Comentários de questões sobre COBIT na prova do CESPE. Olá servidores!

Transcrição

1 Comentários de questões sobre COBIT na prova do CESPE Olá servidores! Com o tão esperado edital do TCU vamos focar em resolução de exercícios e decidi compartilhar com vocês algumas questões. Preparados? Vamos lá! Importante lembrar que imagino que conheçam o mínimo do modelo, portanto uma leitura em material complementar é importante, pois os comentários são breves, ok? <AGE/ES 2004 Auditor de Informática> 107 No contexto do COBIT, um objetivo de controle das tecnologias da informação (IT control objective) é uma declaração do resultado desejado ou do propósito a ser alcançado pela implementação de procedimentos de controle em uma atividade particular relativa às tecnologias da informação. CERTO. Esse é o conceito de objetivo de controle. Importante diferenciar controle de objetivos de controle. Controle são práticas, procedimentos que vou ter para garantir que o resultado seja alcançado. Objetivo de controle é a declaração do resultado que eu quero alcançar, pela implementação dos meus controles. 108 No modelo de maturidade da governança de tecnologias da informação do COBIT, o nível 3 de maturidade (defined process) é aquele em que há um completo entendimento das questões de governança de tecnologias da informação em todos os níveis, entendimento esse apoiado pelo treinamento formal dos envolvidos. ERRADO. É um tipo de questão relativamente comum. O pega é colocar modelo de maturidade de governança de TI. Não existe requisito de entendimento de governa de TI em todos os níveis. <Ceará Portos 2004 Analista de Logística> 120 O modelo de maturidade da governança de tecnologias da informação elaborado no contexto do COBIT apresenta 5 níveis de maturidade assim denominados: non-existent, initial/ad hoc, repeatable but intuitive, defined process, managed and measurable e optimised. ERRADO. A relação tá certa, mas são (0 a 5) seis. STJ 2004 Analista de Sistemas 149 Segundo o COBIT, para satisfazer objetivos do negócio, a informação deve ser compatível com certos critérios aos quais o COBIT se refere como requisitos de negócio acerca da informação. Com relação aos requisitos de segurança da informação negocial, o COBIT identificou os critérios confidencialidade, integridade e disponibilidade. CERTO. São os três critérios que se agrupam no grupo Segurança. TCE/PE 2004 Analista de Sistemas

2 107 No contexto do COBIT, os objetivos de controle para os processos de TI são agrupados em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte, monitoração. CERTO. São os 4 domínios. 108 Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nível 1 de maturidade em governança de TI, nível este denominado inicial/ad hoc, a responsabilidade pela governança de TI cabe a indivíduos que dirigem os processos de governança dentro dos vários projetos e processos de TI. ERRADO. Não existe empresa nível 1, e sim maturidade do processo. Não existe maturidade de governança em TI e sim em cada processo individual. 109 A melhoria de desempenho medida por balanced scorecards de TI é um dos indicadoreschave de desempenho (key performance indicators) do COBIT. Questão dada como CERTA pelo CESPE. O BSC é um instrumento que se utiliza para estruturar os indicadores de desempenho e resultado dentro do COBIT. Péssima redação não acha? Ancine 2006 Analista de Sistemas 77 Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas, conforme o modelo COBIT, são recursos de TI que devem ser gerenciados, visando o alinhamento estratégico. CERTO. Os quatro recursos do COBIT: dado, aplicação, infraestrutura (sist. Computacionais e Instalações físicas) e pessoas. Dataprev 2006 Analista de Banco de Dados 113 O modelo de maturidade é utilizado para avaliar os níveis de maturidade da aplicação do conjunto de melhores práticas de governança, os quais variam entre 1 e 5. ERRADO. Duplamente errado, nível de maturidade (0 a 5) e não é avaliação de um conjunto de maturidade e sim de cada um dos processos. 114 Os conceitos importantes associados à governança incluem os fatores críticos de sucesso, os indicadores de meta e os indicadores de desempenho. CERTO. No Cobit 4.1 os fatores críticos de sucessos passaram a ser chamado de fator meta de atividade. 115 O conjunto de melhores práticas do COBIT considera seis critérios de informação: eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade Esse é o tipo de questão que sempre ficamos na dúvida. Esta faltando um: efetividade. Como ele diz o Cobit considera seis, está errado, pois o Cobit considera sete. A forma como ele coloca é restritiva e não exemplificativa.

3 Dataprev 2006 Auditor de Sistemas Essa é uma figura do COBIT 4, simplificada. Onde negócio define o processo, os processos têm indicadores de maturidade e objetivos de controle. 63 São exemplos de áreas de processos de TI: o planejamento e a organização da área; a aquisição e a implementação de soluções; a entrega de serviços; o suporte ao usuário; o monitoramento e a avaliação da aderência aos controles. Aqui caímos na situação, às vezes as questões de provas trazem termos diferentes do usado no modelo, o COBIT não usa área de processo e sim DOMÍNIO e PROCESSO, mas isto não torna a questão errada. Na questão ele esta chamando os domínios de área de processo, portanto CERTO. Muito cuidado, não devemos ser rigorosos demais, pois o CESPE não é tão rígido assim, neste ponto. Vamos ponderar ok? 64 As organizações estão, contínua e inevitavelmente, aperfeiçoando seus processos de negócios e de TI. Justifica-se, nesse cenário, uma abordagem evolutiva de processos, que, no modelo acima, apresenta-se por meio de: adoção de modelos de maturidade; orientação a projetos suportados pela existência de indicadores de metas; orientação a operações suportadas pela existência de indicadores de desempenho. Ligue-se! Precisamos entender o que ele quer dizer: indicador de meta me diz se o meu processo esta entregando o resultado que eu esperava dele, qual a relação disso com projeto? Processo entregando resultado é uma abordagem de melhoria de processos que tem haver com esses elementos. Eu fiz um projeto para melhorar esses processo e orientação a operações, onde estou olhando o indicador de desempenho. Olha sinceramente, não é uma questão simples, a resposta é CERTA. Mas visualizar isso na hora da prova não é fácil mesmo. Começou embolar demais eu deixaria em branco. Não chute! 65 No modelo apresentado, os objetivos de controle são mais específicos que as práticas de controle.

4 É fácil de ver pelo diagrama. Processos de TI (IT PROCESS) são controlados pelos objetivos de controle (Controle Objectives) e estes são implementados com as práticas de contole (Control Practices), portanto as práticas são mais específicas que o objetivo de controle, é o que eu faço para alcançar o resultado. ERRADO. 66 Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos processos de TI existentes em uma organização. ERRADO. É exatamente o contrário, essa foi fácil né? TCU 2007 ACE Tecnologia da Informação #14 #15 #13 #16 #12 #11 # 17 #10 #2 #3 #18 #24 #9 #19 #8 #1 #4 #20 #7 #2 1 #6 #22 #5 # Durante a implantação dos processos do domínio de monitoramento produziu-se impacto imediato sobre o funcionamento de várias atividades do setor #1. ERRADO. Setor 1 é a gerência de Infraestrutura em vermelho. Monitoramento no COBIT é gestão de desempenho de processo, é governança de TI. Não tem nada haver com o monitoramento da infraestrutura de TI. 129 A realização dos processos do domínio de planejamento e organização, que agregam dez objetivos de controle de alto nível, produziu diretrizes de impacto de mais longo prazo sobre as atividades #13 que a realização dos processos do domínio de aquisição e implantação. CERTO. Planejamento e organização - vou ter infra estrutura tecnológica e arquitetura da informação (definição de padrões, diretrizes de longo prazo).

5 O Cespe anulou esta questão, por conta do trecho que fala que são dez objetivos de alto nível, pois não havia a versão no edital do Cobit, o Cobit 3.0 eram 11. Mas o conteúdo está certo. Ok? 130 A implantação dos processos do domínio entrega e suporte pode produzir impacto direto sobre o funcionamento das atividades do setor #2. ERRADO. O Setor #2 é desenvolvimento(azul), então dizer que entrega e suporte vai ter impacto direto no desenvolvimento é errado, entrega e suporte poderia ter impacto em gestão de infra-estruturar e não em entrega e suporte. 131 O COBIT 4.0 define sete requisitos de negócio para a governança da informação, sendo um deles o de conformidade. Entre as atividades apresentadas na figura III, não há nenhuma diretamente relacionada à análise desse tipo de requisito. ERRADO. Requisito de conformidade diz que a informação está em conformidade com leis, normas, contratos e demais requisitos aplicáveis ao negócio. Então o que pega nesta é demais requisitos, eu temos no #10 Engenharia de requisitos que faz exatamente este papel, todos dos os requisitos da informação são levantados nesta área para validar a conformidade. OK? 133 O COBIT 4.0 classifica recursos de TI em quatro categorias, sendo que uma delas não encontra representação da figura III. Lembrando quais as quatro? Dados, Infraestrutura, Aplicações e Pessoas. Nas áreas #10, #13 temos Dados, área #2 temos Aplicações (em azul), Infraestrutur a #1 esta em vermelho. Agora cadê Pessoas? Não tem em nenhum processo neste diagrama que lide com Pessoas. Portanto a questão esta CERTA, pois a figura trata apenas sobre aspectos técnicos. Não tem nenhum processo que trate da gestão de Pessoas. Muito bem servidores! Pelas questões podemos notar que a maioria trata de conceitos básicos do modelo, são muitas questões certamente mais de 70%. Existe ainda, uma outra categoria de questões que fazem com comparação entre os modelos (ITIL, COBIT, BSC), aí sim aumenta o número de questões que tratam de processos do modelo, mas ainda assim de forma geral mais de metade das questões de COBIT são sobre conceitos, portanto a parte básica do modelo deve ser muito bem estudada, revisada, incorporada no sangue... Espero poder fazer um resumo até a prova, senão tentarei colaborar com comentário de mais algumas questões de integração dos modelos de gestão de TI, ok? Sucesso!