13 de novembro

MEMOREX COBIT
de 2010

Control Objectives for Information and related Technology (CobiT®)

O que é a governança de TI ?
O IT Governance Institute define a governança de TI como uma estrutura de relações e processos para dirigir e
controlar a empresa a fim de atingir os objetivos empresariais pela adição de valor ao negócio por meio do
gerenciamento balanceado do risco versus o retorno do investimento em TI e nos processos de TI

Com base nos conceitos apresentados pelo COBIT: Uma ação eficiente decidida e prestada por iniciativa de
técnicos de suporte, preocupados em oferecer, com a maior qualidade possível, apoio aos usuários da
tecnologia da informação (TI), e a busca de soluções de problemas de forma cada vez mais rápida, é uma
aplicação do conceito de governança em TI.

A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de

liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e
aprimore os objetivos e as estratégias da organização [GAB: E]

O que é COBIT?
O CobiT provê um modelo de processo genérico que representa todos os processos normalmente encontrados
nas funções de TI, fornecendo assim um modelo de referência comum compreendido por gerentes
operacionais de TI e gerentes de negócios.

A utilização do COBIT está direcionada para controles, mensurações e avaliações dos processos estratégicos
das unidades de negócios de uma corporação

O COBIT não avalia os processos das unidades de negócios e sim das unidades de TI. Ele deve assegurar o
alinhamento entre a estratégia de TI e a estratégia de negócios. [E]

O COBIT abrange todas as atividades de TI e concentra-se no QUE deveria ser obtido e NÃO em COMO atingir
uma efetiva governança, gerenciamento e controle. Sendo assim, ele age como um integrador das práticas de
governança de TI e influencia a Alta Direção, gerências de negócios e de TI, profissionais de governança,
avaliação e segurança, profissionais de auditoria de TI e de controles. Ele é desenhado para ser complementar
e utilizado com outros padrões e boas práticas.

O COBIT é Baseados em Controle que consiste em políticas, procedimentos, práticas e estruturas

organizacionais para garantir que: os objetivos de negócio serão alcançados, os eventos indesejáveis serão
prevenidos, se possível, ou então detectados e corrigidos. Além de controles gerais (aplicáveis a todos os
processos), cada processo possui seus próprios objetivos de controle: declarações dos resultados desejados
ou do propósito a ser alcançado pela implementação de controles sobre uma atividade

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Critérios da informação (requisitos do negócio): qualidade, segurança e adequação

 Qualidade:

Efetividade/Eficácia (Effectiveness): A informação deve ser pertinente e relevante para o processo de

negócio. A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil

Eficiência: A informação deve ser provida por meio do uso otimizado dos recursos.

EFICÁCIA VS EFICIÊNCIA

Tais conceitos estão intimamente ligados ao Planejamento Estratégico, que divide-se em três níveis:
estratégico, tático e operacional. No nível estratégico traçamos os objetivos, no tático as metas, e no
operacional as ações a serem realizadas. Nesta ordem hierárquica, refletem como o processo de tomada
de decisão ocorre. Pois bem, ao falarmos de eficácia, estaremos falando do nível tático. No nível
estratégico o planejamento ainda não ocorreu, e eficácia tem a ver com um planejamento prévio.
Uma pessoa eficaz é aquela que faz aquilo que dever ser feito, que cumpre com suas metas, que
realiza o que foi proposto. Cláudio vendeu sua quota de produtos. Eliza também, mas gastou 30% de
gasolina a menos. Neste caso, se a meta era vender a quota, ambos foram eficazes, mas Eliza foi mais
eficiente.
A eficiência diz respeito a como fazer e está relacionada as ações a serem realizadas, definidas no
nível operacional. É uma questão de custo-benefício, onde buscamos ter o mínimo de perdas e/ou
desperdício. Uma relação entre os resultados obtidos e os recursos empregados. Se toda a sua equipe
entregou o relatório na data prevista, ok, foram eficazes. Mas se você conseguiu fazê-lo e ainda sobrou
tempo para realizar a próxima tarefa, ou mesmo para aproveitar o resto do dia e ir ao cinema, então você
foi eficiente.

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

 Segurança: confidencialidade, integridade, disponibilidade

 Adequação:

Conformidade: a informação obedece à leis, normas e contratos aos quais o negócio está sueito
Confiabilidade: o negocio pode confiar nela e usar essa informação para atender uma lei ou um requisito

Recursos de TI: Entregar informação (dados), processa aplicativos (aplicações), necessita de infraestrutura e
pessoas.

Processos de TI: Domínios, Processos e Atividades

Os recursos de TI são gerenciados pelos processos (34 processos) para atingir os objetivos de TI que
respondem aos requisitos de negócios.

Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas, conforme o modelo
COBIT, são recursos de TI que devem ser gerenciados, visando o alinhamento estratégico [GAB: C]

1. Informações são produzidas por recursos de TI: Dados, aplicações, infra-estrutura e pessoas
2. Recursos de TI são gerenciados por processos: Definição de responsabilidades e metas
3. Processos devem ser controlados: Objetivos de controle, indicadores de desempenho e indicadores de
resultados

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

(MPE-SE-FCC 2009-Analista-Q87)A correta correspondência entre uma dimensão do modelo COBIT (cubo) e
um de seus elementos dimensionais, respectivamente, é
(A) Information Criteria e Fiduciary.
(B) IT Process e Quality.
(C) IT Process e People.
(D) IT Resources e Fiduciary.
(E) Information Criteria e Process.

Fiducitary (confiabilidade) é um Information Criteria (critério da informação). Qualidade é um critério da

informação e não processo. Pessoas é um recurso de TI E não processo. Fiducitary (confiabilidade) não é um
recurso de TI. Critério da Informação e processos são dimensões distintas do cubo. [GAB A]

O COBIT é dirigido por métricas:

Modelos de maturidade: Possibilitam benchmarking e identificação das necessidades de melhoria (nível 0 a 5)
para CADA processo.
Metas e indicadores de processos: Demonstram como os processos atendem às metas de negócios e de TI, a
partir da mensuração de indicadores baseados no BSC
Metas de atividades: Direcionam o desempenho efetivo dos processos

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Modelo de maturidade

Nível 0 – Inexistente: Ausência de processos identificáveis. A organização não reconhece que existe uma questão
a ser tratada
Nível 1 – Inicial/Ad-hoc: A organização reconhece que existe uma questão a ser tratada. Abordagens
improvisadas tendem a ser aplicadas a situações individuais A gerência do processo é desorganizada.
Nível 2 – Repetível mas intuitivo: Os processos se desenvolveram de modo que procedimentos similares são
executados por pessoas diferentes que realizam a mesma tarefa. Não existe treinamento ou repasse formal de
procedimentos, a responsabilidade é deixada a cargo do indivíduo. Existe alta dependência do conhecimento
individual, o que gera grande probabilidade de falhas.
Nível 3 – Processo definido: Procedimentos padronizados, documentados e comunicados por meio de
treinamentos. Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados. Os
procedimentos não são sofisticados, mas apenas formalização de práticas existentes
Nível 4 – Gerenciado e mensurável: É possível monitorar e medir a conformidade de procedimentos, para agir
quando os processos não estiverem funcionando de forma eficaz. Os processos sofrem melhorias constantes e
estabelecem boas práticas. Ferramentas automatizadas são usadas de forma limitada ou fragmentada
Nível 5 – Otimizado: Os processos foram refinados até alcançar as melhores práticas, com base no resultado de
melhoria contínua e comparações com outras organizações. A TI é usada para automatizar os fluxos de trabalho,
provendo ferramentas para aumentar a qualidade e efetividade dos processos

Indicadores de resultados: medidos somente após os fatos, portanto são também chamados de indicadores
históricos (lag indicators).
Indicadores de desempenho: Eles são medidos antes que os resultados sejam claros e portanto são chamados de
indicadores futuros (lead indicators ).

Paulo Marcelo
(paulo1410@hotmail.com)

Metas são derivadas em cascata:
Objetivos do negócio
para metas de TI
As métricas de resultados das
metas de TI servem como
indicadores de desempenho para as
metas do negócio.
MEMOREX COBIT
Metas de TI
para metas de processos
As métricas de resultados das
metas dos processos servem como
indicadores de desempenho para as
metas de TI.
13 de novembro
de 2010
Metas de processos
para metas de atividades
As métricas de resultados das
metas das atividades servem como
indicadores de desempenho para
as metas de processos
Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Métricas de resultado detalham os objetivos a serem alcançados pelo processo (o quê): Indicadores imediatos de
sucesso no alcance da meta, Foco nas perspectivas financeira e de clientes do BSC, Medem a TI com a visão do
negócio, Foco nos critérios da informação considerados mais relevantes para cada processo,

Indicadores de desempenho monitoram os elementos críticos do processo (como): Indicadores da probabilidade

de alcance da meta no futuro, Foco nas perspectivas de processos e aprendizado, Foco nos recursos mais
importantes para cada processo

Os Quatros Domínios do COBIT

Planejamento & Organização: Trata dos aspectos estratégicos e táticos da organização, e de como a TI pode
contribuir para os objetivos de negócios

Aquisição & Implementação : Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e
aquisição.

Entrega & Suporte: Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança,
treinamento e suporte

Monitoramento & Avaliação: Endereça aspectos de monitoramento do desempenho e de avaliação de controles

da TI.

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

As 5 ÁREAS DE FOCO NA GOVERNANÇA DE TI

• ALINHAMENTO ESTRATÉGICO: foca em garantir a ligação entre os planos de negócios e de TI, definindo,
mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização.
• ENTREGA DE VALOR: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI
entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e
provendo o valor intrínseco de TI.
• GESTÃO DE RECURSOS: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento
dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à
otimização do conhecimento e infraestrutura.
• GESTÃO DE RISCO: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um
entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre
os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia.
MENSURAÇÃO DE DESEMPENHO: acompanha e monitora a implementação da estratégia, término do projeto,
uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards”
que traduzem as estratégias em ações para atingir os objetivos, medidos através de processos contábeis
convencionais

OS 6 OBJETIVOS DE CONTROLES GENÉRICOS (PCN).

PC1 - Metas e Objetivos do Processo (Goals and Objectives)

PC2 - Propriedade dos Processos (Process Owner)
PC3 - Repetibilidade dos Processos (Repeatability)
PC4 - Papéis e Responsabilidades (Roles and Responsibilities)
PC5 – Políticas, Planos e Procedimentos (Policy, Plans and Procedures)
PC6 - Melhoria do Processo de Performance (Process Performance)

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

QUESTÕES DE PROVA

1 - No modelo de maturidade da governância de tecnologias da informação do COBIT, o nível 3 de maturidade

(defined process) é aquele em que há um completo entendimento das questões de governância de tecnologias da
informação em todos os níveis, entendimento esse apoiado pelo treinamento formal dos envolvidos.

2 - O modelo de maturidade da governância de tecnologias da informação elaborado no contexto do COBIT

apresenta 5 níveis de maturidade assim denominados: non-existent, initial/ad hoc, repeatable but intuitive,
defined process, managed and measurable e optimised.

3 - Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nível 1 de
maturidade em governança de TI, nível este denominado inicial/ad hoc, a responsabilidade pela governança de TI
cabe a indivíduos que dirigem os processos de governança dentro dos vários projetos e processos de TI.

4 - O conjunto de melhores práticas do COBIT considera seis critérios de informação: eficiência, confidencialidade,
integridade, disponibilidade, conformidade e confiabilidade.

5 - As organizações estão, contínua e inevitavelmente, aperfeiçoando seus processos de negócios e de TI.

Justifica-se, nesse cenário, uma abordagem evolutiva de processos, que, no modelo acima, apresenta-se por meio
de: adoção de modelos de maturidade; orientação a projetos suportados pela existência de indicadores de metas;
orientação a operações suportadas pela existência de indicadores de desempenho.

6 - Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos processos de TI
existentes em uma organização.

7 - Durante a implantação dos processos do domínio de monitoramento, é possível a produção de impacto sobre
o funcionamento de várias atividades do setor infraestrutura de ti

8 - A realização dos processos do domínio de planejamento e organização, que agregam dez objetivos de controle
de alto nível, pode produzir diretrizes de impacto de mais longo prazo sobre as atividades migração que a
realização dos processos do domínio de aquisição e implantação. [c]

9 - Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks),
uma organização apresente as seguintes características: existe uma abordagem para avaliar riscos; para cada
projeto, implementar a avaliação de riscos depende de decisão do gerente do projeto; a gerência de riscos é
aplicada apenas aos principais projetos ou em resposta a problemas. Nessa situação, o nível de maturidade da
referida organização, em relação a tal processo, é gerenciado e mensurável (managed and measurable ).

10 - (TCE-RN - Inspetor de Controle Externo) A definição do plano estratégico de TI e a definição da arquitetura da

informação são funções do domínio planejamento e organização do COBIT.

11 - No COBIT, são descritos cada um dos 34 processos de TI identificados e é estabelecido um conjunto de

objetivos de controle comum a todos eles .

Paulo Marcelo
(paulo1410@hotmail.com)
 13 de novembro
MEMOREX COBIT
de 2010

12 - O percentual de incidentes reabertos é uma das métricas usadas no processo de definição de um plano
estratégico de TI.

COMENTÁRIOS

1 - Em cobit não existe nível de maturidade para governança de ti como um todo, e sim para cada processo. [E]

2 - São 6 níveis (de zero a cinco) [E]

3 - Não existe "empresa nivel x" no cobit, e sim processos.Também não existe maturidade de governança dentro
do cobit. [E]

4 - Faltou efetividade [E]

5 - Correto

6 - É o contrário. processos de TI precisam adequar-se aos processos de negócio [E]

7 - Monitoramento do cobit é referente a governança de ti, não tem relação com monitoramento da rede ou de
ativos [e]

8 – PO envolve “Determinar as diretrizes de TI” e “Definir a arquitetura da informação” que são diretrizes de
longo prazo e definições de padrões. [C]
OBS: A questão foi anulada por causa do trecho: "dez objetivos de controle de alto nível, o cobit 3 fazia 11 e o 4
passou a fazer 10 e no edital não veio especificado a versão.

9 - É repetível pois depende do conhecimento das pessoas.[E]

10 - O cespe não consindera a palavra "funções" como sinonimo de "processos".[e]

11 – [E] A afirmativa deveria ser correta, pois são 34 processos de TI e existem os controles genéricos que se
aplicam a todos os 34 processos. Talvez quem montou a pergunta não conheça os controles genéricos. Flávio R.
Pinheiro - Tutor dos cursos TIEXAMES.

12 - O erro da questão é dizer que incidentes é uma das métricas usadas no processo PO-1 (Definição de um
planejamento estratégico de TI). Na verdade, tais métricas poderão ser usadas no processo DS-10
(Gerenciamento de Problema) [e]

"Se não puder destacar-se pelo talento, vença pelo esforço." - Dave Weinbaum

Paulo Marcelo
(paulo1410@hotmail.com)