Notícias e Negócios
TCU avalia contratação de serviços em nuvem do Governo Federal
Apenas no ano de 2023, a contratação de serviços em nuvem envolveu aproximadamente R$ 530 milhões distribuídos entre 79 órgãos
O Tribunal de Contas da União (TCU) avaliou, na sessão plenária do dia 12 de fevereiro de 2025, por meio do Acórdão 292/2025-Plenário, a contratação centralizada de serviços de computação em nuvem, conduzida pelo Ministério da Gestão e da Inovação em Serviços Públicos (MGI).
A iniciativa do Governo Federal prevê a adoção de um modelo de cloud broker (integrador) de multi-nuvem, envolvendo três ou mais provedores de nuvem pública. O escopo dos serviços a serem executados no âmbito da contratação é amplo e inclui a concepção, projeto, provisionamento, configuração, migração, suporte, manutenção e gestão de topologias de serviços.
O objetivo da contratação é atender à crescente demanda da Administração Pública de forma padronizada e eficiente. De acordo com a minuta do Estudo Técnico Preliminar elaborada pelo MGI e enviada ao TCU, a categoria de “Serviços em Nuvem” foi a sétima iniciativa de Tecnologia da Informação e Comunicação (TIC) em termos de volume financeiro previsto para 2023, alcançando a ordem de R$ 530 milhões distribuídos entre 79 órgãos.
No entanto, a fiscalização conduzida pela Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI) identificou uma série de riscos no processo.
Confira, a seguir, uma tabela detalhando quais foram esses riscos, seus possíveis efeitos e as medidas adotadas pelos gestores para mitigá-los:
| Risco identificado pelo TCU | Possíveis efeitos | Medidas adotadas pelos gestores |
| Fragmentação e falta de padronização nas soluções de TI adotadas pelos órgãos públicos. |
|
Revisão dos documentos da contratação, como Estudo Técnico Preliminar e Termo de Referência, para dispor que a contratação estará alinhada à Estratégia Federal de Governo Digital 2024-2027. |
| SLAs insuficientes para garantir níveis aceitáveis de disponibilidade e segurança dos serviços |
|
Revisão da dosimetria das glosas, adotando valores mais próximos aos referenciais de mercado adotados pelos provedores. |
| Deficiências na gestão, execução e fiscalização contratual |
|
Elaboração de toolkit com orientações sobre gestão, execução e fiscalização contratual e ferramentas de como verificar níveis de serviço e certificações de segurança da informação.
O TCU entendeu, ainda, que essas medidas contribuem para mitigar os riscos, desde que que orientem adequadamente as organizações públicas participantes nos processos de analisar, provisionar e fiscalizar serviços de nuvem. Algumas dificuldades existentes nestes processos, são: analisar o custo-benefício de múltiplos parâmetros complexos para provisionamento de serviços; provisionar serviços de catálogos numerosos e complexos e fiscalizar se os serviços provisionados atenderam às necessidades de negócios. |
| Divergências de quantitativos entre os documentos da contratação e os Planos de Contratação Anual (PCA’s) dos órgãos participantes |
|
Declaração de disponibilidade orçamentária suficiente no momento da assinatura do contrato e a inclusão no guia orientativo de previsão de observação ao limite máximo estabelecido no PCA de 2024. |
| Mecanismos de supervisão contratual entre broker e provedor insuficiente |
|
Alterações no TR para incluir mecanismos de controle que aperfeiçoam o acompanhamento da contratada em relação ao cumprimento dos requisitos contratuais ao longo da execução contratual. |
| Termo de compartilhamento de responsabilidades com lacunas de clareza e especificidade das atribuições |
|
Previsão de cláusulas mais detalhadas no termo de compartilhamento de responsabilidades, exigindo certificações e atendimento a padrões internacionais relacionados à segurança, confidencialidade e privacidade dos dados.
Também serão especificados, no termo de compartilhamento de responsabilidade, procedimentos de monitoramento e fiscalização do cumprimento das obrigações pelo provedor de nuvem. |
| Fatores de USN acima das referências de mercado |
|
Previsão de que os fatores de USN, ao longo da execução contratual, não podem ser superiores aos máximos previstos nas planilhas dos documentos editalícios. |
| Inexatidões e inconsistências no dimensionamento de quantitativos de consumo planejado de serviços de nuvem |
|
Elaboração de uma ferramenta para ajudar as organizações públicas participantes a dimensionar os quantitativos de consumo planejado de serviços de nuvem. |
| Vulnerabilidades de segurança da informação |
|
Atualização da matriz de gerenciamento de riscos do planejamento da contratação para deixar de forma mais explicita quais os riscos que precisam ser gerenciados pelos órgãos participantes da ARP e os respectivos controles que devem ser adotados.
Avaliação da maturidade dos órgãos por meio de questionário e, posteriormente, disponibilização de material complementar orientativo aos órgãos participantes sobre aspectos relacionados à segurança da informação na gestão e execução contratual. Também serão feitas tratativas junto à ENAP para avaliar a possibilidade de disponibilização de cursos relativos ao tema. |
Nesse contexto, o plenário do TCU acolheu as considerações da AudTI e entendeu que os gestores apresentaram medidas adequadas para gerenciar os riscos apontados.
Para mais informações sobre esses e outros julgados, bem como questões sobre a contratação de soluções de TIC pela Administração Pública, conheça as práticas de Direito Público e Tecnologia do Mattos Filho.
