Questões sobre COBIT

Uma organização, ao analisar internamente seus processos, verificou que se encontra no nível de maturidade repetível do Cobit 4.1. Isso significa que seus processos:

• A. são padronizados, documentados e comunicados;
• B. ainda não são padronizados, e o gerenciamento é realizado caso a caso, de forma desorganizada;
• C. são plenamente documentados, podendo ser facilmente reproduzidos;
• D. são estruturados, porém ainda há forte dependência do conhecimento individual, existindo alguma documentação;
• E. são refinados, alcançando as melhores práticas, fruto de melhoria contínua e de comparação com o mercado.

Considere que a Manausprev deseja entender a situação dos seus sistemas de TI para decidir que nível de gerenciamento e controle será necessário. Para isso, resolveu avaliar onde são requeridas melhorias e implementar um conjunto de ferramentas de gerenciamento para atingi-las. Como guia para essa iniciativa, optou por utilizar os objetivos de performance e métricas para os processos de TI descritas no CobiT 4.1. Neste framework, para a medição de performance são definidos três níveis de objetivos e métricas:

• A. dos serviços, dos processos e dos resultados.
• B. de execução, de controle e de resultados.
• C. de serviços, de produtos e de atendimento.
• D. de TI, de serviços e de resultados.
• E. de TI, dos processos e de atividades.

Segundo o CobiT 4.1, o gerenciamento do processo de “Avaliar e Gerenciar os Riscos de TI (PO9)” que satisfaça ao requisito do negócio para a TI de “analisar e comunicar os riscos de TI e seus potenciais impactos nos processos e objetivos de negócio” é “Repetível, porém Intuitivo”, quando

• A. a avaliação e a gestão de risco são procedimentos padronizados e as exceções do processo de gestão de risco são relatadas à Diretoria de TI, já que a gestão de risco de TI é uma responsabilidade da Alta Direção. Nesse nível de maturidade, o risco é avaliado e mitigado no nível de projeto e também regularmente no nível de operação de TI.
• B. o gerenciamento de risco atingiu um estágio de desenvolvimento em que há um processo organizacional estruturado em vigor e bem gerenciado, em que boas práticas são aplicadas em toda a organização. Nesse nível de maturidade, a captura, a análise e o relato de dados de gestão de risco estão altamente automatizados.
• C. não acontece avaliação de risco para processos e decisões de negócio, pois a organização não considera os impactos no negócio associados a vulnerabilidades da segurança e incertezas de projetos de desenvolvimento. Nesse nível de maturidade gerenciar riscos não é considerado relevante para adquirir soluções ou entregar serviços de TI.
• D. existe uma abordagem imatura e inicial de avaliação de risco utilizada a critério de alguns gerentes de projeto. Nesse nível de maturidade, a gestão de risco é superficial e geralmente aplicada somente a grandes projetos ou em resposta a problemas.
• E. os riscos de TI são considerados de forma ad hoc e avaliações informais de risco de projeto são realizadas quando solicitadas em cada projeto. Nesse nível de maturidade avaliações de risco são às vezes identificadas em um plano de projeto, mas raramente atribuídas aos gerentes correspondentes.

Seguindo as boas práticas preconizadas pelo COBIT 5, um Analista da área de TI elencou as seguintes perguntas:

− Como posso saber se as operações de um parceiro comercial são seguras e confiáveis?

− Como posso saber se a organização cumpre as regras e regulamentos aplicáveis?

 − Como posso saber se a organização mantém um sistema eficiente de controle interno?

− Os parceiros comerciais têm a cadeia de informações entre eles sob controle?

De acordo com o COBIT 5, estas perguntas

• A. são dirigidas às partes interessadas externas. Estão relacionadas aos objetivos corporativos, versam sobre governança e gestão de TI da organização e servem como entrada para a cascata de objetivos.
• B. visam unificar a criação de valor para as diversas partes interessadas de uma organização. Gestão de contratos é negociar e decidir entre os interesses de valor das diferentes partes interessadas externas.
• C. indicam que o sistema de governança de TI deve considerar apenas as partes interessadas externas ao tomar decisões sobre a avaliação dos recursos, benefícios e riscos.
• D. referem-se às necessidades das partes interessadas internas e norteiam a cascata de objetivos do COBIT 5, que é o mecanismo de tradução das necessidades dos stakeholders em objetivos corporativos amplos e gerais.
• E. refletem a cascata de objetivos, que deve ser seguida à risca, pois contém o mapeamento universal entre os objetivos corporativos e os objetivos de TI e entre os objetivos de TI e os habilitadores do COBIT 5.

O Tribunal está avaliando suas práticas de governança de TI, baseando-se no Cobit 4.1. Foi identificado que os profissionais da área de TI trabalham sempre seguindo alguma rotina, de forma repetitiva, porém, o cumprimento dessas rotinas acontece de forma intuitiva, inexistindo documentação formal e comunicação adequada e sistemática para que seja garantida a padronização plena de processos. Isto permite concluir que a área de TI alcançou o nível de maturidade

• A. 4.
• B. 2.
• C. 3.
• D. 1.
• E. 5.

A avaliação de maturidade na governança de TI permite investigar e desenvolver planos de melhoria para as chamadas dimensões do processo de maturidade. Estas dimensões permitem confirmar se as atividades desenvolvidas pela TI atendem de uma forma consistente às expectativas de acionistas e controladores do negócio, e a necessidade de reporte público de informações. O total das dimensões da maturidade, segundo o Cobit 4.1, é composto

• A. pela capacidade da TI cumprir sua missão e objetivos de forma alinhada com o negócio; pelo controle sobre riscos e conformidade das suas entregas com as expectativas e necessidades de negócio; pela cobertura financeira que determina eficiência em custos e a capacidade de gerar retorno sobre investimentos.
• B. pela condição de TI inovar e prover estratégias para o negócio; pelo acompanhamento de TI sobre as ações adotadas nas áreas de tecnologia da informação de instituições concorrentes ou de operações semelhantes às da instituição para a qual trabalha.
• C. pela disciplina em realizar estudos de referência para confirmar se a TI está adotando as melhores práticas e tecnologias para o negócio; pela capacidade e maturidade para fornecer seus serviços com excelência superior à de empresas que possam fornecer os mesmos serviços de forma terceirizada.
• D. pelas técnicas aplicadas por TI para levantar requisitos, desenvolver, testar e entregar sistemas de informação para as diversas áreas de negócio da instituição; pelos artefatos de documentação que são produzidos ao longo do ciclo de vida dos projetos.
• E. pelos níveis de documentação sobre testes de qualidade em produtos de software antes da liberação dos mesmos para uso na instituição; pelo porte dos fornecedores de serviços, sistemas e equipamentos, os quais se relacionam e proveem itens para a instituição.

A área de TI de uma instituição está cumprindo pela primeira vez as recomendações do Cobit 4.1 para promover a governança em Tecnologia da Informação. Como a instituição existe há 18 anos e nunca se atentou para as questões de governança, a TI tem que lidar com a situação de promover as mudanças ao mesmo tempo em que mantém as rotinas em curso. O gestor principal da TI resolveu como primeiro passo, contratar um fornecedor de serviços para assumir toda a operação, considerando que os fornecedores de serviços têm práticas maduras para conduzir as operações e projetos. Avaliando pela perspectiva da governança, segundo as recomendações do Cobit 4.1, a atitude do gestor foi

• A. correta, pois o fornecedor de serviços seja qual for o escolhido detém histórico de atendimento para vários clientes e consegue entregar aquilo que a instituição contratante espera e precisa.
• B. correta, pois o primeiro passo para uma área de TI implantar a governança é a contratação de uma empresa que forneça, de forma terceirizada, os serviços providos por TI, de forma a construir um modelo de referência de atendimento.
• C. incorreta, pois o gestor de TI deveria iniciar a implantação das práticas de governança definindo métodos de trabalho e metas de resultados técnicos como o tempo de atendimento de chamados e o tempo médio para entregar um projeto.
• D. incorreta, pois o gestor de TI deve sempre desenvolver seus processos internos, evitando a terceirização como alternativa de solução, a menos que não existam recursos na área de TI para prover os serviços necessários.
• E. incorreta, pois a avaliação de terceirização deve acontecer em um trabalho de planejamento e organização, depois de compreendidos os critérios de informação, a eficiência, a eficácia e a efetividade dos processos atuais.

São todos critérios de informação (information criteria) do COBIT v.4.1.: 1. Não repúdio 2. Compatibilidade 3. Confidencialidade 4. Integridade Assinale a alternativa que indica todas as afirmativas corretas.

• A. São corretas apenas as afirmativas 1 e 3.
• B. São corretas apenas as afirmativas 2 e 3.
• C. São corretas apenas as afirmativas 3 e 4.
• D. São corretas apenas as afirmativas 1, 3 e 4.
• E. São corretas apenas as afirmativas 2, 3 e 4.

_________________, desenvolvido e difundido pela ISACA (Information System Audit and Control), é um framework de governança e gestão corporativa.

Assinale a alternativa que preenche corretamente a lacuna acima.

• A. CMMI
• B. PMI
• C. COBIT
• D. TIC
• E. ISACA-IT

Para o CobiT, os controles gerais são controles inseridos nos processos de TI e serviços. Já os controles inseridos nos aplicativos de processos de negócios são comumente chamados de controles de aplicativos. Considere os seguintes itens:

1. Gerenciamento de mudanças.

2. Totalidade.

3. Veracidade.

4. Validade.

5. Segurança.

6. Operação de computadores.

São exemplos de controle gerais e exemplos de controles de aplicativos, respectivamente,

• A.
• B.
• C.
• D.
• E.