Escolar Documentos
Profissional Documentos
Cultura Documentos
613/2023-4
RELATÓRIO
Transcrevo a seguir, nos termos do art. 1º, § 3º, inciso I, da Lei nº 8.443/92, a parte principal do
Relatório de Auditoria elaborado no âmbito da Unidade de Auditoria Especializada em Tecnologia da
Informação (peça 81), cujas conclusões contaram com a anuência do corpo diretivo daquela unidade
técnica (peças 82 e 83).
“1 Introdução
1. Este relatório apresenta o resultado da primeira etapa do acompanhamento realizado pelo
Tribunal de Contas da União (TCU) sobre a contratação de Unidades de Serviços Técnicos de
Intermediação para Nuvens Públicas (USINs) para prestação de serviços técnicos especializados de
natureza contínua na área de tecnologia da informação (TI). No planejamento da contratação, ficou
estabelecido que o TCU será o órgão gerenciador das Atas de Registro de Preços resultantes das três
licitações que irão compor a Solução de Computação em Nuvens Públicas. A Controladoria-Geral da
União (CGU) e o Conselho Nacional de Justiça (CNJ) serão partícipes na contratação.
2. No TCU, o planejamento da contratação foi realizado pela Setid (Secretaria de Tecnologia da
Informação e Evolução Digital). Os artefatos de planejamento produzidos constam do processo
administrativo TC 006.168/2023-0.
3. Considerando a relevância do paradigma de “Computação em Nuvem” (detalhada no
Acórdão TCU 1.739/2015-TCU-Plenário, Rel. Min. Benjamin Zymler), a materialidade da
contratação (mais de R$ 286 milhões de valor total para o período de trinta meses, segundo item 2 do
Edital – peça 58, p. 2), a possibilidade de essa aquisição se tornar referência para a Administração
Pública e a oportunidade de contribuir com a mitigação de riscos desse processo, a AudTI iniciou
acompanhamento da aquisição junto às equipes de planejamento do TCU, da CGU e do CNJ,
adotando uma abordagem da metodologia ágil, na esteira de recentes trabalhos conduzidos por esta
unidade técnica relativos aos acompanhamentos da implementação da Identificação Civil Nacional
(ICN) (Acórdão 1.453/2022-TCU-Plenário, Rel. Min. Vital do Rêgo) e da contratação da solução de
automação de serviços públicos da Plataforma gov.br (Acórdão 1.850/2023-TCU-2ª Câmara, Rel.
Min. Aroldo Cedraz).
23. Após reunião inicial para apresentação da equipe de fiscalização, a equipe solicitou
diversos documentos para análise e fundamentação do planejamento da fiscalização em 19/4/2023.
24. Os resultados preliminares da fiscalização foram materializados numa matriz de riscos
(peça 59), que foi submetida aos gestores para que: oferecessem réplica à existência ou não dos riscos
apontados, apresentando novos elementos e argumentos, bem como avaliassem a necessidade de
adoção de medidas para mitigar os riscos contidos na matriz.
25. Nenhuma avaliação apresentada neste acompanhamento foi contestada pelos gestores,
que optaram livremente por apresentar medidas para aperfeiçoar os pontos apontados como
deficientes pela equipe de acompanhamento. Essas medidas foram consideradas razoáveis pela
Unidade Técnica, de modo que não resultaram em propostas de determinação, recomendação ou
ciência aos órgãos envolvidos na contratação. Em todo caso, a implementação das ações informadas
pelos órgãos será acompanhada nas próximas etapas desta fiscalização.
26. Por fim, ressalte-se que esse trabalho não tem caráter de controle prévio, mas sim de
controle concomitante e periódico, nos termos do item 10 do Manual de Acompanhamento e dos arts.
241 e 242 do Regimento Interno do TCU.
1.5 Limitações
27. Não houve limitações à fiscalização que impactassem os seus resultados.
2 Principais riscos do processo de contratação
28. Segundo o “Roteiro de Avaliação de Maturidade da Gestão de Riscos”, elaborado pelo
TCU, em 2018i, o risco é a: “possibilidade de ocorrência de um evento que afete adversamente a
realização de objetivos”.
29. No tópico 1.3, o roteiro também descreve possíveis abordagens do risco em trabalhos
do TCU, como: “a avaliação de riscos relacionados a um objeto específico de controle externo, com o
objetivo de revelar as áreas desses objetos que estão expostas a riscos significativos e analisar como a
gestão responde a esses riscos”.
30. A seguir são elencados os principais riscos levantados pela equipe de auditoria no
curso deste acompanhamento:
16.2. Durante a vigência do contrato, a decisão sobre a utilização pelo contratante dos
serviços de qualquer dos provedores de nuvem pública homologados será precedida de
análise comparativa de custos/benefícios, com a utilização de técnicas de FINOPS, que
deverá considerar as respectivas condições comerciais, de arquitetura e tecnológicas
vantajosas, bem como outros incentivos oferecidos à época da utilização dos serviços.
Nesse sentido, cada órgão partícipe do registro de preços oportunamente editará normativo
interno visando à regulação dos critérios de governança do contrato para a efetiva escolha
do provedor previamente homologado quando da implementação de projetos em nuvem
pública. Portanto, qualquer condição comercial privilegiada oferecida à licitante pelos
parâmetros com impacto material no preço final. De fato, há um vasto portfólio de produtos
disponíveis no marketplace dos provedores, que podem permitir a contratação de serviços/soluções
das mais diversas.
57. Para provisionar armazenamento, por exemplo, há mais de dez campos para preencher
na calculadora da Amazon, sendo que cada campo possui diversas opções de escolha no menu
dropdown, conforme mostra a captura de tela abaixo, obtida no dia 4/8/2023. Um volume de
armazenamento do tipo Solid State Drive (SSD) de uso geral (gp2) tem custo unitário de 13,84 dólares
por mês.
Figura 1: Captura de tela da calculadora da AWS com seleção do SSD de uso geral (gp2) como solução de
armazenamento
58. Uma mudança em um único campo (no exemplo, “tipo de armazenamento”) já provoca
um aumento para 288,28 dólares por mês por volume, conforme ilustra a imagem abaixo, referente ao
armazenamento usando SSD com IOPS provisionado (io2). Assim, esta única escolha pode resultar
num custo unitário mensal 1983% maior que a anterior (SSD de uso geral).
Figura 2: Captura de tela da calculadora da AWS com seleção do SSD com IOPS provisionado (io2) como solução de
armazenamento
9
10
incluindo alçadas de aprovação, além da transparência dos artefatos produzidos, como ETP e TR, e,
ainda assim, apresentam irregularidades e impropriedades, frequentemente detectadas em
fiscalizações conduzidas por este TCU.
67. Entende-se que o risco de tais eventos ocorrerem é aumentado quando se trata de
contratação de recursos equivalentes (servidores, softwares e storages) em nuvem, a partir de
catálogo aberto, cujo provisionamento exige apenas a abertura de ordem de serviço. Caso os
controles internos e externos sejam insuficientes, há maior probabilidade de problemas ocorrerem ao
longo da execução contratual e serem percebidos de forma tardia.
68. Elaborar orçamento das famílias/instâncias de serviços com justificativa detalhada das
demandas pode ajudar a reduzir riscos relacionados ao uso de catálogo aberto, auxiliando na
realização de estimativas adequadas das quantidades e permitindo posterior comparação com os
serviços provisionados e necessidades que forem efetivamente atendidas durante a execução do
contrato.
69. O item 9.1.1.1.1.1. do Acórdão 2.569/2018-TCU-Plenário determina aos órgãos que
“não celebrem contrato em que haja referência a regra externa ao contrato”. Isso é relevante, pois,
como consequência da imposição de uma regra externa ao contrato, como a adesão a um catálogo
dinâmico controlado pelo provedor, há o risco de o fornecedor, unilateralmente, trocar um serviço
previamente identificado como necessário para atingimento dos fins pretendidos com a contratação, e
para o qual já havia estimativa de alocação em termos de quantidades e custo, por outro que não
atenda às necessidades da organização contratante levantadas no ETP.
70. Essa substituição não é permitida pelo Art. 65 da Lei 8.666/1993, por não estar
enquadrada nas hipóteses em que a lei permite alterações contratuais. Como o TR não detalha
controles que limitem estas trocas, que, inclusive, podem afetar o atendimento às necessidades do
órgão levantadas no ETP e orçamento da contratação, há risco de violação ao item 9.1.1.1.1.1. do
Acórdão 2.569/2018-TCU-Plenário e Art. 65 da lei 8.666/1993.
71. Neste sentido, segundo o inciso X do art. 5º da IN - SGD/ME 94/2022, “é vedado fazer
referências, em edital ou em contrato, a regras externas de fabricantes, fornecedores ou prestadores
de serviços que possam acarretar alteração unilateral do contrato por parte da contratada”. Percebe-
se, portanto, que, caso a CGU use catálogo aberto na contratação de serviços em nuvem, poderia
haver violação à norma emitida pela SGD.
72. Além disso, no ETP do TCU (peça 15), a solução em catálogo aberto já é estabelecida
previamente, sem antes ser realizada uma análise detalhada comparativa com outras soluções, como
as constantes de catálogo fechado. Assim, não foram apresentadas justificativas para a vantajosidade
do catálogo aberto e em que medida seus supostos benefícios compensam os riscos de sua utilização.
Vale lembrar que tal análise comparativa é determinada por normas como a IN - SGD/ME 94/2022
(Art. 11) e a Resolução - CNJ 468/2022 (item 3 do Artefato III).
73. Ademais, não foi feita análise do custo total de propriedade comparando o cenário
atual, em que a maioria dos serviços de TI encontram-se configurados localmente e foram objeto de
investimentos com base em um horizonte temporal definido, com o possível cenário de futuras
migrações de workloads para a nuvem.
74. No ETP do TCU (peça 15), entretanto, não há análises detalhadas de contratações de
serviços de nuvem feitas por outros órgãos públicos no Brasil.
75. A equipe de auditoria analisou artefatos de planejamento de contratações de nuvem
realizadas por outros órgãos públicos e estatais. Estudou-se contratações realizadas por três órgãos
públicos (Banco Central do Brasil, Central de Compras do Ministério da Economia, Ministério
Público Federal) e uma estatal (Banco do Brasil).
76. Todos os órgãos públicos e estatais nacionais pesquisados decidiram utilizar o
catálogo fechado. Assim, essas organizações públicas nacionais delimitaram, de forma clara e
precisa, quais soluções seriam contratadas ao longo da execução contratual. Com o catálogo fechado,
11
estas entidades mitigaram o risco de aquisição, em certo evento de contratação, de um serviço muito
diferente do especificado nos artefatos de planejamento.
77. O catálogo fechado também propicia uma execução contratual mais simples, pois os
serviços adquiridos em cada evento de contratação seriam os mesmos já especificados nos artefatos
de planejamento. Dessa forma, a adoção do catálogo fechado está em linha com boa prática adotada
pelo GAO, que é partir da solução mais simples para a mais complexa (p. 64 do livro “Desmitificando
a adoção de serviços de nuvem governamental” do IBGP). Ao utilizarem o catálogo fechado, os
órgãos citados no parágrafo 75 mitigaram o risco detalhado ao longo deste item 2.2.do relatório.
78. Ademais, à p. 39 do livro “Desmitificando a adoção de serviços de nuvem
governamental” do IBGP, recomenda-se a migração paulatina de infraestrutura, sistemas e
aplicativos para a nuvem. Ou seja, como a migração é complexa e arriscada, não precisa ser “tudo ou
nada”: é possível iniciar com escopo menor, projeto piloto, catálogo fechado e mais restrito a
soluções de menor risco. Para decidir o que deve ser migrado para a nuvem, é importante também
realizar análise do custo total de propriedade, priorizando migrações com menor custo total e melhor
custo-benefício.
79. Outro problema decorrente da adoção de catálogo aberto consiste no risco de
realização de migrações envolvendo soluções essencialmente distintas das planejadas e ao longo de
um prazo (trinta meses) maior que o usual (doze meses, com sucessivas prorrogações). Neste sentido,
de acordo com o item 6 do Acórdão 490/2012-TCU-Plenário, Rel. Min. Valmir Campelo, “(...) existe
jurisprudência no sentido de que (...) os contratos de serviço de natureza continuada não devem ter
prazo de vigência superior a 12 meses, de forma que as prorrogações sejam precedidas de avaliação
técnica e econômica, que demonstrem as vantagens ...”.
80. Nos artefatos de planejamento, não há justificativa para o prazo de trinta meses. Assim,
não foram apontadas as vantagens técnicas e econômicas para adoção deste prazo maior, que, por
outro lado, aumenta o risco de contratações de objetos distintos dos planejados ao longo de mais
tempo.
81. A não justificativa para estabelecimento de prazo de trinta meses de vigência para a
contratação também foi apontada pela Consultoria Jurídica do TCU no seu parecer. De fato, no item
23.6.3 do parecer (peça 25, p. 8), a Consultoria Jurídica destaca que prazos superiores a doze meses
são “casos excepcionalíssimos” e que é obrigatória a “apresentação robusta de elementos que
demonstrem as peculiaridades do caso concreto para que se configure sua excepcionalidade”.
82. Vale ressaltar que, no item 56 da minuta de edital original (peça 21, p. 12), de
10/4/2023, permite-se a adesão à Ata de Registro de Preços de não participantes (“caronas”). Ou
seja, os riscos levantados ao longo do capítulo 2 deste relatório poderiam se estender também a
outros órgãos, muitos deles poderiam ter mecanismos de governança, gestão de riscos e controles
internos insuficientes para gerenciar contratos de tamanha complexidade e porte. Nesse sentido,
importa ressaltar que, após alerta deste risco pela equipe de fiscalização, a Setid republicou o edital
(TC 006.168/2023-0, peça 58), em 2/8/2023, vedando adesão à ata de registro de preços decorrente
da contratação.
83. Nos artefatos de planejamento, não há justificativa para a possibilidade de caronas.
Isso contraria a jurisprudência do TCU. Por exemplo, segundo o item 9.6.1 do Acórdão 2.037/2019-
TCU- Plenário, Rel. Min. Substituto Augusto Sherman, há “a necessidade de sempre avaliar (...) a
existência e o teor da justificativa para eventual previsão no edital da possibilidade de adesão à ata
de registro de preços por órgãos ou entidades não participantes”.
84. A ausência de justificativa para permissão de adesão de caronas também foi
mencionada pela Consultoria Jurídica no seu parecer. De fato, no item 21 parecer (peça 25, p. 6), a
Consultoria Jurídica afirma que “quanto à possibilidade de adesão de órgãos públicos que não
participaram do registro de preços, é necessária a apresentação de justificativas para a previsão na
minuta do edital”.
Manifestação dos gestores sobre o risco R2
12
85. Na resposta à equipe de fiscalização, a CGU relatou que o catálogo é mutável, mas
segundo a premissa de que não há a intenção de contratar serviços além dos inicialmente propostos.
Segundo o órgão, a vantagem do catálogo aberto é que este, juntamente com o processo de gestão de
mudanças instituído, permite provisionar serviços aproveitando as reduções de preços oferecidas
pelos provedores ao longo do tempo (peça 31, p. 8)
86. Quanto aos riscos do catálogo aberto, a CGU afirmou que, na etapa de Design do
processo de change management, o provisionamento é justificado a partir de análises da “Arquitetura
da Solução, Estratégia de Saída da Nuvem, Estratégia de Recuperação de Desastres, Requisitos de
Backup e Análise de Riscos de Segurança e Privacidade” (item 77 da peça 31).
87. Ademais, segundo a CGU, a “análise de economicidade do provisionamento será
realizada de modo a avaliar diversos aspectos tecnológicos, operacionais e financeiros para a seleção
da arquitetura que melhor atenda à demanda de TI” (item 76 da peça 31).
88. Ademais, o órgão afirmou que, quando surgir a necessidade das soluções SMAX e
Fortinex Firewall, fará ETP comparando a realização de compra usando USIN MP com a alternativa
de efetuar licitação separada (peça 31, p. 5-6). Concorda, ainda, em incluir tal controle em artefato
da contratação, mas afirmou que isso seria responsabilidade do TCU, órgão gerenciador. Por fim, a
CGU afirma que a SGD poderia padronizar os controles necessários em normativo específico.
89. Na resposta à matriz de riscos, a CGU decidiu aceitar o risco, por considerar sua
probabilidade “muito baixa” (peça 48, p. 3, item 5.1.4). Segundo o órgão, acerca da vedação de
celebração de contrato em que haja referência externa (inciso X do art. 5º da IN – SGD/ME 94/2022),
“quando da assinatura do contrato, será coletada price list individualizada por provedor que se
constituirá em referência formal do contrato para preços e serviços, limitando o impacto de
influências externas.” (peça 48, p. 3, item 5.1.2).
90. Com relação à vedação de o provedor alterar unilateralmente o contrato (art. 65 da Lei
8.666/1993), a CGU argumenta que a AWS esclarece, no item 1.5 do seu Contrato do Cliente AWS,
“que os serviços poderão ser alterados ocasionalmente, mediante prévia notificação (com pelo menos
12 meses de antecedência), o que mostra que alterações repentinas nos catálogos de serviço
oferecidos pelos provedores são improváveis.” (peça 48, p. 3, item 5.1.3)
91. O órgão afirma, ainda, que “a contratação em tela adotou uma estratégia multinuvem,
justamente para evitar a dependência da Administração em relação a um dado provedor (lock-in) e a
influência que suas decisões, como as alterações de catálogo, podem ter no contrato.” (peça 48, p. 3,
item 5.1.1).
92. Na resposta à equipe de fiscalização, o CNJ argumentou que o catálogo aberto
permitiria “a seleção de um provedor com recursos de segurança robustos” e “incluir informações
sobre conformidade com padrões de segurança reconhecidos”. Outro argumento usado pelo CNJ é
que, ao longo dos trinta meses de duração do contrato, o catálogo aberto “pode incluir informações
sobre ofertas especiais, descontos ou pacotes personalizados oferecidos pelos provedores” (resposta à
questão 20 na p. 22 da peça 28).
93. Cabe ressaltar que o CNJ não apresentou documentos para evidenciar as respostas e
admitiu que não havia concluído o ETP. Segundo o Conselho, a documentação estava ainda em
produção, em virtude de o servidor que estava conduzindo o trabalho ter saído do CNJ (peça 28, p. 1).
94. O órgão também afirmou que já usa o catálogo aberto no contrato com o Serpro
(34/22), acompanhado pela Alta Administração. Para tratar os riscos, se comprometeram a usar a
Resolução - CNJ 468/22 (peça 28, p. 16).
95. Na resposta à matriz de riscos enviada (peça 62), o CNJ assegurou que irá tratar este
risco instituindo normativo que conterá “diretrizes e procedimentos com a descrição do fluxo de
aprovação de serviços, papéis e responsabilidades”. Além disso, ainda segundo o órgão, tal
normativo incluirá “uma análise técnica abrangente, levando em consideração aspectos como
segurança, arquitetura, sustentação, gestão, custo e relevância das soluções ou serviços em relação
aos objetivos e metas estabelecidos pelo Conselho Nacional de Justiça (CNJ).” (peça 62, p. 13)
13
96. O gestor designado como responsável pelo CNJ, integrante da COIE (Coordenadoria
de Infraestrutura), afirmou ainda que “a publicação do Normativo sobre o modelo de governança,
solicitação, análise e a aprovação de novos serviços digitais do Conselho Nacional de Justiça no
ambiente de nuvem deverá ocorrer anteriormente à previsão de contratação dos serviços pelo CNJ.”
(peça 62, p. 18).
97. Por sua vez, na resposta à equipe de fiscalização, o TCU afirmou que, “quando da
utilização de soluções (...)será inafastável que sejam juntados à ordem de serviço as análises de risco
e economicidade dessa opção, incluindo-se os estudos de composição de preço que caracterizem a
vantajosidade do consumo direto pelo marketplace”. (peça 51, p. 5).
98. O TCU argumenta ainda que “a adoção de instrumentos de gestão contratual que
permitam monitorar e rastrear as demandas pontuais de consumo (ordens de serviço), bem como a
previsão de profissionais com capacitação em FinOps, a adoção de ferramentas de gestão multinuvem
e de conta exclusiva para faturamento são instrumentos que visam minimizar o risco de gerenciar o
serviço com amplo acesso ao portfólio” (peça 51, p. 5).
99. Como, na prática, uma parcela significativa do provisionamento envolverá a atuação
dos terceiros contratados no 2º objeto (USTN), estabelecer controles relacionados à contratação deste
objeto também ajuda a mitigar diversos riscos apontados para o 1º objeto.
100. Após ser questionado sobre tais controles, o TCU afirmou, quanto ao 2º objeto, que “a
prestação de serviços especializados será mensurada por meio de indicadores de desempenho que
envolverão prazo, qualidade e efetividade”. (peça 51, p. 8)
101. Vale ressaltar as boas práticas e inovações apresentadas pelos órgãos contratantes.
Uma delas é a criação da conta principal, estabelecida em sessão conjunta do contratante com a
contratada (peça 67, p. 37, item 21.2.1l). Isso permite que o órgão acesse, dentre outras
funcionalidades antes restritas ao broker, os relatórios detalhados de gerenciamento e análise de
custos, que permitem auditar se os novos serviços provisionados de fato atendem às necessidades
planejadas e orçadas.
102. Neste mesmo sentido, após sugestão da equipe de fiscalização, a SGD incluiu em sua
minuta de portaria sobre nuvem uma seção inteira com controles relacionados ao gerenciamento de
custos (peça 69, p. 41, item 20).
103. Outra boa prática é a vedação à inclusão, no preço da proposta da USIN e USIN MP,
dos tributos que já serão cobrados pelo broker diretamente na console de faturamento do provedor (
peça 67 p. 32, item 12.1.3.1 do edital). Isso mitiga o risco de, a cada evento de contratação, o órgão
acabar pagando pelos mesmos tributos duas vezes (bis in idem).
104. A equipe de fiscalização apontou o risco de caronas utilizarem o catálogo aberto sem
os devidos controles e acabarem burlando o processo licitatório. Assim, após questionamento da
equipe, o TCU decidiu que “não será permitida a adesão de outros órgãos” (peça 51, p. 7).
105. O TCU, assim como a CGU, argumentou que uma das vantagens do catálogo aberto é
aproveitar descontos oferecidos pelos provedores. Neste sentido, a price list seria apenas uma lista de
preços máximos, cujos valores seriam reduzidos ao longo da execução contratual (peça 51, p. 11-12).
106. Como isso não estava claro no TR, o TCU decidiu, no item 16, alterar a redação para
(peça 51, p. 11-12):
No primeiro dia de vigência do contrato, por intermédio da console ou mediante entrega
pela contratada, será obtida a price list contendo os preços públicos do seu catálogo de
serviços, que serão considerados como sendo os preços máximos desses serviços para
validade durante toda a vigência do contrato, individualizada pelo provedor para a
prestação dos serviços ao contratante por intermédio da licitante.
Análise das medidas propostas pelos gestores para tratamento do risco R2
107. Nenhum dos três órgãos justificou formalmente a legalidade da adoção de catálogo
aberto para contratação de serviços de nuvem, com base na legislação vigente pertinente à matéria.
Os três órgãos justificaram haver maior flexibilidade e agilidade nessa sistemática, necessárias a
14
iniciativas inovadoras, e captura de descontos em relação à price list ao longo da execução contratual
devido à Lei de Moore (peça 28, p. 21, resposta à questão 19).
108. Se, durante a elaboração da OS, não se avaliar se os serviços a provisionar estão
alinhados às necessidades do órgão e ao objeto definido no contrato, dado que os catálogos dos
provedores serão abertos, há o risco de o objeto restar indefinido (violação ao art. 3º, incisos I a III,
da Lei 10.520/2002), que pode também levar à burla ao processo licitatório (violação do art. 2º da Lei
8.666/1993), pois pode-se contratar serviços fora do objeto do contrato
109. Se a contratada, unilateralmente, trocar um serviço do catálogo por outro que não
atenda integralmente às necessidades planejadas e não esteja aderente ao objeto definido no contrato,
há o risco de violação do art. 65 da Lei 8.666/1993 e do item 9.1.1.1.1.1. do Acórdão 2.569/2018-
TCU-Plenário, da relatoria do Ministro Aroldo Cedraz (vedação à celebração de contrato em que
haja referência a regra externa ao contrato).
110. A Setid decidiu suspender o pregão em 25/7/2023 devido à imposição de dezoito
impugnações e pedidos de esclarecimentos. Ao republicar o edital, incluiu o item 16.2 no novo TR
(peça 58, p. 36, do TC 006.128/2023-0), conforme já transcrito no parágrafo 41 deste relatório.
111. Assim, parte dos controles apontados pela equipe de fiscalização, como a análise de
custo-benefício e a governança durante a execução contratual, foi previsto pelos gestores da Setid no
novo item 16.2 do TR.
112. A CGU, por um lado, aceitou o risco, afirmando que sua probabilidade é “muito
baixa”, apresentando como argumentos a estratégia multinuvem, a notificação da AWS doze meses
antes de mudar o catálogo e a apresentação da price list com os preços máximos por item do catálogo
de cada provedor.
113. Vale ressaltar que, do ponto de vista da legalidade, segue existindo potencial violação
ao inciso X do art. 5º da IN – SGD/ME 94/2022, além do item 9.1.1.1.1.1. do Acórdão 2.569/2018-
TCU-Plenário, pois o edital, ao prever catálogo aberto, faz referências “a regras externas de
fabricantes, fornecedores ou prestadores de serviços que possam acarretar alteração unilateral do
contrato por parte da contratada”. Caso o provedor retire do catálogo um serviço cuja necessidade
foi planejada e orçada, seria uma hipótese de alteração unilateral do contrato não permitida no Art.
65 da Lei 8.666/1993.
114. Já do ponto de vista operacional, a estratégia multinuvem pode reduzir o efeito
negativo do provedor retirar o serviço do catálogo, já que o órgão poderia buscá-lo no catálogo de
outro provedor. O tempo para buscar a alternativa seria de doze meses no caso da AWS. Vale
lembrar, entretanto, que a CGU não apresentou com quanto tempo de antecedência outros provedores
(Microsoft e Google) notificam a remoção de soluções. Ademais, há o risco de o serviço do provedor
alternativo não ser equivalente, não atender às necessidades levantadas no planejamento licitatório
nem aos níveis de serviço (Service Level Agreement – SLAs) ou, ainda, possuir custo-benefício
deficiente.
115. A apresentação da price list individualizada por provedor de fato pode reduzir o risco
de antieconomicidade da contratação. Afinal, ela estipula um teto, um preço máximo por item do
catálogo de cada provedor.
116. Ademais, segundo a CGU, ao longo da execução contratual, descontos sobre este preço
ocorreriam. E a captura destes descontos, ainda segundo o órgão, seria possibilitada pelo catálogo
aberto, pois as versões mais recentes dos serviços e famílias atualizadas pelo provedor seriam mais
baratas que as do catálogo antigo, segundo a evolução de preços ao longo do tempo enviada pela
CGU na resposta à questão 19 da p. 7 da peça 31. Nesta resposta, a CGU inseriu uma série de
printscreens comparando os preços de instâncias de máquina virtual AWS e evidenciou, como
exemplo, que a versão mais recente (m5.large) é mais barata que a anterior (m4.large).
117. Por fim, o CNJ também se comprometeu a publicar normativo com parte dos controles
apontados, “anteriormente à previsão de contratação dos serviços pelo CNJ.”
15
118. Para mitigar o risco de outros órgãos com menor maturidade em gestão e fiscalização
contratual replicarem o TR sem os devidos ajustes, uma boa prática é a publicação de normas
específicas para tratar de contratações de serviços em nuvem por parte dos OGSs.
119. Neste sentido, a SGD incorporou à sua minuta de portaria sobre contratação de
serviços de TI em nuvem os controles sugeridos pela equipe de fiscalização, incluindo uma seção
inteira sobre gerenciamento de custos (peça 57). O CNJ, assim, poderia incluir controles similares
atualizando o Guia de Contratações de STIC do Poder Judiciário.
Conclusão
120. O risco de objeto indefinido apontado pela equipe decorre do fato de a contratação de
serviços em nuvem sob análise prever o uso de catálogo aberto. Os possíveis efeitos desse risco
identificados pela equipe de fiscalização são: burla ao processo licitatório, alteração unilateral do
contrato pela contratada e antieconomicidade da contratação.
121. Após a comunicação dos riscos pela equipe, os gestores melhoraram a redação do item
16 na p. 36 do TR (parágrafo 106), esclarecendo que a price list deve ser apresentada com a proposta
e delimitar os serviços e preços máximos (parágrafo 112). Entende-se que tal delimitação reduz o
risco. Ademais, os gestores incluíram o item 5.19 na p. 26 do TR (parágrafo 41), que obriga TCU,
CGU e CNJ a efetuar análise de custo-benefício antes de cada provisionamento. Tal medida contribui,
em particular, para reduzir o risco de antieconomicidade.
122. Por fim, os gestores se comprometeram a publicar normativo com controles de gestão e
fiscalização contratual (parágrafo 41) que podem mitigar o risco apontado se incluir controles que
garantam alinhamento às necessidades, rastreabilidade, dentre outros.
123. Por essas razões, considera-se que as medidas informadas pelos gestores para
tratamento do risco são adequadas, motivo pelo qual não será feita proposta de recomendação
adicional, em consonância com o inciso I do parágrafo único do art. 16 da Resolução-TCU 315/2020.
16
Brasil, Central de Compras do então Ministério da Economia e Ministério Público Federal) e por uma
estatal (Banco do Brasil), sendo que, conforme já relatado, nenhum deles optou por contratar um
catálogo aberto com a disponibilização das soluções de Marketplace dos provedores de serviços em
nuvem.
136. Reforça-se o entendimento de que, no caso da contratação de créditos com base em
USIN MP, os controles internos devem ser ainda mais detalhados e rigorosos do que aqueles para
tratar riscos referentes à adoção de catálogos abertos de provedores de serviços em nuvem, pois a
contratação de uma solução no marketplace, por ser externa aos provedores de nuvem, demanda
estudos e análises mais complexas de planejamento da alocação.
137. A possibilidade de se contratar serviços ou produtos com os créditos de USIN MP
disponíveis sem o estabelecimento de um rito específico de planejamento que demonstre a adequação
da necessidade da aquisição, o alinhamento da mesma com o planejamento do órgão, a quantificação
da demanda estimada, a economicidade em relação à condução de processo de licitação específico,
dentre outros mecanismos de controle, faz com que este risco seja considerado elevado.
138. Ressalte-se que, quando uma solução não prevista nos catálogos dos provedores de
nuvem é contratada de forma convencional, via licitação, diversas instâncias do órgão devem
verificar elementos como a vinculação entre a solução e a necessidade que a desencadeou e a
economicidade da contratação (verificações feitas pelas áreas administrativa e jurídica da
organização pública), o que pode não ocorrer nas contratações desses mesmos serviços via
marketplace dos provedores de serviços em nuvem se as OSs não forem devidamente planejadas e
verificadas, o que aumenta o risco de burla ao processo licitatório e de sobrepreço.
Manifestação dos gestores sobre o risco R3
139. A mesma argumentação apresentada no risco anterior e já descrita aqui foi
apresentada pelos gestores em relação ao presente risco, que constou de matriz preliminar de riscos.
140. Após análise inicial realizada pela equipe de auditoria, os gestores foram instados a se
manifestarem novamente a respeito do presente risco (peça 18), pelas razões que foram apontadas na
matriz de riscos final (risco R3 da p. 1 da peça 59).
141. Em nova resposta, o TCU, conforme já relatado na análise do primeiro risco,
comprometeu-se a elaborar normativo (portaria) que visa instituir alçadas de decisão, procedimentos
e ferramentas a serem utilizados pelos fiscais e gestor do contrato (peça 64, p. 3).
142. O normativo, segundo a resposta encaminhada, deve instituir diretrizes de análise de
risco e economicidade compatíveis com a materialidade de cada provisionamento efetuado, além de
prever, para este caso específico de aquisição de soluções disponibilizadas no Marketplace, regras
para o consumo de tais créditos (peça 64).
143. Já o CNJ encaminhou a seguinte resposta acerca deste item (peça 62):
O CNJ, ao longo de suas contratações de serviços de computação em nuvem, não tem o
histórico de utilização de serviços de marketplace. Caso, durante a execução contratual,
ocorra a necessidade de uso do marketplace serão utilizadas as mesmas instâncias de
controles e aprovação para os serviços de USIN, ou seja, Fluxo de Requisição de
Mudanças, utilização dos procedimentos e processos do Normativo de Nuvem.
144. Vale ressaltar que, conforme já relatado também na análise do Risco 1, o CNJ
comprometeu-se a publicar normativo específico para contratação de soluções de nuvem.
145. A CGU, por fim, manifestou-se (peça 48, p. 3);
Destaca-se inicialmente que, todo provisionamento de serviços via marketplace estará
sujeito aos controles já instituídos para o tratamento de demandas de TI. Adicionalmente,
qualquer provisionamento via marketplace somente ocorrerá após um estudo técnico
comprovar sua vantajosidade e confirmar a compatibilidade da operação com o objeto da
licitação. O referido estudo seguirá os modelos de estudos técnicos preliminares para
aquisições, conforme estabelecido no item 11 da IN SGD/ME 94/2022, e incorporará uma
pesquisa de preços, em conformidade com as disposições da IN SEGES/ME 65/2021.
18
19
Lei 8.666/1993, art. 65, § 1º, demandados para comparação e controle no modelo
impactando na legalidade e na de execução contratual (Art. 18 da IN – SGD 94
economicidade da 2022)
contratação.
Ausência de estimativa do impacto orçamentário-
financeiro da despesa no exercício em que deva
entrar em vigor e nos dois subsequentes (Art. 16 da
LC 101/2000)
administrativos deverá ser observado o critério de “indicação dos pressupostos de fato e de direito
que determinarem a decisão”. Diante da relevância que a definição de quantidades tem no processo
licitatório, em particular no orçamento e na habilitação do fornecedor, conclui-se que sua motivação
detalhada é fundamental.
160. A jurisprudência do TCU é pacífica quanto à importância de se fundamentar de forma
suficiente as quantidades a serem contratadas. Neste sentido, o Acórdão 420/2018-TCU-Plenário, Rel.
Min. Walton Alencar Rodrigues, destaca que, para evitar “o desperdício de dinheiro público”, é
necessário, “entre outros documentos, de orçamento detalhado, fundamentado em quantitativos de
serviços e fornecimentos propriamente avaliados” (item 72.2 do Relatório do Relator).
161. Ademais, o item 139 do Acórdão 488/2019-TCU-Plenário, Rel. Ministra Ana Arraes,
destaca que “a contratação de bens e serviços acima da necessidade real da entidade tem como
consequência desperdício, prejuízo ao erário e desvia recursos (...) pode ser considerada tão
prejudicial quanto a fraude e a corrupção”.
162. Ainda, o art. 16 da LC 101/2000 determina que a geração de despesa deve vir
acompanhada de estimativa do impacto orçamentário-financeiro no exercício em que entrará em
vigor e nos dois subsequentes e de declaração do ordenador de despesa de que há adequação com a
lei orçamentária anual (LOA) e compatibilidade com o plano plurianual (PPA) e a lei de diretrizes
orçamentárias (LDO). Este artigo determina, ainda, que tal estimativa deve vir acompanhada das
premissas e da metodologia de cálculo utilizada.
163. Assim, a ausência/deficiência das memórias de cálculo das quantidades a serem
contratadas aumenta o risco de violação ao art. 16 da LC 101/2000, afinal, há maior chance de a
estimativa do impacto orçamentário-financeiro da despesa, especialmente nos dois exercícios
subsequentes (ressaltando-se que a vigência inicial da contratação é de trinta meses, portanto, se
estenderá por 2024 e 2025), e a análise de compatibilidade com o PPA e a LDO não refletirem o
quanto que o órgão realmente irá consumir.
164. Cabe ressaltar que, sem atender plenamente ao art. 16 da LC 101/2000, não pode
ocorrer empenho e licitação de serviços, sendo que a despesa, nesse caso, é considerada não
autorizada, irregular e lesiva ao interesse público (Art. 15 da LC 101/2000).
165. Ademais, segundo a cláusula terceira do segundo termo aditivo ao contrato atual do
TCU (peça 65), o valor total contratado de serviços em nuvem foi de R$ 880.399,98. Tal termo aditivo
prorrogou o contrato 24/2018, da atual solução em nuvem, por trinta meses, mesmo prazo de duração
da contratação que está sendo analisada no presente acompanhamento.
166. Vale ressaltar que, no PCA do TCU (peça 16, p. 2), o valor estimativo total da
contratação é de R$ 1.879.397,15. Já o orçamento da contratação (peça 3) prevê que o TCU irá
gastar R$ 62.611.605,00.
167. Percebe-se, portanto, que se observa risco de o valor total calculado no orçamento
estimado da contratação para o TCU ser muito acima das reais necessidades do Tribunal. Isso porque
os mais de R$ 62 milhões orçados representam um valor mais de trinta vezes acima do previsto no
PCA e mais de setenta vezes acima do previsto no último termo aditivo ao contrato atual
168. Por fim, cabe lembrar que a minuta da portaria da SGD para contratações de serviços
de nuvem obriga o ETP a contemplar os 5 elementos da NT 8 (premissas, fórmulas de cálculo,
parâmetros de entrada, explicitação dos cálculos feitos, identificação dos responsáveis) item 15.2.1 da
p. 31iv.
21
170. A estimativa do orçamento anual para a contratação de USIN e USIN MP pela CGU
era de R$ 65.436.727,00 (TC 006.168/2023-0, peça 3). Portanto, apenas para o primeiro dos três
objetos da presente contratação, o orçamento estimado pela CGU corresponde a 175% do gasto com
todas as outras despesas correntes de TI caso elas cresçam apenas segundo o ICTI.
171. A imagem abaixo mostra que a CGU, após questionamento da equipe de fiscalização,
definiu os workloads a serem migrados (coluna A), quais necessidades planejadas serão por ele
atendidas (coluna O) e qual o orçamento estimado (coluna I).
Figura 3: Captura de tela do orçamento enviado pela CGU em resposta aos questionamentos
172. Em 2022, o CNJ gastou R$ 39.279.366,00 com custeio e investimentos de TI, segundo a
tabela 9 do Relatório de Gestão 2022 do CNJ (peça 54, p. 134). Reajustando-se este gasto pelo ICTI
(7,43% aa em 2023, segundo site do IPEA) até 2024, obtêm-se R$ 45.333.120,72. O orçamento anual
para a contratação de USIN e USIN MP pelo CNJ é de R$ 39.605.577,00 (TC 006.168/2023-0, peça
3). Ou seja, apenas para o primeiro dos três objetos da contratação acompanhada, o orçamento
representa 87% de todo o gasto com custeio e investimentos de TI, caso cresça apenas segundo o
ICTI.
173. Em 2022, o CNJ gastou R$ 10.110.018,00 com o contrato de serviços de nuvem,
segundo o gráfico 12 da do Relatório de Gestão 2022 do CNJ (peça 54, p. 134). Reajustando-se este
gasto pelo ICTI (7,43% aa em 2023 segundo site do IPEA) até 2024, obtêm-se R$ 11.668.178,73. O
orçamento anual para a contratação de USIN e USIN MP pelo CNJ é R$ 39.605.577,00
(TC 006.168/2023-0, peça 3). Ou seja, apenas para o primeiro dos três objetos da contratação
acompanhada, o orçamento representa 215% do contrato atual.
174. Percebe-se, portanto, que há o risco de o valor total calculado no orçamento da
contratação do TCU, da CGU e do CNJ ser muito acima das reais necessidades dos órgãos. Ademais,
há o risco de os órgãos não terem dotação suficiente para executar o contrato, já que, no caso da
CGU, o atual orçamento da contratação é maior que a projeção de todas as outras despesas correntes
de TI até 2024 (parágrafo 169).
175. No caso do CNJ, o valor estimado para contratação dos serviços é quase a totalidade
do gasto total projetado com custeio e investimentos de TI até 2024 (parágrafo 172) e é mais que o
triplo do que a projeção até 2024 dos gastos com serviços de nuvem (parágrafo 173). O TCU, por sua
vez, seria obrigado a consumir, no mínimo, R$ 46.958.703,75 para que o decréscimo nas aquisições
não supere o limite de 25% estabelecido no art. 65 da Lei 8.666/1993. Este valor obrigatório é quase
25 vezes maior que o previsto no PCA do órgão (parágrafo 166) e mais de 53 vezes maior que o
previsto no último termo aditivo ao contrato atual (parágrafo 165).
176. Em suma, entende-se que há elevado risco de TCU, CGU e CNJ executarem menos que
o valor obrigatório do contrato (75% do valor inicial atualizado do contrato), o que violaria o art. 65
da Lei 8.666/1993. Nesse caso, a contratada poderia pleitear judicialmente alguma compensação por
investimentos feitos para atender às expectativas de consumo projetadas, com razoável chance de
vitória no âmbito do Poder Judiciário, o que acabaria impelindo o órgão a gastar acima do suficiente
para atender às suas necessidades.
Manifestação dos gestores sobre o risco R4
177. Em resposta ao questionamento da equipe de fiscalização, a CGU elaborou memória de
cálculo (Anexo 37, peça 68) que expõe os serviços planejados na licitação, suas quantidades e
22
respectivas fórmulas de cálculos (coluna “Total Mensal”, planilha “Memória de Cálculo detalhada
pela CGU”, item não digitalizável da peça 68).
178. Ademais, o órgão justificou o salto de valor do orçamento em relação ao contrato atual
e ao DoD fundamentando os quantitativos relacionados às novas migrações planejadas para a nuvem
e fundamentadas no Anexo 37, peça 55).
179. A fonte das quantidades (coluna “Qtd Full” da peça 68, segundo informado pelos
gestores em reunião, foi a experiência própria de quanto de cada solução seria necessária para
atender à solução da coluna O e detalhada na coluna P da Figura 3 deste relatório.
180. Além disso, o preço foi estimado pela multiplicação do número de horas no mês pelo
preço em dólares da solução pesquisada na calculadora AWS. O total mensal (coluna I da peça 55)
está em dólares; a multiplicação pela USIN é para converter para reais (e acrescentar os tributos,
despesas e margem de lucro do broker)
181. No orçamento, a CGU incluiu ainda as soluções SMAX e Fortinex Firewall para ter a
opção de adquiri-los futuramente via USIN MP, mas afirmaram que, quando a necessidade surgir,
antes farão ETP para comparar aquisição via USIN MP com aquisição via licitação separada,
inclusive quanto à economicidade.
182. Cabe lembrar que o contrato atual do CNJ com o Serpro era de R$ 27 milhões
(peça 28, p. 3). Para justificar por que o orçamento estimado está bem acima das despesas com
custeio e investimento de TI e, especificamente, dos valores previstos no contrato atual de serviços de
nuvem do Conselho, os gestores argumentaram que muitas soluções seriam migradas para o ambiente
de nuvem. Atualmente, segundo o órgão, há demanda reprimida, em particular do Tribunal de Justiça
de São Paulo (TJ/SP), que seria muito alta.
183. Posteriormente, ao responder à matriz de riscos, o CNJ enviou as memórias de cálculo
(peça 56). Dentre os elementos listados na NT - AudTI/TCU 8/2023, as premissas e parâmetros de
entrada constam nestas memórias. De fato, na peça 56, há uma lista com mais de trinta serviços
planejados, bem como as quantidades, custos e estimativas de USINs.
184. No que diz respeito ao TCU, em resposta ao questionamento da equipe de fiscalização,
foi enviada memória de cálculo (peça 27) com premissas e fórmulas de cálculo por solução, mas sem
as fontes dos dados na planilha. Os gestores afirmaram ainda que (peça 27, p. 3-4):
as evidências foram obtidas por meio da ferramenta de gestão do datacenter do TCU, sendo
a console de administração do ambiente WMware a ferramenta principal. As estimativas de
crescimento estão fundamentadas (...) em levantamentos para fins de cálculo da estimativa
de consumo realizados junto às áreas técnicas da Setid. Essas infraestruturas foram
precificadas de acordo com as tabelas de preços publicadas nos sites dos provedores, sendo
o resultado dessa precificação trazido ao denominador comum que é o preço em dólar pela
prestação do serviço durante 30 dias.
Análise das medidas propostas pelos gestores para tratamento do risco R4
185. As memórias de cálculo da Setid (peça 27) não contêm as premissas utilizadas nos
cálculos (exemplo: se a necessidade de storage é suprida com storage SSD, NAS etc.) e as fontes dos
parâmetros de entrada (exemplo: identificação de onde foram extraídos os dados das abas de
metadados, como, por exemplo, o Labcontas). Também não foi apresentada a data em que os dados
foram extraídos.
186. Ademais, faltou informar qual o percentual de crescimento foi acrescido ao histórico de
consumo e qual racional foi usado pelas áreas técnicas da Setid. Por fim, os gestores não
comunicaram quando a pesquisa de preços foi feita.
187. Vale ressaltar, ainda, que o edital republicado (peça 58) não incluiu controles que
garantam que, antes do provisionamento do serviço, memórias de cálculo com estes elementos serão
elaboradas.
23
188. Com relação à análise de demanda da Setid, cabe apontar que os quantitativos
utilizados de serviço foram levantados em alguns casos, mas a simulação de provisionamento
realizada foi a maior possível, o que pode superdimensionar a demanda.
189. A Setid afirmou que “após a celebração do contrato, os valores previstos no PCA serão
ajustados com base nos valores reais do contrato” (peça 51, p. 6). Argumentou, também, que o novo
PDTI, “em fase de aprovação”, incluirá ações relacionadas à contratação acompanhada (peça 51, p.
6).
190. Vale ressaltar que é incoerente corrigir instrumentos estratégicos e táticos que
deveriam ser prévios à aquisição apenas “após a celebração do contrato”. Tanto o PCA como o PDTI
vigentes à data em que artefatos como o ETP foram elaborados não previam uma contratação de
nuvem desta magnitude.
191. É o planejamento licitatório que deve compatibilizar-se com o PCA, e não o contrário,
segundo o art. 18 da Lei 14.133/2021. Afinal, o PCA agrega documentos de formalização de
demandas de diversas outras aquisições “com o objetivo de racionalizar as contratações (...), garantir
o alinhamento com o seu planejamento e subsidiar a elaboração das respectivas leis orçamentárias”
(inciso VII do Art. 12 da Lei 14.133/2021).
192. O CNJ, na resposta aos questionamentos, não enviou histórico nem premissas das
quantidades na resposta aos questionamentos. Enviou somente um link para 205 itens de serviço (peça
28, p. 15).
193. Já na resposta à matriz de riscos, o CNJ enviou as memórias de cálculo (peça 56). Tais
memórias possuem as premissas e parâmetros de entrada, mas não apresentam fórmulas de cálculo
nem fonte dos dados, que foram explicadas genericamente em reunião de 27 de junho de 2023. Os
dados estão incluídos como valores, ou seja, não é exposto como, a partir deles, o CNJ chegou ao
orçamento total estimado. Assim, é relevante que, ao acompanhar a execução contratual, a equipe de
fiscalização verifique em que medida o orçamento de fato foi realista. Caso, para atender às
necessidades de negócio, o CNJ precise provisionar serviços em quantidades muito diferentes das
orçadas, entende-se que esse fato é uma evidência de que o órgão precisa melhorar seu processo de
orçamentação, até para, ao longo da execução contratual, orçar corretamente cada provisionamento.
194. A CGU enviou memórias de cálculo (peça 55) com os elementos da NT – AudTI/TCU
8/2023 (premissas, fórmulas de cálculo, parâmetros de entrada, execução dos cálculos e identificação
da equipe responsável pela elaboração da memória de cálculo das quantidades a contratar). A fonte
dos dados, apontada à equipe de fiscalização em reunião realizada em 28/6/2023, são relatórios de
consumo extraídos do sistema do provedor atual (AWS).
195. O orçamento estimado da CGU é mais detalhado, pois reflete o quantitativo de serviços
no provedor AWS a ser utilizado para cada workload, que apresenta os elementos previstos na NT,
tratando-se, portanto, de boa prática que poderia ser adotada por outros órgãos.
196. No curso da fiscalização, a equipe de acompanhamento alertou à CGU que o
orçamento original da sua contratação de serviços em nuvem seria 175% do orçamento histórico de
todas as despesas correntes de TI do órgão (parágrafo 169 e 170), o que motivou a CGU a reduzir os
quantitativos (peça 68, p. 12) em 86% de soluções a serem adquiridas com USIN MP (limitadas a
Graph Database, ITSM Saas, Firewall), 79% de Enterprise Data Warehouse, dentre outros apontados
na Figura 4, resultando num orçamento menor e mais alinhado à sua realidade.
24
26
27
28
riscos que foram listados ao longo deste capítulo. Neste sentido, a avaliação técnica e econômica da
SGD sobre a criação das unidades de medida definidas na contratação em análise é um controle
essencial para mitigar riscos desta de futuras contratações de serviços de nuvem.
225. De fato, o uso da nuvem é uma tendência (Acórdão 1.739/2015-TCU-Plenário, Rel.
Min. Benjamim Zymler) o que torna provável que outros órgãos da Administração Pública contratem
soluções similares no futuro. Ademais, como a contratação está sendo conduzida por órgãos de
controle (TCU como gerenciador e CGU e CNJ como partícipes), provavelmente será usada como
benchmark quando outros órgãos planejarem adquirir soluções em nuvem.
226. Assim, para evitar que outros órgãos acabem adotando o uso de unidades de medidas
inadequadas na contratação desse tipo de solução, os OGSs devem efetuar prévia avaliação técnica e
econômica da USIN e da USIN MP, conforme item 9.1.3.1 do Acórdão 1.508/2020-TCU-Plenário. Por
se especializar em realizar avaliações desta natureza, o OGS tem mais condições de endereçar os
riscos das novas unidades de medida do que seus órgãos supervisionados, ou seja, os estudos e a
experiência do OGS nesse tipo de contratação reduzem a assimetria de informações entre a
administração pública e o mercado.
227. Ainda segundo o item 9.1.3.1 do citado acórdão, pode-se inferir que a ausência de
controle pelos OGSs nesse aspecto resulta em incomparabilidade de preços e heterogeneidade de
formas de medição dos serviços contratados. Afinal, a nova unidade de medida pode ser customizada
à realidade da contratação fazendo os fornecedores precificarem requisitos específicos e benéficos
apenas aos contratantes daquela contratação. Assim, caso outro órgão use estes preços ao orçar sua
contratação, incorreria em erro e no risco de incluir, na formação do preço, especificações
irrelevantes para o atendimento de suas necessidades.
30
234. Vale lembrar que, ainda que a SGD ainda não tenha emitido portaria específica sobre
contratação de serviços em nuvem, a recomendação do item 9.1.3.1 do Acórdão 1.508/2020-TCU-
Plenário é no sentido de que um órgão do Sisp, ao criar uma unidade de medida nova, submeta-a à
avaliação da SGD.
235. Ressalte-se que a SGD, na minuta de portaria que esteve em consulta pública, decidiu
normatizar para o Sisp o modelo que prevê o uso de catálogo fechado, com características diferentes
do modelo de catálogo aberto adotado pela CGU, CNJ e Setid/TCU na presente contratação. Segundo
a minuta de portaria da SGD (peça 57, p. 32), deve-se manter catálogo fechado mesmo quando o ETP
demonstrar “impossibilidade de definição de todos os itens que poderão ser contratados durante a
vigência contratual”.
236. Neste caso, e só após os estudos claramente provarem esta impossibilidade, é permitido
que o órgão componha multicatálogo com o catálogo inteiro dos provedores no momento. Mesmo
neste caso, no TR, deve haver “listas individuais de todos os serviços” (peça 57, p. 33),
237. Outro ponto a ser destacado é que, segundo o art. 2º da IN – SGD/ME 6/2023, os
órgãos e as entidades do Sisp deverão submeter à SGD solicitação para aprovação de contratações de
TI “com valor global estimado do objeto igual ou superior a 20 (vinte) milhões de reais”. A CGU
argumentou, na resposta à matriz de riscos, que tal obrigação só “é atribuída ao órgão gerenciador
da ata” (peça 48, p. 2, item 4.3.2).
238. De fato, segundo o § 2º do art. 4º da IN – SGD 6/2023, “as solicitações de que trata o
art. 2º, inciso II, deverão ser encaminhadas pelo órgão ou entidade gerenciadora”. Cabe ressaltar
que tal dispositivo acaba aumentando o risco de outros órgãos do Sisp, além da CGU, realizarem
contratações e inclusive criarem unidades de medida sem alinharem previamente com a SGD, o que
iria de encontro ao disposto no item 9.1.3.1 do Acórdão 1.508/2020-TCU-Plenário.
239. A CGU afirma “que a lista de preços gerada durante a apresentação da proposta é
vinculada diretamente ao contrato, o que, no entendimento da CGU, trata a possibilidade de
existência de referências externas à contratação” (item 4.3.3 da p. 2 da peça 48)” Por um lado, de
fato isso reduz o risco de o provedor unilateralmente reajustar excessivamente os preços, já que a
price list estipula um teto, preço máximo por item do catálogo. Vale ressaltar que a price list deve
conter preços máximos de fato alinhados aos preços públicos de mercado.
240. Por outro lado, persiste o risco de o provedor retirar do catálogo soluções que haviam
sido planejadas e orçadas. Isso constituiria uma mudança unilateral não permitida pelo art. 65 da Lei
8.666/1993. Pode ocorrer, também, violação ao inciso X do art. 5º da IN – SGD/ME 94/2022, que
veda a referências a regras externas de fornecedores.
241. Um caminho que pode reduzir o desalinhamento da CGU com a SGD é apontado no
parágrafo único do Art. 3º da p. 2 da minuta da portaria SGD sobre contratações em nuvem (peça
57). Segundo este dispositivo: “os órgãos e entidades poderão utilizar outros modelos de contratação,
desde que devidamente justificado pela área técnica proponente, comunicado via Ofício e aprovado
previamente pela Secretaria de Governo Digital – SGD”.
242. Quanto ao CNJ, por ser OGS, poderia orientar seus jurisdicionados sobre as
diferenças de aplicação das unidades USIN e USIN MP em comparação à USN, mais comumente
utilizada por órgãos do judiciário em contratações de nuvem. Na revisão ordinária atual do Guia, o
CNJ poderia, neste sentido, padronizar a unidade de medida de contratações de nuvem e os
respectivos controles para provisionar serviços alinhados às necessidades planejadas, com
rastreabilidade, alçadas e análise de economicidade.
Conclusão
243. A CGU não alinhou a contratação com a SGD, o que poderá resultar em não
observância a padrões e boas práticas do OGS, criação unilateral de unidades de medida e falta de
controles suficientes. O órgão argumentou que a obrigação de realizar tal validação, ainda que a
contratação supere R$ 20 milhões, só se aplica ao órgão gerenciador da ata de registro de preços.
Isso realmente consta no § 2º do art. 4º da IN – SGD/ME 6/2023. Assim, a SGD, com este dispositivo,
31
32
33
realizadas no dia 20/9/2023. As atas destas reuniões foram enviadas dia 22/9/2023 para comentários
(peças 78 e 79).
260. Em relação às atas, a CGU manifestou-se nos seguintes termos (peça 80):
34
269. Melhorias na redação dos artefatos de planejamento, em particular do TR, que podem
ser utilizados como referência por outros órgãos quando forem adquirir soluções em nuvem
(parágrafos 42-43);
270. Compartilhamento de boas práticas e inovações de serviços em nuvem (parágrafos
101-103).
7 Proposta de encaminhamento
271. Ante o exposto, submetem-se os autos à consideração superior, propondo:
Deixar de expedir determinações e recomendações ao Tribunal de Contas da União (TCU), à
Controladoria-Geral da União (CGU) e ao Conselho Nacional de Justiça (CNJ), com fundamento
no inciso I do parágrafo único do art. 16 da Resolução-TCU 315, de 2020, tendo em conta o
envio formal de plano com diversas ações para tratamento dos riscos apontados, todas com
respectivos prazos, sem prejuízo de que o TCU verifique a efetiva implementação e os impactos
resultantes;
Nos termos do art. 8º da Resolução – TCU 315, de 2020, fazer constar, na ata da sessão em que
estes autos forem apreciados, comunicação do relator ao colegiado no sentido de autorizar a
realização das próximas etapas do presente acompanhamento, inclusive a avaliação se as
medidas informadas pelos gestores foram, de fato, implementadas e capazes de mitigar os riscos
apontados pela equipe de fiscalização;
Informar ao Tribunal de Contas da União (TCU), à Controladoria-Geral da União (CGU) e ao
Conselho Nacional de Justiça (CNJ) do acórdão que vier a ser proferido, destacando que o
relatório e o voto que fundamentam a deliberação ora encaminhada podem ser acessados por
meio do endereço eletrônico www.tcu.gov.br/acordaos;
Encaminhar cópia do relatório da equipe de fiscalização ao Tribunal de Contas da União
(TCU), à Controladoria-Geral da União (CGU) e ao Conselho Nacional de Justiça (CNJ).”
É o Relatório.
i disponível em
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A16023355901612E23301D47CE
ii https://www.gov.br/governodigital/pt-br/contratacoes/instrucao-normativa-sgd-me-no-94-de-23-de-dezembro-de-2022
iii Disponível em: https://portal.tcu.gov.br/elaboracao-do-orcamento-estimado-de-contratacoes-publicas-de-bens-e-servicos-
de-ti-nota-tecnica-audti-tcu-8-2023.htm
iv Disponível em: https://portal.tcu.gov.br/elaboracao-do-orcamento-estimado-de-contratacoes-publicas-de-bens-e-servicos-
de-ti-nota-tecnica-audti-tcu-8-2023.htm
v Disponível em: https://www.ipea.gov.br/cartadeconjuntura/index.php/tag/icti/
35
VOTO
ANTONIO ANASTASIA
Relator
1. Processo nº TC 010.613/2023-4.
2. Grupo I – Classe de Assunto V – Relatório de Acompanhamento
3. Interessados/Responsáveis: não há.
4. Órgãos/Entidades: Conselho Nacional de Justiça; Controladoria-Geral da União; Tribunal de Contas
da União.
5. Relator: Ministro Antonio Anastasia.
6. Representante do Ministério Público: não atuou.
7. Unidade Técnica: Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI).
8. Representação legal: não há
9. Acórdão:
VISTOS, relatados e discutidos estes autos que cuidam da primeira etapa do
acompanhamento realizado pelo Tribunal de Contas da União sobre a contratação de Unidades de
Serviços Técnicos de Intermediação para Nuvens Públicas, referente às Atas de Registro de Preços
resultantes das três licitações que irão compor a Solução de Computação em Nuvens Públicas da
Controladoria-Geral da União, do Conselho Nacional de Justiça e do pelo Tribunal de Contas da
União.
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão Plenária,
diante das razões expostas pelo Relator, em:
9.1. autorizar a Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI)
a realizar as próximas etapas do presente acompanhamento, inclusive no que tange à avaliação da
implementação e efetividade das medidas informadas pelos gestores;
9.2. dar ciência sobre o presente acórdão ao Tribunal de Contas da União, à Controladoria-
Geral da União e ao Conselho Nacional de Justiça, destacando que o relatório e o voto que
fundamentam a deliberação ora encaminhada podem ser acessados por meio do endereço eletrônico
www.tcu.gov.br/acordaos;
9.3. encaminhar cópia do relatório de fiscalização à peça 81 ao Tribunal de Contas da
União, à Controladoria-Geral da União e ao Conselho Nacional de Justiça.
Fui presente:
(Assinado Eletronicamente)
CRISTINA MACHADO DA COSTA E SILVA
Procuradora-Geral
1