Matrizes de risco como mecanismo de planejamento de auditorias de tecnologia da informação e comunicação: seleção de sistemas governamentais

Abstract

Os grandes recursos financeiros investidos em tecnologia nas organizações devem ser avaliados por auditorias específicas e bem planejadas por meio de ferramentas apropriadas. Este artigo busca o desenvolvimento de matrizes de risco de Sistemas de Informação no âmbito do Poder Executivo Estadual do Ceará, com o objetivo de atender à necessidade de planejamento das auditorias especializadas de Tecnologia da Informação e Comunicação (TIC) da Controladoria e Ouvidoria Geral do Estado do Ceará (CGE/CE). A metodologia utilizada foi pesquisa quantitativa a partir de questionário enviado pela CGE/CE para quarenta entidades do Governo do Estado do Ceará, possibilitando a avaliação de 611 sistemas informatizados. O resultado são ferramentas que possibilitam classificar de forma objetiva os sistemas governamentais mais críticos, bem como apontar quais entidades possuem maior tendência a serem auditados pela CGE/CE. A partir deste estudo de caso, pretende-se fomentar as discussões relacionadas às atividades de planejamento de auditoria de TIC.