e,
ainda assim, apresentam irregularidades e impropriedades, frequentemente detectadas em
fiscalizações conduzidas por este TCU.
67. Entende-se que o risco de tais eventos ocorrerem é aumentado quando se trata de
contratação de recursos equivalentes (servidores, softwares e storages) em nuvem, a partir de
catálogo aberto, cujo provisionamento exige apenas a abertura de ordem de serviço. Caso os
controles internos e externos sejam insuficientes, há maior probabilidade de problemas ocorrerem ao
longo da execução contratual e serem percebidos de forma tardia.
68. Elaborar orçamento das famílias/instâncias de serviços com justificativa detalhada das
demandas pode ajudar a reduzir riscos relacionados ao uso de catálogo aberto, auxiliando na
realização de estimativas adequadas das quantidades e permitindo posterior comparação com os
serviços provisionados e necessidades que forem efetivamente atendidas durante a execução do
contrato.
69. O item 9.1.1.1.1.1. do Acórdão 2.569/2018-TCU-Plenário determina aos órgãos que
“não celebrem contrato em que haja referência a regra externa ao contrato”. Isso é relevante, pois,
como consequência da imposição de uma regra externa ao contrato, como a adesão a um catálogo
dinâmico controlado pelo provedor, há o risco de o fornecedor, unilateralmente, trocar um serviço
previamente identificado como necessário para atingimento dos fins pretendidos com a contratação, e
para o qual já havia estimativa de alocação em termos de quantidades e custo, por outro que não
atenda às necessidades da organização contratante levantadas no ETP.
70. Essa substituição não é permitida pelo Art. 65 da Lei 8.666/1993, por não estar
enquadrada nas hipóteses em que a lei permite alterações contratuais. Como o TR não detalha
controles que limitem estas trocas, que, inclusive, podem afetar o atendimento às necessidades do
órgão levantadas no ETP e orçamento da contratação, há risco de violação ao item 9.1.1.1.1.1. do
Acórdão 2.569/2018-TCU-Plenário e Art. 65 da lei 8.666/1993.
71. Neste sentido, segundo o inciso X do art. 5º da IN - SGD/ME 94/2022, “é vedado fazer
referências, em edital ou em contrato, a regras externas de fabricantes, fornecedores ou prestadores
de serviços que possam acarretar alteração unilateral do contrato por parte da contratada”. Percebe-
se, portanto, que, caso a CGU use catálogo aberto na contratação de serviços em nuvem, poderia
haver violação à norma emitida pela SGD.
72. Além disso, no ETP do TCU (peça 15), a solução em catálogo aberto já é estabelecida
previamente, sem antes ser realizada uma análise detalhada comparativa com outras soluções, como
as constantes de catálogo fechado. Assim, não foram apresentadas justificativas para a vantajosidade
do catálogo aberto e em que medida seus supostos benefícios compensam os riscos de sua utilização.
Vale lembrar que tal análise comparativa é determinada por normas como a IN - SGD/ME 94/2022
(Art. 11) e a Resolução - CNJ 468/2022 (item 3 do Artefato III).
73. Ademais, não foi feita análise do custo total de propriedade comparando o cenário
atual, em que a maioria dos serviços de TI encontram-se configurados localmente e foram objeto de
investimentos com base em um horizonte temporal definido, com o possível cenário de futuras
migrações de workloads para a nuvem.
74. No ETP do TCU (peça 15), entretanto, não há análises detalhadas de contratações de
serviços de nuvem feitas por outros órgãos públicos no Brasil.
75. A equipe de auditoria analisou artefatos de planejamento de contratações de nuvem
realizadas por outros órgãos públicos e estatais. Estudou-se contratações realizadas por três órgãos
públicos (Banco Central do Brasil, Central de Compras do Ministério da Economia, Ministério
Público Federal) e uma estatal (Banco do Brasil).
76. Todos os órgãos públicos e estatais nacionais pesquisados decidiram utilizar o
catálogo fechado. Assim, essas organizações públicas nacionais delimitaram, de forma clara e
precisa, quais soluções seriam contratadas ao longo da execução contratual. Com o catálogo fechado,
11

estas entidades mitigaram o risco de aquisição, em certo evento de contratação, de um serviço muito
diferente do especificado nos artefatos de planejamento.
77. O catálogo fechado também propicia uma execução contratual mais simples, pois os
serviços adquiridos em cada evento de contratação seriam os mesmos já especificados nos artefatos
de planejamento. Dessa forma, a adoção do catálogo fechado está em linha com boa prática adotada
pelo GAO, que é partir da solução mais simples para a mais complexa (p. 64 do livro “Desmitificando
a adoção de serviços de nuvem governamental” do IBGP). Ao utilizarem o catálogo fechado, os
órgãos citados no parágrafo 75 mitigaram o risco detalhado ao longo deste item 2.2.do relatório.
78. Ademais, à p. 39 do livro “Desmitificando a adoção de serviços de nuvem
governamental” do IBGP, recomenda-se a migração paulatina de infraestrutura, sistemas e
aplicativos para a nuvem. Ou seja, como a migração é complexa e arriscada, não precisa ser “tudo ou
nada”: é possível iniciar com escopo menor, projeto piloto, catálogo fechado e mais restrito a
soluções de menor risco. Para decidir o que deve ser migrado para a nuvem, é importante também
realizar análise do custo total de propriedade, priorizando migrações com menor custo total e melhor
custo-benefício.
79. Outro problema decorrente da adoção de catálogo aberto consiste no risco de
realização de migrações envolvendo soluções essencialmente distintas das planejadas e ao longo de
um prazo (trinta meses) maior que o usual (doze meses, com sucessivas prorrogações). Neste sentido,
de acordo com o item 6 do Acórdão 490/2012-TCU-Plenário, Rel. Min. Valmir Campelo, “(...) existe
jurisprudência no sentido de que (...) os contratos de serviço de natureza continuada não devem ter
prazo de vigência superior a 12 meses, de forma que as prorrogações sejam precedidas de avaliação
técnica e econômica, que demonstrem as vantagens ...”.
80. Nos artefatos de planejamento, não há justificativa para o prazo de trinta meses. Assim,
não foram apontadas as vantagens técnicas e econômicas para adoção deste prazo maior, que, por
outro lado, aumenta o risco de contratações de objetos distintos dos planejados ao longo de mais
tempo.
81. A não justificativa para estabelecimento de prazo de trinta meses de vigência para a
contratação também foi apontada pela Consultoria Jurídica do TCU no seu parecer. De fato, no item
23.6.3 do parecer (peça 25, p. 8), a Consultoria Jurídica destaca que prazos superiores a doze meses
são “casos excepcionalíssimos” e que é obrigatória a “apresentação robusta de elementos que
demonstrem as peculiaridades do caso concreto para que se configure sua excepcionalidade”.
82. Vale ressaltar que, no item 56 da minuta de edital original (peça 21, p. 12), de
10/4/2023, permite-se a adesão à Ata de Registro de Preços de não participantes (“caronas”). Ou
seja, os riscos levantados ao longo do capítulo 2 deste relatório poderiam se estender também a
outros órgãos, muitos deles poderiam ter mecanismos de governança, gestão de riscos e controles
internos insuficientes para gerenciar contratos de tamanha complexidade e porte. Nesse sentido,
importa ressaltar que, após alerta deste risco pela equipe de fiscalização, a Setid republicou o edital
(TC 006.168/2023-0, peça 58), em 2/8/2023, vedando adesão à ata de registro de preços decorrente
da contratação.
83. Nos artefatos de planejamento, não há justificativa para a possibilidade de caronas.
Isso contraria a jurisprudência do TCU. Por exemplo, segundo o item 9.6.1 do Acórdão 2.037/2019-
TCU- Plenário, Rel. Min. Substituto Augusto Sherman, há “a necessidade de sempre avaliar (...) a
existência e o teor da justificativa para eventual previsão no edital da possibilidade de adesão à ata
de registro de preços por órgãos ou entidades não participantes”.
84. A ausência de justificativa para permissão de adesão de caronas também foi
mencionada pela Consultoria Jurídica no seu parecer. De fato, no item 21 parecer (peça 25, p. 6), a
Consultoria Jurídica afirma que “quanto à possibilidade de adesão de órgãos públicos que não
participaram do registro de preços, é necessária a apresentação de justificativas para a previsão na
minuta do edital”.
12

85. Na resposta à equipe de fiscalização, a CGU relatou que o catálogo é mutável, mas
segundo a premissa de que não há a intenção de contratar serviços além dos inicialmente propostos.
Segundo o órgão, a vantagem do catálogo aberto é que este, juntamente com o processo de gestão de
mudanças instituído, permite provisionar serviços aproveitando as reduções de preços oferecidas
pelos provedores ao longo do tempo (peça 31, p. 8)
86. Quanto aos riscos do catálogo aberto, a CGU afirmou que, na etapa de Design do
processo de change management, o provisionamento é justificado a partir de análises da “Arquitetura
da Solução, Estratégia de Saída da Nuvem, Estratégia de Recuperação de Desastres, Requisitos de
Backup e Análise de Riscos de Segurança e Privacidade” (item 77 da peça 31).
87. Ademais, segundo a CGU, a “análise de economicidade do provisionamento será
realizada de modo a avaliar diversos aspectos tecnológicos, operacionais e financeiros para a seleção
da arquitetura que melhor atenda à demanda de TI” (item 76 da peça 31).
88. Ademais, o órgão afirmou que, quando surgir a necessidade das soluções SMAX e
Fortinex Firewall, fará ETP comparando a realização de compra usando USIN MP com a alternativa
de efetuar licitação separada (peça 31, p. 5-6). Concorda, ainda, em incluir tal controle em artefato
da contratação, mas afirmou que isso seria responsabilidade do TCU, órgão gerenciador. Por fim, a
CGU afirma que a SGD poderia padronizar os controles necessários em normativo específico.
89. Na resposta à matriz de riscos, a CGU decidiu aceitar o risco, por considerar sua
probabilidade “muito baixa” (peça 48, p. 3, item 5.1.4). Segundo o órgão, acerca da vedação de
celebração de contrato em que haja referência externa (inciso X do art. 5º da IN – SGD/ME 94/2022),
“quando da assinatura do contrato, será coletada price list individualizada por provedor que se
constituirá em referência formal do contrato para preços e serviços, limitando o impacto de
influências externas.” (peça 48, p. 3, item 5.1.2).
90. Com relação à vedação de o provedor alterar unilateralmente o contrato (art. 65 da Lei
8.666/1993), a CGU argumenta que a AWS esclarece, no item 1.5 do seu Contrato do Cliente AWS,
“que os serviços poderão ser alterados ocasionalmente, mediante prévia notificação (com pelo menos
12 meses de antecedência), o que mostra que alterações repentinas nos catálogos de serviço
oferecidos pelos provedores são improváveis.” (peça 48, p. 3, item 5.1.3)
91. O órgão afirma, ainda, que “a contratação em tela adotou uma estratégia multinuvem,
justamente para evitar a dependência da Administração em relação a um dado provedor (lock-in) e a
influência que suas decisões, como as alterações de catálogo, podem ter no contrato.” (peça 48, p. 3,
item 5.1.1).
92. Na resposta à equipe de fiscalização, o CNJ argumentou que o catálogo aberto
permitiria “a seleção de um provedor com recursos de segurança robustos” e “incluir informações
sobre conformidade com padrões de segurança reconhecidos”. Outro argumento usado pelo CNJ é
que, ao longo dos trinta meses de duração do contrato, o catálogo aberto “pode incluir informações
sobre ofertas especiais, descontos ou pacotes personalizados oferecidos pelos provedores” (resposta à
questão 20 na p. 22 da peça 28).
93. Cabe ressaltar que o CNJ não apresentou documentos para evidenciar as respostas e
admitiu que não havia concluído o ETP. Segundo o Conselho, a documentação estava ainda em
produção, em virtude de o servidor que estava conduzindo o trabalho ter saído do CNJ (peça 28, p. 1).
94. O órgão também afirmou que já usa o catálogo aberto no contrato com o Serpro
(34/22), acompanhado pela Alta Administração. Para tratar os riscos, se comprometeram a usar a
Resolução - CNJ 468/22 (peça 28, p. 16).
95. Na resposta à matriz de riscos enviada (peça 62), o CNJ assegurou que irá tratar este
risco instituindo normativo que conterá “diretrizes e procedimentos com a descrição do fluxo de
aprovação de serviços, papéis e responsabilidades”. Além disso, ainda segundo o órgão, tal
normativo incluirá “uma análise técnica abrangente, levando em consideração aspectos como
segurança, arquitetura, sustentação, gestão, custo e relevância das soluções ou serviços em relação
aos objetivos e metas estabelecidos pelo Conselho Nacional de Justiça (CNJ).” (peça 62, p. 13)
13

96. O gestor designado como responsável pelo CNJ, integrante da COIE (Coordenadoria
de Infraestrutura), afirmou ainda que “a publicação do Normativo sobre o modelo de governança,
solicitação, análise e a aprovação de novos serviços digitais do Conselho Nacional de Justiça no
ambiente de nuvem deverá ocorrer anteriormente à previsão de contratação dos serviços pelo CNJ.”
(peça 62, p. 18).
97. Por sua vez, na resposta à equipe de fiscalização, o TCU afirmou que, “quando da
utilização de soluções (...)será inafastável que sejam juntados à ordem de serviço as análises de risco
e economicidade dessa opção, incluindo-se os estudos de composição de preço que caracterizem a
vantajosidade do consumo direto pelo marketplace”. (peça 51, p. 5).
98. O TCU argumenta ainda que “a adoção de instrumentos de gestão contratual que
permitam monitorar e rastrear as demandas pontuais de consumo (ordens de serviço), bem como a
previsão de profissionais com capacitação em FinOps, a adoção de ferramentas de gestão multinuvem
e de conta exclusiva para faturamento são instrumentos que visam minimizar o risco de gerenciar o
serviço com amplo acesso ao portfólio” (peça 51, p. 5).
99. Como, na prática, uma parcela significativa do provisionamento envolverá a atuação
dos terceiros contratados no 2º objeto (USTN), estabelecer controles relacionados à contratação deste
objeto também ajuda a mitigar diversos riscos apontados para o 1º objeto.
100. Após ser questionado sobre tais controles, o TCU afirmou, quanto ao 2º objeto, que “a
prestação de serviços especializados será mensurada por meio de indicadores de desempenho que
envolverão prazo, qualidade e efetividade”. (peça 51, p. 8)
101. Vale ressaltar as boas práticas e inovações apresentadas pelos órgãos contratantes.
Uma delas é a criação da conta principal, estabelecida em sessão conjunta do contratante com a
contratada (peça 67, p. 37, item 21.2.1l). Isso permite que o órgão acesse, dentre outras
funcionalidades antes restritas ao broker, os relatórios detalhados de gerenciamento e análise de
custos, que permitem auditar se os novos serviços provisionados de fato atendem às necessidades
planejadas e orçadas.
102. Neste mesmo sentido, após sugestão da equipe de fiscalização, a SGD incluiu em sua
minuta de portaria sobre nuvem uma seção inteira com controles relacionados ao gerenciamento de
custos (peça 69, p. 41, item 20).
103. Outra boa prática é a vedação à inclusão, no preço da proposta da USIN e USIN MP,
dos tributos que já serão cobrados pelo broker diretamente na console de faturamento do provedor (
peça 67 p. 32, item 12.1.3.1 do edital). Isso mitiga o risco de, a cada evento de contratação, o órgão
acabar pagando pelos mesmos tributos duas vezes (bis in idem).
104. A equipe de fiscalização apontou o risco de caronas utilizarem o catálogo aberto sem
os devidos controles e acabarem burlando o processo licitatório. Assim, após questionamento da
equipe, o TCU decidiu que “não será permitida a adesão de outros órgãos” (peça 51, p. 7).
105. O TCU, assim como a CGU, argumentou que uma das vantagens do catálogo aberto é
aproveitar descontos oferecidos pelos provedores. Neste sentido, a price list seria apenas uma lista de
preços máximos, cujos valores seriam reduzidos ao longo da execução contratual (peça 51, p. 11-12).
106. Como isso não estava claro no TR, o TCU decidiu, no item 16, alterar a redação para
(peça 51, p. 11-12):
No primeiro dia de vigência do contrato, por intermédio da console ou mediante entrega
pela contratada, será obtida a price list contendo os preços públicos do seu catálogo de
serviços, que serão considerados como sendo os preços máximos desses serviços para
validade durante toda a vigência do contrato, individualizada pelo provedor para a
prestação dos serviços ao contratante por intermédio da licitante.
107. Nenhum dos três órgãos justificou formalmente a legalidade da adoção de catálogo
aberto para contratação de serviços de nuvem, com base na legislação vigente pertinente à matéria.
Os três órgãos justificaram haver maior flexibilidade e agilidade nessa sistemática, necessárias a
14

iniciativas inovadoras, e captura de descontos em relação à price list ao longo da execução contratual
devido à Lei de Moore (peça 28, p. 21, resposta à questão 19).
108. Se, durante a elaboração da OS, não se avaliar se os serviços a provisionar estão
alinhados às necessidades do órgão e ao objeto definido no contrato, dado que os catálogos dos
provedores serão abertos, há o risco de o objeto restar indefinido (violação ao art. 3º, incisos I a III,
da Lei 10.520/2002), que pode também levar à burla ao processo licitatório (violação do art. 2º da Lei
8.666/1993), pois pode-se contratar serviços fora do objeto do contrato
109. Se a contratada, unilateralmente, trocar um serviço do catálogo por outro que não
atenda integralmente às necessidades planejadas e não esteja aderente ao objeto definido no contrato,
há o risco de violação do art. 65 da Lei 8.666/1993 e do item 9.1.1.1.1.1. do Acórdão 2.569/2018-
TCU-Plenário, da relatoria do Ministro Aroldo Cedraz (vedação à celebração de contrato em que
haja referência a regra externa ao contrato).
110. A Setid decidiu suspender o pregão em 25/7/2023 devido à imposição de dezoito
impugnações e pedidos de esclarecimentos. Ao republicar o edital, incluiu o item 16.2 no novo TR
(peça 58, p. 36, do TC 006.128/2023-0), conforme já transcrito no parágrafo 41 deste relatório.
111. Assim, parte dos controles apontados pela equipe de fiscalização, como a análise de
custo-benefício e a governança durante a execução contratual, foi previsto pelos gestores da Setid no
novo item 16.2 do TR.
112. A CGU, por um lado, aceitou o risco, afirmando que sua probabilidade é “muito
baixa”, apresentando como argumentos a estratégia multinuvem, a notificação da AWS doze meses
antes de mudar o catálogo e a apresentação da price list com os preços máximos por item do catálogo
de cada provedor.
113. Vale ressaltar que, do ponto de vista da legalidade, segue existindo potencial violação
ao inciso X do art. 5º da IN – SGD/ME 94/2022, além do item 9.1.1.1.1.1. do Acórdão 2.569/2018-
TCU-Plenário, pois o edital, ao prever catálogo aberto, faz referências “a regras externas de
fabricantes, fornecedores ou prestadores de serviços que possam acarretar alteração unilateral do
contrato por parte da contratada”. Caso o provedor retire do catálogo um serviço cuja necessidade
foi planejada e orçada, seria uma hipótese de alteração unilateral do contrato não permitida no Art.
65 da Lei 8.666/1993.
114. Já do ponto de vista operacional, a estratégia multinuvem pode reduzir o efeito
negativo do provedor retirar o serviço do catálogo, já que o órgão poderia buscá-lo no catálogo de
outro provedor. O tempo para buscar a alternativa seria de doze meses no caso da AWS. Vale
lembrar, entretanto, que a CGU não apresentou com quanto tempo de antecedência outros provedores
(Microsoft e Google) notificam a remoção de soluções. Ademais, há o risco de o serviço do provedor
alternativo não ser equivalente, não atender às necessidades levantadas no planejamento licitatório
nem aos níveis de serviço (Service Level Agreement – SLAs) ou, ainda, possuir custo-benefício
deficiente.
115. A apresentação da price list individualizada por provedor de fato pode reduzir o risco
de antieconomicidade da contratação. Afinal, ela estipula um teto, um preço máximo por item do
catálogo de cada provedor.
116. Ademais, segundo a CGU, ao longo da execução contratual, descontos sobre este preço
ocorreriam. E a captura destes descontos, ainda segundo o órgão, seria possibilitada pelo catálogo
aberto, pois as versões mais recentes dos serviços e famílias atualizadas pelo provedor seriam mais
baratas que as do catálogo antigo, segundo a evolução de preços ao longo do tempo enviada pela
CGU na resposta à questão 19 da p. 7 da peça 31. Nesta resposta, a CGU inseriu uma série de
printscreens comparando os preços de instâncias de máquina virtual AWS e evidenciou, como
exemplo, que a versão mais recente (m5.large) é mais barata que a anterior (m4.large).
117. Por fim, o CNJ também se comprometeu a publicar normativo com parte dos controles
apontados, “anteriormente à previsão de contratação dos serviços pelo CNJ.”
15

118. Para mitigar o risco de outros órgãos com menor maturidade em gestão e fiscalização
contratual replicarem o TR sem os devidos ajustes, uma boa prática é a publicação de normas
específicas para tratar de contratações de serviços em nuvem por parte dos OGSs.
119. Neste sentido, a SGD incorporou à sua minuta de portaria sobre contratação de
serviços de TI em nuvem os controles sugeridos pela equipe de fiscalização, incluindo uma seção
inteira sobre gerenciamento de custos (peça 57). O CNJ, assim, poderia incluir controles similares
atualizando o Guia de Contratações de STIC do Poder Judiciário.
Conclusão
120. O risco de objeto indefinido apontado pela equipe decorre do fato de a contratação de
serviços em nuvem sob análise prever o uso de catálogo aberto. Os possíveis efeitos desse risco
identificados pela equipe de fiscalização são: burla ao processo licitatório, alteração unilateral do
contrato pela contratada e antieconomicidade da contratação.
121. Após a comunicação dos riscos pela equipe, os gestores melhoraram a redação do item
16 na p. 36 do TR (parágrafo 106), esclarecendo que a price list deve ser apresentada com a proposta
e delimitar os serviços e preços máximos (parágrafo 112). Entende-se que tal delimitação reduz o
risco. Ademais, os gestores incluíram o item 5.19 na p. 26 do TR (parágrafo 41), que obriga TCU,
CGU e CNJ a efetuar análise de custo-benefício antes de cada provisionamento. Tal medida contribui,
em particular, para reduzir o risco de antieconomicidade.
122. Por fim, os gestores se comprometeram a publicar normativo com controles de gestão e
fiscalização contratual (parágrafo 41) que podem mitigar o risco apontado se incluir controles que
garantam alinhamento às necessidades, rastreabilidade, dentre outros.
2.3 Contratação de soluções disponibilizadas em Marketplace aberto resultar em ilegalidade,

antieconomicidade e inefetividade– Risco R3

R3 Devido à disponibilização de Configurar burla ao processo licitatório, o que
uma lista aberta de serviços e viola o Art. 2º da Lei 8.666/1993
soluções de terceiros no
marketplace dos provedores, Objeto indefinido (Art. 3º da Lei 10.520/2002 e Art.
poderá ocorrer indefinição 7º da Lei 8.666/1993)
do objeto, o que poderá levar
a burla ao processo Alteração unilateral pela contratada (Art. 65 da Lei
licitatório, impactando na 8.666/1993)
legalidade e na
economicidade da Referência à regra externa ao contrato (item
contratação. 9.1.1.1.1.1. do Acórdão 2.569/2018-TCU-Plenário
e inciso X do Art. 5º da IN - SGD/ME 94/2022)
Gastar acima do planejado no PCA (Plano de

Contratações Anual), orçamento e outros artefatos
devido a aquisições de itens inicialmente não
previstos no planejamento ou em maior quantidade
que as orçadas;
Adquirir itens que não atendam às necessidades

das organizações ou possuam custo-benefício
inferior a soluções de outros fornecedores, que
poderiam ser analisadas durante o planejamento de
uma nova licitação.
16


124. O mesmo entendimento relatado a respeito do risco anterior aplica-se ao presente
risco, com um agravante a respeito das soluções adquiridas no Marketplace dos provedores de
serviços de nuvem.
125. Inicialmente, entende-se necessário definir o que é Marketplace e o que pode ser
adquirido por meio de tal ferramenta.
126. O conceito de Marketplace de provedores de nuvem engloba a disponibilização um
catálogo digital de soluções de terceiros que podem ser facilmente encontradas, testadas e adquiridas
por meio do portal disponibilizado pelos provedores de serviços em nuvem.
127. O Marketplace do provedor Amazon, por exemplo, é categorizado por soluções de
Sistemas Operacionais, Segurança, Rede, Armazenamento, Análise de Dados e Desenvolvimento (peça
52).
128. Apresentados os conceitos, passa-se à análise do risco relacionado à compra de
créditos de provedores que podem ser gastos em soluções de Marketplace, conforme previsão do
objeto da presente contratação.
129. Disponíveis os créditos, os gestores podem decidir por comprar licenças de sistemas
operacionais ou soluções de segurança, como Firewall ou antivírus, soluções de armazenamento de
dados, ferramentas de análises de dados ou mesmo soluções para desenvolvimento de software, dentre
outras.
130. Conforme essa sistemática, os gestores não precisariam fazer qualquer planejamento,
analisar as soluções disponíveis no mercado ou tampouco realizar análise de custo-benefício para
adquirir soluções dos tipos listados acima, bastando concretizar a aquisição junto ao provedor de
serviços em nuvem utilizando os créditos disponíveis.
131. Percebe-se, portanto, que as soluções possíveis de serem adquiridas não se encontram
delimitadas, o que implica em imprecisão e indefinição do objeto da contratação. A utilização de
USIN MP de forma irrestrita, em soluções variadas no vasto portfólio de serviços no marketplace
(objeto indefinido), aumenta o risco de se provisionar serviços diferentes em sua essência dos
planejados no ETP e no orçamento da contratação. Isso resultaria em violação ao art. 3º da Lei
10.520/2002 (Lei do pregão), segundo o qual “a definição do objeto deverá ser precisa, suficiente e
clara”.
132. Ademais, conforme também já relatado no risco anterior, adquirir serviços com
características muito diferentes dos que foram especificados no planejamento da contratação, a partir
de catálogo aberto (Marketplace), pode configurar burla ao processo licitatório, o que violaria o art.
2º da Lei 8.666/1993.
133. Adquirir soluções por meio de Marketplace sem o planejamento detalhado
característico de uma licitação pública, acarreta risco de aquisição de itens que não atendam às
necessidades das organizações ou possuam custo-benefício inferior a soluções de outros fornecedores.
134. A condução de processo licitatório específico para cada contratação minimizaria os
possíveis efeitos desse risco, ao estabelecer que, antes de cada aquisição, seja realizado planejamento
de acordo com os normativos estabelecidos e com os princípios gerais da administração pública. Um
dos principais benefícios da realização de um planejamento específico para contratação de cada
solução é aumentar a chance de seleção da solução com maior efetividade e economicidade com foco
na finalidade da contratação.
135. Considerando esse pressuposto, relata-se, novamente, que a equipe de auditoria
analisou artefatos de planejamento de contratações de nuvem realizadas por outros órgãos públicos e
estatais. Foram analisadas as contratações realizadas por três órgãos públicos (Banco Central do
17

Brasil, Central de Compras do então Ministério da Economia e Ministério Público Federal) e por uma
estatal (Banco do Brasil), sendo que, conforme já relatado, nenhum deles optou por contratar um
catálogo aberto com a disponibilização das soluções de Marketplace dos provedores de serviços em
nuvem.
136. Reforça-se o entendimento de que, no caso da contratação de créditos com base em
USIN MP, os controles internos devem ser ainda mais detalhados e rigorosos do que aqueles para
tratar riscos referentes à adoção de catálogos abertos de provedores de serviços em nuvem, pois a
contratação de uma solução no marketplace, por ser externa aos provedores de nuvem, demanda
estudos e análises mais complexas de planejamento da alocação.
137. A possibilidade de se contratar serviços ou produtos com os créditos de USIN MP
disponíveis sem o estabelecimento de um rito específico de planejamento que demonstre a adequação
da necessidade da aquisição, o alinhamento da mesma com o planejamento do órgão, a quantificação
da demanda estimada, a economicidade em relação à condução de processo de licitação específico,
dentre outros mecanismos de controle, faz com que este risco seja considerado elevado.
138. Ressalte-se que, quando uma solução não prevista nos catálogos dos provedores de
nuvem é contratada de forma convencional, via licitação, diversas instâncias do órgão devem
verificar elementos como a vinculação entre a solução e a necessidade que a desencadeou e a
economicidade da contratação (verificações feitas pelas áreas administrativa e jurídica da
organização pública), o que pode não ocorrer nas contratações desses mesmos serviços via
marketplace dos provedores de serviços em nuvem se as OSs não forem devidamente planejadas e
verificadas, o que aumenta o risco de burla ao processo licitatório e de sobrepreço.
139. A mesma argumentação apresentada no risco anterior e já descrita aqui foi
apresentada pelos gestores em relação ao presente risco, que constou de matriz preliminar de riscos.
140. Após análise inicial realizada pela equipe de auditoria, os gestores foram instados a se
manifestarem novamente a respeito do presente risco (peça 18), pelas razões que foram apontadas na
matriz de riscos final (risco R3 da p. 1 da peça 59).
141. Em nova resposta, o TCU, conforme já relatado na análise do primeiro risco,
comprometeu-se a elaborar normativo (portaria) que visa instituir alçadas de decisão, procedimentos
e ferramentas a serem utilizados pelos fiscais e gestor do contrato (peça 64, p. 3).
142. O normativo, segundo a resposta encaminhada, deve instituir diretrizes de análise de
risco e economicidade compatíveis com a materialidade de cada provisionamento efetuado, além de
prever, para este caso específico de aquisição de soluções disponibilizadas no Marketplace, regras
para o consumo de tais créditos (peça 64).
143. Já o CNJ encaminhou a seguinte resposta acerca deste item (peça 62):
O CNJ, ao longo de suas contratações de serviços de computação em nuvem, não tem o
histórico de utilização de serviços de marketplace. Caso, durante a execução contratual,
ocorra a necessidade de uso do marketplace serão utilizadas as mesmas instâncias de
controles e aprovação para os serviços de USIN, ou seja, Fluxo de Requisição de
Mudanças, utilização dos procedimentos e processos do Normativo de Nuvem.
144. Vale ressaltar que, conforme já relatado também na análise do Risco 1, o CNJ
comprometeu-se a publicar normativo específico para contratação de soluções de nuvem.
145. A CGU, por fim, manifestou-se (peça 48, p. 3);
Destaca-se inicialmente que, todo provisionamento de serviços via marketplace estará
sujeito aos controles já instituídos para o tratamento de demandas de TI. Adicionalmente,
qualquer provisionamento via marketplace somente ocorrerá após um estudo técnico
comprovar sua vantajosidade e confirmar a compatibilidade da operação com o objeto da
licitação. O referido estudo seguirá os modelos de estudos técnicos preliminares para
aquisições, conforme estabelecido no item 11 da IN SGD/ME 94/2022, e incorporará uma
pesquisa de preços, em conformidade com as disposições da IN SEGES/ME 65/2021.
18


146. Nenhum dos três órgãos apresentou fundamentação para legalidade do uso de catálogo
aberto, com possibilidade de contratação de soluções nos Marketplace dos provedores de serviços em
nuvem. Como já ressaltado, se os serviços a serem provisionados não estiverem alinhados às
necessidades do órgão e não puderem ser especificados de forma completa e objetiva, dado que
podem ser provisionados a partir de catálogos abertos dos provedores, há o risco de o objeto ser
indefinido (violação ao art. 3º, incisos I a III, da Lei 10.520/2002), que pode também levar à burla ao
processo licitatório (violação do art. 2º da Lei 8.666/1993), pois pode-se contratar serviços fora do
objeto do contrato.
147. Entende-se que as medidas propostas pelo TCU e CGU contribuem para mitigar os
efeitos do presente risco. Em particular, a “análise comparativa de custos/benefícios” (parágrafo 41)
pode reduzir o risco de direcionamento à certo terceiro do Marketplace se considerar as alternativas
do mercado, os menores custos, os benefícios qualitativos e quantitativos, dentre outros aspectos
listados no Art. 11 da IN SGD/ME 94/2022.
148. Já quanto ao CNJ, verifica-se que o órgão não irá diferenciar o tratamento do presente
risco, apesar de informar que já possui contratos de serviços em nuvem e não possui histórico de
utilização de soluções em Marketplace. Entende-se que a medida proposta pelo órgão pode não ser
suficiente para mitigar o risco de ocorrência dos efeitos do presente risco listado.
Conclusão
149. A equipe de fiscalização identificou o risco de a contratação de terceiros no
Marketplace dos provedores resultar em burla ao processo licitatório e em antieconomicidade. Os três
órgãos publicarão normativo com controles que, se garantirem alinhamento às suas necessidades,
alçadas de aprovação, dentre outros típicos de planejamento licitatório (parágrafo 48), contribuem
para mitigar esse risco. A CGU informou, ainda, que adotará outra medida relevante: seguir fluxo
detalhado de processo de change management. Já o CNJ não se comprometeu a adotar nenhuma
outra medida específica.
150. Além disso, no item 5.19 do TR (peça 67, p. 36), há a determinação de fazer “análise
comparativa de custos/benefícios” antes de cada provisionamento (parágrafo 41). Essa previsão é
medida relevante no sentido de evitar a antieconomicidade da contratação, principalmente nos casos
de soluções fornecidas por terceiros no Marketplace. Ademais, comparar os custos e benefícios de
soluções de diversos provedores permite usufruir das vantagens de um mercado competitivo se
realizada nos termos do Art. 11 da IN – SGD/ME 94/2022 (parágrafo 147).
152. Como o risco relacionado ao Marketplace, ainda que reduzido, segue existindo,
especialmente para o CNJ, será realizada nova etapa do presente acompanhamento durante a
execução contratual, em momento oportuno a ser definido pela AudTI, para avaliar se serão
necessárias ações adicionais para tratar o presente risco (parágrafos 250 e 0).
2.4. Justificativa e racionais inadequados/ausentes das quantidades no orçamento – risco R4

R4 Devido à ausência das Ausência, no TR, de forma detalhada, motivada e
memórias de cálculo das justificada, do quantitativo de bens e serviços da
quantidades de cada serviço, solução, considerando todo o ciclo de vida do objeto,
poderá ocorrer elaboração de sendo vedadas justificativas genéricas, incapazes de
orçamento que não reflita as demonstrar as reais necessidades da contratação
necessidades reais do órgão, o (Art. 14 e 15 da IN – SGD/ME 94/2022);
que poderá levar a consumo
abaixo ou acima dos limites da Ausência de estimativa prévia do volume de serviços
19

Lei 8.666/1993, art. 65, § 1º, demandados para comparação e controle no modelo
impactando na legalidade e na de execução contratual (Art. 18 da IN – SGD 94
economicidade da 2022)
contratação.
Ausência de estimativa do impacto orçamentário-
financeiro da despesa no exercício em que deva
entrar em vigor e nos dois subsequentes (Art. 16 da
LC 101/2000)
Orçamento acima do suficiente para atender às

necessidades, com risco de o consumo real ser
inferior a 75% do valor orçado (Art. 65 da Lei
8.666/1993).

153. No TR (peça 14), ETP (peça 15) e planilha orçamentária (peça 3) não há justificativas,
premissas, parâmetros de entrada e respectivas fontes, histórico de consumo de serviços, estimativas
de crescimento e fórmulas de cálculo da quantidade de cada item orçado. Tal racional detalhado é
descrito no item 869 da p. 210 da NT 8/2023 da AudTI, referente à elaboração de orçamento estimado
de contratações públicas de bens e serviços de TI (Nota Técnica – AudTI/TCU 8/2023iii).
154. A Consultoria Jurídica do TCU, em seu parecer (peça 25 do TC 006.168/2023-0),
também detectou o risco de justificativas e racionais inadequados das quantidades. De fato, o item 10
da p. 2 do citado parecer destaca a importância de “esclarecer os fundamentos (estudos, relatórios de
demanda, contratos anteriores, etc) para o estabelecimento da quantidade estimada do objeto
(quantidade estimada de USIN”s a serem fornecidas”. Vale ressaltar que a contratação estará de
acordo as normas apenas “se promovidas as alterações propostas)”.
155. Não esclarecer os fundamentos para as quantidades, além de contrariar o parecer da
Consultoria Jurídica do TCU, também afronta diversos dispositivos legais e infralegais aplicáveis aos
órgãos contratantes (TCU, CGU e CNJ).
156. No caso do TCU, os incisos II e III do Art. 4º da Portaria – TCU 444/2018, que dispõe
sobre o processo de contratação de serviços, no âmbito do tribunal, não estavam sendo cumpridos. O
referido inciso II determina que o ETP deverá contemplar a relação entre a demanda prevista e a
quantidade de serviço a ser contratada. Isso não ocorre no caso concreto, pois a peça 56 não detalha
em que medida as necessidades do órgão (plataformas, serviços etc.) são atendidas pelos
quantitativos de serviços estimados.
157. Já o inciso III da referida portaria determina que o ETP deve conter “demonstrativo
dos resultados a serem alcançados em termos de economicidade e melhor aproveitamento dos
recursos (...)”. Entende-se que este inciso não foi atendido, uma vez que, no ETP (peça 69, não são
expostos tais demonstrativos de economicidade. Pelo contrário, há incremento, sem fundamentação
detalhada, das quantidades e dos preços unitários, resultando em um orçamento muito acima do valor
do contrato atual e do previsto no PCA. Ademais, há risco de se contratar serviços e quantidades
muito diferentes das planejadas, sem as análises típicas de uma licitação de bens e serviços de TI (on-
premises), devido ao uso do catálogo aberto.
158. No caso da CGU, os artigos 11, 14, 15 e 18 da IN – SGD/ME 94/2022 não estavam
sendo cumpridos. O Art. 15, em particular, enfatiza que a “forma de cálculo utilizada para a definição
do quantitativo” deve conter justificativa “clara, precisa e suficiente, sendo vedadas justificativas
genéricas, incapazes de demonstrar as reais necessidades da contratação”.
159. O CNJ, o TCU e a CGU, devem observar o princípio da motivação, citado no art. 2º da
Lei 9.784/1999. Para reforçar o alinhamento a este princípio, segundo este artigo, nos processos
20

administrativos deverá ser observado o critério de “indicação dos pressupostos de fato e de direito
que determinarem a decisão”. Diante da relevância que a definição de quantidades tem no processo
licitatório, em particular no orçamento e na habilitação do fornecedor, conclui-se que sua motivação
detalhada é fundamental.
160. A jurisprudência do TCU é pacífica quanto à importância de se fundamentar de forma
suficiente as quantidades a serem contratadas. Neste sentido, o Acórdão 420/2018-TCU-Plenário, Rel.
Min. Walton Alencar Rodrigues, destaca que, para evitar “o desperdício de dinheiro público”, é
necessário, “entre outros documentos, de orçamento detalhado, fundamentado em quantitativos de
serviços e fornecimentos propriamente avaliados” (item 72.2 do Relatório do Relator).
161. Ademais, o item 139 do Acórdão 488/2019-TCU-Plenário, Rel. Ministra Ana Arraes,
destaca que “a contratação de bens e serviços acima da necessidade real da entidade tem como
consequência desperdício, prejuízo ao erário e desvia recursos (...) pode ser considerada tão
prejudicial quanto a fraude e a corrupção”.
162. Ainda, o art. 16 da LC 101/2000 determina que a geração de despesa deve vir
acompanhada de estimativa do impacto orçamentário-financeiro no exercício em que entrará em
vigor e nos dois subsequentes e de declaração do ordenador de despesa de que há adequação com a
lei orçamentária anual (LOA) e compatibilidade com o plano plurianual (PPA) e a lei de diretrizes
orçamentárias (LDO). Este artigo determina, ainda, que tal estimativa deve vir acompanhada das
premissas e da metodologia de cálculo utilizada.
163. Assim, a ausência/deficiência das memórias de cálculo das quantidades a serem
contratadas aumenta o risco de violação ao art. 16 da LC 101/2000, afinal, há maior chance de a
estimativa do impacto orçamentário-financeiro da despesa, especialmente nos dois exercícios
subsequentes (ressaltando-se que a vigência inicial da contratação é de trinta meses, portanto, se
estenderá por 2024 e 2025), e a análise de compatibilidade com o PPA e a LDO não refletirem o
quanto que o órgão realmente irá consumir.
164. Cabe ressaltar que, sem atender plenamente ao art. 16 da LC 101/2000, não pode
ocorrer empenho e licitação de serviços, sendo que a despesa, nesse caso, é considerada não
autorizada, irregular e lesiva ao interesse público (Art. 15 da LC 101/2000).
165. Ademais, segundo a cláusula terceira do segundo termo aditivo ao contrato atual do
TCU (peça 65), o valor total contratado de serviços em nuvem foi de R$ 880.399,98. Tal termo aditivo
prorrogou o contrato 24/2018, da atual solução em nuvem, por trinta meses, mesmo prazo de duração
da contratação que está sendo analisada no presente acompanhamento.
166. Vale ressaltar que, no PCA do TCU (peça 16, p. 2), o valor estimativo total da
contratação é de R$ 1.879.397,15. Já o orçamento da contratação (peça 3) prevê que o TCU irá
gastar R$ 62.611.605,00.
167. Percebe-se, portanto, que se observa risco de o valor total calculado no orçamento
estimado da contratação para o TCU ser muito acima das reais necessidades do Tribunal. Isso porque
os mais de R$ 62 milhões orçados representam um valor mais de trinta vezes acima do previsto no
PCA e mais de setenta vezes acima do previsto no último termo aditivo ao contrato atual
168. Por fim, cabe lembrar que a minuta da portaria da SGD para contratações de serviços
de nuvem obriga o ETP a contemplar os 5 elementos da NT 8 (premissas, fórmulas de cálculo,
parâmetros de entrada, explicitação dos cálculos feitos, identificação dos responsáveis) item 15.2.1 da
p. 31iv.
Gasto total x Orçamento estimado da contratação em nuvem

169. Em 2022, a CGU gastou R$ 32.370.000,00 com outras despesas correntes de TI
(custeio, exceto gastos com pessoal), segundo gráfico do Relatório de Gestão 2022 da CGU (peça 53,
p. 113). Reajustando-se este gasto pelo ICTI (7,43% aa em 2023, segundo sitev do IPEA) até 2024,
obtêm-se R$ 37.358.880,26.
21

170. A estimativa do orçamento anual para a contratação de USIN e USIN MP pela CGU
era de R$ 65.436.727,00 (TC 006.168/2023-0, peça 3). Portanto, apenas para o primeiro dos três
objetos da presente contratação, o orçamento estimado pela CGU corresponde a 175% do gasto com
todas as outras despesas correntes de TI caso elas cresçam apenas segundo o ICTI.
171. A imagem abaixo mostra que a CGU, após questionamento da equipe de fiscalização,
definiu os workloads a serem migrados (coluna A), quais necessidades planejadas serão por ele
atendidas (coluna O) e qual o orçamento estimado (coluna I).
Figura 3: Captura de tela do orçamento enviado pela CGU em resposta aos questionamentos
172. Em 2022, o CNJ gastou R$ 39.279.366,00 com custeio e investimentos de TI, segundo a
tabela 9 do Relatório de Gestão 2022 do CNJ (peça 54, p. 134). Reajustando-se este gasto pelo ICTI
(7,43% aa em 2023, segundo site do IPEA) até 2024, obtêm-se R$ 45.333.120,72. O orçamento anual
para a contratação de USIN e USIN MP pelo CNJ é de R$ 39.605.577,00 (TC 006.168/2023-0, peça
3). Ou seja, apenas para o primeiro dos três objetos da contratação acompanhada, o orçamento
representa 87% de todo o gasto com custeio e investimentos de TI, caso cresça apenas segundo o
ICTI.
173. Em 2022, o CNJ gastou R$ 10.110.018,00 com o contrato de serviços de nuvem,
segundo o gráfico 12 da do Relatório de Gestão 2022 do CNJ (peça 54, p. 134). Reajustando-se este
gasto pelo ICTI (7,43% aa em 2023 segundo site do IPEA) até 2024, obtêm-se R$ 11.668.178,73. O
orçamento anual para a contratação de USIN e USIN MP pelo CNJ é R$ 39.605.577,00
(TC 006.168/2023-0, peça 3). Ou seja, apenas para o primeiro dos três objetos da contratação
acompanhada, o orçamento representa 215% do contrato atual.
174. Percebe-se, portanto, que há o risco de o valor total calculado no orçamento da
contratação do TCU, da CGU e do CNJ ser muito acima das reais necessidades dos órgãos. Ademais,
há o risco de os órgãos não terem dotação suficiente para executar o contrato, já que, no caso da
CGU, o atual orçamento da contratação é maior que a projeção de todas as outras despesas correntes
de TI até 2024 (parágrafo 169).
175. No caso do CNJ, o valor estimado para contratação dos serviços é quase a totalidade
do gasto total projetado com custeio e investimentos de TI até 2024 (parágrafo 172) e é mais que o
triplo do que a projeção até 2024 dos gastos com serviços de nuvem (parágrafo 173). O TCU, por sua
vez, seria obrigado a consumir, no mínimo, R$ 46.958.703,75 para que o decréscimo nas aquisições
não supere o limite de 25% estabelecido no art. 65 da Lei 8.666/1993. Este valor obrigatório é quase
25 vezes maior que o previsto no PCA do órgão (parágrafo 166) e mais de 53 vezes maior que o
previsto no último termo aditivo ao contrato atual (parágrafo 165).
176. Em suma, entende-se que há elevado risco de TCU, CGU e CNJ executarem menos que
o valor obrigatório do contrato (75% do valor inicial atualizado do contrato), o que violaria o art. 65
da Lei 8.666/1993. Nesse caso, a contratada poderia pleitear judicialmente alguma compensação por
investimentos feitos para atender às expectativas de consumo projetadas, com razoável chance de
vitória no âmbito do Poder Judiciário, o que acabaria impelindo o órgão a gastar acima do suficiente
para atender às suas necessidades.
177. Em resposta ao questionamento da equipe de fiscalização, a CGU elaborou memória de
cálculo (Anexo 37, peça 68) que expõe os serviços planejados na licitação, suas quantidades e
22

respectivas fórmulas de cálculos (coluna “Total Mensal”, planilha “Memória de Cálculo detalhada
pela CGU”, item não digitalizável da peça 68).
178. Ademais, o órgão justificou o salto de valor do orçamento em relação ao contrato atual
e ao DoD fundamentando os quantitativos relacionados às novas migrações planejadas para a nuvem
e fundamentadas no Anexo 37, peça 55).
179. A fonte das quantidades (coluna “Qtd Full” da peça 68, segundo informado pelos
gestores em reunião, foi a experiência própria de quanto de cada solução seria necessária para
atender à solução da coluna O e detalhada na coluna P da Figura 3 deste relatório.
180. Além disso, o preço foi estimado pela multiplicação do número de horas no mês pelo
preço em dólares da solução pesquisada na calculadora AWS. O total mensal (coluna I da peça 55)
está em dólares; a multiplicação pela USIN é para converter para reais (e acrescentar os tributos,
despesas e margem de lucro do broker)
181. No orçamento, a CGU incluiu ainda as soluções SMAX e Fortinex Firewall para ter a
opção de adquiri-los futuramente via USIN MP, mas afirmaram que, quando a necessidade surgir,
antes farão ETP para comparar aquisição via USIN MP com aquisição via licitação separada,
inclusive quanto à economicidade.
182. Cabe lembrar que o contrato atual do CNJ com o Serpro era de R$ 27 milhões
(peça 28, p. 3). Para justificar por que o orçamento estimado está bem acima das despesas com
custeio e investimento de TI e, especificamente, dos valores previstos no contrato atual de serviços de
nuvem do Conselho, os gestores argumentaram que muitas soluções seriam migradas para o ambiente
de nuvem. Atualmente, segundo o órgão, há demanda reprimida, em particular do Tribunal de Justiça
de São Paulo (TJ/SP), que seria muito alta.
183. Posteriormente, ao responder à matriz de riscos, o CNJ enviou as memórias de cálculo
(peça 56). Dentre os elementos listados na NT - AudTI/TCU 8/2023, as premissas e parâmetros de
entrada constam nestas memórias. De fato, na peça 56, há uma lista com mais de trinta serviços
planejados, bem como as quantidades, custos e estimativas de USINs.
184. No que diz respeito ao TCU, em resposta ao questionamento da equipe de fiscalização,
foi enviada memória de cálculo (peça 27) com premissas e fórmulas de cálculo por solução, mas sem
as fontes dos dados na planilha. Os gestores afirmaram ainda que (peça 27, p. 3-4):
as evidências foram obtidas por meio da ferramenta de gestão do datacenter do TCU, sendo
a console de administração do ambiente WMware a ferramenta principal. As estimativas de
crescimento estão fundamentadas (...) em levantamentos para fins de cálculo da estimativa
de consumo realizados junto às áreas técnicas da Setid. Essas infraestruturas foram
precificadas de acordo com as tabelas de preços publicadas nos sites dos provedores, sendo
o resultado dessa precificação trazido ao denominador comum que é o preço em dólar pela
prestação do serviço durante 30 dias.
185. As memórias de cálculo da Setid (peça 27) não contêm as premissas utilizadas nos
cálculos (exemplo: se a necessidade de storage é suprida com storage SSD, NAS etc.) e as fontes dos
parâmetros de entrada (exemplo: identificação de onde foram extraídos os dados das abas de
metadados, como, por exemplo, o Labcontas). Também não foi apresentada a data em que os dados
foram extraídos.
186. Ademais, faltou informar qual o percentual de crescimento foi acrescido ao histórico de
consumo e qual racional foi usado pelas áreas técnicas da Setid. Por fim, os gestores não
comunicaram quando a pesquisa de preços foi feita.
187. Vale ressaltar, ainda, que o edital republicado (peça 58) não incluiu controles que
garantam que, antes do provisionamento do serviço, memórias de cálculo com estes elementos serão
elaboradas.
23

188. Com relação à análise de demanda da Setid, cabe apontar que os quantitativos
utilizados de serviço foram levantados em alguns casos, mas a simulação de provisionamento
realizada foi a maior possível, o que pode superdimensionar a demanda.
189. A Setid afirmou que “após a celebração do contrato, os valores previstos no PCA serão
ajustados com base nos valores reais do contrato” (peça 51, p. 6). Argumentou, também, que o novo
PDTI, “em fase de aprovação”, incluirá ações relacionadas à contratação acompanhada (peça 51, p.
6).
190. Vale ressaltar que é incoerente corrigir instrumentos estratégicos e táticos que
deveriam ser prévios à aquisição apenas “após a celebração do contrato”. Tanto o PCA como o PDTI
vigentes à data em que artefatos como o ETP foram elaborados não previam uma contratação de
nuvem desta magnitude.
191. É o planejamento licitatório que deve compatibilizar-se com o PCA, e não o contrário,
segundo o art. 18 da Lei 14.133/2021. Afinal, o PCA agrega documentos de formalização de
demandas de diversas outras aquisições “com o objetivo de racionalizar as contratações (...), garantir
o alinhamento com o seu planejamento e subsidiar a elaboração das respectivas leis orçamentárias”
(inciso VII do Art. 12 da Lei 14.133/2021).
192. O CNJ, na resposta aos questionamentos, não enviou histórico nem premissas das
quantidades na resposta aos questionamentos. Enviou somente um link para 205 itens de serviço (peça
28, p. 15).
193. Já na resposta à matriz de riscos, o CNJ enviou as memórias de cálculo (peça 56). Tais
memórias possuem as premissas e parâmetros de entrada, mas não apresentam fórmulas de cálculo
nem fonte dos dados, que foram explicadas genericamente em reunião de 27 de junho de 2023. Os
dados estão incluídos como valores, ou seja, não é exposto como, a partir deles, o CNJ chegou ao
orçamento total estimado. Assim, é relevante que, ao acompanhar a execução contratual, a equipe de
fiscalização verifique em que medida o orçamento de fato foi realista. Caso, para atender às
necessidades de negócio, o CNJ precise provisionar serviços em quantidades muito diferentes das
orçadas, entende-se que esse fato é uma evidência de que o órgão precisa melhorar seu processo de
orçamentação, até para, ao longo da execução contratual, orçar corretamente cada provisionamento.
194. A CGU enviou memórias de cálculo (peça 55) com os elementos da NT – AudTI/TCU
8/2023 (premissas, fórmulas de cálculo, parâmetros de entrada, execução dos cálculos e identificação
da equipe responsável pela elaboração da memória de cálculo das quantidades a contratar). A fonte
dos dados, apontada à equipe de fiscalização em reunião realizada em 28/6/2023, são relatórios de
consumo extraídos do sistema do provedor atual (AWS).
195. O orçamento estimado da CGU é mais detalhado, pois reflete o quantitativo de serviços
no provedor AWS a ser utilizado para cada workload, que apresenta os elementos previstos na NT,
tratando-se, portanto, de boa prática que poderia ser adotada por outros órgãos.
196. No curso da fiscalização, a equipe de acompanhamento alertou à CGU que o
orçamento original da sua contratação de serviços em nuvem seria 175% do orçamento histórico de
todas as despesas correntes de TI do órgão (parágrafo 169 e 170), o que motivou a CGU a reduzir os
quantitativos (peça 68, p. 12) em 86% de soluções a serem adquiridas com USIN MP (limitadas a
Graph Database, ITSM Saas, Firewall), 79% de Enterprise Data Warehouse, dentre outros apontados
na Figura 4, resultando num orçamento menor e mais alinhado à sua realidade.
24

Figura 4: Redução dos quantitativos comparando orçamento revisado com o original

197. Além disso, a equipe questionou a CGU quanto à ausência dos cinco elementos de
memórias de cálculo da NT – AudTI/TCU 8/2023 (parágrafo 191). No esforço de incluir esses
elementos, a CGU percebeu que as premissas relacionadas a alguns itens do catálogo não eram as
ideais e que haveria outras alternativas para endereçar os workloads e atender às necessidades do
negócio (peça 68, p. 3). Ao optar pelas alternativas, decidiu deixar de adquirir plataforma NoSQL
baseada em chave/valor, armazenamento para datalake, dentre outros itens apontados na Figura 5,
reduzindo os gastos totais.
Figura 5: Itens que deixaram de ser adquiridos no orçamento revisado

198. Dessa forma, após a adoção dessas duas medidas por parte da CGU (redução de
quantitativos e escolha de alternativas para endereçar os workloads), o valor estimado da contratação
foi reduzido de R$ 164 milhões para R$ 84 milhões.
199. O TCU, após os questionamentos, também apresentou um orçamento mais detalhado
(peça 27), embora não tenha revisado o valor final (que é diferente do valor das memórias).
25

200. A metodologia de trabalho adotada durante o acompanhamento, com a apresentação

dos principais riscos aos gestores e criando a oportunidade de proposição de medidas para mitigar
esses riscos, de forma concomitante à elaboração do planejamento da contração, contribuiu para que
os 3 órgãos melhor delimitassem cada serviço e respectivas quantidades demandadas ao revisarem
seus orçamentos.
201. Ademais, há dificuldade de se realizar uma comparação direta entre USIN e a USIN
MP, previstas na contratação em tela, com a USN, a qual faz parte do modelo de contratação de
serviços de nuvem em elaboração pela SGD.
202. Até o fim da elaboração do presente relatório de fiscalização, a mais recente minuta de
portaria em elaboração pela SGD (peça 57) tornava obrigatória a estimativa das quantidades com os
cinco elementos da NT – AudTI/TCU 8/2023, mitigando este risco aos órgãos do Sisp. Como se trata
de boa prática, a equipe propôs que a SGD realizasse ampla divulgação aos seus jurisdicionados das
boas práticas e controles da portaria que normatiza a contratação de serviços de TI em nuvem,
inclusive dos elementos da NT, enfatizando a gestão de riscos como esse das quantidades a serem
contratadas. O objetivo desta ampla divulgação é induzir órgãos do Sisp a elaborarem, de maneira
proativa, memórias de cálculo detalhadas (a CGU só detalhou integralmente os 5 elementos após
questionamento pela equipe do acompanhamento).
Conclusão
203. A ausência de memórias de cálculo das quantidades de cada serviço nos artefatos de
planejamento licitatório pode levar a consumo de serviços desnecessários e variações abaixo ou
acima dos limites do art. 65 da Lei 8.666/1993. Em resposta a este risco, os gestores elaboraram tais
memórias de cálculo.
204. A equipe de fiscalização considerou que as medidas adotadas pela CGU para tratar o
risco foram apropriadas e suficientes. Afinal, a CGU informou as premissas, parâmetros de entrada,
fórmulas de cálculo e suas respectivas execuções que resultaram nos quantitativos definidos de cada
serviço a ser contratado. Vale ressaltar que, no esforço de detalhar estes elementos, e após ter sido
alertada pela equipe de fiscalização (parágrafos 196 e 197) que o orçamento correspondia a 175% de
todas as outras despesas correntes de TI (custeio, exceto gastos com pessoal), a CGU também reduziu
em R$ 80 milhões o valor estimado da contratação (quase metade dos R$ 164 milhões do orçamento
original).
205. Por sua vez, entende-se que o TCU também mitigou o risco. De fato, nos documentos
enviados, o TCU atendeu aos elementos listados na NT – AudTI/TCU 8/2023 (parágrafo 199). Já o
CNJ, por outro lado, enviou memórias de cálculo com apenas dois requisitos apontados pela equipe
de fiscalização: premissas e parâmetros de entrada. Ficaram faltando, assim, as fórmulas de cálculo e
sua efetiva execução. Na próxima etapa do presente acompanhamento, que será em momento ainda a
ser definido durante a execução contratual, poderá ser avaliado, dentre outros aspectos, em que
medida o CNJ precisa melhorar seu processo de elaboração de orçamento, inclusive para efetuar os
provisionamentos dos serviços em nuvem. (parágrafos 193, 250 e 0).
206. Ante o exposto, considera-se que as medidas informadas pelos gestores para
26

2.5. Impropriedades na condução do processo de contratação no âmbito do TCU – risco R5

R5 Devido a possíveis Violar o § 2° do art. 10 da Portaria – TCU 175/2022
desconformidades da atuação
de instâncias de governança Impedir a participação de todas as instâncias de
para aprovação da governança necessárias para a condução da
contratação, poderão ocorrer contratação
questionamentos a respeito da
legalidade da contratação, o Desconhecimento dos riscos da contratação por parte
que poderá levar à sua da instância de governança apropriada.
interrupção, impactando nos
objetivos pretendidos.

207. Verificou-se, conforme a peça 63, que o Secretário-Geral de Administração do TCU
deu prosseguimento ao processo de contratação após as etapas iniciais de planejamento. No entanto,
não foi emitido parecer da Comissão de Coordenação Geral (CCG), exigido nos casos estabelecidos
no § 2° do art. 10 da Portaria – TCU 175/2022, transcrito a seguir:
Art. 10. Promovidos os saneamentos, as consolidações e os ajustes a cargo da unidade
central de planejamento das contratações, os DFDs serão aprovados individualmente pelo
Secretário-Geral de Administração.
[...]
§ 2° A aprovação dos DFDs que não tratem de renovação contratual e cujo valor total
estimado para o objeto, no ano de execução do PCA, supere individualmente em vinte vezes
os limites constantes do art. 75, incisos I e II, da Lei nº 14.133, de 2021, será condicionada
à prévia manifestação da Comissão de Coordenação Geral (CCG), sem prejuízo da
condição prevista no § 1° deste artigo.
208. Constata-se que, na presente contratação, caso a situação não se enquadre como
renovação contratual, os termos do supramencionado normativa deixam clara a necessidade de
prévia manifestação da CCG a respeito da contratação.
209. A equipe de fiscalização entendeu, porém, de forma diversa, tendo em vista que a
natureza da contratação em análise é diferente daquela anteriormente estabelecida por meio do
Contrato 24/2018 do TCU e pelo contrato emergencial que o sucedeu (Contrato Emergencial 3/2022),
tendo em vista que o objeto especificado é bastante diferente, uma vez que houve alteração de um
catálogo fechado na contratação anterior para um catálogo aberto, com possibilidade de contratação
de soluções em Marketplace nos provedores de serviços de nuvem.
210. Além disso, a materialidade foi bastante alterada, tendo em vista que os valores
previstos para dispêndios na nova contratação por parte do TCU superam a cifra de R$ 60 milhões
(TC 006.168/2023-0, peça 3). Na contratação anterior, os dispêndios não superaram a casa dos
R$ 3 milhões o que indica que a nova contratação supera, em valores financeiros, em pelo menos
vinte vezes a contratação anterior.
211. Tais fatos embasaram o entendimento de que não se tratava de renovação contratual,
mas de uma nova contratação com objeto e valores distintos, fato que demandaria a avaliação do
caso pela CCG.
212. Em sua manifestação inicial, o TCU apresentou o seguinte entendimento (peça 51, p.
12):
A manifestação do Secretário-Geral de Administração está fundamentada no entendimento
de que a contratação visa promover a continuidade de serviços já existentes no TCU,
providos pelo Contrato TCU 24/2018 e pelo contrato emergencial que o sucedeu (Contrato
Emergencial 3/2022).
27

213. A equipe de fiscalização analisou a resposta e manteve entendimento exposto na seção

anterior, considerando que não se trata de renovação contratual, sendo necessária, neste caso, a
avaliação da CCG, em conformidade com o § 2° do art. 10 da Portaria – TCU 175/2022.
214. Assim como nos demais riscos precedentes, manteve-se o risco na matriz e solicitou-se
nova manifestação do TCU acerca do tema, solicitando-se qual seria o tratamento que deveria ser
dado ao risco apontado e a descrição das medidas mitigadoras.
215. Em nova resposta, o TCU alegou que o risco havia sido devidamente tratado pois a
contratação foi incluída como tema de reunião ordinária da CCG em 25/7/2023, informando ainda
(peça 64):
A contratação de serviços em nuvem pública foi apresentada à CCG e recebeu a aprovação
daquele colegiado;
Considerando a interrupção do andamento do certame em 24 de julho de 2023, bem como a
previsão de republicação em data futura, entende-se que a manifestação da CCG em 25
julho de 2023 supre a necessidade de participação das instâncias de governança apontada
pela AudTI.
216. Constata-se que, de fato, foi dada ciência da contratação à CCG na mencionada
reunião ordinária de 25/7/2023. A ata da reunião foi encaminhada a esta equipe de auditoria, na qual
se verifica que o órgão colegiado possuía conhecimento dos detalhes da contratação, conforme
demonstra o trecho abaixo do excerto da ata (peça 58, p. 1):
2. Apresentação da Setid: Processo de Contratação de solução de armazenamento e serviços
em nuvem pública (TC-006.168/2023-0) e riscos apontados pela AudTI (TC-010.613/2023-4):
a Setid apresentou à CCG informações acerca de procedimento licitatório em andamento, na
modalidade pregão eletrônico, que tem por objetivo de formalizar ata de registro de preços,
para futura contratação de unidades de serviços técnicos de intermediação para nuvens
públicas (USIN”s e USIN”S MP) para prestação de serviços técnicos especializados de
natureza contínua na área de tecnologia da informação (TI) pelo período de 30 (trinta)
meses, prorrogável até o limite de 60 (sessenta) meses, com valor estimado da ordem de R$
286,6 milhões. Esclareceu que a solução como um todo foi projetada conjuntamente pelas
equipes técnicas do TCU, Controladoria Geral da União (CGU) e Conselho Nacional de
Justiça (CNJ), sendo o TCU o órgão gerenciador da ata de registro de preços. A CGU e o
CNJ figuram como órgãos partícipes. Para o TCU, o valor estimado é de aproximadamente
R$ 62 milhões para um período de 30 meses de consumo dos serviços. Durante a
apresentação foram destacados os pontos mais relevantes do procedimento licitatório, a
exemplo da justificativa da contratação, dos valores envolvidos e da participação dos demais
órgãos (CGU e CNJ). Foram ainda apontados os riscos relacionados ao certame e à
contratação levantados pela AudTI no âmbito de processo de controle externo (TC-
010.613/2023-4 – Acompanhamento), com a informação de que a Setid, com a supervisão da
Segepres, tem prestado os esclarecimentos e proposto a adoção de medidas mitigadoras para
os riscos até então levantados, conforme Anexo Único ao final da presente ata. Na fase atual,
a Setid encontra-se preenchendo planilha (até o dia 7/8/2023), encaminhada pela AudTI, com
“Informações do Gestor” acerca da matriz de riscos, com a indicação do tratamento a ser
dado aos riscos, os prazos e os responsáveis pelas medidas mitigadoras. Por último, foi
informada a suspensão, no dia 24/7/2023, do edital do pregão em exame em razão da
necessidade de aperfeiçoar alguns pontos surgidos durante a fase de questionamentos dos
licitantes, com expectativa de ocorra a republicação na semana de 31/7 a 4/8/2023. Ao
deliberar, a Comissão manifestou ciência acerca do procedimento licitatório e do
acompanhamento em curso pela AudTI, assim como dos riscos apontados para a contratação
e das ações mitigadoras que vêm sendo adotadas pela área de TI do Tribunal para tratar
esses riscos.
28

217. Verifica-se, portanto, que a presente ação de controle induziu a participação da

instância adequada de governança do TCU na contratação em análise, eliminando o risco e seus
possíveis efeitos negativos apontados.
Conclusão
218. No curso da fiscalização, foram identificadas possíveis desconformidades da atuação
de instâncias de governança para aprovação da contratação, o que poderia gerar questionamentos a
respeito da legalidade da contratação, levando à sua interrupção.
219. Em resposta a este risco, o TCU afirmou que a CCG conhecia os detalhes da
contratação e enviou o documento que comprova isso (parágrafo 216).
220. Conclui-se que o risco em tela foi devidamente tratado e eliminado pelo TCU, uma vez
que houve a participação da instância adequada de governança do TCU na contratação em análise,
eliminando o risco e seus possíveis efeitos negativos apontados.
221. Assim, não será feita proposta de recomendação adicional, em consonância com o
inciso I do parágrafo único do art. 16 da Resolução-TCU 315/2020.
2.6. Criação de unidades de medida de forma unilateral, sem aprovação prévia do OGS – risco
R6

R6 Devido ao não alinhamento da Alteração unilateral do contrato pela contratada
contratação com o modelo de (Art. 65 da Lei 8.666/1993)
contratação de serviços de
nuvem que está sendo Referência à regra externa ao contrato (item
elaborado pela SGD, poderão 9.1.1.1.1.1. do Acórdão 2.569/2018-TCU-Plenário e
ocorrer ilegalidades e inciso X do Art. 5º da IN – SGD/ME 94/2022)
ausência de controles internos
e não observância a padrões e Criação de unidades de medida de forma unilateral,
boas práticas, o que poderá sem a ciência, a avaliação técnica e econômica, e a
levar a contratações com padronização do órgão supervisor (item 119.4.3 do
orçamento, gestão e Acórdão 1.508/2020-TCU-Plenário)
fiscalização contratual
deficientes, impactando na Não submissão, para aprovação da SGD, de
legalidade e na economicidade contratação com valor global estimado do objeto
da contratação da CGU. igual ou superior a R$ 20 milhões (Art. 2º da IN –
SGD 6/2023)
Compartilhamento de metodologias e práticas sem a

devida consistência e sem justificativas técnica e
econômica;
Incomparabilidade de preços, heterogeneidade e

assimetria de informações entre a administração e o
mercado

222. No item 9.1.3.1 do Acórdão 1.508/2020-TCU-Plenário, Rel. Min. Substituto André de
Carvalho, o TCU recomenda que a SGD e o CNJ orientem os órgãos sob sua supervisão que se
abstenham de “criar unidades de medida de forma unilateral, sem a ciência, a avaliação técnica e
econômica e padronização do órgão supervisor”.
223. Da leitura dos artefatos presentes no processo TC 006.168/2023-0, entende-se que a
equipe de planejamento não demonstrou que a criação da USIN e da USIN MP pela CGU foi
aprovada por seu OGS (SGD). Assim, há o risco de não cumprimento do item 9.1.3.1 do referido
Acórdão.
224. Cabe ressaltar que a contratação acompanhada possui objetos inéditos e complexos, é
materialmente relevante (mais de R$ 286 milhões de orçamento, segundo a peça 27) e apresenta
29

riscos que foram listados ao longo deste capítulo. Neste sentido, a avaliação técnica e econômica da
SGD sobre a criação das unidades de medida definidas na contratação em análise é um controle
essencial para mitigar riscos desta de futuras contratações de serviços de nuvem.
225. De fato, o uso da nuvem é uma tendência (Acórdão 1.739/2015-TCU-Plenário, Rel.
Min. Benjamim Zymler) o que torna provável que outros órgãos da Administração Pública contratem
soluções similares no futuro. Ademais, como a contratação está sendo conduzida por órgãos de
controle (TCU como gerenciador e CGU e CNJ como partícipes), provavelmente será usada como
benchmark quando outros órgãos planejarem adquirir soluções em nuvem.
226. Assim, para evitar que outros órgãos acabem adotando o uso de unidades de medidas
inadequadas na contratação desse tipo de solução, os OGSs devem efetuar prévia avaliação técnica e
econômica da USIN e da USIN MP, conforme item 9.1.3.1 do Acórdão 1.508/2020-TCU-Plenário. Por
se especializar em realizar avaliações desta natureza, o OGS tem mais condições de endereçar os
riscos das novas unidades de medida do que seus órgãos supervisionados, ou seja, os estudos e a
experiência do OGS nesse tipo de contratação reduzem a assimetria de informações entre a
administração pública e o mercado.
227. Ainda segundo o item 9.1.3.1 do citado acórdão, pode-se inferir que a ausência de
controle pelos OGSs nesse aspecto resulta em incomparabilidade de preços e heterogeneidade de
formas de medição dos serviços contratados. Afinal, a nova unidade de medida pode ser customizada
à realidade da contratação fazendo os fornecedores precificarem requisitos específicos e benéficos
apenas aos contratantes daquela contratação. Assim, caso outro órgão use estes preços ao orçar sua
contratação, incorreria em erro e no risco de incluir, na formação do preço, especificações
irrelevantes para o atendimento de suas necessidades.

228. Na resposta ao ofício com os questionamentos da equipe de fiscalização (peça 31, p. 5,
item 69), a CGU afirmou que a SGD ainda não emitiu portaria sobre contratação de serviços de
nuvem. O OGS teria elaborado apenas modelos para contratações distintas de contratação desse tipo
de solução.
229. Ademais, o órgão argumentou que “a unidade de medida empregada é equivalente à
unidade USN proposta na contratação de serviços em nuvem realizada em 2018, sob a égide do PE
(SRP) nº 129/2018” (peça 31, p. 5, item 70). Por isso, em sua resposta, a CGU não concorda com
submeter a USIN à aprovação da SGD, mas concorda que a SGD poderia padronizar unidade de
medida para contratações de serviços em nuvem.
230. Na resposta à matriz de riscos enviada pela equipe de fiscalização, a CGU afirmou que
a obrigação de submeter contratações acima de R$ 20 milhões à SGD (Art. 2º da IN – SGD/ME
6/2023) “é atribuída ao órgão gerenciador da Ata” (peça 48, p. 2, item 4.3.2)
231. O órgão afirmou, ainda, quanto à vedação a regras externas de fornecedores (inciso X
do Art. 5º da IN – SGD/ME 94/2022), “que a lista de preços gerada durante a apresentação da
proposta é vinculada diretamente ao contrato, o que, no entendimento da CGU, trata a possibilidade
de existência de referências externas à contratação.” (item 4.3.3 da p. 2 da peça 48)
232. Embora a CGU argumente que a USIN e USIN MP são equivalentes à USN (peça 31, p.
5, item 70), a Setid do TCU apresenta visão distinta ao argumentar que a contratação é “não passível
de comparações igualitárias com as contratações que usaram USN, por envolverem especificações
técnicas inovadoras relacionadas à “precificação e a forma de prestação de serviços””, (p. 4 da peça
33)
233. Quanto à precificação, a USIN MP possui diferenças na tributação, ficando
consideravelmente mais caras em comparação à atual USN. Quanto à forma de prestação de serviços,
a USIN MP permite provisionar serviços de empresas diferentes dos quatro provedores intermediados
pela contratada.
30

234. Vale lembrar que, ainda que a SGD ainda não tenha emitido portaria específica sobre
contratação de serviços em nuvem, a recomendação do item 9.1.3.1 do Acórdão 1.508/2020-TCU-
Plenário é no sentido de que um órgão do Sisp, ao criar uma unidade de medida nova, submeta-a à
avaliação da SGD.
235. Ressalte-se que a SGD, na minuta de portaria que esteve em consulta pública, decidiu
normatizar para o Sisp o modelo que prevê o uso de catálogo fechado, com características diferentes
do modelo de catálogo aberto adotado pela CGU, CNJ e Setid/TCU na presente contratação. Segundo
a minuta de portaria da SGD (peça 57, p. 32), deve-se manter catálogo fechado mesmo quando o ETP
demonstrar “impossibilidade de definição de todos os itens que poderão ser contratados durante a
vigência contratual”.
236. Neste caso, e só após os estudos claramente provarem esta impossibilidade, é permitido
que o órgão componha multicatálogo com o catálogo inteiro dos provedores no momento. Mesmo
neste caso, no TR, deve haver “listas individuais de todos os serviços” (peça 57, p. 33),
237. Outro ponto a ser destacado é que, segundo o art. 2º da IN – SGD/ME 6/2023, os
órgãos e as entidades do Sisp deverão submeter à SGD solicitação para aprovação de contratações de
TI “com valor global estimado do objeto igual ou superior a 20 (vinte) milhões de reais”. A CGU
argumentou, na resposta à matriz de riscos, que tal obrigação só “é atribuída ao órgão gerenciador
da ata” (peça 48, p. 2, item 4.3.2).
238. De fato, segundo o § 2º do art. 4º da IN – SGD 6/2023, “as solicitações de que trata o
art. 2º, inciso II, deverão ser encaminhadas pelo órgão ou entidade gerenciadora”. Cabe ressaltar
que tal dispositivo acaba aumentando o risco de outros órgãos do Sisp, além da CGU, realizarem
contratações e inclusive criarem unidades de medida sem alinharem previamente com a SGD, o que
iria de encontro ao disposto no item 9.1.3.1 do Acórdão 1.508/2020-TCU-Plenário.
239. A CGU afirma “que a lista de preços gerada durante a apresentação da proposta é
vinculada diretamente ao contrato, o que, no entendimento da CGU, trata a possibilidade de
existência de referências externas à contratação” (item 4.3.3 da p. 2 da peça 48)” Por um lado, de
fato isso reduz o risco de o provedor unilateralmente reajustar excessivamente os preços, já que a
price list estipula um teto, preço máximo por item do catálogo. Vale ressaltar que a price list deve
conter preços máximos de fato alinhados aos preços públicos de mercado.
240. Por outro lado, persiste o risco de o provedor retirar do catálogo soluções que haviam
sido planejadas e orçadas. Isso constituiria uma mudança unilateral não permitida pelo art. 65 da Lei
8.666/1993. Pode ocorrer, também, violação ao inciso X do art. 5º da IN – SGD/ME 94/2022, que
veda a referências a regras externas de fornecedores.
241. Um caminho que pode reduzir o desalinhamento da CGU com a SGD é apontado no
parágrafo único do Art. 3º da p. 2 da minuta da portaria SGD sobre contratações em nuvem (peça
57). Segundo este dispositivo: “os órgãos e entidades poderão utilizar outros modelos de contratação,
desde que devidamente justificado pela área técnica proponente, comunicado via Ofício e aprovado
previamente pela Secretaria de Governo Digital – SGD”.
242. Quanto ao CNJ, por ser OGS, poderia orientar seus jurisdicionados sobre as
diferenças de aplicação das unidades USIN e USIN MP em comparação à USN, mais comumente
utilizada por órgãos do judiciário em contratações de nuvem. Na revisão ordinária atual do Guia, o
CNJ poderia, neste sentido, padronizar a unidade de medida de contratações de nuvem e os
respectivos controles para provisionar serviços alinhados às necessidades planejadas, com
rastreabilidade, alçadas e análise de economicidade.
Conclusão
243. A CGU não alinhou a contratação com a SGD, o que poderá resultar em não
observância a padrões e boas práticas do OGS, criação unilateral de unidades de medida e falta de
controles suficientes. O órgão argumentou que a obrigação de realizar tal validação, ainda que a
contratação supere R$ 20 milhões, só se aplica ao órgão gerenciador da ata de registro de preços.
Isso realmente consta no § 2º do art. 4º da IN – SGD/ME 6/2023. Assim, a SGD, com este dispositivo,
31

aumentou o risco de órgãos partícipes e “caronas” criarem unilateralmente unidades de medida

aderindo a ARPs de órgãos gerenciadores que não precisam estar alinhados com ela por não serem
do Sisp.
244. A inclusão do item 16.2 do TR, segundo o qual a CGU deve elaborar normativo com
controles (parágrafo 41), contribui para mitigar os riscos levantados pela equipe de fiscalização, se
tais controles estiverem alinhados aos propostos pela SGD para contratação de nuvem e à IN
SGD/ME 94/2022. Ademais, a melhoria na redação do item 16 do TR (parágrafo 106) reduz o risco de
alteração unilateral por parte da contratada, já que os provedores não poderão reajustar os preços
acima dos preços máximos. A price list deverá refletir preços públicos de mercado para de fato evitar
antieconomicidade.
245. Por outro lado, persiste o risco de violação ao inciso X do art. 5º da IN – SGD/ME
94/2022, ponto levantado pela SGD na Consulta Pública (parágrafo 240), por constituir referência à
regra externa ao contrato. De fato, a price list, por si só, não anula o risco de o fornecedor remover
do catálogo uma solução e não substituí-la por outra que atenda às necessidades planejadas com o
nível de qualidade requerido, especialmente se for do Marketplace. Percebe-se, portanto, que o
alinhamento a padrões, normas e boas práticas da SGD é um dos fatores, dentre outros, a ser
analisado, ao longo da execução contratual, nas próximas etapas do acompanhamento.
247. Como o risco de desalinhamento da CGU com a SGD, ainda que reduzido, segue
existindo, será realizada nova etapa do presente acompanhamento durante a execução contratual, em
momento oportuno a ser definido pela AudTI, para avaliar se serão necessárias ações adicionais para
tratar o presente risco (parágrafo 250267).
3 Modelo de trabalho proposto para as próximas etapas do acompanhamento
248. Verificados os riscos e apresentadas as respectivas propostas de tratamento pelos
gestores dos órgãos contratantes, considera-se que, por ora, são adequadas, razão pela qual entende-
se que, neste momento, a contratação sob análise pode prosseguir.
249. Em 14/8/2023, a empresa Claro apresentou a melhor proposta no certame
(TC 006.168/2023-0, peça 71), ofertando o preço de R$ 4,84 por USIN e de R$ 6,75 por USIN MP.
Em 15/8/2023, a proposta foi aceita pelo TCU (peça 71) e o processo encaminhado para as etapas
seguintes com vistas à elaboração do contrato.
250. Entende-se que as próximas etapas do presente acompanhamento devem centrar-se na
avaliação da gestão e fiscalização contratual. Considera-se razoável realizar a próxima etapa por
volta de um ano após o efetivo início da execução dos contratos celebrados decorrentes da presente
contratação, para avaliar se os controles informados pelos gestores foram, de fato, implementados e
capazes de mitigar os riscos apontados pela equipe de fiscalização.
4 Análise de comentários dos gestores
251. Em decorrência do procedimento previsto no art. 14 da Resolução – TCU 315/2021, e
considerando o disposto nos parágrafos 144 a 148 das Normas de Auditoria do Tribunal de Contas da
União, aprovadas pela Portaria - TCU 30/2020, o relatório preliminar da presente fiscalização foi
submetido aos gestores do órgão gerenciador da Ata de Registro de Preços, a Secretaria de
Tecnologia da Informação e Evolução Digital (Setid) do Tribunal de Contas da União (Ofício
46018/2023-TCU/Seproc, peça 75), a fim de que pudessem se pronunciar sobre as conclusões
inicialmente formuladas pela equipe de fiscalização no relatório preliminar (peça 71).
252. Em resposta, por meio do Memorando 34/2023 – Setid (peça 77), os gestores do TCU
apresentaram manifestações acerca de dois itens do relatório preliminar.
253. Em relação ao item 1.3.1, parágrafo 20, do relatório preliminar (peça 71, p. 7), a Setid
apresenta a seguinte manifestação (peça 77, p. 1):
32

Não obstante à relevância da categorização da arquitetura de serviços em nuvem

apresentada a partir do parágrafo 16, entendemos que contratação desenvolvida por meio
do TC 006.168/2023-0 não se restringe à modalidade SaaS, havendo previsão de os órgãos
contratantes implementarem cargas de trabalho em qualquer das arquiteturas definidas
(SaaS, PaaS ou IaaS). Dessa forma, acreditamos que a classificação da contratação como
“SaaS”, conforme firmada no parágrafo 20, pode ser desconsiderada haja vista que ela não
foi utilizada como elemento direcionador das análises realizadas pela equipe de auditoria.
254. Entende-se inadequada a categorização do objeto contratado proposta no relatório
preliminar, devendo-se desconsiderar tal afirmação, uma vez que, como bem pontuado pelos gestores,
a categorização não embasou qualquer análise no presente relatório, motivo pelo qual optou-se por
retirar, da versão final do relatório, o parágrafo que tratou do tema no relatório preliminar (peça 71,
p. 7, parágrafo 20).
255. Os gestores do TCU apresentaram também manifestação a respeito do item 2.3 do
relatório preliminar, que apontou os riscos de contratações de soluções disponibilizadas em
Marketplace dos provedores de serviços em nuvem. A respeito do tema, a Setid assim se posicionou
(peça 77, p. 1-2):
Em complemento à manifestação anterior desta Secretaria acerca do tratamento de riscos
de contratação de catálogo aberto, notadamente no que diz respeito aos serviços de
marketplace, acrescentamos que o normativo (portaria) a ser elaborado pela Setid com
regras para a execução contratual deverá adotar necessariamente as premissas adiante:
a) As cargas de trabalho que ensejarem qualquer pagamento à fornecedor distinto daqueles
responsáveis pelo provimento dos serviços em nuvem (cloud providers), somente poderão
ser executadas nos casos em que o valor da ordem de serviço, seja ele computado numa
única empreitada ou de modo fracionado, se limite ao valor previsto para dispensa de
licitação, conforme fixado no Art. 24 da Lei nº 8.666/93;
b) O uso das plataformas de marketplace como alternativa para a contratação de produtos
e serviços, ainda que em valores inferiores ao limite fixado no art. 24, II da Lei nº 8.666/93,
não afasta a necessidade de cumprimento dos procedimentos administrativos (rito)
previstos para as compras por meio de dispensa de licitação;
c) Para fins de apuração do limite estabelecido na legislação, deverão ser utilizadas as
calculadoras públicas disponíveis nos marketplaces, sendo os valores convertidos conforme
as regras contratuais para o pagamento de USIN-MP;
d) Com exceção dos custos pagos a título de infraestrutura (infraestruture cost)
expressamente apresentados nas páginas públicas dos marketplaces, todos os demais custos
deverão ser considerados para fins de apuração do limite de dispensa estabelecido na
legislação.
256. Verifica-se que a Setid propôs medida adicional para tratar os riscos relacionados a
aquisição de produtos nos Marketplaces dos provedores. Sendo assim, o normativo que vier a ser
publicado somente permitirá aquisição de produtos desta natureza que tiverem valores inferiores aos
da dispensa de licitação, evitando o risco de burla ao processo licitatório nestes casos.
257. Ainda assim, estabeleceu que todo o rito necessário à dispensa de licitação, nos casos
de aquisições de soluções em Marketplace cujos valores dos produtos, excluídos os custos de
infraestrutura, sejam inferiores aos da dispensa, deverá ser cumprido.
258. Entende-se que a medida proposta pelo TCU evita o risco de burla ao processo
licitatório na aquisição de soluções em Marketplace, fortalecendo os controles e mitigando os riscos
de problemas futuros na contratação, além de ser uma boa prática que será utilizada na execução
contratual.
259. Para os gestores dos órgãos partícipes do registro de preços (CGU e CNJ), a equipe de
fiscalização apresentou suas análises a respeito das ações de tratamento dos riscos em reuniões
33

realizadas no dia 20/9/2023. As atas destas reuniões foram enviadas dia 22/9/2023 para comentários
(peças 78 e 79).
260. Em relação às atas, a CGU manifestou-se nos seguintes termos (peça 80):
Acerca da ata temos uma observação a realizar quanto a redação do 5º parágrafo.

Entendemos que o trecho “que a CGU aceitou o risco de não alinhar previamente a
contratação com a SGD”, pode levar a uma interpretação imprecisa. Além disso, propomos
destacar, como mencionamos na reunião, a dificuldade de realizar o alinhamento da
contratação com esse normativo, uma vez que a contratação se desenvolveu antes da
conclusão das discussões sobre o normativo. Dessa forma, propomos que a seguinte
redação para este parágrafo:
“Risco de não alinhamento prévio: Foi observado que a CGU aceitou o risco de não
alinhar previamente a contratação com o modelo de contratação de serviços de nuvem que
está sendo elaborado pela SGD, havendo uma dificuldade de realizar esse alinhamento,
uma vez que a contratação se desenvolveu antes do término da construção desse modelo. O
normativo a ser publicado pela CGU contribuirá para mitigar tal risco se prever controles
alinhados às normas vigentes da SGD, como a IN SGD/ME 94/2022. A price list também
contribuirá, já que os provedores não poderão reajustar os preços acima dos preços
máximos. A price list deverá refletir preços públicos de mercado para de fato evitar
antieconomicidade.”
[...]
Em relação ao restante do texto da ata, estamos de acordo.
261. Concorda-se com a manifestação da CGU a respeito da dificuldade em realizar o
alinhamento da contratação com a minuta de norma da SGD que trata do tema, uma vez que ainda
não se encontra concluída e a contratação já foi licitada, portanto, entende-se pertinente a
observação proposta pela CGU.
262. Os gestores do CNJ não encaminharam manifestações adicionais a respeito das atas de
reunião encaminhadas no prazo previamente acordado, demonstrando concordância tácita com o que
foi discutido nas citadas reuniões.
263. Por essa razão, o texto do relatório preliminar (peça 71) foi mantido nesta versão final,
com exceção da exclusão do parágrafo 20 daquele documento, conforme mencionado no parágrafo
254.
5 Conclusão
264. Constata-se que os riscos apontados pela equipe de fiscalização foram todos
endereçados pelos órgãos participantes da licitação, sendo que, para os riscos R4 e R5, foram
estabelecidas ações previamente à contratação. Já em relação aos riscos R1, R2, R3 e R6, foram
definidas ações a serem tomadas ao longo da execução contratual, não havendo necessidade, neste
momento, de propor a expedição de determinações ou recomendações aos órgãos fiscalizados
referentes à contratação em análise.
6 Benefícios esperados
265. Dentre os benefícios esperados do acompanhamento, destacam-se:
266. Mitigação de riscos da contratação por meio das medidas já implementadas pelos
órgãos fiscalizados ou que ainda serão implementadas por eles, conforme informado nos planos de
ação do CNJ, CGU e TCU (peças 60, 62 e 64, respectivamente);
267. Redução de quase metade do gasto total orçado pela CGU para a contratação sob
análise (de R$ 164 milhões para R$ 84 milhões) (parágrafos 195-198);
268. Tratamento do risco relacionado a contratações de soluções em Marketplace com a
inserção de condição no normativo estabelecido no item 16.2 do termo de referência que estabelece o
limite da dispensa de licitação como o valor máximo a ser despendido neste tipo de contratação
(parágrafos 256-259);
34

269. Melhorias na redação dos artefatos de planejamento, em particular do TR, que podem
ser utilizados como referência por outros órgãos quando forem adquirir soluções em nuvem
(parágrafos 42-43);
270. Compartilhamento de boas práticas e inovações de serviços em nuvem (parágrafos
101-103).
7 Proposta de encaminhamento
271. Ante o exposto, submetem-se os autos à consideração superior, propondo:
Deixar de expedir determinações e recomendações ao Tribunal de Contas da União (TCU), à
Controladoria-Geral da União (CGU) e ao Conselho Nacional de Justiça (CNJ), com fundamento
no inciso I do parágrafo único do art. 16 da Resolução-TCU 315, de 2020, tendo em conta o
envio formal de plano com diversas ações para tratamento dos riscos apontados, todas com
respectivos prazos, sem prejuízo de que o TCU verifique a efetiva implementação e os impactos
resultantes;
Nos termos do art. 8º da Resolução – TCU 315, de 2020, fazer constar, na ata da sessão em que
estes autos forem apreciados, comunicação do relator ao colegiado no sentido de autorizar a
realização das próximas etapas do presente acompanhamento, inclusive a avaliação se as
medidas informadas pelos gestores foram, de fato, implementadas e capazes de mitigar os riscos
apontados pela equipe de fiscalização;
Informar ao Tribunal de Contas da União (TCU), à Controladoria-Geral da União (CGU) e ao
Conselho Nacional de Justiça (CNJ) do acórdão que vier a ser proferido, destacando que o
relatório e o voto que fundamentam a deliberação ora encaminhada podem ser acessados por
meio do endereço eletrônico www.tcu.gov.br/acordaos;
Encaminhar cópia do relatório da equipe de fiscalização ao Tribunal de Contas da União
(TCU), à Controladoria-Geral da União (CGU) e ao Conselho Nacional de Justiça (CNJ).”
É o Relatório.
i disponível em
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A16023355901612E23301D47CE
ii https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-94-de-23-de-dezembro-de-2022
iii Disponível em: https://portal.tcu.gov.br/elaboracao-do-orcamento-estimado-de-contratacoes-publicas-de-bens-e-servicos-
de-ti-nota-tecnica-audti-tcu-8-2023.htm
iv Disponível em: https://portal.tcu.gov.br/elaboracao-do-orcamento-estimado-de-contratacoes-publicas-de-bens-e-servicos-
de-ti-nota-tecnica-audti-tcu-8-2023.htm
v Disponível em: https://www.ipea.gov.br/cartadeconjuntura/index.php/tag/icti/
35

VOTO
Trata-se de relatório elaborado pela Unidade de Auditoria Especializada em Tecnologia da

Informação (AudTI), apresentando o resultado da primeira etapa do acompanhamento realizado pelo
Tribunal de Contas da União (TCU) sobre a contratação de Unidades de Serviços Técnicos de
Intermediação para Nuvens Públicas (USINs) para prestação de serviços especializados de natureza
contínua na área de tecnologia da informação (TI).
2. No planejamento da contratação, ficou estabelecido que o TCU será o órgão gerenciador das
Atas de Registro de Preços resultantes das três licitações que irão compor a Solução de Computação
em Nuvens Públicas. A Controladoria-Geral da União (CGU) e o Conselho Nacional de Justiça (CNJ)
serão partícipes na contratação.
3. No âmbito do TCU, o planejamento da contratação foi realizado pela Secretaria de Tecnologia
da Informação e Evolução Digital (Setid). Os documentos de planejamento produzidos constam do
processo administrativo TC 006.168/2023-0.
4. Considerando a relevância do paradigma de “Computação em Nuvem”, detalhada no Acórdão
TCU 1.739/2015-TCU-Plenário (Rel. Min. Benjamin Zymler), a materialidade da contratação com
valor de mais de R$ 286 milhões para o período de trinta meses (item 2 do Edital – peça 58, p. 2), a
possibilidade de essa aquisição se tornar referência para a Administração Pública e a oportunidade de
contribuir com a mitigação de riscos desse processo, a AudTI iniciou acompanhamento da aquisição
junto às equipes de planejamento do TCU, da CGU e do CNJ, adotando abordagem da “metodologia
ágil”, na esteira de recentes trabalhos conduzidos por aquela unidade técnica, a exemplo dos
acompanhamentos da implementação da Identificação Civil Nacional (ICN) (Acórdão 1.453/2022-
TCU-Plenário, Rel. Min. Vital do Rêgo) e da contratação da solução de automação de serviços
públicos da Plataforma gov.br (Acórdão 1.850/2023-TCU-2ª Câmara, Rel. Min. Aroldo Cedraz).
5. Para o alcance dos objetivos do trabalho, o TCU fez avaliação do planejamento da contratação
conjunta de Solução de Computação em Nuvens Públicas realizada pelos três citados órgãos, avaliando
os riscos da contratação e as respectivas medidas de tratamento adotadas pelos gestores, considerando,
ainda, a conformidade da contratação à legislação vigente sobre aquisições de tecnologia da
informação.
6. Foram identificados riscos relativos à contratação, destacando-se os seguintes:
“(i) Devido à insuficiência de mecanismos de gestão e fiscalização contratual (falta de
rastreabilidade), poderão ocorrer provisionamentos de serviços que não atendam às
necessidades planejadas ou com custo-benefício deficiente, o que poderá levar ao
descontrole dos gastos, impactando no atendimento dos objetivos da contratação;
(ii) Devido à natureza dinâmica do catálogo de serviços oferecido pelos provedores
(catálogos abertos), poderá ocorrer indefinição do objeto, o que poderá levar à burla ao
processo licitatório, impactando na legalidade da contratação;
(iii) Devido à disponibilização de uma lista aberta de serviços e soluções de terceiros no
marketplace dos provedores, poderá ocorrer indefinição do objeto, o que poderá levar à
burla ao processo licitatório, impactando na legalidade e na economicidade da
contratação;
(iv) Devido à ausência de memórias de cálculo das quantidades de cada serviço, a
elaboração do orçamento da contratação poderá não refletir as necessidades reais do
órgão, o que poderá levar a consumo abaixo ou acima dos limites da Lei 8.666/1993, art.
65, § 1º, impactando na legalidade e na economicidade da contratação;

(v) Devido a possíveis desconformidades da atuação de instâncias de governança para

aprovação da contratação, poderão ocorrer questionamentos a respeito da legalidade da
contratação, o que poderá levar à sua interrupção, impactando nos objetivos pretendidos;
(vi) Devido ao não alinhamento da contratação com o modelo de contratação de software e
serviços de nuvem por órgãos e entidades do Sistema de Administração dos Recursos de
Tecnologia da Informação (Sisp) que está sendo elaborado pela Secretaria de Governo
Digital (SGD), vinculada ao Ministério da Gestão e da Inovação em Serviços Públicos
(MGI), poderão ocorrer ilegalidades e ausência de controles internos e não observância a
padrões e boas práticas, o que poderá levar à contratações com orçamento, gestão e
fiscalização contratual deficientes, impactando na legalidade e na economicidade da
contratação da CGU ou de outros órgãos do Sisp que, ao planejar a realização de futuras
contratações de serviços nuvem, utilizem como referência os documentos/artefatos de
planejamento da contratação ora analisada.”
7. O acompanhamento contribuiu para mitigar riscos da contratação apontados pela equipe em
decorrência das medidas já implementadas ou ainda a serem implementadas pelos órgãos fiscalizados,
em especial no que diz à obrigatoriedade de edição de normativo interno visando à regulação dos
critérios de governança do contrato.
8. Dentre as ações já adotadas, cabe ressaltar que a CGU revisou e reduziu o orçamento de R$ 164
milhões para R$ 84 milhões. Ademais, houve melhoria na redação dos itens de planejamento, em
particular do Termo de Referência. Por fim, as boas práticas e inovações relacionadas ao planejamento
da contratação de serviços em nuvem do TCU, do CGU e do CNJ poderão ser compartilhadas com
gestores da Administração Pública.
9. Considerando que os órgãos fiscalizados apresentaram medidas adequadas para gerenciar os
riscos identificados, inclusive com envio formal de plano de ação com prazos estipulados, a unidade
técnica não propôs medidas a serem determinadas às unidades jurisdicionadas, sem prejuízo de que o
TCU verifique a efetiva implementação das ações propostas e os impactos delas resultantes.
10. No intuito de dar continuidade ao acompanhamento da contratação, o TCU deve verificar se os
controles propostos pelos gestores para mitigar os riscos apontados foram implementados e alcançaram
seus objetivos.
11. Por fim, a avaliação da execução contratual propiciará, ainda, melhor compreensão do tema
relativo à contratação em tela de forma a subsidiar trabalhos e avaliações futuras em outras
organizações.
12. Ante o exposto, voto por que o Tribunal adote a minuta de acórdão que ora submeto à
apreciação deste Colegiado.
TCU, Sala das Sessões, em 7 de fevereiro de 2024.
ANTONIO ANASTASIA
Relator

ACÓRDÃO Nº 157/2024 – TCU – Plenário
1. Processo nº TC 010.613/2023-4.
2. Grupo I – Classe de Assunto V – Relatório de Acompanhamento
3. Interessados/Responsáveis: não há.
4. Órgãos/Entidades: Conselho Nacional de Justiça; Controladoria-Geral da União; Tribunal de Contas
da União.
5. Relator: Ministro Antonio Anastasia.
6. Representante do Ministério Público: não atuou.
7. Unidade Técnica: Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI).
8. Representação legal: não há
9. Acórdão:
VISTOS, relatados e discutidos estes autos que cuidam da primeira etapa do
acompanhamento realizado pelo Tribunal de Contas da União sobre a contratação de Unidades de
Serviços Técnicos de Intermediação para Nuvens Públicas, referente às Atas de Registro de Preços
resultantes das três licitações que irão compor a Solução de Computação em Nuvens Públicas da
Controladoria-Geral da União, do Conselho Nacional de Justiça e do pelo Tribunal de Contas da
União.
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão Plenária,
diante das razões expostas pelo Relator, em:
9.1. autorizar a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI)
a realizar as próximas etapas do presente acompanhamento, inclusive no que tange à avaliação da
implementação e efetividade das medidas informadas pelos gestores;
9.2. dar ciência sobre o presente acórdão ao Tribunal de Contas da União, à Controladoria-
Geral da União e ao Conselho Nacional de Justiça, destacando que o relatório e o voto que
fundamentam a deliberação ora encaminhada podem ser acessados por meio do endereço eletrônico
www.tcu.gov.br/acordaos;
9.3. encaminhar cópia do relatório de fiscalização à peça 81 ao Tribunal de Contas da
União, à Controladoria-Geral da União e ao Conselho Nacional de Justiça.
10. Ata n° 4/2024 – Plenário.

11. Data da Sessão: 7/2/2024 – Ordinária.
12. Código eletrônico para localização na página do TCU na Internet: AC-0157-04/24-P.
13. Especificação do quórum:
13.1. Ministros presentes: Vital do Rêgo (na Presidência), Walton Alencar Rodrigues, Benjamin
Zymler, Augusto Nardes, Jorge Oliveira, Antonio Anastasia (Relator) e Jhonatan de Jesus.
13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti e Marcos Bemquerer Costa.
(Assinado Eletronicamente) (Assinado Eletronicamente)

VITAL DO RÊGO ANTONIO ANASTASIA
Vice-Presidente, no exercício da Presidência Relator
Fui presente:
(Assinado Eletronicamente)
CRISTINA MACHADO DA COSTA E SILVA
Procuradora-Geral
1

Acórdão 157 de 2024 Plenário

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Acórdão 157 de 2024 Plenário

Enviado por

Direitos autorais:

Formatos disponíveis

TRIBUNAL DE CONTAS DA UNIÃO TC 010.

GRUPO I – CLASSE ___ – Plenário

SUMÁRIO: ACOMPANHAMENTO. CONTRATAÇÃO DE

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

4. No âmbito do TCU, inicialmente o fornecimento de serviços de computação em nuvem deu-se

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

atuação dos gestores no decorrer do andamento da contratação, de forma a aprimorar as ações a

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

2.1 Mecanismos de gestão contratual insuficiente podem gerar problemas na execução

Identificador Risco Possíveis efeitos

Análise preliminar do risco R1

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

contratações de TI por órgãos e entidades integrantes do Sistema de Administração dos Recursos de

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Os parâmetros para provisionamento dos serviços deverão constar da ordem de serviço. As

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

provedores de nuvem pública Amazon AWS e Microsoft Azure para participação na

Identificador Risco Possíveis efeitos

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Referência à regra externa ao contrato (item

Ocorrência de dispêndio acima do planejado no

Aquisição de itens que não atendam às

Análise preliminar do risco R2

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

59. Caso os órgãos contratantes não delimitem as famílias/instâncias de soluções que

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

2.3 Contratação de soluções disponibilizadas em Marketplace aberto resultar em ilegalidade,

Identificador Risco Possíveis efeitos

Gastar acima do planejado no PCA (Plano de

Adquirir itens que não atendam às necessidades

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Análise preliminar do risco R3

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Análise das medidas propostas pelos gestores para tratamento do risco R3

2.4. Justificativa e racionais inadequados/ausentes das quantidades no orçamento – risco R4

Identificador Risco Possíveis efeitos

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Orçamento acima do suficiente para atender às

Análise preliminar do risco R4

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Gasto total x Orçamento estimado da contratação em nuvem

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

Figura 4: Redução dos quantitativos comparando orçamento revisado com o original

Figura 5: Itens que deixaram de ser adquiridos no orçamento revisado

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

200. A metodologia de trabalho adotada durante o acompanhamento, com a apresentação

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

2.5. Impropriedades na condução do processo de contratação no âmbito do TCU – risco R5

Análise preliminar do risco R5

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

213. A equipe de fiscalização analisou a resposta e manteve entendimento exposto na seção

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 75284712.

217. Verifica-se, portanto, que a presente ação de controle induziu a participação da

Identificador Risco Possíveis efeitos