Comentários de questões sobre COBIT na prova do CESPE

Olá servidores!

Com o tão esperado edital do TCU vamos focar em resolução de exercícios e decidi
compartilhar com vocês algumas questões. Preparados? Vamos lá! Importante lembrar que
imagino que conheçam o mínimo do modelo, portanto uma leitura em material complementar
é importante, pois os comentários são breves, ok?

<AGE/ES 2004 – Auditor de Informática>

107 No contexto do COBIT, um objetivo de controle das tecnologias da informação (IT control
objective) é uma declaração do resultado desejado ou do propósito a ser alcançado pela
implementação de procedimentos de controle em uma atividade particular relativa às
tecnologias da informação.

CERTO. Esse é o conceito de objetivo de controle. Importante diferenciar controle de objetivos

de controle. Controle são práticas, procedimentos que vou ter para garantir que o resultado
seja alcançado. Objetivo de controle é a declaração do resultado que eu quero alcançar, pela
implementação dos meus controles.

108 No modelo de maturidade da governança de tecnologias da informação do COBIT, o nível

3 de maturidade (defined process) é aquele em que há um completo entendimento das
questões de governança de tecnologias da informação em todos os níveis, entendimento esse
apoiado pelo treinamento formal dos envolvidos.

ERRADO. É um tipo de questão relativamente comum. O ‘pega’ é colocar modelo de

maturidade de governança de TI. Não existe requisito de entendimento de governa de TI em
todos os níveis.

<Ceará Portos 2004 – Analista de Logística>

120 O modelo de maturidade da governança de tecnologias da informação elaborado no

contexto do COBIT apresenta 5 níveis de maturidade assim denominados: non-existent,
initial/ad hoc, repeatable but intuitive, defined process, managed and measurable e optimised.

ERRADO. A relação tá certa, mas são (0 a 5) seis.

STJ 2004 – Analista de Sistemas

149 Segundo o COBIT, para satisfazer objetivos do negócio, a informação deve ser compatível
com certos critérios aos quais o COBIT se refere como requisitos de negócio acerca da
informação. Com relação aos requisitos de segurança da informação negocial, o COBIT
identificou os critérios confidencialidade, integridade e disponibilidade.

CERTO. São os três critérios que se agrupam no grupo Segurança.

TCE/PE 2004 – Analista de Sistemas

107 No contexto do COBIT, os objetivos de controle para os processos de TI são agrupados em
quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte,
monitoração.

CERTO. São os 4 domínios.

108 Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja
classificada no nível 1 de maturidade em governança de TI, nível este denominado inicial/ad
hoc, a responsabilidade pela governança de TI cabe a indivíduos que dirigem os processos de
governança dentro dos vários projetos e processos de TI.

ERRADO. Não existe empresa nível 1, e sim maturidade do processo. Não existe maturidade de
governança em TI e sim em cada processo individual.

109 A melhoria de desempenho medida por balanced scorecards de TI é um dos indicadores-

chave de desempenho (key performance indicators) do COBIT.

Questão dada como CERTA pelo CESPE. O BSC é um instrumento que se utiliza para estruturar
os indicadores de desempenho e resultado dentro do COBIT. Péssima redação não acha?

Ancine 2006 – Analista de Sistemas

77 Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas,

conforme o modelo COBIT, são recursos de TI que devem ser gerenciados, visando o
alinhamento estratégico.

CERTO. Os quatro recursos do COBIT: dado, aplicação, infraestrutura (sist. Computacionais e

Instalações físicas) e pessoas.

Dataprev 2006 – Analista de Banco de Dados

113 O modelo de maturidade é utilizado para avaliar os níveis de maturidade da aplicação do

conjunto de melhores práticas de governança, os quais variam entre 1 e 5.

ERRADO. Duplamente errado, nível de maturidade (0 a 5) e não é avaliação de um conjunto de

maturidade e sim de cada um dos processos.

114 Os conceitos importantes associados à governança incluem os fatores críticos de sucesso,

os indicadores de meta e os indicadores de desempenho.

CERTO. No Cobit 4.1 os fatores críticos de sucessos passaram a ser chamado de fator meta de
atividade.

115 O conjunto de melhores práticas do COBIT considera seis critérios de informação:

eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade

Esse é o tipo de questão que sempre ficamos na dúvida. Esta faltando um: efetividade. Como
ele diz o Cobit considera seis, está errado, pois o Cobit considera sete. A forma como ele coloca
é restritiva e não exemplificativa.
Dataprev 2006 – Auditor de Sistemas

Essa é uma figura do COBIT 4, simplificada. Onde negócio define o processo, os processos têm
indicadores de maturidade e objetivos de controle.

63 São exemplos de áreas de processos de TI: o planejamento e a organização da área; a

aquisição e a implementação de soluções; a entrega de serviços; o suporte ao usuário; o
monitoramento e a avaliação da aderência aos controles.

Aqui caímos na situação, às vezes as questões de provas trazem termos diferentes do usado no
modelo, o COBIT não usa área de processo e sim DOMÍNIO e PROCESSO, mas isto não torna a
questão errada. Na questão ele esta chamando os domínios de área de processo, portanto
CERTO. Muito cuidado, não devemos ser rigorosos demais, pois o CESPE não é tão rígido assim,
neste ponto. Vamos ponderar ok?

64 As organizações estão, contínua e inevitavelmente, aperfeiçoando seus processos de

negócios e de TI. Justifica-se, nesse cenário, uma abordagem evolutiva de processos, que, no
modelo acima, apresenta-se por meio de: adoção de modelos de maturidade; orientação a
projetos suportados pela existência de indicadores de metas; orientação a operações
suportadas pela existência de indicadores de desempenho.

Ligue-se! Precisamos entender o que ele quer dizer: indicador de meta me diz se o meu
processo esta entregando o resultado que eu esperava dele, qual a relação disso com projeto?
Processo entregando resultado é uma abordagem de melhoria de processos que tem haver
com esses elementos. Eu fiz um projeto para melhorar esses processo e orientação a
operações, onde estou olhando o indicador de desempenho. Olha sinceramente, não é uma
questão simples, a resposta é CERTA. Mas visualizar isso na hora da prova não é fácil mesmo.

Começou embolar demais eu deixaria em branco. Não chute!

65 No modelo apresentado, os objetivos de controle são mais específicos que as práticas de

controle.
É fácil de ver pelo diagrama. Processos de TI (IT PROCESS) são controlados pelos objetivos de
controle (Controle Objectives) e estes são implementados com as práticas de contole (Control
Practices), portanto as práticas são mais específicas que o objetivo de controle, é o que eu faço
para alcançar o resultado. ERRADO.

66 Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos

processos de TI existentes em uma organização.

ERRADO. É exatamente o contrário, essa foi fácil né?

TCU 2007 – ACE Tecnologia da Informação

# 14 #15
#1 3 # 16
#12
#1 1 # 17
#1 0 #2 #3
#18

# 24

#9 #1 9
#8 #1 #4 #20

#7 #2 1

#6 #22
#5 # 23

128 Durante a implantação dos processos do domínio de monitoramento produziu-se impacto

imediato sobre o funcionamento de várias atividades do setor #1.

ERRADO. Setor 1 é a gerência de Infraestrutura em vermelho. Monitoramento no COBIT é

gestão de desempenho de processo, é governança de TI. Não tem nada haver com o
monitoramento da infraestrutura de TI.

129 A realização dos processos do domínio de planejamento e organização, que agregam dez
objetivos de controle de alto nível, produziu diretrizes de impacto de mais longo prazo sobre
as atividades #13 que a realização dos processos do domínio de aquisição e implantação.

CERTO. Planejamento e organização - vou ter infra estrutura tecnológica e arquitetura da

informação (definição de padrões, diretrizes de longo prazo).
O Cespe anulou esta questão, por conta do trecho que fala que são dez objetivos de alto nível,
pois não havia a versão no edital do Cobit, o Cobit 3.0 eram 11. Mas o conteúdo está certo. Ok?

130 A implantação dos processos do domínio entrega e suporte pode produzir impacto direto
sobre o funcionamento das atividades do setor #2.

ERRADO. O Setor #2 é desenvolvimento(azul), então dizer que entrega e suporte vai ter
impacto direto no desenvolvimento é errado, entrega e suporte poderia ter impacto em gestão
de infra-estruturar e não em entrega e suporte.

131 O COBIT 4.0 define sete requisitos de negócio para a governança da informação, sendo um
deles o de conformidade. Entre as atividades apresentadas na figura III, não há nenhuma
diretamente relacionada à análise desse tipo de requisito.

ERRADO. Requisito de conformidade diz que a informação está em conformidade com leis,
normas, contratos e demais requisitos aplicáveis ao negócio. Então o que pega nesta é demais
requisitos, eu temos no #10 Engenharia de requisitos que faz exatamente este papel, todos dos
os requisitos da informação são levantados nesta área para validar a conformidade. OK?

133 O COBIT 4.0 classifica recursos de TI em quatro categorias, sendo que uma delas não
encontra representação da figura III.

Lembrando quais as quatro? Dados, Infraestrutura, Aplicações e Pessoas.

Nas áreas #10, #13 temos Dados, área #2 temos Aplicações (em azul), Infraestrutur a #1 esta
em vermelho. Agora cadê Pessoas? Não tem em nenhum processo neste diagrama que lide
com Pessoas. Portanto a questão esta CERTA, pois a figura trata apenas sobre aspectos
técnicos. Não tem nenhum processo que trate da gestão de Pessoas.

Muito bem servidores! Pelas questões podemos notar que a maioria trata de conceitos básicos
do modelo, são muitas questões certamente mais de 70%. Existe ainda, uma outra categoria de
questões que fazem com comparação entre os modelos (ITIL, COBIT, BSC), aí sim aumenta o
número de questões que tratam de processos do modelo, mas ainda assim de forma geral mais
de metade das questões de COBIT são sobre conceitos, portanto a parte básica do modelo deve
ser muito bem estudada, revisada, incorporada no sangue...

Espero poder fazer um resumo até a prova, senão tentarei colaborar com comentário de mais
algumas questões de integração dos modelos de gestão de TI, ok?

Sucesso!