Acórdão TCU 292/2025: O que Muda na Contratação de IA e Nuvem no Governo

Em 12 de fevereiro de 2025, o Tribunal de Contas da União publicou o Acórdão 292/2025-Plenário — uma decisão que avaliou a contratação centralizada de serviços de nuvem conduzida pelo Ministério da Gestão e Inovação (MGI). Embora o foco seja nuvem, as recomendações do TCU impactam diretamente a contratação e operação de inteligência artificial no setor público.

Este artigo analisa os principais pontos do acórdão, traduz suas implicações para a contratação de IA e mostra como organizações públicas podem se preparar para operar em conformidade.

O contexto: a contratação centralizada de nuvem

O governo federal brasileiro adotou um modelo de contratação centralizada de serviços de nuvem, coordenado pelo MGI. Em vez de cada órgão contratar individualmente seus provedores (AWS, Azure, Google Cloud), o governo utiliza um cloud broker — um intermediário que centraliza a contratação, distribui o acesso e oferece uma camada de gestão sobre múltiplos provedores.

Essa decisão foi estratégica. Centralizar significa obter melhores condições comerciais, padronizar a governança e ter visibilidade consolidada do uso. Mas também traz riscos: o broker se torna um ponto crítico de dependência, a governança contratual precisa ser robusta e os custos precisam ser rastreáveis.

O TCU avaliou exatamente esses pontos. E suas conclusões são um mapa de navegação para qualquer organização que esteja adotando IA no setor público.

Os principais pontos do Acórdão 292/2025

Governança contratual robusta

O TCU destacou que o modelo de cloud broker exige governança contratual mais sofisticada do que a contratação direta. Quando um intermediário media a relação entre a organização e os provedores, é preciso que os contratos definam com clareza as responsabilidades de cada parte, os níveis de serviço (SLAs), os mecanismos de fiscalização e as condições de transição entre provedores.

No contexto de IA, isso é ainda mais crítico. Cada provedor de IA tem políticas diferentes de retenção de dados, termos de uso distintos e modelos de precificação próprios. Um broker de IA precisa garantir que a organização tenha visibilidade sobre essas diferenças e que os contratos reflitam as exigências do setor público — especialmente LGPD e Lei de Acesso à Informação.

Rastreabilidade de custos e FinOps

Um dos pontos mais enfáticos do acórdão foi a necessidade de FinOps — governança financeira de recursos em nuvem. O TCU apontou que a ausência de rastreabilidade entre o planejamento orçamentário e a execução real nas contratações de nuvem é um risco que precisa ser gerenciado.

Na prática, o TCU quer que a organização consiga responder: quanto foi gasto com nuvem (e IA), por quem, quando, com qual provedor e para qual finalidade. Sem essa rastreabilidade, a prestação de contas se torna impossível.

Para IA, FinOps significa controlar custos no nível mais granular possível. Cada requisição a um modelo de IA consome tokens, e cada token tem um preço que varia por provedor, por modelo e por tipo de operação (input vs. output). Sem uma plataforma que rastreie esse consumo por departamento, projeto e usuário, o órgão público opera no escuro financeiramente.

Controle sobre marketplaces e catálogos flexíveis

O acórdão abordou os riscos associados ao uso de marketplaces de provedores de nuvem — catálogos flexíveis que permitem contratar serviços adicionais sob demanda. O TCU alertou que, sem controles adequados, esses marketplaces podem gerar consumo descontrolado e dificultar a fiscalização.

A analogia com IA é direta. Os provedores de IA oferecem dezenas de modelos, cada um com capacidades e preços diferentes. O GPT-4o da OpenAI, o Claude Sonnet da Anthropic, o Gemini Pro do Google — cada modelo é uma linha de custo potencial. Se cada departamento pode escolher livremente qual modelo usar sem nenhuma política de governança, o resultado é o mesmo catálogo flexível descontrolado que o TCU alertou.

Gestão de riscos na contratação

O Tribunal enfatizou que o modelo de broker traz riscos específicos que precisam ser mapeados e mitigados: dependência do intermediário, riscos de lock-in, capacidade de migração entre provedores e continuidade de serviço.

No universo de IA, esses riscos são amplificados. O mercado de provedores de IA muda rapidamente. Modelos são descontinuados, preços são alterados sem aviso, novos concorrentes surgem com capacidades superiores. Uma organização que constrói toda sua infraestrutura de IA em torno de um único provedor está vulnerável. O TCU, ao recomendar gestão de riscos e capacidade de migração para nuvem, está sinalizando o mesmo princípio que se aplica à IA: não dependa de um único fornecedor.

Por que o acórdão importa para IA

O Acórdão TCU 292/2025 não menciona inteligência artificial diretamente. Mas o modelo que o TCU avaliou — cloud broker multi-nuvem com governança centralizada — é estruturalmente idêntico ao modelo necessário para IA no setor público.

Considere os paralelos:

Nuvem → IA: O governo precisa de múltiplos provedores (AWS, Azure, GCP → OpenAI, Anthropic, Google, AWS Bedrock). O broker centraliza o acesso e a governança. FinOps para nuvem → FinOps para IA: O TCU cobra rastreabilidade de custos em nuvem. O mesmo princípio se aplica ao consumo de tokens de IA, que é igualmente variável e difícil de prever. Marketplace descontrolado → Modelos sem política: O risco de catálogos flexíveis em nuvem é análogo ao risco de departamentos usando modelos de IA sem restrição ou visibilidade. Lock-in de nuvem → Lock-in de IA: A migração entre provedores de nuvem é difícil. A migração entre provedores de IA é igualmente complexa se o código está acoplado a uma API específica.

Organizações que implementarem governança de IA agora — com os mesmos princípios que o TCU recomenda para nuvem — estarão em conformidade antes que o Tribunal volte seus olhos especificamente para inteligência artificial. E esse momento está próximo.

O que o TCU vai perguntar sobre IA

Não se trata de "se", mas de "quando". Quando o TCU auditar o uso de IA no setor público, as perguntas serão previsíveis porque seguem o mesmo padrão da auditoria de nuvem:

Quanto foi gasto? Total por provedor, por modelo, por departamento, por período. Com documentação comprobatória. Quem autorizou? Cadeia de aprovação para a contratação e para o uso. Políticas de acesso documentadas. Quais dados foram processados? Tipos de dados, classificação de sensibilidade, base legal LGPD, local de processamento. Existe rastreabilidade? Trilha de auditoria que conecte cada requisição a um usuário, um departamento, um custo e uma finalidade. Há dependência de fornecedor? Capacidade de migrar entre provedores sem interrupção. Código desacoplado da API de um único provedor. Os SLAs são adequados? Disponibilidade, latência, tempo de resposta a incidentes — documentados e monitorados.

Organizações que não puderem responder a essas perguntas com dados concretos estarão expostas. Organizações que tiverem uma plataforma de governança com trilha de auditoria, FinOps e multi-provedor terão as respostas prontas.

Como se preparar: lições práticas do acórdão

1. Adote o modelo de broker para IA

Se o governo adotou o modelo de cloud broker para nuvem — e o TCU validou essa abordagem, mesmo com ressalvas — o mesmo modelo faz sentido para IA. Um broker de IA centraliza o acesso a múltiplos provedores, padroniza a API, gerencia custos e oferece a trilha de auditoria que o TCU exige.

A diferença entre fazer isso bem e fazer isso mal está na plataforma escolhida. O broker precisa oferecer não apenas acesso multi-provedor, mas governança real: controle de custos por departamento, políticas de uso por modelo, trilha de auditoria inviolável e múltiplos modos de entrega para atender a diferentes classificações de dados.

2. Implemente FinOps para IA desde o primeiro dia

Não espere a fatura chegar para descobrir quanto custou. Configure franquias por departamento, alertas de consumo, limites por modelo e relatórios automatizados. O TCU espera que a organização demonstre que os custos são planejados, monitorados e controlados — não descobertos retroativamente.

Uma plataforma de governança de IA que oferece FinOps nativo permite que o gestor defina: "o Departamento de Saúde pode gastar até R$ 5.000/mês em IA, usando apenas Claude e Gemini, com alerta automático aos 80% do consumo". Isso é governança. Isso é o que o TCU quer ver.

3. Garanta rastreabilidade completa

Cada requisição de IA deve gerar um registro que inclua: timestamp, usuário, departamento, provedor, modelo, tokens consumidos, custo e política aplicada. Esse registro deve ser protegido por integridade criptográfica — uma trilha de auditoria onde qualquer alteração retroativa é detectável.

Essa não é uma funcionalidade "nice to have". É uma exigência implícita do acórdão e explícita da LGPD. Sem trilha de auditoria, não há como prestar contas.

4. Evite lock-in desde a arquitetura

O TCU alertou sobre lock-in em nuvem. Para IA, a solução é usar uma plataforma que abstraia a camada de provedor. Com um broker de IA, o código da aplicação aponta para uma API única. Por trás, a plataforma roteia para o provedor adequado. Se o provedor muda preços, é descontinuado ou apresenta problemas, a troca acontece na plataforma — sem alterar uma linha de código na aplicação.

Essa capacidade de trocar de provedor sem reescrita é exatamente o que o TCU quer ver em termos de gestão de riscos e continuidade de serviço.

5. Documente políticas antes da auditoria

Não espere ser auditado para definir políticas. Documente agora: quais provedores e modelos são aprovados, quais departamentos têm acesso, quais são os limites de gastos, qual é o processo de aprovação para novos casos de uso, qual é o modo de entrega para cada tipo de dado.

O TCU avalia não apenas os resultados, mas o processo. Ter políticas documentadas e implementadas demonstra maturidade de governança.

A convergência inevitável: nuvem e IA sob o mesmo TCU

O Acórdão 292/2025 trata de nuvem, mas IA e nuvem são inseparáveis na prática. Serviços de IA são, na sua grande maioria, consumidos via APIs hospedadas em nuvem. O mesmo provedor que oferece infraestrutura de computação (AWS, Azure, Google Cloud) oferece modelos de IA (Bedrock, Azure OpenAI, Vertex AI). O mesmo contrato que cobre nuvem pode cobrir IA. O mesmo TCU que audita nuvem vai auditar IA.

Essa convergência significa que organizações não podem tratar IA como uma ilha. A governança de IA deve estar integrada à governança de TI — com os mesmos princípios de rastreabilidade, FinOps, gestão de riscos e conformidade que o TCU já exige para nuvem.

O Plano Brasileiro de Inteligência Artificial (PBIA 2024-2028) reforça esse ponto ao incluir um eixo específico de governança e ao criar o Núcleo de IA do Governo coordenado pelo MGI — o mesmo ministério que coordena a contratação centralizada de nuvem avaliada pelo TCU.

Perguntas frequentes sobre o Acórdão TCU 292/2025

O que é o Acórdão TCU 292/2025?

É uma decisão do Tribunal de Contas da União, proferida na sessão de 12 de fevereiro de 2025, que avaliou a contratação centralizada de serviços de nuvem conduzida pelo Ministério da Gestão e Inovação (MGI), utilizando o modelo de cloud broker multi-nuvem.

O Acórdão TCU 292/2025 se aplica à contratação de IA?

Embora o acórdão trate especificamente de nuvem, os princípios de governança contratual, FinOps, rastreabilidade de custos e gestão de riscos são diretamente aplicáveis à contratação de IA, já que a maioria dos serviços de IA é consumida como serviço em nuvem.

O que é FinOps e por que o TCU exige?

FinOps é a disciplina de governança financeira para recursos em nuvem. O TCU exige práticas de FinOps porque a ausência de rastreabilidade entre planejamento e execução orçamentária nas contratações de nuvem e IA representa risco fiscal e dificulta a prestação de contas.

O que é o modelo de cloud broker mencionado pelo TCU?

O cloud broker é um intermediário que conecta a organização a múltiplos provedores de nuvem através de um ponto único de contratação e gestão. O MGI adotou esse modelo para centralizar a contratação de nuvem do governo federal, e o TCU avaliou os riscos e benefícios dessa abordagem.

Como se preparar para auditorias do TCU sobre IA?

Implemente uma plataforma de governança de IA com trilha de auditoria inviolável, controle de custos por departamento (FinOps), rastreabilidade de uso por provedor e modelo, conformidade com LGPD e capacidade de gerar relatórios detalhados para fiscalização.

Qual o risco de lock-in mencionado no acórdão?

O TCU alertou para o risco de aprisionamento tecnológico quando a organização depende de um único provedor. No contexto de IA, isso significa ter código e processos atrelados a uma única API, tornando a migração cara. A solução é usar um broker de IA que abstraia a camada de provedor.

Conclusão: o TCU apontou o caminho

O Acórdão 292/2025 não é uma ameaça — é um roteiro. O TCU está dizendo, em linguagem de auditoria, o que qualquer gestor prudente já deveria implementar: governança contratual, rastreabilidade, FinOps, gestão de riscos e capacidade de migração.

Organizações que aplicarem esses princípios à contratação de IA — e não apenas à nuvem — estarão à frente. Não porque serão as primeiras a adotar IA, mas porque serão as primeiras a adotá-la de forma que resiste a uma auditoria.

O momento de implementar governança de IA não é quando o TCU bater à porta. É agora, enquanto a janela de preparação ainda está aberta.

---

O Adapt11 é a plataforma brasileira de governança de inteligência artificial que funciona como broker de múltiplos provedores. Com trilha de auditoria inviolável, controle de custos por departamento, conformidade com LGPD e 4 modos de entrega para soberania de dados, o Adapt11 foi projetado para o setor público. Agendar demonstração → | Solicitar material para licitação → | Conheça a solução →