Questões de Concursos Auditor de Controle Externo Tecnologia da Informação

Resolva questões de Auditor de Controle Externo Tecnologia da Informação comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática.

Ordenar por:

21Q1044820 | Governança de TI, Conceitos Básicos em Governança de Ti, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

O TCE-PE tem adotado tecnologias de computação em nuvem como parte de sua estratégia de modernização da infraestrutura de TI, visando maior escalabilidade, eficiência e redução de encargos operacionais. No entanto, a escolha do modelo de serviço adequado impacta diretamente nas responsabilidades da equipe técnica quanto à gestão e à segurança do ambiente.
Dessa forma, com base nos modelos de serviço em nuvem e suas implicações para a segurança e a gestão de ambientes, avalie as afirmativas a seguir e assinale (V) para verdadeira e (F) para falsa.

( ) No modelo Infrastructure as a Service (IaaS), cabe ao cliente a responsabilidade pela instalação, atualização e segurança do sistema operacional e das aplicações hospedadas.
( ) Em ambientes Software as a Service (SaaS), o cliente pode ser responsável por configurar políticas de acesso, autenticação e permissões de usuários, quando essas opções são disponibilizadas pelo provedor.
( ) No modelo Platform as a Service (PaaS), o provedor é responsável pelo ambiente de execução e pela infraestrutura, enquanto o cliente é responsável pelo código da aplicação e pela segurança das dependências utilizadas.
( ) Considerando os modelos de serviço IaaS, PaaS e SaaS, nessa ordem, a responsabilidade pela gestão da infraestrutura é gradualmente transferida ao provedor da nuvem.

As afirmativas são, respectivamente,

✂️ a) V – F – V – F.
✂️ b) V – V – V –V.
✂️ c) F – V – V – V.
✂️ d) V – V – F – V.
✂️ e) F – F – F – V.

22Q1044812 | Direito Administrativo, Licitações e Lei N 14 133 de 2021, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

A Lei nº 14.133/2021, estabelece normas gerais de licitação e contratação para as Administrações Públicas no Brasil.
Considerando a norma citada, verificar a aceitabilidade ou a desclassificação da proposta envolve:

✂️ a) desclassificar a que contiver vícios insanáveis, mesmo quando há possibilidade de saneamento sem que prejudique a competitividade e a isonomia no certame.
✂️ b) aplicar o princípio do formalismo moderado, sendo inaceitável o desatendimento de exigências meramente formais que não comprometam a aferição da qualificação do licitante ou a compreensão do conteúdo de sua proposta.
✂️ c) analisar sua adequação ao objeto definido no edital e a compatibilidade do valor proposto com o preço estimado para a contratação.
✂️ d) desclassificar a que apresentar desconformidade com quaisquer outras exigências do edital, mesmo que sanáveis.
✂️ e) deferir, quando exigido pela Administração, a que tiver, pelo menos, sua exequibilidade demonstrada parcialmente.

23Q1039879 | Banco de Dados, Big Data, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Um Tribunal está implementando uma solução para gerenciar seu vasto acervo digital, que inclui milhões de documentos digitalizados, gravações de áudio de sessões, vídeos de audiências e dados estruturados extraídos do sistema processual eletrônico. Para viabilizar análises futuras complexas (como mineração de dados, inteligência artificial e cruzamento de informações) e consultas avançadas, optou por armazenar inicialmente todos esses dados em um data lake.
A principal vantagem da escolha inicial pelo data lake reside no fato de que ele permite:

✂️ a) armazenar dados brutos em seu formato original sem exigir esquemas rígidos pré-definidos, mantendo a flexibilidade para futuras transformações.
✂️ b) realizar automaticamente transformações complexas (ETL/ELT) e modelar os dados em tabelas altamente normalizadas, prontas para consulta analítica imediata.
✂️ c) excluir de forma automatizada registros históricos considerados irrelevantes, reduzindo significativamente o volume total de dados armazenados e os custos associados.
✂️ d) converter automaticamente todos os dados brutos em relatórios e dashboards visuais prontos para consumo pelos operadores do direito, sem necessidade de processamento adicional.
✂️ e) restringir o acesso aos usuários apenas a conjuntos de dados previamente filtrados, resumidos e aprovados pela governança, garantindo máxima segurança desde o início.

24Q1044811 | Segurança da Informação, Ataques e Ameaças, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Uma instituição privada sofreu um ataque por ransomware, no qual dados confidenciais foram sequestrados e bloqueados, com a ameaça de só serem liberados mediante pagamento de resgate ao invasor. Para ajudar a resolver o problema, foi utilizada a técnica de Engenharia Reversa.
Com base no relato, avalie as afirmativas relacionadas ao emprego da Engenharia Reversa e assinale (V) para verdadeira e (F) para falsa.

( ) É um processo técnico útil para resolver o problema, utilizando a análise do sistema para entender sua estrutura, seu funcionamento e sua operação.
( ) Ela atua na análise do sistema de arquivos e na tentativa de recuperar dados que não estão mais acessíveis, promovendo o entendimento de como o malware funciona, identificando suas fraquezas e aperfeiçoando o desenvolvimento de defesas mais eficazes.
( ) Nesse cenário, as vulnerabilidades de dia zero representam uma ameaça específica, pois significam vulnerabilidades conhecidas, documentadas e corrigidas.

As afirmativas são, respectivamente,

✂️ a) V – V – F.
✂️ b) V – F – V.
✂️ c) V – F – F.
✂️ d) V – V – V.
✂️ e) F – F – F.

25Q1044819 | Direito Digital, Lei N 13 709 de 2018, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Com base na Lei Geral de Proteção de Dados Pessoais (LGPD), no que se refere à segurança da informação e à estruturação dos sistemas utilizados para o tratamento de dados, assinale a afirmativa correta.

✂️ a) A definição de mecanismos técnicos de segurança utilizados nos processos de tratamento de dados deve considerar, prioritariamente, as demandas do negócio e a eficiência operacional dos sistemas, sendo os princípios da LGPD aplicáveis de forma complementar e adaptativa.
✂️ b) As medidas técnicas e administrativas de segurança exigidas pela LGPD são aplicáveis às etapas do tratamento e não precisam abranger os processos internos de concepção do produto ou serviço, desde que haja medidas compensatórias na fase de execução.
✂️ c) A estruturação dos sistemas utilizados para tratamento de dados deve atender aos objetivos específicos do controlador e à arquitetura de dados adotada, sendo os requisitos legais aplicados com flexibilidade, conforme o modelo de governança estabelecido internamente.
✂️ d) A responsabilidade pela adoção de medidas de segurança, no âmbito da LGPD, se mantém ativa mesmo após o término do tratamento de dados, e deve abranger também situações de armazenamento residual ou arquivamento.
✂️ e) Em caso de incidente de segurança com dados pessoais, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) é obrigatória se os dados afetados forem sensíveis ou vinculados a direitos fundamentais que não acarretem risco ou dano relevante aos titulares.

27Q1044816 | Modelagem de Processos de Negócio BPM, Processo e Tecnologia, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Um órgão federal automatizou seu processo de licitações utilizando BPMN e BPMS. O fluxo inclui etapas como análise de documentos, parecer jurídico e homologação, com os seguintes requisitos:

• Licitações acima de R$ 1,5 milhão exigem avaliação paralela pela Controladoria-Geral da União (CGU) e pela Advocacia-Geral da União (AGU);
• Solicitações com pendências devem gerar notificação automática aos responsáveis, com prazo de 48h para correção;
• O sistema deve enviar relatórios em tempo real ao Tribunal de Contas da União (TCU).

Assinale a opção que apresenta a combinação de elementos de BPMN e recursos de BPMS para atender corretamente a todos os requisitos.

✂️ a) Gateway Paralelo para acionar CGU e AGU simultaneamente.
Evento Intermediário de Mensagem acionado após Timer Event de 48h para notificar pendências.
Conector REST integrado ao TCU, seguindo o padrão e-PING.
✂️ b) Gateway Inclusivo (OR) para direcionar licitações à CGU ouAGU, conforme disponibilidade.
Evento Final de Erro para encerrar processos com pendências após 48h.
Pool único com Lanes para CGU, AGU e TCU.
✂️ c) Gateway Exclusivo (XOR) para escolher entre CGU ou AGU, conforme o valor da licitação. Evento de Temporizador sem ação associada para monitorar prazos. Conector SOAP sem validação de padrões para integração com TCU.
✂️ d) Gateway Paralelo para avaliação conjunta da CGU e AGU. Tarefa de Serviço para enviar e-mails de notificação sem prazo definido. Dashboard interno para visualização de métricas, sem integração com TCU.
✂️ e) Gateway Complexo para regras customizadas de aprovação.
Evento de Compensação para reverter ações em caso de atrasos.
Sincronização manual de dados com o TCU via planilhas.

29Q1039864 | Engenharia de Software, Processos de Software, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Sobre processos tradicionais para desenvolvimento de software, bem como metodologias ágeis e Kanban, assinale a afirmativa correta.

✂️ a) Valorizar processos e ferramentas acima de indivíduos e interações é uma das principais características de metodologias ágeis.
✂️ b) Metodologias de processo sequenciais, como os modelos cascata e V, são indicados para cenários nos quais os requisitos são bem definidos e estáveis.
✂️ c) Uma ideia convencional em desenvolvimento de sistemas é que os impactos de mudanças crescem linearmente com o avanço do projeto.
✂️ d) Enquanto o Scrum tem sua origem na fabricação Lean, o Kanban é mais voltado para desenvolvimento de software.
✂️ e) Seja em modelos mais tradicionais, como em métodos ágeis, é fácil prever quais requisitos de software vão perdurar e quais serão alterados.

30Q1044818 | Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.

✂️ a) Transferência do risco.
✂️ b) Mitigação do risco.
✂️ c) Aceitação do risco.
✂️ d) Evitar o risco.
✂️ e) Compartilhamento do risco.

31Q1039868 | Engenharia de Software, Gerência de Configuração, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Historicamente, as equipes de desenvolvimento trabalhavam de forma isolada por grandes períodos, atrasando a junção de suas modificações na ramificação principal (master) até a conclusão completa de suas tarefas. Essa prática resultava em fusões de código complexas e demoradas, além de propiciar o acúmulo de erros. Consequentemente, a agilidade na distribuição de novas atualizações aos clientes era severamente comprometida.
Isso posto, a solução para o problema descrito é a (o):

✂️ a) Entrega Contínua.
✂️ b) Monitoramento.
✂️ c) Implantação Contínua.
✂️ d) Build.
✂️ e) Integração Contínua.

32Q1039862 | Engenharia de Software, Metodologia de Desenvolvimento de Software, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

A respeito das metodologias Scrum, Kanban e do modelo tradicional em cascata, considere as afirmativas a seguir.

I. O Kanban, assim como o modelo cascata, exige a conclusão de uma fase para iniciar a próxima, garantindo previsibilidade no fluxo de trabalho
II. O modelo cascata permite maior adaptação a mudanças durante o projeto do que o Scrum e o Kanban, por trabalhar com fases bem delimitadas.
III. No Scrum, as entregas são realizadas em ciclos fixos e iterativos, enquanto o Kanban opera com fluxo contínuo e foco na limitação de trabalho em progresso.

Está correto o que se afirma em:

✂️ a) II, apenas.
✂️ b) I e II, apenas.
✂️ c) III, apenas.
✂️ d) II e III, apenas.
✂️ e) I, II e III.

33Q1039869 | Engenharia de Software, Engenharia de Requisitos, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

No contexto da Engenharia de Software, especialmente considerando o desenvolvimento de aplicações com JavaScript (frontend) e Java (backend), é essencial compreender claramente a distinção entre requisitos funcionais e não funcionais.
Sobre requisitos funcionais e não funcionais, assinale a afirmativa correta.

✂️ a) Requisitos funcionais descrevem como o sistema deve operar, enquanto requisitos não funcionais descrevem o que o sistema deve fazer.
✂️ b) Requisitos funcionais são relacionados a atributos de qualidade do sistema, como desempenho e segurança.
✂️ c) "Permitir que usuários façam login utilizando autenticação multifator" é um exemplo de requisito funcional.
✂️ d) "A interface do usuário deve ser implementada utilizando ReactJS" é um exemplo de requisito não funcional.
✂️ e) Requisitos não funcionais são irrelevantes na etapa de desenvolvimento de aplicações Java e JavaScript, pois são detalhados somente durante a fase de implantação.

34Q1039863 | Engenharia de Software, Engenharia de Requisitos, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Logo no início do processo de engenharia de software, ocorre uma etapa fundamental para a definição precisa do que deverá ser desenvolvido. Nessa fase, são especificadas as características operacionais do sistema, incluindo suas funções, os dados manipulados, os comportamentos esperados e a forma como o software interage com outros componentes do ambiente. Esse estágio compreende diversas atividades, como o entendimento do problema, a avaliação e síntese de informações, a modelagem dos requisitos, sua especificação formal e posterior revisão. Trata-se de uma fase crítica, pois erros ou omissões nesse momento podem levar à construção de um sistema que não atende às necessidades reais do usuário, ocasionando desperdício de tempo e recursos.
A etapa descrita é:

✂️ a) Desenho de software.
✂️ b) Geração de código.
✂️ c) Análise de requisitos.
✂️ d) Arquitetura de software.
✂️ e) Manutenção.

35Q1039870 | Banco de Dados, Gerência de Transações, Auditor de Controle Externo Tecnologia da Informação, TCE PE, FGV, 2025

Em um ambiente de banco de dados, um conceito muito importante é o de transação, uma unidade atômica de trabalho que deve ser concluída totalmente ou não ser feita de forma alguma. Nesse contexto, há um conjunto de propriedades fundamentais para o processamento de transações, sendo necessárias e impostas pelos métodos de controle de concorrência e recuperação em SGBDs.
Assinale a opção que indica a propriedade segundo a qual, após a confirmação de uma transação, as alterações realizadas devem permanecer no banco de dados e não podem ser perdidas em caso de falhas no sistema.

✂️ a) Geração de log do sistema.
✂️ b) Isolamento.
✂️ c) Consistência.
✂️ d) Durabilidade.
✂️ e) Atomicidade.