Académique Documents
Professionnel Documents
Culture Documents
MEMOREX COBIT
de 2010
O que é a governança de TI ?
O IT Governance Institute define a governança de TI como uma estrutura de relações e processos para dirigir e
controlar a empresa a fim de atingir os objetivos empresariais pela adição de valor ao negócio por meio do
gerenciamento balanceado do risco versus o retorno do investimento em TI e nos processos de TI
Com base nos conceitos apresentados pelo COBIT: Uma ação eficiente decidida e prestada por iniciativa de
técnicos de suporte, preocupados em oferecer, com a maior qualidade possível, apoio aos usuários da
tecnologia da informação (TI), e a busca de soluções de problemas de forma cada vez mais rápida, é uma
aplicação do conceito de governança em TI.
O que é COBIT?
O CobiT provê um modelo de processo genérico que representa todos os processos normalmente encontrados
nas funções de TI, fornecendo assim um modelo de referência comum compreendido por gerentes
operacionais de TI e gerentes de negócios.
A utilização do COBIT está direcionada para controles, mensurações e avaliações dos processos estratégicos
das unidades de negócios de uma corporação
O COBIT não avalia os processos das unidades de negócios e sim das unidades de TI. Ele deve assegurar o
alinhamento entre a estratégia de TI e a estratégia de negócios. [E]
O COBIT abrange todas as atividades de TI e concentra-se no QUE deveria ser obtido e NÃO em COMO atingir
uma efetiva governança, gerenciamento e controle. Sendo assim, ele age como um integrador das práticas de
governança de TI e influencia a Alta Direção, gerências de negócios e de TI, profissionais de governança,
avaliação e segurança, profissionais de auditoria de TI e de controles. Ele é desenhado para ser complementar
e utilizado com outros padrões e boas práticas.
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Qualidade:
Eficiência: A informação deve ser provida por meio do uso otimizado dos recursos.
EFICÁCIA VS EFICIÊNCIA
Tais conceitos estão intimamente ligados ao Planejamento Estratégico, que divide-se em três níveis:
estratégico, tático e operacional. No nível estratégico traçamos os objetivos, no tático as metas, e no
operacional as ações a serem realizadas. Nesta ordem hierárquica, refletem como o processo de tomada
de decisão ocorre. Pois bem, ao falarmos de eficácia, estaremos falando do nível tático. No nível
estratégico o planejamento ainda não ocorreu, e eficácia tem a ver com um planejamento prévio.
Uma pessoa eficaz é aquela que faz aquilo que dever ser feito, que cumpre com suas metas, que
realiza o que foi proposto. Cláudio vendeu sua quota de produtos. Eliza também, mas gastou 30% de
gasolina a menos. Neste caso, se a meta era vender a quota, ambos foram eficazes, mas Eliza foi mais
eficiente.
A eficiência diz respeito a como fazer e está relacionada as ações a serem realizadas, definidas no
nível operacional. É uma questão de custo-benefício, onde buscamos ter o mínimo de perdas e/ou
desperdício. Uma relação entre os resultados obtidos e os recursos empregados. Se toda a sua equipe
entregou o relatório na data prevista, ok, foram eficazes. Mas se você conseguiu fazê-lo e ainda sobrou
tempo para realizar a próxima tarefa, ou mesmo para aproveitar o resto do dia e ir ao cinema, então você
foi eficiente.
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Adequação:
Conformidade: a informação obedece à leis, normas e contratos aos quais o negócio está sueito
Confiabilidade: o negocio pode confiar nela e usar essa informação para atender uma lei ou um requisito
Recursos de TI: Entregar informação (dados), processa aplicativos (aplicações), necessita de infraestrutura e
pessoas.
Os recursos de TI são gerenciados pelos processos (34 processos) para atingir os objetivos de TI que
respondem aos requisitos de negócios.
Dados, sistemas aplicativos, sistemas computacionais, instalações físicas e pessoas, conforme o modelo
COBIT, são recursos de TI que devem ser gerenciados, visando o alinhamento estratégico [GAB: C]
1. Informações são produzidas por recursos de TI: Dados, aplicações, infra-estrutura e pessoas
2. Recursos de TI são gerenciados por processos: Definição de responsabilidades e metas
3. Processos devem ser controlados: Objetivos de controle, indicadores de desempenho e indicadores de
resultados
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
(MPE-SE-FCC 2009-Analista-Q87)A correta correspondência entre uma dimensão do modelo COBIT (cubo) e
um de seus elementos dimensionais, respectivamente, é
(A) Information Criteria e Fiduciary.
(B) IT Process e Quality.
(C) IT Process e People.
(D) IT Resources e Fiduciary.
(E) Information Criteria e Process.
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Modelo de maturidade
Nível 0 – Inexistente: Ausência de processos identificáveis. A organização não reconhece que existe uma questão
a ser tratada
Nível 1 – Inicial/Ad-hoc: A organização reconhece que existe uma questão a ser tratada. Abordagens
improvisadas tendem a ser aplicadas a situações individuais A gerência do processo é desorganizada.
Nível 2 – Repetível mas intuitivo: Os processos se desenvolveram de modo que procedimentos similares são
executados por pessoas diferentes que realizam a mesma tarefa. Não existe treinamento ou repasse formal de
procedimentos, a responsabilidade é deixada a cargo do indivíduo. Existe alta dependência do conhecimento
individual, o que gera grande probabilidade de falhas.
Nível 3 – Processo definido: Procedimentos padronizados, documentados e comunicados por meio de
treinamentos. Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados. Os
procedimentos não são sofisticados, mas apenas formalização de práticas existentes
Nível 4 – Gerenciado e mensurável: É possível monitorar e medir a conformidade de procedimentos, para agir
quando os processos não estiverem funcionando de forma eficaz. Os processos sofrem melhorias constantes e
estabelecem boas práticas. Ferramentas automatizadas são usadas de forma limitada ou fragmentada
Nível 5 – Otimizado: Os processos foram refinados até alcançar as melhores práticas, com base no resultado de
melhoria contínua e comparações com outras organizações. A TI é usada para automatizar os fluxos de trabalho,
provendo ferramentas para aumentar a qualidade e efetividade dos processos
Indicadores de resultados: medidos somente após os fatos, portanto são também chamados de indicadores
históricos (lag indicators).
Indicadores de desempenho: Eles são medidos antes que os resultados sejam claros e portanto são chamados de
indicadores futuros (lead indicators ).
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Objetivos do negócio
para metas de TI
Metas de TI
para metas de processos
Metas de processos
para metas de atividades
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Métricas de resultado detalham os objetivos a serem alcançados pelo processo (o quê): Indicadores imediatos de
sucesso no alcance da meta, Foco nas perspectivas financeira e de clientes do BSC, Medem a TI com a visão do
negócio, Foco nos critérios da informação considerados mais relevantes para cada processo,
Planejamento & Organização: Trata dos aspectos estratégicos e táticos da organização, e de como a TI pode
contribuir para os objetivos de negócios
Aquisição & Implementação : Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e
aquisição.
Entrega & Suporte: Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança,
treinamento e suporte
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
• ALINHAMENTO ESTRATÉGICO: foca em garantir a ligação entre os planos de negócios e de TI, definindo,
mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização.
• ENTREGA DE VALOR: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI
entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e
provendo o valor intrínseco de TI.
• GESTÃO DE RECURSOS: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento
dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à
otimização do conhecimento e infraestrutura.
• GESTÃO DE RISCO: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um
entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre
os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia.
MENSURAÇÃO DE DESEMPENHO: acompanha e monitora a implementação da estratégia, término do projeto,
uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards”
que traduzem as estratégias em ações para atingir os objetivos, medidos através de processos contábeis
convencionais
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
QUESTÕES DE PROVA
3 - Segundo o modelo de maturidade proposto pelo COBIT, em empresa que esteja classificada no nível 1 de
maturidade em governança de TI, nível este denominado inicial/ad hoc, a responsabilidade pela governança de TI
cabe a indivíduos que dirigem os processos de governança dentro dos vários projetos e processos de TI.
4 - O conjunto de melhores práticas do COBIT considera seis critérios de informação: eficiência, confidencialidade,
integridade, disponibilidade, conformidade e confiabilidade.
6 - Os processos de negócio, por princípio, precisam adequar-se às restrições ou requisitos dos processos de TI
existentes em uma organização.
7 - Durante a implantação dos processos do domínio de monitoramento, é possível a produção de impacto sobre
o funcionamento de várias atividades do setor infraestrutura de ti
8 - A realização dos processos do domínio de planejamento e organização, que agregam dez objetivos de controle
de alto nível, pode produzir diretrizes de impacto de mais longo prazo sobre as atividades migração que a
realização dos processos do domínio de aquisição e implantação. [c]
9 - Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks),
uma organização apresente as seguintes características: existe uma abordagem para avaliar riscos; para cada
projeto, implementar a avaliação de riscos depende de decisão do gerente do projeto; a gerência de riscos é
aplicada apenas aos principais projetos ou em resposta a problemas. Nessa situação, o nível de maturidade da
referida organização, em relação a tal processo, é gerenciado e mensurável (managed and measurable ).
Paulo Marcelo
(paulo1410@hotmail.com)
13 de novembro
MEMOREX COBIT
de 2010
12 - O percentual de incidentes reabertos é uma das métricas usadas no processo de definição de um plano
estratégico de TI.
COMENTÁRIOS
1 - Em cobit não existe nível de maturidade para governança de ti como um todo, e sim para cada processo. [E]
3 - Não existe "empresa nivel x" no cobit, e sim processos.Também não existe maturidade de governança dentro
do cobit. [E]
5 - Correto
7 - Monitoramento do cobit é referente a governança de ti, não tem relação com monitoramento da rede ou de
ativos [e]
8 – PO envolve “Determinar as diretrizes de TI” e “Definir a arquitetura da informação” que são diretrizes de
longo prazo e definições de padrões. [C]
OBS: A questão foi anulada por causa do trecho: "dez objetivos de controle de alto nível, o cobit 3 fazia 11 e o 4
passou a fazer 10 e no edital não veio especificado a versão.
11 – [E] A afirmativa deveria ser correta, pois são 34 processos de TI e existem os controles genéricos que se
aplicam a todos os 34 processos. Talvez quem montou a pergunta não conheça os controles genéricos. Flávio R.
Pinheiro - Tutor dos cursos TIEXAMES.
12 - O erro da questão é dizer que incidentes é uma das métricas usadas no processo PO-1 (Definição de um
planejamento estratégico de TI). Na verdade, tais métricas poderão ser usadas no processo DS-10
(Gerenciamento de Problema) [e]
"Se não puder destacar-se pelo talento, vença pelo esforço." - Dave Weinbaum
Paulo Marcelo
(paulo1410@hotmail.com)