Risk matrices as an information and communication technology audit planning mechanism: selection of government systems
DOI: https://doi.org/10.32586/rcda.v17i2.543
Keywords:
Risk Matrix. Planning. ICT Audit. Government Information Systems.Abstract
The large financial resources invested in technology in organizations should be evaluated by specific and well-planned audits using appropriate tools. This paper seeks to develop the Information Systems Risk Matrices within the State Executive Branch of Ceará, in order to meet the need for planning the specialized audits of Information and Communication Technology (ICT) of General Comptroller and Ombudsman’s Office (CGE/CE). The methodology used was a quantitative research based on a questionnaire sent by CGE/CE to forty entities of the Ceará State Government, which allowed the evaluation of 611 computerized systems. The result are tools that enables the objective classification of the most critical government systems, as well as which entities have the highest inclination to be audited by the CGE/CE. From this case study, we intend to encourage discussions related to ICT audit planning activities.
Metrics
References
BRAZ, M. R. Auditoria de TI: o guia da sobrevivência. Brasília, DF: ASE Editorial, 2017.
CEARÁ. Lei nº 13.875, de 07 de fevereiro de 2007. Dispõe sobre o modelo de Gestão do poder executivo, altera a estrutura da administração estadual, promove a extinção e criação de cargos de direção e assessoramento superior, e dá outras providências. Diário Oficial do Estado do Ceará: Fortaleza, p. 3-15, 7 fev. 2007. Disponível em: https://bit.ly/2lx7yyJ. Acesso em: 1 set. 2016.
CEARÁ. Tribunal de Contas do Estado do Ceará. Metodologia para seleção de auditorias de tecnologia da informação no Tribunal de Contas do Estado do Ceará. Fortaleza: TCE/CE, 2010. Disponível em: https:// bit.ly/2lA4KRq. Acesso em: 1 set. 2016.
CEARÁ. Tribunal de Justiça do Estado do Ceará. Plano Anual das atividades e auditoria exercício 2016 do Tribunal de Justiça do Estado do Ceará. Fortaleza: TCE/CE, 2016. Disponível em: https://bit.ly/2lUh4vU. Acesso em: 1 set. 2016.
CPLP. Manual de controlo/controle interno. Brasília, DF: CPLP, 2009. Disponível em: https://bit.ly/348Mro3. Acesso em: 1 set. 2016.
DISTRITO FEDERAL. Tribunal de Contas do Distrito Federal. Manual de auditoria: parte geral. Brasília, DF: Tribunal de Contas do Distrito Federal, 2011. Disponível em: https://bit.ly/2k50j0H. Acesso em: 1 set. 2016.
IMONIANA, J. O. Organização de trabalho de auditoria de sistemas de informações. In: IMONIANA, J. O. Auditoria de sistemas de informação. 3. ed. São Paulo: Atlas, p. 10-11, 2017.
ISACA. Certified information system auditor review manual. 27. ed. [S. l.]: Isaca, 2019.
LYRA, M. R. Segurança e auditoria em sistemas de informação. 2. ed. Rio de Janeiro: Ciência Moderna, 2017.
MARANHÃO. Controladoria Geral do Estado. Manual de Auditoria da Controladoria Geral do Estado do Maranhão. São Luís: CGE, 2012. Disponível em: https://bit.ly/2lWjABP. Acesso em: 1 set. 2016.
RIO DE JANEIRO (Cidade). Controladoria Geral do Rio de Janeiro. Planejamento estratégico em auditoria da Controladoria Geral do Rio de Janeiro. Rio de Janeiro: Controladoria Geral, 2004. Disponível em: https://bit.ly/2lEjMWw. Acesso em: 1 set. 2016.
References
BRAZ, M. R. Auditoria de TI: o guia da sobrevivência. Brasília, DF: ASE Editorial, 2017.
CEARÁ. Lei nº 13.875, de 07 de fevereiro de 2007. Dispõe sobre o modelo de Gestão do poder executivo, altera a estrutura da administração estadual, promove a extinção e criação de cargos de direção e assessoramento superior, e dá outras providências. Diário Oficial do Estado do Ceará: Fortaleza, p. 3-15, 7 fev. 2007. Disponível em: https://bit.ly/2lx7yyJ. Acesso em: 1 set. 2016.
CEARÁ. Tribunal de Contas do Estado do Ceará. Metodologia para seleção de auditorias de tecnologia da informação no Tribunal de Contas do Estado do Ceará. Fortaleza: TCE/CE, 2010. Disponível em: https:// bit.ly/2lA4KRq. Acesso em: 1 set. 2016.
CEARÁ. Tribunal de Justiça do Estado do Ceará. Plano Anual das atividades e auditoria exercício 2016 do Tribunal de Justiça do Estado do Ceará. Fortaleza: TCE/CE, 2016. Disponível em: https://bit.ly/2lUh4vU. Acesso em: 1 set. 2016.
CPLP. Manual de controlo/controle interno. Brasília, DF: CPLP, 2009. Disponível em: https://bit.ly/348Mro3. Acesso em: 1 set. 2016.
DISTRITO FEDERAL. Tribunal de Contas do Distrito Federal. Manual de auditoria: parte geral. Brasília, DF: Tribunal de Contas do Distrito Federal, 2011. Disponível em: https://bit.ly/2k50j0H. Acesso em: 1 set. 2016.
IMONIANA, J. O. Organização de trabalho de auditoria de sistemas de informações. In: IMONIANA, J. O. Auditoria de sistemas de informação. 3. ed. São Paulo: Atlas, p. 10-11, 2017.
ISACA. Certified information system auditor review manual. 27. ed. [S. l.]: Isaca, 2019.
LYRA, M. R. Segurança e auditoria em sistemas de informação. 2. ed. Rio de Janeiro: Ciência Moderna, 2017.
MARANHÃO. Controladoria Geral do Estado. Manual de Auditoria da Controladoria Geral do Estado do Maranhão. São Luís: CGE, 2012. Disponível em: https://bit.ly/2lWjABP. Acesso em: 1 set. 2016.
RIO DE JANEIRO (Cidade). Controladoria Geral do Rio de Janeiro. Planejamento estratégico em auditoria da Controladoria Geral do Rio de Janeiro. Rio de Janeiro: Controladoria Geral, 2004. Disponível em: https://bit.ly/2lEjMWw. Acesso em: 1 set. 2016.
Published
Issue
Section
License
Copyright (c) 2019 Revista Controle - Doutrina e Artigos
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.
Autores que publicam na Revista Controle – Doutrina e Artigos concordam com os seguintes termos:
1 A Revista Controle – Doutrina e Artigos não se responsabiliza pelas opiniões, ideias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es), não significando necessariamente o posicionamento do Tribunal de Contas do Estado do Ceará e do Instituto Plácido Castelo;
2. O periódico segue o padrão Creative Commons (CC BY NC 4.0), que permite o compartilhamento e adaptação de obras derivadas do original, mas não pode usar o material para fins comerciais. As novas obras devem conter menção ao(s) autor(es) nos créditos;
3 O(s) responsável(is) pela submissão de artigos declara(m), sob as penas da Lei, que a informação sobre a autoria do trabalho é absolutamente completa e verdadeira;
4 O(s) autor(es) garante(m) que o artigo é original e inédito e que não está em processo de avaliação em outros periódicos;
5 A responsabilidade por eventuais plágios nos artigos publicados é de responsabilidade do(s) autor(es);
6 É reservado aos Editores o direito de proceder ajustes textuais e de adequação dos artigos às normas da publicação;
7 A Revista Controle – Doutrina e Artigos não realiza cobrança de nenhuma taxa ou contribuição financeira em razão de submissão de artigos ou de seu processamento;
8 A publicação dos artigos na Revista Controle – Doutrina e Artigos não gerará direito à remuneração de qualquer espécie; e
9 O(s) autor(es) autoriza(m) a publicação do artigo na Revista Controle – Doutrina e Artigos.