Comentários de questões sobre COBIT na prova do CESPE

Olá servidores!

Com o tão esperado edital do TCU vamos focar em resolução de exercícios e decidi compartilhar com vocês algumas questões. Preparados? Vamos lá! Importante lembrar que imagino que conheçam o mínimo do modelo, portanto uma leitura em material complementar é importante, pois os comentários são breves, ok?

<AGE/ES 2004 – Auditor de Informática>

107 No contexto do COBIT, um objetivo de controle das tecnologias da informação (IT control objective) é uma declaração do resultado desejado ou do propósito a ser alcançado pela implementação de procedimentos de controle em uma atividade particular relativa às tecnologias da informação.

CERTO. Esse é o conceito de objetivo de controle. Importante diferenciar controle de objetivos de controle. Controle são práticas, procedimentos que vou ter para garantir que o resultado seja alcançado. Objetivo de controle é a declaração do resultado que eu quero alcançar, pela implementação dos meus controles.

108 No modelo de maturidade da governança de tecnologias da informação do COBIT, o nível 3 de maturidade (defined process) é aquele em que há um completo entendimento das questões de governança de tecnologias da informação em todos os níveis, entendimento esse apoiado pelo treinamento formal dos envolvidos.

ERRADO. É um tipo de questão relativamente comum. O ‘pega’ é colocar modelo de maturidade de governança de TI. Não existe requisito de entendimento de governa de TI em todos os níveis.

<Ceará Portos 2004 – Analista de Logística>

120 O modelo de maturidade da governança de tecnologias da informação elaborado no contexto do COBIT apresenta 5 níveis de maturidade assim denominados: non-existent, initial/ad hoc, repeatable but intuitive, defined process, managed and measurable e optimised.

ERRADO. A relação tá certa, mas são (0 a 5) seis.

STJ 2004 – Analista de Sistemas

149 Segundo o COBIT, para satisfazer objetivos do negócio, a informação deve ser compatível com certos critérios aos quais o COBIT se refere como requisitos de negócio acerca da informação. Com relação aos requisitos de segurança da informação negocial, o COBIT identificou os critérios confidencialidade, integridade e disponibilidade.

CERTO. São os três critérios que se agrupam no grupo Segurança.

TCE/PE 2004 – Analista de Sistemas

107 No contexto do COBIT, os objetivos de controle para os processos de TI são agrupados em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte, monitoração.

CERTO. São os 4 domínios.

108 Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nível 1 de maturidade em governança de TI, nível este denominado inicial/ad hoc, a responsabilidade pela governança de TI cabe a indivíduos que dirigem os processos de governança dentro dos vários projetos e processos de TI.

ERRADO. Não existe empresa nível 1, e sim maturidade do processo. Não existe maturidade de governança em TI e sim em cada processo individual.

109 A melhoria de desempenho medida por balanced scorecards de TI é um dos indicadores-chave de desempenho (key performance indicators) do COBIT.

Questão dada como CERTA pelo CESPE. O BSC é um instrumento que se utiliza para estruturar os indicadores de desempenho e resultado dentro do COBIT. Péssima redação não acha?

Ancine 2006 – Analista de Sistemas

77 Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas, conforme o modelo COBIT, são recursos de TI que devem ser gerenciados, visando o alinhamento estratégico.

CERTO. Os quatro recursos do COBIT: dado, aplicação, infraestrutura (sist. Computacionais e Instalações físicas) e pessoas.

Dataprev 2006 – Analista de Banco de Dados

113 O modelo de maturidade é utilizado para avaliar os níveis de maturidade da aplicação do conjunto de melhores práticas de governança, os quais variam entre 1 e 5.

ERRADO. Duplamente errado, nível de maturidade (0 a 5) e não é avaliação de um conjunto de maturidade e sim de cada um dos processos.

114 Os conceitos importantes associados à governança incluem os fatores críticos de sucesso, os indicadores de meta e os indicadores de desempenho.

CERTO. No Cobit 4.1 os fatores críticos de sucessos passaram a ser chamado de fator meta de atividade.

115 O conjunto de melhores práticas do COBIT considera seis critérios de informação: eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade

Esse é o tipo de questão que sempre ficamos na dúvida. Esta faltando um: efetividade. Como ele diz o Cobit considera seis, está errado, pois o Cobit considera sete. A forma como ele coloca é restritiva e não exemplificativa.

Dataprev 2006 – Auditor de Sistemas

Essa é uma figura do COBIT 4, simplificada. Onde negócio define o processo, os processos têm indicadores de maturidade e objetivos de controle.

63 São exemplos de áreas de processos de TI: o planejamento e a organização da área; a aquisição e a implementação de soluções; a entrega de serviços; o suporte ao usuário; o monitoramento e a avaliação da aderência aos controles.

Aqui caímos na situação, às vezes as questões de provas trazem termos diferentes do usado no modelo, o COBIT não usa área de processo e sim DOMÍNIO e PROCESSO, mas isto não torna a questão errada. Na questão ele esta chamando os domínios de área de processo, portanto CERTO. Muito cuidado, não devemos ser rigorosos demais, pois o CESPE não é tão rígido assim, neste ponto. Vamos ponderar ok?

64 As organizações estão, contínua e inevitavelmente, aperfeiçoando seus processos de negócios e de TI. Justifica-se, nesse cenário, uma abordagem evolutiva de processos, que, no modelo acima, apresenta-se por meio de: adoção de modelos de maturidade; orientação a projetos suportados pela existência de indicadores de metas; orientação a operações suportadas pela existência de indicadores de desempenho.

Ligue-se! Precisamos entender o que ele quer dizer: indicador de meta me diz se o meu processo esta entregando o resultado que eu esperava dele, qual a relação disso com projeto?Processo entregando resultado é uma abordagem de melhoria de processos que tem haver com esses elementos. Eu fiz um projeto para melhorar esses processo e orientação a operações, onde estou olhando o indicador de desempenho. Olha sinceramente, não é uma questão simples, a resposta é CERTA. Mas visualizar isso na hora da prova não é fácil mesmo.

Começou embolar demais eu deixaria em branco. Não chute!

65 No modelo apresentado, os objetivos de controle são mais específicos que as práticas de controle.

É fácil de ver pelo diagrama. Processos de TI (IT PROCESS) são controlados pelos objetivos de controle (Controle Objectives) e estes são implementados com as práticas de contole (Control Practices), portanto as práticas são mais específicas que o objetivo de controle, é o que eu faço para alcançar o resultado. ERRADO.

66 Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos processos de TI existentes em uma organização.

ERRADO. É exatamente o contrário, essa foi fácil né?

TCU 2007 – ACE Tecnologia da Informação

#14 #15

#13 #16

#12

#11 #17

#10 #2 #3

#18

#24

#9 #19

#8 #1 #4 #20

#7 #21

#6 #22

#5 #23

128 Durante a implantação dos processos do domínio de monitoramento produziu-se impacto imediato sobre o funcionamento de várias atividades do setor #1.

ERRADO. Setor 1 é a gerência de Infraestrutura em vermelho. Monitoramento no COBIT é gestão de desempenho de processo, é governança de TI. Não tem nada haver com o monitoramento da infraestrutura de TI.

129 A realização dos processos do domínio de planejamento e organização, que agregam dez objetivos de controle de alto nível, produziu diretrizes de impacto de mais longo prazo sobre as atividades #13 que a realização dos processos do domínio de aquisição e implantação.

CERTO. Planejamento e organização - vou ter infra estrutura tecnológica e arquitetura da informação (definição de padrões, diretrizes de longo prazo).

O Cespe anulou esta questão, por conta do trecho que fala que são dez objetivos de alto nível, pois não havia a versão no edital do Cobit, o Cobit 3.0 eram 11. Mas o conteúdo está certo. Ok?

130 A implantação dos processos do domínio entrega e suporte pode produzir impacto direto sobre o funcionamento das atividades do setor #2.

ERRADO. O Setor #2 é desenvolvimento(azul), então dizer que entrega e suporte vai ter impacto direto no desenvolvimento é errado, entrega e suporte poderia ter impacto em gestão de infra-estruturar e não em entrega e suporte.

131 O COBIT 4.0 define sete requisitos de negócio para a governança da informação, sendo um deles o de conformidade. Entre as atividades apresentadas na figura III, não há nenhuma diretamente relacionada à análise desse tipo de requisito.

ERRADO. Requisito de conformidade diz que a informação está em conformidade com leis, normas, contratos e demais requisitos aplicáveis ao negócio. Então o que pega nesta é demais requisitos, eu temos no #10 Engenharia de requisitos que faz exatamente este papel, todos dos os requisitos da informação são levantados nesta área para validar a conformidade. OK?

133 O COBIT 4.0 classifica recursos de TI em quatro categorias, sendo que uma delas não encontra representação da figura III.

Lembrando quais as quatro? Dados, Infraestrutura, Aplicações e Pessoas.

Nas áreas #10, #13 temos Dados, área #2 temos Aplicações (em azul), Infraestrutur a #1 esta em vermelho. Agora cadê Pessoas? Não tem em nenhum processo neste diagrama que lide com Pessoas. Portanto a questão esta CERTA, pois a figura trata apenas sobre aspectos técnicos. Não tem nenhum processo que trate da gestão de Pessoas.

Muito bem servidores! Pelas questões podemos notar que a maioria trata de conceitos básicos do modelo, são muitas questões certamente mais de 70%. Existe ainda, uma outra categoria de questões que fazem com comparação entre os modelos (ITIL, COBIT, BSC), aí sim aumenta o número de questões que tratam de processos do modelo, mas ainda assim de forma geral mais de metade das questões de COBIT são sobre conceitos, portanto a parte básica do modelo deve ser muito bem estudada, revisada, incorporada no sangue...

Espero poder fazer um resumo até a prova, senão tentarei colaborar com comentário de mais algumas questões de integração dos modelos de gestão de TI, ok?

Sucesso!