Curso 4376 Aula 05 v1 PDF

Aula 05
Tecnologia da Informação p/ TRT/PB (13ª região) - Técnico Judiciário (Com videoaulas)
Professor: Victor Dalton
08007832475 - thiago bruno

Tecnologia da Informação para TRT/PB
Técnico Judiciário Tecnologia da Informação
Prof Victor Dalton Aula 05
AULA 05: COBIT 4.1
SUMÁRIO PÁGINA
1.Governança de TI 2
1.1 Conceitos Básicos 2
1.2Objetivo da Governança de TI 3
2. COBIT 4
2.1 Conceitos Básicos 4
2.2 Componentes do COBIT 5
2.3 Diretrizes de Gerenciamento 14
2.4 Modelos de Maturidade 16
2.5 Diretrizes de Auditoria 16
2.6 Entendendo um processo do COBIT 17
2.7 COBIT x Outros Padrões 22
Exercícios Comentados 23
Considerações Finais 69
Lista de Exercícios 70
Gabarito 91
Olá amigos e amigas! Que bom estar aqui!
Esta aula versa sobre o COBIT. Para tal, é indispensável que você
acompanhe o conteúdo desse PDF com o framework do COBIT, disponível em
http://www.trainning.com.br/download/cobit41isaca_portugues.pdf. Este é
apenas um link sugerido, pois o download do COBIT 4.1 é gratuito.
Este PDF não tem por objetivo substituir a leitura do COBIT 4.1.
Mesmo porque não existe melhor forma de responder questões acerca do COBIT
do que manuseando e tratando com o próprio framework. Nossa meta é
torná-lo compreensível, destacando seus pontos mais importantes.
Vamos lá? 08007832475
Observação importante: este curso é protegido por direitos

autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e

prejudicam os professores que elaboram o cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)
Prof. Victor Dalton
www.estrategiaconcursos.com.br 1 de 91

COBIT
1. Governança de TI
1.1 Conceitos básicos
Governança de TI é “um braço” da Governança Corporativa, e para

entender o que é Governança de TI vamos primeiro entender o que é
Governança Corporativa. Segundo o IBGC (Instituto Brasileiro de Governança
Corporativa):
“é o sistema pelo qual as sociedades(empresas) são dirigidas e

monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho
e administração, diretoria, auditoria independente e conselho fiscal. As boas
práticas de governança corporativa têm a finalidade de aumentar o valor da
sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.”
A necessidade de se ter uma política de Governança se avançou ao longo

do tempo, dada a crescente complexidade das organizações, da concorrência e
das partes interessadas. A abertura de capital, ou seja, o fato das empresas
negociarem suas ações na bolsa, contribuiu muito para a necessidade de uma
maior transparência, para que os atuais acionistas saibam como vai seu
investimento e para que novos acionistas sejam atraídos (saímos de um
contexto onde a empresa era administrada pelos “sócios” para um cenário onde
os acionistas nunca colocaram o pé dentro da empresa). Isto justifica a definição
do IBGC: “As boas práticas de governança corporativa têm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a
sua perenidade.”
Em 2001, houve um fato que acelerou a adoção de práticas de Governança

08007832475
Corporativa no mundo, que foram os escândalos financeiros de grandes

empresas americanas como a Enron, que fraudava suas demonstrações
financeiras para encobrir os prejuízos que ela vinha tendo, fazendo com que
quando descoberto as fraudes, muitos acionistas perdessem o investimento de
uma vida inteira. A Governança é baseada nos princípios da transparência,
independência e prestação de contas (accountability) como meio para atrair
investimentos para a organização.
Prof. Victor Dalton


E qual o papel da TI nessa Governança?
Pelo fato das informações financeiras das empresas estarem salvos em

sistemas de informação, os gestores de negócio precisam ter garantias que as
informações nestes sistemas são confiáveis. Para se ter uma ideia, após os
escândalos de 2001, o congresso americano aprovou uma lei chamado
Sarbanes-Oxley, mais conhecida como SOX, onde os executivos de empresas
com ações na bolsa de Nova York são responsabilizados criminalmente por
desvios nas demonstrações financeiras, podendo além de levar multa ser preso
também. Mesmo que os executivos não tenham participação em fraudes das
demonstrações financeiras, caso for detectado alguma fraude, eles são
penalizados.
E como garantir que os dados nos sistemas são fidedignos

(corretos)?
A Governança de TI tem o papel de criar estes controles, de forma que a TI

trabalhe de uma maneira a mais transparente possível perante os stakeholders
(executivos, conselho de administração, acionistas). O framework, ou guia de
melhores práticas mais utilizado no mundo em se falando de Governança de TI é
o COBIT, mantido pela ISACA, que está na sua versão 5. O COBIT sugere uma
série de processos a serem seguidos, chamados de objetivos de controle como:
gerenciamento de incidentes, problemas, segurança da informação, indicadores,
auditoria externa entre outros objetivos para que se possa garantir o controle
das informações que se encontram em sistemas de informação.
O COBIT, por ter “nascido” com foco em auditoria, em sua primeira versão,
inspira guias de auditoria, que verificam se os objetivos de controle são
adequadamente implementados.
1.2 Objetivo da governança de TI 08007832475
O objetivo principal da Governança de TI é alinhar a TI aos requisitos do

negócio. Detalhando um pouco mais essa definição, podemos depreender
outros objetivos, a saber:
 Promover o posicionamento mais claro e consistente da TI em

relação às demais áreas de negócios da empresa, traduzindo as
estratégias dos negócios em planos, aplicações,
infraestrutura de TI, processos, etc;
 Promover o alinhamento estratégico e a priorização das iniciativas
de TI com a estratégia do negócio, gerando um portfólio de TI;
Prof. Victor Dalton


 Promover o alinhamento da arquitetura de TI às necessidades do
negócio, visando o presente e o futuro;
 Promover a implantação e melhoria dos processos operacionais e de
gestão;
 Prover a TI com estrutura suficiente para gestão do risco e
compliance;
 Utilizar regras claras e estabelecer responsabilidades sobre decisões
e ações de TI;
 Melhorar o ROI, etc.
Vistas essas características, podemos iniciar o estudo do COBIT

propriamente dito.
2. COBIT
2.1 Conceitos Básicos
O Control Objectives for Information and Related Technology

(CobiT®), é um guia que fornece boas práticas através de um modelo de
domínios e processos e apresenta atividades em uma estrutura lógica e
gerenciável. Ele é baseado em objetivos de controle.
As boas práticas do CobiT representam o consenso de especialistas. Elas

são fortemente focadas mais nos controles e menos na execução, ou seja, ele
diz o que tem que ser feito, mas não diz como deve ser feito. Essas práticas
irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços
e prover métricas para julgar quando as coisas saem erradas.
08007832475
O Cobit é ferramenta mister para a Governança de TI, cuja finalidade

precípua é garantir que a área de TI da organização suporte os objetivos de
negócios.
O COBIT atende aos 5 requisitos de um framework de controle,

a saber:
 Define uma linguagem comum para a área de TI e negócio

 Ajuda a atender os requisitos regulatórios
 É um padrão aceito entre empresas
 É orientado a processos
 É focado nos requisitos de negócio
2.2 Componentes do COBIT
Prof. Victor Dalton


O COBIT possui uma imagem muito famosa, de um cubo, que ilustra o

inter-relacionamento de todos os seus componentes. Em resumo, os recursos
de TI são gerenciados pelos processos de TI para atingir os objetivos de TI
que respondem aos requisitos de negócios.
Vejamos, desde já, alguns desses componentes.
2.2.1 Recursos de TI
 Aplicações: sistemas automatizados e procedimentos

08007832475
manuais para
processar informações
 Informação: os dados de todos os formulários de entrada, processados e

exibidos pelos sistemas de informação, podendo ser qualquer formulário
que é usado pelo negócio.
 Infraestrutura: inclui hardware, sistemas operacionais, sistemas de

banco de dados, rede, multimídia, etc. É tudo que é necessário para o
funcionamento das aplicações.
 Pessoas: pessoal necessário para planejar, organizar, adquirir,

implementar, entregar, dar suporte, monitorar e avaliar os sistemas de
informação e serviços. Eles podem ser internos ou terceirizados.
Prof. Victor Dalton


2.2.2 Critérios de Informação (IMPORTANTE!)
Para satisfazer os objetivos de negócio, as informações precisam estar em

conformidade com os critérios chamados requisitos de negócio (parte superior
do cubo).
Os Requisitos de Negócio podem ser classificados em:
 Requisitos de Qualidade
 Qualidade
 Custo
 Entrega
 Requisitos Fiduciários (Relatório do COSO)

 Eficácia e eficiência das Operações
 Confiabilidade das Informações
 Conformidade com Leis e Regulamentos
 Requisitos de Segurança
 Confidencialidade
 Integridade
 Disponibilidade
Para satisfazer esses requisitos, o COBIT adota sete Critérios de

Informação. Preste bem atenção nas descrições desses critérios, pois eles
aparecem DEMAIS em provas. São eles:
Efetividade (eficácia): lida com a informação relevante e pertinente para

o processo de negócio bem como a mesma sendo entregue em tempo, de
maneira correta, consistente e utilizável.
Eficiência: relaciona-se com a entrega da informação através do melhor

(mais produtivo e econômico) uso dos recursos.
08007832475
Confidencialidade: está relacionada com a proteção de informações

confidenciais para evitar a divulgação indevida.
Integridade: relaciona-se com a fidedignidade e totalidade da informação

bem como sua validade de acordo os valores de negócios e expectativas.
Disponibilidade: relaciona-se com a disponibilidade da informação quando

exigida pelo processo de negócio hoje e no futuro. Também está ligada à
salvaguarda dos recursos necessários e capacidades associadas.
Conformidade: lida com a aderência a leis, regulamentos e obrigações

contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de
negócios impostos externamente e políticas internas.
Prof. Victor Dalton


Confiabilidade: relaciona-se com a entrega da informação apropriada para
os executivos para administrar a entidade e exercer suas responsabilidades
fiduciárias e de governança.
Flávio Pinheiro realizou um mapeamento entre os critérios de informação

do COBIT e os tipos de requisitos de negócio. Peço que preste atenção, pois
também é alvo de questões de prova.
Atenção! O critério de informação do COBIT effectiveness foi

traduzido para a versão em português como efetividade em
alguns trechos, e eficácia em outros.
08007832475
Tomando a versão em inglês como norte, o nome correto é

efetividade. Preste atenção nisso, pois, por várias vezes,
aparecem questões de concurso colocando ambos, efetividade
e eficácia, como critérios de informação, o que é ERRADO!
Havendo duplicidade, tome efetividade como o correto e
eficácia como errado. Aparecendo somente um deles, eficácia
pode ser considerado correto.
Prof. Victor Dalton


2.2.3 Processos de TI
O COBIT é dividido em 4 Domínios e 34 Processos de TI, cada processo

com um número variável de objetivos de controle.
08007832475
Vejamos cada um dos domínios e seus respectivos processos.
1. Planejar e Organizar (PO) – Este domínio cobre a estratégia e as

táticas, preocupando-se com a identificação da maneira em que TI pode melhor
contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica
precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.
Uma apropriada organização bem como uma adequada infraestrutura
tecnológica devem ser colocadas em funcionamento. Este domínio tipicamente
ajuda a responder as seguintes questões gerenciais:
Prof. Victor Dalton

· As estratégias de TI e de negócios estão alinhadas?
· A empresa está obtendo um ótimo uso dos seus recursos?
· Todos na organização entendem os objetivos de TI?
· Os riscos de TI são entendidos e estão sendo gerenciados?
· A qualidade dos sistemas de TI é adequada às necessidades de negócios?
E, são processos deste domínio:
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os Relacionamentos de

TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
2. Adquirir e Implementar (AI) – Para executar a estratégia de TI, as

soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas,
08007832475
implementas e integradas ao processo de negócios. Além disso, alterações

e manutenções nos sistemas existentes são cobertas por esse domínio para
assegurar que as soluções continuem a atender aos objetivos de negócios. Este
domínio tipicamente trata das seguintes questões de gerenciamento:
· Os novos projetos fornecerão soluções que atendam às necessidades de

negócios?
· Os novos projetos serão entregues no tempo e orçamento previstos?
· Os novos sistemas ocorreram apropriadamente quando implementado?
· As alterações ocorrerão sem afetar as operações de negócios atuais?
Prof. Victor Dalton


AI1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
3. Entregar e Suportar (DS) – Este domínio trata da entrega dos serviços

solicitados, o que inclui entrega de serviço, gerenciamento da segurança e
continuidade, serviços de suporte para os usuários e o gerenciamento
de dados e recursos operacionais. Trata geralmente das seguintes questões de
gerenciamento:
· Os serviços de TI estão sendo entregues de acordo com as prioridades de

negócios?
· Os custos de TI estão otimizados?
· A força de trabalho está habilitada para utilizar os sistemas de TI de

maneira produtiva e segura?
· Os aspectos de confidencialidade, integridade e disponibilidade estão

sendo contemplados para garantir a segurança da informação?
08007832475
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
Prof. Victor Dalton


DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
4. Monitorar e Avaliar (ME) – Todos os processos de TI precisam ser

regularmente avaliados com o passar do tempo para assegurar a qualidade e a
aderência aos requisitos de controle. Este domínio aborda o gerenciamento de
performance, o monitoramento do controle interno, a aderência
regulatória e a governança. Trata geralmente das seguintes questões de
gerenciamento:
· A performance de TI é mensurada para detectar problemas antes que seja

muito tarde?
· O gerenciamento assegura que os controles internos sejam efetivos e

eficientes?
· O desempenho da TI pode ser associado aos objetivos de negócio?
· Existem controles adequados para garantir confidencialidade, integridade

e disponibilidade das informações?

08007832475
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
O ideal é que você leia as descrições de todos os 34 processos do COBIT

pelo menos uma vez, lá no framework. Destaco alguns processos, a seguir:
Prof. Victor Dalton


RESUMO DOS PROCESSOS MAIS IMPORTANTES

Domínio Processo Descrição
PO PO9 Avaliar e Gerenciar Cria e mantem um framework de
os Riscos de TI gerenciamento de riscos de TI. Todos os
assuntos relacionados a riscos estão
envolvidos neste processo.
PO10 Gerenciar Projetos Se envolve com todos os assuntos
relacionados ao gerenciamento de projetos de
TI.
AI AI4 Habilitar Operação e Se preocupa em disponibilizar o conhecimento
Uso sobre os novos sistemas. Este processo requer
a produção da documentação e manuais para
usuários e TI, e fornece treinamento aos
usuários.
AI6 Gerenciar Mudanças Inclui todas as mudanças, inclusive as
mudanças emergenciais, relacionadas com a
infra-estrutura
DS DS1 Definir e Gerenciar Define os níveis de serviços requeridos junto
Níveis de Serviço com os cliente e monitora e emite relatórios
para os stakeholders.
DS2 Gerenciar Serviços Assegura os serviços fornecidos por terceiros
Terceirizados para que estes satisfaçam as necessidades do
negócio. Se envolve com regras,
responsabilidades e acordos com terceiros.
2.2.4 Áreas de Foco
O COBIT afirma que as áreas de foco na Governança de TI descrevem os

tópicos que os executivos precisam atentar para direcionar a área de TI dentro
de suas organizações. São cinco as áreas de foco:
08007832475
Prof. Victor Dalton


Alinhamento estratégico: foca em garantir a ligação entre os planos de

negócios e de TI, definindo, mantendo e validando a proposta de valor de TI,
alinhando as operações de TI com as operações da organização.
Entrega de valor: é a execução da proposta de valor de TI através do

ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos
na estratégia da organização, concentrando-se em otimizar custos e provendo o
valor intrínseco de TI.
Gestão de recursos: refere-se à melhor utilização possível dos

investimentos e o apropriado gerenciamento dos recursos críticos de TI:
aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-
se à otimização do conhecimento e infraestrutura.
Gestão de risco: requer a preocupação com riscos pelos funcionários mais

experientes da corporação, um entendimento claro do apetite de risco da
empresa e dos requerimentos de conformidade, transparência sobre os riscos
significantes para a organização e inserção do gerenciamento de riscos nas
atividades da companhia.
Mensuração de desempenho: acompanha e monitora a implementação

da estratégia, término do projeto, uso dos recursos, processo de performance e
entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem
as estratégia em ações para atingir os objetivos, medidos através de processos
contábeis convencionais.
2.2.5 Outros conceitos importantes
KEY GOAL INDICATORS (KGI) 08007832475
Indica se um processo de TI alcançou a sua meta a nível de critérios de

informação. Este tipo de indicador é usado após a execução do processo, não
durante o processo.
KEY PERFOMANCE INDICATORS (KPI)
Determinam quanto o processo de TI conseguiu atingir em relação aos

objetivos. São indicadores que podem avaliar o processo enquanto ele está em
execução, desta forma permiti tomar ações corretivas durante o processo.
Prof. Victor Dalton


PRÁTICAS DE CONTROLE
As práticas de controle de TI fornece mais detalhes de como e porque são

necessárias para a administração, provedores de serviços, usuários finais e
profissionais de controle, para implementar controles específicos baseados na
analise de operações e riscos de TI.
...
Até agora estamos vendo muitos conceitos soltos, eu entendo você. Porém
a apresentação destes conceitos é a própria essência do COBIT. Mais adiante,
quando virmos um processo do COBIT em detalhes, espero que você consiga
relacionar os diversos conceitos apresentados.
De antemão, tentemos visualizar como todos esses elementos

apresentados se inter-relacionam. A imagem abaixo também se encontra na
página 10 do framework do COBIT.
08007832475
2.3 Diretrizes de Gerenciamento
As Diretrizes de Gerenciamento especificam medidas de resultado em

forma de KGIs (Key Goal Indicators) e medidas de performance em forma de
KPIs (Key Performance Indicators).
Prof. Victor Dalton


Cada um dos 34 processos possui Objetivos e Métricas, com objetivos

das atividades, objetivos dos processos e objetivos de TI. Os KPI
direcionam os objetivos dos processos, que são medidos pelos KGI. Os
KGI direcionam dos objetivos da TI, que são medidos pelos KGI de TI.
Quando visualizarmos essas informações em um processo, tudo ficará
mais tangível.
Para cada processo de alto-nível, também é sugerido um Gráfico RACI com os

responsáveis por cada atividade.
08007832475
Prof. Victor Dalton


2.4 Modelos de Maturidade
Um modelo de maturidade é uma medida que possibilita uma organização a

classificar sua maturidade para determinado certo processo de inexistente (0) a
otimizado (5). Os modelos de maturidades fazem parte das diretrizes de
Gerenciamento, e podem ser utilizados para fazer comparações de maturidade
com outras empresas.
Inexistente Inicial Repítivel Definido Gerenciado Otimizado
0 1 2 3 4 5
Legenda para os Símbolos Legendas para o Ranking
Enterprise current status 0 Processos de Gerenciamento não são aplicados a todosl.

1 Os processos são desorganizados.
International standard guidelines 2 Os processos seguem um padrão regular.
3- Os processos são documentados e comunicados.
4 Os processos são monitorados e medidos.
Industry best practice 5 As melhores práticas são seguidas e automatizadas
.
Enterprise strategy
Modelo de Maturidade Genérico
0
Não existem controles.
Inexistente
1 Inicial Já existem processos, não documentados nem padronizados.
Processos padronizados, porém carecem de documentação e
2 Repetível
comunicação. Não existe treinamento formal.
Os processos são formalizados, existe documentação, treinamento, e
3 Definido comunicação definida. Desvios não serão detectados e procedimentos
não são sofisticados.
4 Processos em aperfeiçoamentos, já fornecem as boas práticas. Mas
08007832475
Gerenciado faltam ferramentas de automação.

5 Os processos já estão refinados a partir das melhores práticas
Otimizado identificadas. Já existe institucionalização das melhores práticas.
2.5 Diretrizes de Auditoria
Fornece um guia de passos para ajudar os auditores internos e externos a

avaliarem a performance da organização.
A estrutura do processo de auditoria geralmente aceita compreende 4

estágios:
Prof. Victor Dalton


Um processo de TI é auditado através da:
 Obtenção do entendimento dos riscos relacionados com os requisitos

de negócio e medidas de controle relevantes.
 Avaliação dos controles determinados, avaliando se estes são

apropriados.
 Avaliação de conformidade através de testes que

verifiquem se o controle determinado está funcionando como
previsto, de forma consistente e contínua.
 Substanciação dos riscos dos objetivos de controle

que não estão sendo atingidos através de análises
técnicas ou consultando outras fontes alternativas.
2.6 Entendendo um processo do COBIT (importante!)

08007832475
Depois dessa “enxurrada” de conceitos, vejamos um processo no COBIT, e

tentemos interligar tudo que já foi visto até agora.
O processo selecionado será o PO10 – Gerenciar Projetos, que,

reconhecidamente, é um dos processos mais importantes do COBIT. Além disso,
é visível o seu estreito relacionamento com o PMBOK. Ele se encontra na página
69 do framework do COBIT. Usarei “PrintScreens” do COBIT a seguir, mas, se
você puder acompanhar a explicação vendo o próprio framework, fica ainda
melhor. Vejamos:
Prof. Victor Dalton


Nesse primeiro “PrintScreen”, acima, vemos a descrição do processo PO10

– Gerenciar Projetos. Logo abaixo, à esquerda, visualizamos com quais critérios
de informação esse processo se relaciona, primariamente e secundariamente.
No caso, apenas os critérios eficácia (efetividade) e eficiência, primariamente.
Ainda abaixo, à direita, destaca-se o domínio ao qual o processo pertence,
Planejar e Organizar.
08007832475
Prof. Victor Dalton


Ainda na mesma página, temos os campos:
 Controle sobre o seguinte processo de TI - cita novamente o

nome do processo;
 que satisfaça aos seguintes requisitos do negócio para a TI -

cita, sumariamente, o objetivo de TI mais importante;
 com foco em - cita, sumariamente, os objetivos de processos

mais importantes;
 é alcançado por - cita os objetivos da atividade;
 e medido por - cita as métricas chaves.

08007832475
Finalizando a página de apresentação do processo, aparecem as Áreas de

Foco e os Recursos de TI com os quais o processo se relaciona.
Prof. Victor Dalton


Na segunda página do processo, mostrada acima, aparecem os objetivos

de controle detalhados, o coração do processo. Ler os objetivos de controle
dos processos conduzem a um melhor entendimento do processo, e você precisa
fazê-lo pelo menos uma vez!
08007832475
Prof. Victor Dalton


Mais à frente, aparecem as Diretrizes de Gerenciamento. Acima, à

esquerda, são citados os processos que apresentam entradas para o PO10, com
a descrição da respectiva entrada. À direita, aparecem as saídas do PO10, e os
respectivos processos que serão alimentados por essas saídas.
Imediatamente abaixo, temos uma tabela RACI com os objetivos de
controle que puderam ser transcritos em atividades, apontando os responsáveis
na organização que se envolvem com essa atividade em algum nível, ou como
responsável, responsabilizado, consultado e/ou informado.
08007832475
Prof. Victor Dalton


Ainda na mesma página, temos os Objetivos e Métricas. Aí, aparecerão
Objetivos de TI, Objetivos de Processos, Objetivos das Atividades, todos
medidos, respectivamente, por Key Goals Indicators de TI, Key Goal
Indicators de processos e Key Performance Indicators.
Por fim, o processo apresentará o seu Modelo de Maturidade,

caracterizando-o de maneira concreta. Certamente, toda organização poderá ser
encaixada em um determinado nível de maturidade, baseado na avaliação
detalhada de seus objetivos de controle.
E agora, o COBIT ficou mais compreensível? O COBIT, essencialmente, são

08007832475
os seus 34 processos descritos detalhadamente conforme o exemplo anterior.

Contudo, as diversas definições apresentadas também são forte alvo de
cobrança em provas.
Portanto, eu sugiro, em um primeiro momento, que você entenda a
estrutura do COBIT, para, então, aventurar-se em ler os processos e
compreendê-los.
2.7 COBIT X Outros Padrões
O COBIT é compatível com outros padrões, e este é um benefício da sua

adoção. Por estar em um nível mais genérico, pode ser utilizado para avaliar
outros processos implementados por outros frameworks como ITIL e ISO 17799
(NBR ISO 27002).
Prof. Victor Dalton


Costuma-se afirmar que o COBIT é um “guarda-chuva” de outros

frameworks e normas.
Agora que você entende o funcionamento do COBIT, pratique com os

exercícios e sinta como ele é cobrado. Depois, aconselho FORTEMENTE que você
leia o framework!
08007832475
Prof. Victor Dalton


EXERCÍCIOS COMENTADOS
1ª Questão) (FCC – INFRAERO – Analista de Sistemas –

Desenvolvimento e Manutenção - 2011) O princípio básico do modelo CobiT
estabelece que os ... I ... são gerenciados pelos ... II ... para atingir os ... III ...
que respondem aos ... IV ...
As lacunas I, II, III e IV são preenchidas correta e respectivamente por:
a) requisitos de negócios, objetivos de TI, recursos de TI e processos de TI.

b) requisitos de negócios, processos de TI, objetivos de TI e recursos de TI.
c) processos de TI, objetivos de TI, recursos de TI e requisitos de negócios.
d) recursos de TI, processos de TI, objetivos de TI e requisitos de negócios.
e) recursos de TI, objetivos de TI, requisitos de negócios e processos de TI.
O Control Objectives for Information and related Technology (CobiT®)

fornece boas práticas através de um modelo de domínios e processos e
apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do
CobiT representam o consenso de especialistas. Elas são fortemente focadas
mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar
os investimentos em TI, assegurar a entrega dos serviços e prover métricas para
julgar quando as coisas saem erradas.
O Cobit é ferramenta mister para a Governança de TI, cuja finalidade
precípua é garantir que a área de TI da organização suporte os objetivos de
negócios.
O modelo do COBIT pode ser representado pelo seguinte cubo:
08007832475
Prof. Victor Dalton


Este é o cubo do Cobit, mostrando que os recursos de TI são gerenciados
pelos processos de TI para atingir os objetivos de TI que respondem aos
requisitos de negócios. Grave essa imagem! Grande parte das questões que
cercam o Cobit passam por esse cubo, direta ou indiretamente.
Resposta certa, alternativa d).
2ª Questão) (ESAF - Analista de Finanças e Controle – Auditoria e

Fiscalização – Geral – 2012) São critérios de informação do Cobit 4.1:
a) confiabilidade, disponibilidade, integridade
b) eficácia, efetividade, eficiência
c) confidencialidade, privacidade, integridade
d) confiabilidade, resiliência, robustez
e) eficiência, produtividade, manutenibilidade
Os critérios de informação são um dos componentes-chave da estrutura

do Cobit. Para atender aos objetivos de negócio, as informações precisam se
adequar a certos critérios de controle, e, para cada processo do Cobit, alguns
desses critérios estarão mais evidentes. São eles:
 Efetividade (eficácia) lida com a informação relevante e pertinente para
 Eficiência relaciona-se com a entrega da informação através do melhor
 Confidencialidade está relacionada com a proteção de informações
 Integridade relaciona-se com a fidedignidade e totalidade da informação
 Disponibilidade relaciona-se com a disponibilidade da informação
quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à
08007832475
 Conformidade lida com a aderência a leis, regulamentos e obrigações

 Confiabilidade relaciona-se com a entrega da informação apropriada
para os executivos para administrar a entidade e exercer suas responsabilidades
Não aprecio mnemônicos do tipo PAN4R, PRAFEDP, etc... mas tem quem
goste. Para estes critérios, gosto da ideia de saber que o CID da segurança de
informação (um clássico) está no meio, e temos duas dobradinhas de cada lado.
Eficiência/Efetividade (ou eficácia), e a dupla con/con. Desta forma, a letra a) é
a nossa alternativa correta.
Prof. Victor Dalton


3ª Questão) (Cesgranrio – Analista da Casa da Moeda do Brasil –
Gestão em TI – 2012) A respeito do COBIT, NÃO procede a afirmação de que
a) suas práticas influenciam diversas áreas de uma organização, sem se

restringir ao setor de TI.
b) uma de suas principais características é a orientação para negócios.
c) um dos seus objetivos é avaliar as organizações em relação às suas
práticas gerenciais relacionadas com a tecnologia da informação.
d) o modelo foi desenvolvido com forte ênfase em controles.
e) o modelo de maturidade genérico possui 3 níveis.
Mais ideias conceituais sobre o COBIT. Espero que você tenha percebido
que a alternativa e) é a sentença errada. Exploraremos esse modelo de
maturidade logo adiante.
4ª Questão)(ESAF – CVM - Analista de Infraestrutura de TI – 2010)

Os níveis dos modelos de maturidade do COBIT são:
a) Insipiente (0). Inicial / Ad hoc (1). Repetitivo mas intuitivo (2).
Programado (3). Gerenciado e qualitativo (4). Finalizado (5).
b) Inexistente (0). Programado (1). Repetitivo mas dedutivo (2). Definido
(3). Gerenciado e mensurável (4). Repetitivo (5).
c) Inexistente (0). Em definição (1). Restritivo mas intuitivo (2). Otimizado
(3). Gerenciado e mensurável (4). Disponibilizado (5).
d) A definir (0). Inicial / Ad hoc (1). Repetitivo e redundante (2). Definido
(3). Orientado para mensuração (4). Maximizado (5).
e) Inexistente (0). Inicial / Ad hoc (1). Repetitivo mas intuitivo (2).
Definido (3). Gerenciado e mensurável (4). Otimizado (5).
08007832475
Perguntas sobre os níveis dos modelos de maturidade do COBIT caem

periodicamente. Infelizmente, não existe muito o que fazer. Deve-se decorar e
não confundir com o CMMI, que possui nomenclatura muito parecida. A saber:
0 – Inexistente - Não existe o reconhecimento da necessidade de

controles internos. Controles não são parte da cultura ou missão da empresa.
Existe um alto risco de deficiências de controles e de incidentes. Em suma, é o
amadorismo total.
1 – Inicial/Ad Hoc - Existe algum reconhecimento da necessidade de

controles internos. O enfoque com relação a riscos e controles é ad hoc e
desorganizado, sem comunicação ou monitoramento. Deficiências não são
Prof. Victor Dalton


identificadas. Funcionários não estão conscientes de suas responsabilidades. É
apenas o amadorismo.
2 – Repetível, porém intuitivo - Controles estão em funcionamento mas

não são documentados. A sua operação é dependente do conhecimento e da
motivação da pessoas. Efetividade não é adequadamente avaliada. Existem
muitas fragilidades de controles e elas não são adequadamente tratadas; o
impacto pode ser severo. Você já trabalhou em um lugar que as coisas até
andam, mas dependem estritamente das pessoas? Quando determinado
funcionário se ausenta, aquele processo para? Então você conhece o nível 2.
3 – Processo Definido - Controles estão em funcionamento e são

adequadamente documentados. A efetividade operacional é avaliada
periodicamente, e existe um número médio de problemas. No entanto, o
processo de avaliação não é documentado. Embora a gerência trate a maioria
dos problemas de controle de maneira previsível, algumas fragilidades de
controle persistem e os impactos podem ainda ser severos. Os funcionários
estão conscientes de suas responsabilidades relacionadas a controles. Os
processos críticos de TI são identificados com base em direcionadores de valor e
riscos, o que já coloca o nível 3 em um patamar razoável.
4 – Gerenciado e Mensurável - Existe um efetivo ambiente de controles

internos e gerenciamento de riscos. Uma avaliação formal e documentada dos
controles ocorre frequentemente. Muitos controles são automatizados e
regularmente revisados. A gerência provavelmente detecta a maioria dos
problemas de controle, mas nem todos os problemas são rotineiramente
identificados. Existe um contínuo acompanhamento para solucionar as
fragilidades de controles. O uso limitado e tático da tecnologia é aplicado para
automatizar os controles. Em suma, o controle é frequente, mas nem tudo é
controlado.
5 – Otimizado - Um programa corporativo de risco e controles proporciona

uma contínua e efetiva resolução de questões relacionadas a controles e riscos.
O gerenciamento de controles internos e riscos é integrado com as práticas
08007832475
corporativas, suportado por um monitoramento automatizado em tempo real,

com uma total responsabilização pelo monitoramento dos controles,
gerenciamento de riscos e procedimentos para conformidade. A avaliação dos
controles é contínua, baseada na auto avaliação e análises de lacuna e de causa-
raiz. Os funcionários estão proativamente envolvidos no aprimoramento de
controles. Bem vindo à utopia.
Logo, letra e).
5ª Questão) (ESAF - Analista de Finanças e Controle – Infraestrutura

de TI – 2012) No Cobit 4.1, são considerados recursos de TI:
Prof. Victor Dalton


a) Sistemas, Informações, Rede e Servidores críticos.
b) Aplicativos, Sistemas de Informação, Rede e Estações de Trabalho.
c) Sistemas, Bancos de Dados, Infraestrutura e Pessoas.
d) Aplicativos, Informações confidenciais, Rede e Estações de Trabalho.
e) Aplicativos, Informações, Infraestrutura e Pessoas.
Também conceito básico do Cobit! Vamos vê-los?
Para atender aos requisitos de negócios para TI, a organização precisa

investir nos recursos necessários para criar uma adequada capacidade técnica
(ex. um sistema de planejamento de recursos [ERP]) que atenda a uma
necessidade de negócios (ex. implementar um canal de suprimentos) resultando
no desejado retorno (ex. aumento de vendas e benefícios financeiros). E esses
recursos são:
Logo, nossa alternativa correta é a letra e).
6ª Questão) (ESAF – Analista de Finanças e Controle –

Desenvolvimento de Sistemas de Informação – 2008) O COBIT - Control
Objectives for Information and related Technology fornece boas práticas por
meio de uma estrutura de domínio e processos e apresenta atividades de forma
08007832475
gerencial e lógica para a Governança de TI. O COBIT contém componentes

interrelacionados, provendo suporte para a governança, gerenciamento, controle
e atendimento das necessidades de diferentes organizações. O componente
Atividades-Chaves do COBIT (versão 4.1) está relacionado com
a) Indicadores de Performance.
b) Modelos de Maturidade.
c) Controle de Objetivos.
d) Responsabilidades e Contabilização.
e) Controle de Práticas.
Prof. Victor Dalton


Cada processo do COBIT possui uma Matriz RACI, associando as
atividades-chave com as funções responsáveis por ela. Vamos ver, por
exemplo, a matriz RACI do processo DS8 – Gerenciar a Central de Serviço e
os Incidentes:
Agora ficou fácil, não é mesmo? O componente Atividades-Chave relaciona-

se com responsabilidades e accountability, sabiamente(?) traduzido pela ESAF
como Contabilização. Logo, letra d).
P.S.: lembremos que R,A,C e I, na matriz RACI, significam,

respectivamente, Responsável (pela execução da tarefa), Accountable (presta
contas dos resultados ao Responsible), Consultado e Informado.
7ª Questão) (FGV - MEC – Gerente de Projetos – 2008 - adaptada) A

figura a seguir se refere aos quatro domínios de processos da metodologia
“Control Objectives for Information and Related Technology - COBIT”.
08007832475
Prof. Victor Dalton


Além dos domínios MONITORAR e AVALIAR e PLANEJAR E ORGANIZAR, os
domínios I e II são denominados respectivamente:
a) Projetar e Apoiar / Requisitar e Especificar.

b) Projetar e Apoiar / Adquirir e Implementar.
c) Entregar e Suportar / Requisitar e Especificar.
d) Entregar e Suportar / Adquirir e Implementar.
e) Entregar e Suportar / Implementar e Manutenir.
Esse decoreba destes modelos de Governança são cruéis! Mas estas são as
regras do jogo, e você está aqui para jogar. Vejamos as principais atribuições
dos 4 domínios, extraídos do próprio Cobit 4.1:
Planejar e Organizar (PO) - Prover direção para entrega de soluções (AI)

e entrega de serviços (DS).
Adquirir e Implementar (AI) - Prover as soluções e as transferir para

tornarem-se serviços.
Entregar e Suportar (DS) - Receber as soluções e as tornar passíveis de

uso pelos usuários finais.
Monitorar e Avaliar (ME) - Monitorar todos os processos para garantir

que a direção definida seja seguida.
Caso a alternativa fosse mais difícil, a ponto de exigir que você fizesse a
associação correta entre os domínios e os objetivos de controle correspondentes,
creio que seja possível associar os verbos dos objetivos de controle com os seus
domínios correspondentes. Adquirir e Implementar (adquirir, desenvolver,
instalar...) e Entregar e Suportar (gerenciar, garantir, assistir...).
Alternativa d).
08007832475

de TI – 2012) Qual é a principal atribuição do domínio Entregar e Suportar
do Cobit 4.1?
a) Desenvolver as soluções e as tornar passíveis de uso pelos clientes.
b) Monitorar o desempenho das soluções e as tornar passíveis de uso pelos

usuários finais.
c) Receber as soluções e as tornar passíveis de uso pelos usuários finais.
d) Homologar as soluções e as tornar passíveis de teste pelos clientes.
e) Adquirir as soluções e as tornar passíveis de homologação pelos clientes.

Prof. Victor Dalton

Acabamos de ler as descrições dos domínios! E aí, está tranquilo?
A gente percebe que as alternativas estão ali exatamente para confundir o

candidato que leu pouco sobre o assunto. Nesses assuntos iminentemente
teóricos, como ITIL e COBIT, não tem jeito: ou você lê bastante, entende os
conceitos, e assimila o conhecimento, ou vai estar sujeito a ler uma questão e
sequer conseguir eliminar uma alternativa, e vai chutar sem precisão alguma.
De qualquer forma, você já sabe que nos conceitos básicos (que normalmente
são aqueles que compõem o índice ou o sumário do assunto que você está
estudando), se não der pra ler profundamente e assimilar a teoria, pelo menos
DECORAR você pode tentar. Acrônimos, mapas mentais, faça o que achar
melhor, mas não deixe a questão escapar! Alternativa correta, letra c).
9ª Questão) (Cesgranrio – Petrobrás - Analista de Sistemas Júnior –

Infraestrutura – 2010) O COBIT define as atividades de TI num modelo
genérico de processos divididos em quatro domínios. Esses domínios mapeiam
as tradicionais áreas de responsabilidade de TI de planejamento, construção,
processamento e monitoramento. Entre os conjuntos de processos listados
abaixo, qual faz parte do domínio Entregar e Suportar?
a) Gerenciar a capacidade e o desempenho, educar e treinar os usuários e

gerenciar a configuração.
b) Instalar e homologar as soluções e mudanças, gerenciar as mudanças,
habilitar a operação e o uso.
c) Instalar e homologar as soluções e mudanças, gerenciar as mudanças,
assegurar a continuidade de serviços.
d) Monitorar e avaliar o desempenho, monitorar e avaliar os controles
internos, avaliar e gerenciar os riscos de TI.
e) Determinar o direcionamento tecnológico, definir os processos, a
organização e os relacionamentos de TI, gerenciar o investimento de TI.
Cada domínio possui uma série de processos em sua “aba”. Entender o

08007832475
modelo pode ajudar a compreender qual processo pertence a cada domínio, bem
como vários nomes de processos, intuitivamente, remetem a um domínio com
certa facilidade (é razoável que os processos que comecem com “Monitorar e
Avaliar...” pertençam ao domínio Monitorar e Avaliar, assim como “Definir um
Plano...” pertença ao domínio Planejar e Organizar). Abaixo, temos os Domínios
e seus respectivos processos:
Prof. Victor Dalton


Resposta certa, alternativa a).
10ª Questão) (FCC – TCE/AM – Analista de Controle Externo –

Tecnologia da Informação – 2012) O objetivo de negócios "reduzir custos de
08007832475
processos", segundo o COBIT, está associado ao critério
a) eficiência e à perspectiva interna.

b) eficiência e à perspectiva financeira.
c) eficiência e à perspectiva do cliente.
d) eficácia e à perspectiva interna.
e) eficácia e à perspectiva financeira.
E aqui está a FCC, mais uma vez, mostrando que não há limites para a
maldade.
Prof. Victor Dalton


O Apêndice I do COBIT, na página 171, mostra uma tabela relacionando os
objetivos de negócios aos objetivos de TI, mostrando ainda os critérios de
informação relacionados. Visivelmente o BSC é a ferramenta utilizada para a
formulação da tabela.
Não tenho palavras para descrever o nível de dificuldade desta questão,

mas é minha obrigação alertá-lo para o que você pode encontrar em questão de
prova.
11ª Questão) (ESAF - SUSEP – Analista Técnico – Tecnologia da

Informação – 2010) Entre as aplicações do COBIT em uma organização,
situam-se
a) auditoria de riscos operacionais de concorrentes e qualificação de

armazenadores de TI.
b) implantação modular da Governança de TI e realização de

benchmarking.
c) avaliação dos topservers de TI e desenvolvimento dos riscos situacionais

de TI.
d) desmembramento de riscos e benefícios da TI e realização de branch

and bound.
e) atualização de casual failures e implantação exógena da Governança de

TI.
O COBIT é um framework de controle. Lembre-se disso! Suas principais

características são:
08007832475
 Alinhar a TI com os requisitos do negócio (objetivo nº 1!);
 Medir o desempenho contra os requisitos de forma transparente (por

meio do modelo de maturidade);
 Organizar as atividades em um modelo de processos;
 Identificar os principais recursos de TI a serem gerenciados;
 Definir os objetivos de controle a serem considerados;
 Orientar à entrega de valor e a gerenciamento de riscos;e
Prof. Victor Dalton


 Estabelecer responsabilidades entre as partes envolvidas na
Governança de TI.
É muita coisa, eu sei! Mas a banca não tem pena da gente. Dentre as cinco
alternativas, a única que cobre corretamente duas das características do COBIT
é a letra b). Decorar todas essas características é um empecilho. Entender o
COBIT, apesar de mais trabalhoso, pode ser o melhor caminho.
12ª Questão) (FCC – INFRAERO – Analista de Sistemas – Gestão de

TI – 2011) O COBIT suporta por meio de metodologia uma área de foco na
governança de TI, entre outras, denominada
a) Processos de TI.
b) Entrega de valor.
c) Objetivos de Controle.
d) Modelo de Maturidade.
e) Conformidade Interna e Externa.
As áreas de foco na Governança de TI descrevem os tópicos que os

executivos precisam atentar para direcionar a área de TI dentro de suas
organizações. São cinco as áreas de foco:
08007832475

Prof. Victor Dalton


atividades da companhia.
Resposta certa, alternativa b).

TI – 2011) No COBIT 4.1, considere o mapeamento dos processos de TI às
áreas de foco da governança em TI (AFTI). Sendo P = Primário e S =
Secundário, a relação entre "Definir um Plano Estratégico de TI" com as AFTIs
(I) Alinhamento Estratégico, (II) Gerenciamento de Recursos e (III)
Gerenciamento de Riscos, é considerada, respectivamente,
a) P, S e S.
b) P, S e P.
c) P, P e S.
d) S, P e P.
e) S, S e P.
Mais uma que a FCC simplesmente não teve parâmetros.

08007832475
No apêndice II, na página 183 do framework, existe uma tabela que

relaciona os processos do Cobit com as áreas de foco, o COSO, os recursos de TI
e os critérios de informação. A informação pedida na questão apenas pode ser
encontrada nesta tabela.
Agora, escolher um processo e pedir que o candidato saiba qual o nível de
relacionamento que o processo possui com as áreas de foco... sem comentários.
Sinceramente, é o tipo de questão que eu “deixo pra banca”.
Prof. Victor Dalton


14ª Questão) (ESAF - Analista de Finanças e Controle –
Infraestrutura de TI – 2012) Um dos Critérios de Informação do Cobit 4.1 é a
integridade, que se relaciona com:
a) a confidencialidade e privacidade da informação bem como sua

confiabilidade operacional.
b) a conformidade e estabilidade da informação bem como sua integridade
de acordo com os requisitos de negócio.
c) a eficiência e eficácia da entrega da informação bem como sua
conformidade de acordo com os parâmetros estabelecidos.
d) a fidedignidade e totalidade da informação bem como sua validade de
acordo com os valores de negócios e expectativas.
e) a segurança e totalidade da informação bem como sua estabilidade
operacional de acordo com os valores de níveis de serviço acordados.
Ah! Lembra-se que nós vimos os sete critérios de informação, certo? Aqui a
ESAF inventou quatro conceitos aleatórios, e escreveu, ipsis literis, o conceito
correto relacionado à integridade da informação.
Integridade faz parte do CID. Tem a ver com a informação íntegra, ou seja,
a informação INTEIRA. Já ficamos com as letras d) e e). Entre a fidedignidade e
a segurança, ficamos com a letra d), pois segurança está mais próxima
confidencialidade, enquanto a fidedignidade é um conceito intrínseco à
integridade.
15ª Questão) (FCC – Agente Fiscal de Rendas – Tecnologia da

Informação – 2013) Para que a governança de TI seja eficiente é importante
avaliar as atividades e riscos da TI que precisam ser gerenciados. No modelo
CobiT 4.1 são definidos quatro domínios inter-relacionados. A figura abaixo
ilustra o inter-relacionamento destes domínios:
08007832475
Prof. Victor Dalton


A associação correta dos quatro domínios do COBIT 4.1 com as posições I,
II e III está expressa em:
Nada como ver a imagem original!
08007832475
Cá entre nós, solução mais que razoável. Alternativa a).
(CESPE – TRE/RJ - Analista Judiciário – Análise de Sistemas –

2012) Acerca de governança de TI alinhada ao modelo COBIT 4.1 e sua relação
com gestão estratégica, gerenciamento de projetos, gerenciamento de serviços,
governança de TI e qualidade de software, julgue os itens seguintes.
16 Entre os critérios de controle dos requisitos da informação, destacam-se

como aqueles diretamente alinhados à segurança da informação a
confidencialidade, a integridade e a disponibilidade.
Prof. Victor Dalton


Correta. Dos sete critérios de controle (efetividade, eficiência,
confidencialidade, integridade, disponibilidade, conformidade e confiabilidade),
sem dúvidas, os três centrais são os mais estreitamente relacionados à
segurança da informação;
17 A governança de TI, implementada na organização de forma aderente

ao COBIT 4.1, apresenta cinco áreas focais, uma das quais é a gestão de riscos
de segurança da informação.
Errada. Das cinco áreas de foco na Goverança de TI, uma se chama

Gestão de Risco. Entretanto, tal risco se relaciona com outros fatores (apetite ao
risco, gerenciamento de riscos na organização). A área de foco não é gestão de
risco de segurança da informação;
18 As aplicações presentes na organização, conforme a tipologia de

recursos no COBIT 4.1, são tanto aquelas automatizadas por computadores,
quanto aquelas realizadas manualmente pelas pessoas.
Correta. A questão “fala” bonito para te confundir. Basicamente, ela

afirma que os aplicativos descritos como recursos de TI do COBIT tanto são os
sistemas automatizados para usuários quanto os procedimentos manuais que
processam as informações.
19 As atividades e processos do domínio de planejamento e organização

(PO) aderentes ao modelo COBIT são aqueles que articulam, no mais alto nível,
o alcance dos objetivos da governança de TI.
08007832475
Errada. Segundo o próprio COBIT, o domínio Planejar e Organizar “cobre a

estratégia e as táticas, preocupando-se com a identificação da maneira em que
TI pode melhor contribuir para atingir os objetivos de negócios”. A questão fala
em objetivos da governança de TI. A cara do CESPE, não é mesmo?
(CESPE – MPE/PI – Analista Ministerial – Informática – 2012) A

respeito do COBIT 4.1, julgue os itens que se seguem.
20 O COBIT não suporta nem define nível de maturidade.
Prof. Victor Dalton


Errada. “A orientação aos negócios do CobiT consiste em objetivos de
negócios ligados a objetivos de TI, provendo métricas e modelos de
maturidade para medir a sua eficácia e identificando as responsabilidades
relacionadas dos donos dos processos de negócios e de TI.”
21 De acordo com o COBIT 4.1, a governança de TI é de responsabilidade

dos executivos de TI e possui foco tático e operacional.
Errada. Está em negrito no Sumário Executivo do COBIT: “A governança

de TI é de responsabilidade dos executivos e da alta direção”.
22 Uma vez que nem todos os componentes do COBIT são inter-

relacionados, essa estrutura garante o suporte para as necessidades de
governança, gerenciamento, controle e avaliação de diferentes audiências.
Errada. “Todos os componentes do COBIT são inter-relacionados,

proporcionando o suporte para as necessidades de governança, gerenciamento,
controle e avaliação de diferentes audiências.” A figura abaixo ilustra isso.
08007832475
23 No COBIT 4.1, cobrir estratégias e táticas, preocupando-se com a

identificação da maneira pela qual a TI pode melhor contribuir para atingir os
objetivos, é função do domínio Planejar e Organizar.
Prof. Victor Dalton

Correta. Segundo o COBIT, “este domínio cobre a estratégia e as táticas,
preocupando-se com a identificação da maneira em que TI pode melhor
contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica
precisa ser planejado, comunicado e gerenciado por diferentes perspectivas.”
24 Os domínios Planejar e Organizar, Adquirir e Implementar, Entregar e

Suportar e Monitorar e Avaliar mapeiam as áreas de responsabilidade de TI de
planejamento, construção, processamento e monitoramento.
Correta. O COBIT, ao falar sobre sua orientação a processos, afirma que

seus domínios mapeiam essas áreas de responsabilidade da TI.
(CESPE – INPI – Analista – Desenvolvimento e Manutenção de

Sistemas - 2013)
25 O Cobit 4.1 prevê medida de desempenho, objetivos de controle e

alinhamento dos negócios e das metas de TI de uma organização.
Correta. Transcrição do COBIT.
26 O Cobit 4.1 visa garantir que a tecnologia da informação (TI) esteja

alinhada aos objetivos corporativos e que os recursos de TI sejam utilizados com
responsabilidade.
Correta. E essa garantia é baseada em controles!

08007832475
27 No Cobit 4.1, em comparação à versão anterior, todos os domínios são

diferentes e os controles permanecem os mesmos, o que representa uma quebra
de paradigma.
Errada. Eu acho uma p*%$ de uma s4c4n4g3m pedir pra estudar o

COBIT 4.1 em um edital e fazer uma questão comparando o framework com a
sua versão anterior! Mas a questão está errada, pois o COBIT 4.0 (versão
anterior) possuía os mesmos domínios. De qualquer forma, na página 183,
apêndice V, existe uma referência cruzada entre o COBIT 3 e o 4.1.
Prof. Victor Dalton


28 As atividades de identificação de requisitos de TI, a aquisição de
tecnologia e sua implementação nos processos de negócio são atribuições do
domínio planejar e organizar.
Errada. Ainda bem que tem um domínio chamado Adquirir e

Implementar, que não te deixa com dúvidas quanto ao erro da alternativa...
29 O domínio entregar e suportar abrange áreas como a execução de

aplicações dentro do sistema de TI e seus resultados. Além disso, abrange os
processos de apoio, que permitem a execução eficaz e eficiente dentro do
sistema de TI.
Correta.
30 O domínio adquirir e implementar é relativo à utilização da informação e

da tecnologia. A empresa pode utilizá-lo para atingir os seus objetivos
estratégicos.
Errada. Está característica é do domínio Entregar e Suportar.
(CESPE – ANAC – Analista Administrativo – Área 4 - 2012)
31 Segundo o modelo de maturidade do Cobit, faz parte do perfil do nível

gerenciado e mensurável o fato de a automação e as ferramentas serem
utilizadas de maneira limitada ou fragmentada.
Correta. Segundo o COBIT, “a gerencia monitora e mede a aderência aos

08007832475
procedimentos e adota ações onde os processos parecem não estar funcionando

muito bem. Os processos estão debaixo de um constante aprimoramento e
fornecem boas práticas. Automação e ferramentas são utilizadas de uma
maneira limitada ou fragmentada.”
32 O controle e o gerenciamento operacional dos controles de aplicativos

automatizados estão sob responsabilidade da área de negócios.
Prof. Victor Dalton


Correta. O COBIT é claro ao afirmar que “A responsabilidade pelo controle
e o gerenciamento operacional dos controles de aplicativos não é da área de TI,
mas do proprietário do processo de negócio.”
33 Os objetivos de controle são auditados por controle de testes de

desenho e implementados por práticas de controle, ao passo que o controle de
testes de desenho está embasado em práticas de controle.
Correta. Sempre é bom visualizar a imagem dos inter-relacionamentos do

COBIT mais de uma vez. Compreendê-la pode garantir preciosos pontos em sua
prova! Preste atenção, dessa vez, na parte inferior direita da imagem...
08007832475
34 O processo identificar e alocar custos pertence ao domínio planejar e

organizar do modelo Cobit.
Errada. Pertence ao domínio Entregar e Suportar.
(CESPE – MPOG – Técnico de Nível Superior V – 2013)
Prof. Victor Dalton


35 O processo de definição da arquitetura da informação tem por objetivos

de controles a manutenção de um dicionário de dados corporativo que incorpore
as regras de sintaxe de dados da organização e o estabelecimento de um
esquema de classificação de dados aplicável a toda organização, com base na
importância e na confidencialidade dos dados corporativos.
Correta. Definir a Arquitetura da Informação é o processo PO2, do

domínio Planejar e Organizar. PO2.2 – Dicionário de Dados e Regras de Sintaxe
de Dados e PO2.3 – Esquema de Classificação de Dados são dois objetivos de
controle corretamente descritos pela assertiva. Nesse momento, entramos no
limiar do custo-benefício do estudo do COBIT.... taí uma questão que eu deixaria
em branco...
36 O processo de definição de plano estratégico de TI, constante do

domínio de planejamento e organização, tem por objetivos satisfazer, sustentar
ou estender a estratégia de negócio e os requisitos de governança e evidenciar
os benefícios, custos e riscos destes.
Correta. É o requisito do negócio para a TI que o processo PO1 – Definir

um Plano Estratégico de TI deve satisfazer.
(CESPE – SERPRO – Analista – Gestão Logística – 2013)
Em determinada empresa identificou-se as seguintes necessidades:
#a Ser capaz de analisar, previamente, a necessidade de aquisição ou

desenvolvimento de uma nova aplicação ou função;
08007832475
#b Possuir processo que seja capaz de gerenciar os requisitos das

aplicações, seu desenvolvimento, segurança e disponibilidade de aplicativos,
além de garantir a qualidade do software;
#c Ser capaz de transferir conhecimento dos sistemas desenvolvidos e

adquiridos, por meio de manuais de usuário e operacionais, assegurando a
satisfação dos usuários finais com a oferta dos serviços;
#d Ser capaz de adquirir e manter habilidades de TI que respondam à

estratégia de entrega, bem como reduzir os riscos dessas aquisições;
Prof. Victor Dalton


#e Possuir controle que seja capaz de avaliar o impacto, a autorização e a
implantação de mudanças na infraestrutura e nas aplicações de TI.
Com base nas informações acima descritas e no COBIT 4.1, julgue os itens
a seguir, relativos à implantação de controles para solucionar as necessidades
apresentadas.
37 A priori, a implantação do processo gerenciar mudanças solucionaria

todas as necessidades descritas em #e, porém esse processo não abrange a
gestão de mudanças na infraestrutura.
Errada. O processo AI6 – Gerenciar Mudanças engloba “Todas as

mudanças, incluindo manutenções e correções de emergência, relacionadas com
a infraestrutura e as aplicações no ambiente de produção.”
38 Para mudanças classificadas como emergenciais, é correto pôr em vigor

avaliação e autorização que não sigam o processo de mudança estabelecido.
Correta. O objetivo de controle AI6.3 – Mudanças de Emergência

afirma que deve-se “Estabelecer um processo para definição, solicitação, testes,
documentação, avaliação e autorização de mudanças de emergência que não
sigam o processo de mudança estabelecido.”
Tal prática é bastante razoável, e prevista também em outros frameworks,
como o ITIL. Mudanças emergenciais exigem uma tramitação mais célere.
39 O processo identificar soluções automatizadas, que identifica soluções

tecnicamente viáveis e com boa relação custo benefício, é mais bem adequado
para solucionar a necessidade #a que o processo adquirir e manter software
aplicativo. 08007832475
Correta. Segundo o processo AI1 – Identificar Soluções

Automatizadas, “A necessidade de uma nova aplicação ou função requer uma
análise prévia à aquisição ou ao desenvolvimento para assegurar que os
requisitos de negócio sejam atendidos através de uma abordagem eficaz e
eficiente.” Portanto, adequadamente atende à necessidade #a.
40 Com a implantação do processo adquirir e manter software aplicativo,

todas as necessidades descritas em #b serão atendidas por meio de seus
objetivos de controle.
Prof. Victor Dalton


Correta. O processo AI2 – Adquirir e Manter Software Aplicativo
possui objetivos de controles como o AI2.8 – Garantia de Qualidade de Software
e o AI2.9 – Gestão dos Requisitos das Aplicações, que atendem todas as
necessidades descritas em #b.
41 Ao se implantar o processo habilitar operação e uso, todas as

necessidades descritas em #c serão atendidas por meio de seus objetivos de
controle.
Correta. O processo AI4 – Habilitar Operação e Uso afirma que

“Conhecimento sobre novos sistemas deve estar disponível. Este processo
requer a elaboração de documentação e manuais para usuários e para TI e a
promoção de treinamentos para assegurar a operação e uso apropriado das
aplicações e infraestrutura.”
42 Ao se implantar o processo adquirir recursos de TI, as necessidades

descritas em #d serão atendidas parcialmente, pois não cabe a esse processo
adquirir pessoas como se fossem recursos de TI.
Errada. O processo AI5 – Adquirir Recursos de TI afirma que

“Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser
adquiridos.”
43ª Questão) (CESPE – SECGE/PE – Analista de Controle Interno –

Tecnologia da Informação – 2010) A respeito do guia Cobit 4.1, assinale
a opção correta.
a) A efetividade e a eficácia são critérios do Cobit com base nos quais se

08007832475
atesta a qualidade da informação; já a eficiência constitui critério de qualidade

das metodologias de gestão de projetos.
b) Por meio da governança de tecnologia da informação (TI), controlam-se

os investimentos em software, uma vez que os investimentos em hardware são
de responsabilidade da gestão de infraestrutura.
c) A governança de TI compete à equipe técnica, que é a responsável por

criar mecanismos de controle, dispensando-se, dessa forma, as intervenções da
alta direção da empresa nas questões técnicas da área de TI.
d) Define-se governança de TI como uma estrutura de relações e processos

mediante a qual se dirige e se controla uma organização com objetivo de
Prof. Victor Dalton


adicionar valor ao negócio a partir do gerenciamento balanceado do risco com o
retorno do investimento de TI.
e) A governança de TI restringe-se ao gerenciamento de recursos, cujo

objetivo é otimizar os investimentos, bem como controlar a utilização dos
recursos e a mensuração do desempenho da organização.
Analisando as alternativas:
a) Errada. Flávio Pinheiro faz um bom mapeamento dos Requisitos de

Qualidade, Segurança e Fiduciários com os critérios de informação do
COBIT:
08007832475
b) Errada. A governança de TI também cuida de hardware e infraestrutura.
c) Errada. A governança de TI é de responsabilidade dos executivos

e da alta direção, consistindo em aspectos de liderança, estrutura
organizacional e processos que garantam que a área de TI da
organização suporte e aprimore os objetivos e as estratégias da
organização.
d) Correta!
Prof. Victor Dalton


e) Errada. As áreas de foco da Governança de TI, além da Gestão de
Recursos, são a Gestão de Risco, Entrega de Valor, Mensuração
de Desempenho e Alinhamento Estratégico.
44ª Questão) (CESPE – SAD/PE – Analista de Controle Interno –

Tecnologia da Informação – 2010) Conforme o IT Governance Institute, as
cinco áreas foco do COBIT, que sustentam o núcleo da governança de TI, são
a) apoio da alta gestão, agregação de valor, gerenciamento de risco,

gerenciamento de recursos e medição de desempenho.
b) apoio da alta gestão, agregação de valor, gerenciamento de escopo,
c) alinhamento estratégico, gerenciamento de risco, gerenciamento da
qualidade, gerenciamento de recursos e medição de desempenho.
d) alinhamento estratégico, agregação de valor, gerenciamento de tempo,
e) alinhamento estratégico, agregação de valor, gerenciamento de risco,
gerenciamento de recursos e medição de desempenho
08007832475
Alternativa e).

Tecnologia da Informação – 2010) O COBIT possui domínios que espelham
os agrupamentos de processos usuais existentes em uma organização padrão.
Um desses domínios tem abrangência estratégica e identifica as formas pelas
quais a TI pode melhor contribuir para o atendimento dos objetivos de negócio,
envolvendo planejamento, comunicação e gerenciamento em diversas
perspectivas. Trata-se do domínio
Prof. Victor Dalton


a) alinhamento estratégico.
b) aquisição e implementação.
c) planejamento e estratégia.
d) planejamento e organização.
e) monitoramento e avaliação.
Alternativa d).

Tecnologia da Informação – 2010) Faz parte do domínio monitoramento e
avaliação do COBIT o processo
a) fornecer governança para a TI.

b) garantir a continuidade dos serviços.
c) gerenciar mudanças.
d) gerenciar problemas.
e) avaliar e gerenciar riscos de TI.
Alternativa a). Se ficou em dúvida, consulte o framework! Isso ajuda a

memorizar os processos!
(CESPE – PEFOCE – Perito – Análise de Sistemas – 2012)
47 O processo referente à habilitação de operação e uso integra o domínio

de entrega e suporte.
Errada. AI4 – Habilitar Operação e Uso pertence ao domínio Adquirir e

08007832475
Implementar.
48 O completo cumprimento dos requisitos do COSO (Comitee of

Sponsoring Organization) para controle do ambiente de TI é um dos benefícios
advindos da implementação do COBIT como modelo de governança de TI nas
organizações.
Correta. Por meio dos critérios de informação Efetividade, Eficiência,

Conformidade e Confiabilidade.
Prof. Victor Dalton


49 Os critérios de informação do COBIT para atender os objetivos de
negócios são: efetividade, eficiência, eficácia, confidencialidade, integridade,
conformidade e confiabilidade.
Errada. Faltou a disponibilidade, e eficácia e efetividade não são dois

critérios distintos. Essa tradução do COBIT mal feita... acho uma maldade da
banca explorar esse ponto falho!
(CESPE – CBM/DF – QOBM – Informática – 2011)
50 A implementação do COBIT como modelo de governança de TI tem sido

aceita por órgãos reguladores e por terceiros.
Correta.
51 Uma das áreas de foco em governança de TI é a gestão da qualidade.
Errada. Não existe essa área de foco!
08007832475
52 Os objetivos de controle proporcionam um conjunto de requisitos de

alto nível a serem considerados pelos executivos para o controle efetivo de cada
processo de TI.
Correta. Transcrição do COBIT.
Prof. Victor Dalton


(CESPE – TRT/21ª Região - Analista Judiciário – Tecnologia da
Informação – 2010)
53 O processo Prover Governança de TI poderá ser alcançado por meio do

estabecimento de uma estrutura de governança de TI integrada à governança
corporativa e pela auditoria independente do status da governança de TI.
Correta. E pertence ao domínio Monitorar e Avaliar.
54 No modelo COBIT, o conceito de eficiência está relacionado à

informação relevante e pertinente para o processo de negócio, bem como ao
fato de a informação ser entregue em tempo, de maneira correta, consistente e
utilizável.
Errada. Esse é o conceito de Efetividade.
55 No COBIT, um dos processos do domínio Monitorar e Avaliar é Educar e

Treinar os Usuários.
Errada. DS7 – Educar e Treinar os Usuários pertence ao domínio

Entregar e Suportar.
(CESPE – TCU - Analista de Controle Externo – Tecnologia da

Informação – 2007) Considerando os princípios de metodologia de auditoria
de TI, assim como as boas práticas de auditoria e os referenciais normativos da
área, é correto afirmar que a auditoria de TI deve verificar
08007832475
56 se há política de segurança de informação no órgão auditado e avaliar o

seu conteúdo e efetividade, por meio de testes de auditoria.
Correta.
57 a localização de sítio backup, assegurando que ele fique perto da base

original de dados, para facilitar o acesso em caso de emergência.
Prof. Victor Dalton


Errada. Já sabemos que o backup deve ser afastado o suficiente para não
estar sujeito aos mesmos desastres que o sítio principal, segundo a norma ISO
27002.
58 se, na ocorrência de problemas com tecnologia de informação (TI), há

tempestividade na identificação desses problemas, rapidez na adoção de
providências, efetividade nessa ação e registro de todo o processo.
Correta. Baseada na norma ISO 27002.
59 se a manutenção dos sistemas e de seus aplicativos, assim como de

toda a estrutura de TI, ocorre com periodicidade adequada, se são considerados
os registros de ocorrências para respaldarem esse processo, e quais problemas
são identificados e corrigidos.
60 a existência de firewall, recurso de TI capaz de dividir e controlar o

acesso entre redes de computadores, bloquear tentativas de invasão e impedir o
acesso de backdoors.
61 a existência de plano de continuidade de negócios testado e eficaz,

considerando-se as características dinâmicas dos ambientes, em relação aos
requisitos de disponibilidade, capacidade e desempenho.
08007832475
62 se foi definido o nível necessário de cópias de segurança das

informações e, em situações em que a confidencialidade seja importante, se as
cópias de segurança foram protegidas por meio de encriptação, armazenadas
sem vírus, em mídia confiável, em lugar climatizado e restrito.
Prof. Victor Dalton


63 se são observadas, para cada recurso ou arquivo existentes em um
sistema, as diretrizes que especificam o que cada usuário pode fazer, diretrizes
estas que devem dar privilégio de acesso a dados aos servidores que trabalham
na área de TI.
Errada. Não existe previsão de privilégio diferenciado à área de TI e,

diferentemente do que o entendimento comum pode levar, não existe essa
necessidade de privilégio diferenciado à área de TI. Por exemplo, é possível a
manutenção de uma base de dados contendo usuário e senhas que nem o
pessoal de TI consegue ver. Basta a simples utilização de criptografia.
(CESPE – ANCINE - Analista Administrativo – Área 2 – 2013) Com

base no Cobit 4.1, julgue os itens que se seguem.
64 O processo em que se define a arquitetura da informação é atingido ao

se definirem os padrões de infraestrutura tecnológica, com base nos requisitos e
nas necessidades de informação que a organização demanda.
Errada. O processo P02 – Definir a Arquitetura da Informação é

atingido ao criar e atualizar regularmente um modelo de informação do negócio
e definir os sistemas apropriados para otimizar o uso dessa informação, por
meio da garantia da precisão da arquitetura da informação e do modelo de
dados, do estabelecimento da propriedade dos dados e da classificação da
informação utilizando um esquema de classificação acordado. O processo
descrito acima foi o P03 – Determinar as Diretrizes da Tecnologia.
65 Uma das métricas utilizadas para a medição do processo que determina

as diretrizes de tecnologia é a quantidade de plataformas de tecnologia por área
da organização.
08007832475
Correta. Confira na página 41 do framework. Outra métrica é o percentual

de não conformidades aos padrões tecnológicos. Puxado, não é mesmo?
66 O gerenciamento de benefícios, que integra o processo de comunicar

metas e diretrizes gerenciais, é o objetivo de controle mediante o qual se
acompanha e se mantém a capacidade apropriada de TI para a organização.
Errada. O gerenciamento de benefícios foi corretamente descrito, mas

pertence ao processo P05 – Gerenciar o Investimento de TI.
Prof. Victor Dalton


67 No domínio denominado adquirir e implementar (AI), cuja missão é
prover soluções para que estas se tornem serviços, é descrito o processo de
gerenciamento de mudanças.
Correta.
68 A criação de um portfólio de planos táticos de TI ocorre no processo em

que se define o planejamento estratégico de TI.
Correta. Processo P01 – Definir um Plano Estratégico de TI.
(CESPE – BACEN - Analista - Área 5 – 2013) No que se refere ao COBIT

4.1, julgue os itens subsecutivos.
69 Os níveis de maturidade no COBIT são mensurados de maneira precisa

por meio da efetivação dos objetivos de controle em uma escala de 0 a 5. Ou
seja, cada processo encontra-se em um nível de maturidade, de modo que é
possível avançar para o próximo nível somente quando forem cumpridas todas
as condições do nível inferior.
Errada. O COBIT classifica os níveis de maturidade de uma maneira um

pouco diferente do CMMI. Eles não são designados como um modelo inicial, onde
não se pode avançar para o próximo nível sem antes ter cumprido todas as
condições do nível inferior. Com os modelos de maturidade do CobiT não há
intenção de medir os níveis de maneira precisa ou tentar certificar que aquele
nível foi exatamente atingido. A avaliação de maturidade do CobiT espera
resultar em um perfil em que as condições relevantes para diversos níveis de
maturidade serão atingidas.
08007832475
70 Política Planos e Procedimentos é um requisito de controle genérico que

descreve e comunica os objetivos específicos para a efetiva execução de cada
processo de TI, assegurando que eles estejam ligados aos objetivos de negócios
e que sejam suportados por métricas apropriadas.
Errada. Políticas, Planos e Procedimentos são um atributo de maturidade,

que compõem o modelo qualitativo genérico de maturidade. Relacionam as
características de como os processos de TI são gerenciados e fornecem um perfil
genérico dos estágios de maturidade.
Prof. Victor Dalton


71ª Questão) (FCC – TRT/18ª Região – Analista Judiciário -
Tecnologia da Informação – 2013) Os vários elementos do modelo CobiT 4.1
podem ser mapeados com as áreas de foco de governança de TI. Por exemplo:
no Alinhamento Estratégico, os Objetivos e as Métricas são mapeados como
Ferramenta Primária (P); na Entrega de Valor, as Práticas são mapeadas como
Ferramenta Secundária (S); no Gerenciamento de Risco, as Métricas, as Práticas
e os Modelos de Maturidade são mapeados, respectivamente, como S, P e S. No
Gerenciamento de Recursos, as Métricas, as Práticas e os Modelos de Maturidade
são mapeados, respectivamente, como
a) S, P e P.
b) S, S e P.
c) S, P e S.
d) P, S e P.
e) P, S e S.
Pois é... a FCC às vezes pega pesado!
Essa questão foi extraída da figura 24 do framework, que faz a respectiva

associação entre as área de foco da Governança de TI e os vários elementos do
Cobit, como os Objetivos, Métricas, Práticas e Modelos de Maturidade. Confira
comigo abaixo:
08007832475
Prof. Victor Dalton


Exagerado, não é mesmo? Também acho... alternativa a).

Tecnologia da Informação – 2013) No CobiT 4.1, NÃO se trata de um
Objetivo de Controle Detalhado do processo Definir um Plano Estratégico de TI:
a) Plano Estratégico de TI.
b) Gerenciamento do Portfólio de TI.
c) Avaliação da Capacidade e Desempenho Correntes.
d) Modelo de Arquitetura da Informação da Organização.
e) Gerenciamento de Valor da TI.
P01 – Definir um Plano Estratégico de TI é um processo muito importante e

conhecer seus objetivos de controle é muito importante. Ciente disso, você
percebeu que Modelo de Arquitetura da Informação da Organização não é um
objetivo de controle detalhado desse processo, pois pertence ao P02 – Definir a
Arquitetura da Informação.
Alternativa d).

Tecnologia da Informação – 2013) O modelo de maturidade é uma forma de
medir o quanto os processos de gerenciamento são capazes de medir a
maturidade de uma empresa em relação ao estabelecimento e performance dos
controles internos. Capacidade, cobertura e controle são as dimensões do
processo de maturidade do CobiT 4.1, como ilustrado na figura abaixo.
08007832475
Prof. Victor Dalton


Os direcionadores primários relativos às dimensões do processo de

maturidade representados nas caixas I, II e III são, respectivamente:
Capacidade, cobertura e controle são todas as dimensões do processo de

maturidade. Veja a figura 14 do framework:
08007832475
Prof. Victor Dalton


Os controles serão guiados pelos objetivos de controle, que dizem o que
deve ser alcançado.
O quanto (cobertura) dessa capacidade é realmente entregue depende

largamente do retorno que a organização deseja do investimento (ROI).
Por fim, a capacidade relata como o processo é feito, enquadrando o

processo em algum patamar no nível de maturidade.
Resposta certa, alternativa d).
74ª Questão) (FCC – TRT/12ª Região – Analista Judiciário-

Tecnologia da Informação – 2013) O CobiT é orientado para os objetivos e
escopo da governança de TI, assegurando que a metodologia de controle seja
compreensiva e alinhada com os princípios de governança de organizações. Além
disso,
a) o CobiT é baseado na análise e na harmonização dos padrões e boas

práticas de TI existentes, adequando-se aos princípios de governança
geralmente aceitos. Ele está posicionado em alto nível, direcionado por
requisitos de negócios, abrange todas as atividades de TI e concentra-se em
como atingir uma efetiva governança, gerenciamento e controle e não no que
deveria ser obtido.
b) o CobiT age como um modelo único que reúne todas as boas práticas de
governança de TI e influencia a alta direção, gerências de negócios e de TI,
profissionais de governança, avaliação e segurança e profissionais de auditoria
de TI. É desenhado para ser independente de outros padrões.
c) para atingir o alinhamento das boas práticas com os requisitos de

negócios é recomendável que o CobiT seja utilizado em um alto nível, provendo
uma metodologia de controle geral com base em um modelo de processos de TI
que deve servir para toda a empresa. Práticas e padrões cobrindo áreas
08007832475
específicas podem ser mapeados com o CobiT, provendo, assim, um material de

orientação.
d) os padrões e boas práticas do CobiT só funcionam quando aplicados

como uma política rígida de regras e princípios para produzir procedimentos
genéricos. Para evitar que as práticas fiquem só no papel, a gerência e os
funcionários devem entender o que fazer, como fazer e porque isso é
importante.
e) a implementação de boas práticas provindas de diferentes modelos

sempre gera conflitos com a governança e o ambiente de controle da
organização, devido às dificuldades de integração com outros métodos e práticas
utilizadas. Assim, o CobiT provê uma solução que integra todos os padrões,
gerando a efetividade desejada e dispensando a utilização de outros modelos.
Prof. Victor Dalton

Frases longas fazem a gente ficar inseguro. Mas analisemos com calma,
alternativa a alternativa:
a) ... e concentra-se em como atingir uma efetiva governança... e não no

que deveria ser obtido. Errado, pois os advérbios foram invertidos. O
COBIT se concentra no que deve ser atingido, e não em como atingir.
b) Errado! O COBIT, por ser um framework de alto nível, deve ser

complementar e utilizado com outros frameorks, normas e boas
práticas, como o PMBOK, ITIL, IEC 17799...
c) Correta!
d) Política rígida? O importante é conscientizar os funcionários e manter as

políticas atualizadas...
e) Já sabemos que o Cobit não dispensa outros modelos. Pelo contrário,

eles são bem-vindos!
75ª Questão) (FCC – PGJ/CE – Analista Ministerial – Ciências da

Computação – 2013) Para atender aos objetivos de negócios, as informações
precisam se adequar a certos critérios de controles, aos quais o CobiT denomina
necessidades de informação da empresa. Baseado em abrangentes requisitos de
qualidade, guarda e segurança, o CobiT define sete critérios de informação, dos
quais quatro são descritos abaixo.
I. Lida com a informação relevante e pertinente para o processo de

negócio, bem como a mesma sendo entregue em tempo, de maneira correta,
consistente e utilizável.
II. Está relacionada com a proteção de informações sigilosas para evitar a

divulgação indevida.
III. Relaciona-se com a fidedignidade e totalidade da informação, bem

08007832475
como sua validade de acordo com os valores de negócios e expectativas.
IV. Lida com a aderência a leis, regulamentos e obrigações contratuais aos

quais os processos de negócios estão sujeitos, isto é, critérios de negócios
impostos externamente e políticas internas.
A associação das definições acima com os critérios está expressa correta, e

respectivamente, em
Prof. Victor Dalton


Relembrando:
 Efetividade (eficácia) lida com a informação relevante e pertinente para

 Eficiência relaciona-se com a entrega da informação através do melhor
 Confidencialidade está relacionada com a proteção de informações
 Integridade relaciona-se com a fidedignidade e totalidade da informação
 Disponibilidade relaciona-se com a disponibilidade da informação
quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à
 Conformidade lida com a aderência a leis, regulamentos e obrigações
 Confiabilidade relaciona-se com a entrega da informação apropriada
para os executivos para administrar a entidade e exercer suas responsabilidades
Na pior das hipóteses, esse tipo de questão ainda permite que você
trabalhe por eliminação. Ao meu ver, os itens II e IV são os mais fáceis, e só de
08007832475
saber o item II você só teria a alternativa e) para marcar!

Computação – 2013) O CobiT fornece boas práticas através de um modelo de
domínios e processos. Além disso,
a) é atualizado a cada 2 anos e harmonizado com todos os outros padrões

e guias. Assim, o CobiT tornou-se o único modelo capaz de integrar as boas
práticas de TI e as metodologias de governança de TI como PMBoK e ITIL.
b) o foco em processos do CobiT 4.1 é ilustrado por um modelo de

processos de TI subdivididos em 34 domínios e 4 processos em linha com as
Prof. Victor Dalton


áreas responsáveis por planejar, construir, executar e monitorar, provendo
assim uma visão total da área de TI.
c) a orientação por maturidade é o principal tema do CobiT, pois foi

desenvolvido somente para ser utilizado por executivos e donos de empresas, já
que fornece um guia de rígidos controles para que a empresa atinja o nível
máximo de maturidade.
d) é um modelo e uma ferramenta de suporte que permitem aos gerentes

suprir as deficiências com respeito aos requisitos de controle, questões técnicas
e riscos de negócios. O CobiT habilita o desenvolvimento de políticas claras e
boas práticas para controles de TI em toda a empresa.
e) as boas práticas do CobiT representam o consenso de especialistas e são

fortemente focadas mais na execução e menos nos controles. Essas práticas
ajudam a diminuir os investimentos em TI, provendo punições quando os
serviços de TI saem errados.
Olha, essa eu deixo por sua conta. Tirando a alternativa d), todos os
demais itens possuem erros gritantes. Posso confiar em você?
77ª Questão) (FCC – TRT/12ª Região – Técnico Judiciário-

Tecnologia da Informação – 2013) A missão do CobiT é pesquisar,
desenvolver, publicar e promover um modelo de controle para governança de TI
atualizado e internacionalmente reconhecido para ser adotado por organizações
e utilizado no dia a dia por gerentes de negócios, profissionais de TI e
profissionais de avaliação. Além disso,
a) o modelo CobiT é baseado nos princípios: prover a informação de que a

organização precisa para atingir os seus objetivos, as necessidades para investir,
gerenciar e controlar os recursos de TI usando um conjunto estruturado de
08007832475
processos para prover os serviços que disponibilizam as informações necessárias

para a organização.
b) os recursos de TI identificados no CobiT são: Sistemas, Infraestrutura,

Controles e Pessoas.
c) o CobiT define as atividades de TI em um modelo de processos genéricos

com 4 domínios. Esses domínios são: Planejar e Controlar, Organizar e
Implementar, Entregar e Monitorar, Testar e Avaliar.
d) o modelo CobiT fornece um modelo de referência e uma linguagem

específica para cada departamento da organização de forma que cada gerente e
cada funcionário possam visualizar e gerenciar as suas atividades específicas de
forma alinhada à TI. O gerenciamento e o controle da infraestrutura de TI estão
Prof. Victor Dalton


presentes em toda a metodologia CobiT e ajudam a assegurar o alinhamento
com os requisitos de negócios.
e) a orientação para processos é o principal tema do CobiT, o qual foi

desenvolvido para ser utilizado por provedores de serviços de TI, usuários e
gerentes, mas também, e mais importante, para fornecer um guia de controles
para a alta administração gerenciar o ROI e os investimentos de TI de seus
negócios.
Mais uma análise de alternativas:
a) Correta!
b) Os recursos de TI são Aplicativos, Informações, Infraestrutura e

Pessoas.
c) Os domínios corretos são Planejar e Organizar, Adquirir e

Implementar, Entregar e Suportar e Monitorar e Avaliar.
d) “linguagem específica para cada departamento.” O examinador inventa

cada uma... o Cobit busca o entendimento compreendido entre
todas as partes interessadas, baseado em uma linguagem
comum.
e) O CObit realmente é orientado a processos (baseado em objetivos de

controle), mas ele não fornece guia alguma para a alta administração
gerenciar o ROI e afins.
78ª Questão) (FCC – TRT/2ª Região – Analista Judiciário –

Tecnologia da Informação - 2014) A tabela abaixo mostra o uso de uma
técnica muito usada no gerenciamento de projetos e processos, recomendada
pelo PMBoK, CobiT, ITIL v3 e outras práticas de mercado.
08007832475
A tabela mostrada é um exemplo de
Prof. Victor Dalton


a) Matriz RACI.
b) Structured Process Control.
c) Work Breakdown Structure.
d) Análise SWOT.
e) Matriz GUT.
Acho esse tipo de questão muito mais produtivo! Espero que você tenha
reconhecido a Matriz RACI, ou Gráfico RACI, ou Tabela RACI, que são as
diversas nomenclaturas que o COBIT utiliza para a mesma coisa. Lembrando:
Responsabilizado – “Accountabilizado” (Prestador de contas) – Consultado
– Informado.
Alternativa a).
79ª Questão) (CETRO – ANVISA – Analista Administrativo: área 5 –

Prova anulada – 2013) Assinale a alternativa que apresenta o nível de
maturidade no COBIT de uma organização cujos procedimentos foram
padronizados, documentados e comunicados através de treinamento, no entanto
desvios não são detectados.
a) Repetível, porém Intuitivo.
b) Gerenciado e Mensurável.
c) Processo Definido.
d) Otimizado.
e) Ad hoc.
08007832475
Revisitando os níveis de maturidade do COBIT:
0
Não existem controles.
Inexistente
1 Inicial Já existem processos, não documentados nem padronizados.
Processos padronizados, porém carecem de documentação e
2 Repetível
comunicação. Não existe treinamento formal.
Os processos são formalizados, existe documentação, treinamento, e
3 Definido comunicação definida. Desvios não serão detectados e procedimentos
não são sofisticados.
4 Processos em aperfeiçoamentos, já fornecem as boas práticas. Mas
Gerenciado faltam ferramentas de automação.
Prof. Victor Dalton

5 Os processos já estão refinados a partir das melhores práticas
Otimizado identificadas. Já existe institucionalização das melhores práticas.
Alternativa c).

Prova anulada – 2013) Em relação aos conceitos do COBIT (Control
Objectives for Information and Related Technology), marque V para verdadeiro
ou F para falso e, em seguida, assinale a alternativa que apresenta a sequência
correta.
( ) O alinhamento estratégico foca em garantir a ligação entre os planos de

( ) A entrega de valor é a execução da proposta de valor de TI através do

na estratégia da organização, concentrado-se em otimizar custos e provendo o
( ) É organizado em quatro níveis, a saber: de Executivos e Alta Direção;

de Gerentes de TI e de negócios; de Profissionais de avaliação; e de controles e
segurança.
( ) Modelo, sem uma ferramenta de suporte, que permite aos gerentes

e riscos de negócios, comunicando esse nível de controle às partes interessadas.
a) F/ F/ V/ V
b) V/ V/ F/ F 08007832475
c) F/ F/ F/ F
d) V/ V/ V/ F
e) V/ V/ F/ V
Para os itens 1 e 2 revisitemos as áreas de foco:
Prof. Victor Dalton






atividades da companhia. 08007832475

O item 3 é falso, pois os produtos do COBIT foram organizados em três

níveis, a saber: Executivos e Alta Direção, Gerentes de TI e de negócios,
e Profissionais de avaliação, controles e segurança. Veja figura abaixo.
Prof. Victor Dalton


O item 4 já nos “soa” mal, e também é falso, uma vez que o Cobit é “um
modelo e uma ferramenta de suporte que permite aos gerentes suprir as
deficiências com respeito aos requisitos de controle, questões técnicas e riscos
de negócios, comunicando esse nível de controle às partes interessadas.”
Portanto, nossa resposta certa é a alternativa b).

08007832475

Prova anulada – 2013) É correto afirmar que, no COBIT, o PC3 (Repetibilidade
dos Processos)
a) elabora e estabelece cada processo-chave de TI de maneira que possam

ser repetidos e produzir, de maneira consistente, os resultados esperados.
b) designa um proprietário para cada processo de TI e claramente define os

papéis e responsabilidades de cada proprietário de processo.
c) define as atividades-chave e as entregas do processo.
Prof. Victor Dalton


d) define e comunica como todas as políticas, planos e procedimentos que
direcionam os processos de TI são documentados, revisados, mantidos,
aprovados, armazenados, comunicados e utilizados para treinamento.
e) identifica um conjunto de métricas que fornecem direcionamento para os

resultados e performance dos processos.
Além dos objetivos de controle já explicados na aula, cada processo do

CobiT possui requisitos de controle genéricos identificados por PC(n), que
indica o número de controle do processo. Eles devem ser considerados junto
com os objetivos de controle dos processos para que se tenha uma visão
completa dos requisitos de controle. Ei-los:
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos específicos, mensuráveis,

acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT)
para a efetiva execução de cada processo de TI. Assegura que eles estão ligados
aos objetivos de negócios e que são suportados por métricas apropriadas.
PC2 Propriedade dos Processos
Designa um proprietário para cada processo de TI e claramente define os

papéis e responsabilidades de cada proprietário de processo. Inclui por exemplo,
a responsabilidade pela elaboração do processo, interação com outros processos,
responsabilidade pelos resultados finais, medidas da performance do processo e
a identificação de oportunidades de melhorias.
PC3 Repetibilidade dos Processos
Elabora e estabelece cada processo-chave de TI de maneira que possa ser

repetido e produzir de maneira consistente os resultados esperados. Fornece
uma sequência lógica mas flexível das atividades que levarão ao resultado
desejado, sendo ágil o suficiente para lidar com exceções e emergências. Usa
08007832475
processos consistentes, quando possível, e processos personalizados apenas

quando inevitável.
PC4 Papéis e Responsabilidades
Define as atividades-chaves e as entregas do processo. Designa e comunica

papéis e responsabilidades para uma efetiva e eficiente execução das atividades-
chaves e sua documentação bem como a responsabilização pelo processo e suas
entregas.
PC5 Políticas Planos e Procedimentos
Define e comunica como todas as políticas, planos e procedimentos que

Prof. Victor Dalton

aprovados, armazenados, comunicados e utilizados para treinamento. Designa
responsabilidades para cada uma dessas atividades e em momentos apropriados
verifica se elas são executadas corretamente. Assegura que as políticas, planos e
procedimentos sejam acessíveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance
Identifica um conjunto de métricas que fornecem direcionamento para os

resultados e performance dos processos. Estabelece metas que refletem nos
objetivos dos processos e indicadores de performance que permitem atingir os
objetivos dos processos. Definem como os dados são obtidos. Compara as
medições reais com as metas e toma medidas quanto aos desvios quando
necessário. Alinha métricas, metas e métodos com o enfoque de monitoramento
de performance geral de TI.

2013) Assinale a alternativa que apresenta o nível genérico de maturidade de
um processo do COBIT, no qual os processos são documentados e comunicados.
a) Nível 1.
b) Nível 2.
c) Nível 3.
d) Nível 4.
e) Nível 5.
08007832475
Alternativa c).

2013) Tendo como base o COBIT, correlacione os Objetivos aos exemplos de
Medidas de Resultados e, em seguida, assinale a alternativa que apresenta a
sequência correta.
Prof. Victor Dalton


a) 1/ 3/ 2/ 4
b) 4/ 2/ 1/ 3
c) 1/ 4/ 2/ 3
d) 4/ 1/ 2/ 3
e) 3/ 1/ 4/ 2
Já sabemos que os objetivos de negócio definem os objetivos de TI, que,

por sua vez, definem os objetivos de processos, e estes, por fim, definem os
objetivos das atividades. Resumidamente, do mais abrangente ao mais
específico:
08007832475
Negócio -> TI -> Processo -> Atividade
Agora é utilizar o bom senso e encontrar, dentre as medidas de resultados,

quais melhor se adequam a esse ordenamento.
Olhem como eu resolveria. Ao ler as quatro medidas de resultado, não

pude deixar de reparar no “número real de incidentes com impactos em
negócios”. Esta medida, portanto, é a mais próxima do negócio, sem ser o
negócio propriamente dito. Encontrei a medida de um objetivo de TI.
Prof. Victor Dalton


Voltando ao primeiro item, ele fala de “constrangimento público”. Já tendo
comparado com os demais itens, tenho certeza que essa medida se relaciona ao
objetivo de negócio, pois envolve o cliente.
Agora preciso diferenciar uma medida de resultado de processo de uma

medida de resultado de atividade. Ora, “número real de incidentes causados por
acessos não autorizados” é mais abrangente do que “frequência de revisões dos
tipos de evento de segurança a serem monitorados”. Logo, identifiquei os dois
últimos itens.
CONSIDERAÇÕES FINAIS
E mais uma aula foi vencida!
Realmente, o COBIT é um framework de TI excessivamente técnico, e

assimilá-lo é um verdadeiro desafio. São muitas ideias novas apresentadas de
uma vez só. É preciso ler mais de uma vez para digerir o assunto.
Por outro lado, quando você for ler o framework, vai perceber que a leitura
será bem mais digerível, por ter visto o PDF e essa enxurrada de exercícios. Não
deixe de visitá-lo!
Espero que o curso tenha colaborado com seus estudos. Você fará uma
excelente prova.
Rumo ao Tribunal Regional do Trabalho da Paraíba!

08007832475
Victor Dalton
Prof. Victor Dalton


LISTA DE EXERCÍCIOS
1ª Questão) (FCC – INFRAERO – Analista de Sistemas –

Desenvolvimento e Manutenção - 2011) O princípio básico do modelo CobiT
estabelece que os ... I ... são gerenciados pelos ... II ... para atingir os ... III ...
que respondem aos ... IV ...
As lacunas I, II, III e IV são preenchidas correta e respectivamente por:
a) requisitos de negócios, objetivos de TI, recursos de TI e processos de TI.

b) requisitos de negócios, processos de TI, objetivos de TI e recursos de TI.
c) processos de TI, objetivos de TI, recursos de TI e requisitos de negócios.
d) recursos de TI, processos de TI, objetivos de TI e requisitos de negócios.
e) recursos de TI, objetivos de TI, requisitos de negócios e processos de TI.
2ª Questão) (ESAF - Analista de Finanças e Controle – Auditoria e

Fiscalização – Geral – 2012) São critérios de informação do Cobit 4.1:
a) confiabilidade, disponibilidade, integridade
b) eficácia, efetividade, eficiência
c) confidencialidade, privacidade, integridade
d) confiabilidade, resiliência, robustez
e) eficiência, produtividade, manutenibilidade
3ª Questão) (Cesgranrio – Analista da Casa da Moeda do Brasil –

Gestão em TI – 2012) A respeito do COBIT, NÃO procede a afirmação de que
a) suas práticas influenciam diversas áreas de uma organização, sem se

restringir ao setor de TI.
b) uma de suas principais características é a orientação para negócios.
08007832475
c) um dos seus objetivos é avaliar as organizações em relação às suas

práticas gerenciais relacionadas com a tecnologia da informação.
d) o modelo foi desenvolvido com forte ênfase em controles.
e) o modelo de maturidade genérico possui 3 níveis.
4ª Questão)(ESAF – CVM - Analista de Infraestrutura de TI – 2010)

Os níveis dos modelos de maturidade do COBIT são:
a) Insipiente (0). Inicial / Ad hoc (1). Repetitivo mas intuitivo (2).
Programado (3). Gerenciado e qualitativo (4). Finalizado (5).
b) Inexistente (0). Programado (1). Repetitivo mas dedutivo (2). Definido
(3). Gerenciado e mensurável (4). Repetitivo (5).
Prof. Victor Dalton


c) Inexistente (0). Em definição (1). Restritivo mas intuitivo (2). Otimizado
(3). Gerenciado e mensurável (4). Disponibilizado (5).
d) A definir (0). Inicial / Ad hoc (1). Repetitivo e redundante (2). Definido
(3). Orientado para mensuração (4). Maximizado (5).
e) Inexistente (0). Inicial / Ad hoc (1). Repetitivo mas intuitivo (2).
Definido (3). Gerenciado e mensurável (4). Otimizado (5).

de TI – 2012) No Cobit 4.1, são considerados recursos de TI:
a) Sistemas, Informações, Rede e Servidores críticos.
b) Aplicativos, Sistemas de Informação, Rede e Estações de Trabalho.
c) Sistemas, Bancos de Dados, Infraestrutura e Pessoas.
d) Aplicativos, Informações confidenciais, Rede e Estações de Trabalho.
e) Aplicativos, Informações, Infraestrutura e Pessoas.
6ª Questão) (ESAF – Analista de Finanças e Controle –

Desenvolvimento de Sistemas de Informação – 2008) O COBIT - Control
Objectives for Information and related Technology fornece boas práticas por
meio de uma estrutura de domínio e processos e apresenta atividades de forma
gerencial e lógica para a Governança de TI. O COBIT contém componentes
interrelacionados, provendo suporte para a governança, gerenciamento, controle
e atendimento das necessidades de diferentes organizações. O componente
Atividades-Chaves do COBIT (versão 4.1) está relacionado com
a) Indicadores de Performance.
b) Modelos de Maturidade.
c) Controle de Objetivos.
d) Responsabilidades e Contabilização.
e) Controle de Práticas. 08007832475
7ª Questão) (FGV - MEC – Gerente de Projetos – 2008 - adaptada) A

figura a seguir se refere aos quatro domínios de processos da metodologia
“Control Objectives for Information and Related Technology - COBIT”.
Prof. Victor Dalton


Além dos domínios MONITORAR e AVALIAR e PLANEJAR E ORGANIZAR, os

domínios I e II são denominados respectivamente:
a) Projetar e Apoiar / Requisitar e Especificar.

b) Projetar e Apoiar / Adquirir e Implementar.
c) Entregar e Suportar / Requisitar e Especificar.
d) Entregar e Suportar / Adquirir e Implementar.
e) Entregar e Suportar / Implementar e Manutenir.

de TI – 2012) Qual é a principal atribuição do domínio Entregar e Suportar
do Cobit 4.1?
a) Desenvolver as soluções e as tornar passíveis de uso pelos clientes.
b) Monitorar o desempenho das soluções e as tornar passíveis de uso pelos

08007832475
usuários finais.
c) Receber as soluções e as tornar passíveis de uso pelos usuários finais.
d) Homologar as soluções e as tornar passíveis de teste pelos clientes.
e) Adquirir as soluções e as tornar passíveis de homologação pelos clientes.
9ª Questão) (Cesgranrio – Petrobrás - Analista de Sistemas Júnior –

Infraestrutura – 2010) O COBIT define as atividades de TI num modelo
genérico de processos divididos em quatro domínios. Esses domínios mapeiam
as tradicionais áreas de responsabilidade de TI de planejamento, construção,
Prof. Victor Dalton


processamento e monitoramento. Entre os conjuntos de processos listados
abaixo, qual faz parte do domínio Entregar e Suportar?
a) Gerenciar a capacidade e o desempenho, educar e treinar os usuários e

gerenciar a configuração.
b) Instalar e homologar as soluções e mudanças, gerenciar as mudanças,
habilitar a operação e o uso.
c) Instalar e homologar as soluções e mudanças, gerenciar as mudanças,
assegurar a continuidade de serviços.
d) Monitorar e avaliar o desempenho, monitorar e avaliar os controles
internos, avaliar e gerenciar os riscos de TI.
e) Determinar o direcionamento tecnológico, definir os processos, a
organização e os relacionamentos de TI, gerenciar o investimento de TI.
10ª Questão) (FCC – TCE/AM – Analista de Controle Externo –

Tecnologia da Informação – 2012) O objetivo de negócios "reduzir custos de
processos", segundo o COBIT, está associado ao critério
a) eficiência e à perspectiva interna.

b) eficiência e à perspectiva financeira.
c) eficiência e à perspectiva do cliente.
d) eficácia e à perspectiva interna.
e) eficácia e à perspectiva financeira.
11ª Questão) (ESAF - SUSEP – Analista Técnico – Tecnologia da

Informação – 2010) Entre as aplicações do COBIT em uma organização,
situam-se
a) auditoria de riscos operacionais de concorrentes e qualificação de

armazenadores de TI.
b) implantação modular da 08007832475
Governança de TI e realização de
benchmarking.
c) avaliação dos topservers de TI e desenvolvimento dos riscos situacionais

de TI.
d) desmembramento de riscos e benefícios da TI e realização de branch

and bound.
e) atualização de casual failures e implantação exógena da Governança de

TI.
Prof. Victor Dalton


TI – 2011) O COBIT suporta por meio de metodologia uma área de foco na
governança de TI, entre outras, denominada
a) Processos de TI.
b) Entrega de valor.
c) Objetivos de Controle.
d) Modelo de Maturidade.
e) Conformidade Interna e Externa.

TI – 2011) No COBIT 4.1, considere o mapeamento dos processos de TI às
áreas de foco da governança em TI (AFTI). Sendo P = Primário e S =
Secundário, a relação entre "Definir um Plano Estratégico de TI" com as AFTIs
(I) Alinhamento Estratégico, (II) Gerenciamento de Recursos e (III)
Gerenciamento de Riscos, é considerada, respectivamente,
a) P, S e S.
b) P, S e P.
c) P, P e S.
d) S, P e P.
e) S, S e P.
14ª Questão) (ESAF - Analista de Finanças e Controle –

Infraestrutura de TI – 2012) Um dos Critérios de Informação do Cobit 4.1 é a
integridade, que se relaciona com:
a) a confidencialidade e privacidade da informação bem como sua

confiabilidade operacional.
b) a conformidade e estabilidade da informação bem como sua integridade
de acordo com os requisitos de negócio.08007832475
c) a eficiência e eficácia da entrega da informação bem como sua

conformidade de acordo com os parâmetros estabelecidos.
d) a fidedignidade e totalidade da informação bem como sua validade de
acordo com os valores de negócios e expectativas.
e) a segurança e totalidade da informação bem como sua estabilidade
operacional de acordo com os valores de níveis de serviço acordados.
15ª Questão) (FCC – Agente Fiscal de Rendas – Tecnologia da

Informação – 2013) Para que a governança de TI seja eficiente é importante
avaliar as atividades e riscos da TI que precisam ser gerenciados. No modelo
Prof. Victor Dalton


CobiT 4.1 são definidos quatro domínios inter-relacionados. A figura abaixo
ilustra o inter-relacionamento destes domínios:
A associação correta dos quatro domínios do COBIT 4.1 com as posições I,

II e III está expressa em:
(CESPE – TRE/RJ - Analista Judiciário – Análise de Sistemas –

2012) Acerca de governança de TI alinhada ao modelo COBIT 4.1 e sua relação
08007832475
com gestão estratégica, gerenciamento de projetos, gerenciamento de serviços,

governança de TI e qualidade de software, julgue os itens seguintes.
16 Entre os critérios de controle dos requisitos da informação, destacam-se

como aqueles diretamente alinhados à segurança da informação a
confidencialidade, a integridade e a disponibilidade.
17 A governança de TI, implementada na organização de forma aderente

ao COBIT 4.1, apresenta cinco áreas focais, uma das quais é a gestão de riscos
de segurança da informação.
Prof. Victor Dalton


18 As aplicações presentes na organização, conforme a tipologia de
recursos no COBIT 4.1, são tanto aquelas automatizadas por computadores,
quanto aquelas realizadas manualmente pelas pessoas.
19 As atividades e processos do domínio de planejamento e organização

(PO) aderentes ao modelo COBIT são aqueles que articulam, no mais alto nível,
o alcance dos objetivos da governança de TI.
(CESPE – MPE/PI – Analista Ministerial – Informática – 2012) A

respeito do COBIT 4.1, julgue os itens que se seguem.
20 O COBIT não suporta nem define nível de maturidade.
21 De acordo com o COBIT 4.1, a governança de TI é de responsabilidade

dos executivos de TI e possui foco tático e operacional.
22 Uma vez que nem todos os componentes do COBIT são inter-

relacionados, essa estrutura garante o suporte para as necessidades de
governança, gerenciamento, controle e avaliação de diferentes audiências.
23 No COBIT 4.1, cobrir estratégias e táticas, preocupando-se com a

identificação da maneira pela qual a TI pode melhor contribuir para atingir os
objetivos, é função do domínio Planejar e Organizar.
24 Os domínios Planejar e Organizar, Adquirir e Implementar, Entregar e

Suportar e Monitorar e Avaliar mapeiam as áreas de responsabilidade de TI de
planejamento, construção, processamento e monitoramento.
08007832475
(CESPE – INPI – Analista – Desenvolvimento e Manutenção de

Sistemas - 2013)
25 O Cobit 4.1 prevê medida de desempenho, objetivos de controle e

alinhamento dos negócios e das metas de TI de uma organização.
26 O Cobit 4.1 visa garantir que a tecnologia da informação (TI) esteja

alinhada aos objetivos corporativos e que os recursos de TI sejam utilizados com
responsabilidade.
Prof. Victor Dalton


27 No Cobit 4.1, em comparação à versão anterior, todos os domínios são
diferentes e os controles permanecem os mesmos, o que representa uma quebra
de paradigma.
28 As atividades de identificação de requisitos de TI, a aquisição de

tecnologia e sua implementação nos processos de negócio são atribuições do
domínio planejar e organizar.
29 O domínio entregar e suportar abrange áreas como a execução de

aplicações dentro do sistema de TI e seus resultados. Além disso, abrange os
processos de apoio, que permitem a execução eficaz e eficiente dentro do
sistema de TI.
30 O domínio adquirir e implementar é relativo à utilização da informação e

da tecnologia. A empresa pode utilizá-lo para atingir os seus objetivos
estratégicos.
(CESPE – ANAC – Analista Administrativo – Área 4 - 2012)
31 Segundo o modelo de maturidade do Cobit, faz parte do perfil do nível

gerenciado e mensurável o fato de a automação e as ferramentas serem
utilizadas de maneira limitada ou fragmentada.
32 O controle e o gerenciamento operacional dos controles de aplicativos

automatizados estão sob responsabilidade da área de negócios.
33 Os objetivos de controle são auditados por controle de testes de

08007832475
desenho e implementados por práticas de controle, ao passo que o controle de

testes de desenho está embasado em práticas de controle.
34 O processo identificar e alocar custos pertence ao domínio planejar e

organizar do modelo Cobit.
(CESPE – MPOG – Técnico de Nível Superior V – 2013)
35 O processo de definição da arquitetura da informação tem por objetivos

de controles a manutenção de um dicionário de dados corporativo que incorpore
Prof. Victor Dalton

as regras de sintaxe de dados da organização e o estabelecimento de um
esquema de classificação de dados aplicável a toda organização, com base na
importância e na confidencialidade dos dados corporativos.
36 O processo de definição de plano estratégico de TI, constante do

domínio de planejamento e organização, tem por objetivos satisfazer, sustentar
ou estender a estratégia de negócio e os requisitos de governança e evidenciar
os benefícios, custos e riscos destes.
(CESPE – SERPRO – Analista – Gestão Logística – 2013)
Em determinada empresa identificou-se as seguintes necessidades:
#a Ser capaz de analisar, previamente, a necessidade de aquisição ou

desenvolvimento de uma nova aplicação ou função;
#b Possuir processo que seja capaz de gerenciar os requisitos das

aplicações, seu desenvolvimento, segurança e disponibilidade de aplicativos,
além de garantir a qualidade do software;
#c Ser capaz de transferir conhecimento dos sistemas desenvolvidos e

adquiridos, por meio de manuais de usuário e operacionais, assegurando a
satisfação dos usuários finais com a oferta dos serviços;
#d Ser capaz de adquirir e manter habilidades de TI que respondam à

estratégia de entrega, bem como reduzir os riscos dessas aquisições;
#e Possuir controle que seja capaz de avaliar o impacto, a autorização e a

implantação de mudanças na infraestrutura e nas aplicações de TI.
Com base nas informações acima descritas e no COBIT 4.1, julgue os itens
08007832475
a seguir, relativos à implantação de controles para solucionar as necessidades

apresentadas.
37 A priori, a implantação do processo gerenciar mudanças solucionaria

todas as necessidades descritas em #e, porém esse processo não abrange a
gestão de mudanças na infraestrutura.
38 Para mudanças classificadas como emergenciais, é correto pôr em vigor

avaliação e autorização que não sigam o processo de mudança estabelecido.
Prof. Victor Dalton


39 O processo identificar soluções automatizadas, que identifica soluções
tecnicamente viáveis e com boa relação custo benefício, é mais bem adequado
para solucionar a necessidade #a que o processo adquirir e manter software
aplicativo.
40 Com a implantação do processo adquirir e manter software aplicativo,

todas as necessidades descritas em #b serão atendidas por meio de seus
objetivos de controle.
41 Ao se implantar o processo habilitar operação e uso, todas as

necessidades descritas em #c serão atendidas por meio de seus objetivos de
controle.
42 Ao se implantar o processo adquirir recursos de TI, as necessidades

descritas em #d serão atendidas parcialmente, pois não cabe a esse processo
adquirir pessoas como se fossem recursos de TI.
43ª Questão) (CESPE – SECGE/PE – Analista de Controle Interno –

Tecnologia da Informação – 2010) A respeito do guia Cobit 4.1, assinale
a opção correta.
a) A efetividade e a eficácia são critérios do Cobit com base nos quais se

atesta a qualidade da informação; já a eficiência constitui critério de qualidade
das metodologias de gestão de projetos.
b) Por meio da governança de tecnologia da informação (TI), controlam-se

os investimentos em software, uma vez que os investimentos em hardware são
de responsabilidade da gestão de infraestrutura.
c) A governança de TI compete à equipe técnica, que é a responsável por

08007832475
criar mecanismos de controle, dispensando-se, dessa forma, as intervenções da

alta direção da empresa nas questões técnicas da área de TI.
d) Define-se governança de TI como uma estrutura de relações e processos

mediante a qual se dirige e se controla uma organização com objetivo de
adicionar valor ao negócio a partir do gerenciamento balanceado do risco com o
retorno do investimento de TI.
e) A governança de TI restringe-se ao gerenciamento de recursos, cujo

objetivo é otimizar os investimentos, bem como controlar a utilização dos
recursos e a mensuração do desempenho da organização.
Prof. Victor Dalton


Tecnologia da Informação – 2010) Conforme o IT Governance Institute, as
cinco áreas foco do COBIT, que sustentam o núcleo da governança de TI, são
a) apoio da alta gestão, agregação de valor, gerenciamento de risco,

b) apoio da alta gestão, agregação de valor, gerenciamento de escopo,
c) alinhamento estratégico, gerenciamento de risco, gerenciamento da
qualidade, gerenciamento de recursos e medição de desempenho.
d) alinhamento estratégico, agregação de valor, gerenciamento de tempo,
e) alinhamento estratégico, agregação de valor, gerenciamento de risco,
gerenciamento de recursos e medição de desempenho

Tecnologia da Informação – 2010) O COBIT possui domínios que espelham
os agrupamentos de processos usuais existentes em uma organização padrão.
Um desses domínios tem abrangência estratégica e identifica as formas pelas
quais a TI pode melhor contribuir para o atendimento dos objetivos de negócio,
envolvendo planejamento, comunicação e gerenciamento em diversas
perspectivas. Trata-se do domínio
a) alinhamento estratégico.
b) aquisição e implementação.
c) planejamento e estratégia.
d) planejamento e organização.
e) monitoramento e avaliação.

Tecnologia da Informação – 2010) Faz parte do domínio monitoramento e
08007832475
avaliação do COBIT o processo
a) fornecer governança para a TI.

b) garantir a continuidade dos serviços.
c) gerenciar mudanças.
d) gerenciar problemas.
e) avaliar e gerenciar riscos de TI.
(CESPE – PEFOCE – Perito – Análise de Sistemas – 2012)
Prof. Victor Dalton


47 O processo referente à habilitação de operação e uso integra o domínio
de entrega e suporte.
48 O completo cumprimento dos requisitos do COSO (Comitee of

Sponsoring Organization) para controle do ambiente de TI é um dos benefícios
advindos da implementação do COBIT como modelo de governança de TI nas
organizações.
49 Os critérios de informação do COBIT para atender os objetivos de

negócios são: efetividade, eficiência, eficácia, confidencialidade, integridade,
conformidade e confiabilidade.
(CESPE – CBM/DF – QOBM – Informática – 2011)
50 A implementação do COBIT como modelo de governança de TI tem sido

aceita por órgãos reguladores e por terceiros.
51 Uma das áreas de foco em governança de TI é a gestão da qualidade.
52 Os objetivos de controle proporcionam um conjunto de requisitos de

alto nível a serem considerados pelos executivos para o controle efetivo de cada
processo de TI.
(CESPE – TRT/21ª Região - Analista Judiciário – Tecnologia da

Informação – 2010)
53 O processo Prover Governança de TI poderá ser alcançado por meio do

estabecimento de uma estrutura de governança de TI integrada à governança
08007832475
corporativa e pela auditoria independente do status da governança de TI.
54 No modelo COBIT, o conceito de eficiência está relacionado à

informação relevante e pertinente para o processo de negócio, bem como ao
fato de a informação ser entregue em tempo, de maneira correta, consistente e
utilizável.
55 No COBIT, um dos processos do domínio Monitorar e Avaliar é Educar e

Treinar os Usuários.
Prof. Victor Dalton


(CESPE – TCU - Analista de Controle Externo – Tecnologia da
Informação – 2007) Considerando os princípios de metodologia de auditoria
de TI, assim como as boas práticas de auditoria e os referenciais normativos da
área, é correto afirmar que a auditoria de TI deve verificar
56 se há política de segurança de informação no órgão auditado e avaliar o

seu conteúdo e efetividade, por meio de testes de auditoria.
57 a localização de sítio backup, assegurando que ele fique perto da base

original de dados, para facilitar o acesso em caso de emergência.
58 se, na ocorrência de problemas com tecnologia de informação (TI), há

tempestividade na identificação desses problemas, rapidez na adoção de
providências, efetividade nessa ação e registro de todo o processo.
59 se a manutenção dos sistemas e de seus aplicativos, assim como de

toda a estrutura de TI, ocorre com periodicidade adequada, se são considerados
os registros de ocorrências para respaldarem esse processo, e quais problemas
são identificados e corrigidos.
60 a existência de firewall, recurso de TI capaz de dividir e controlar o

acesso entre redes de computadores, bloquear tentativas de invasão e impedir o
acesso de backdoors.
61 a existência de plano de continuidade de negócios testado e eficaz,

considerando-se as características dinâmicas dos ambientes, em relação aos
requisitos de disponibilidade, capacidade e desempenho.
08007832475
62 se foi definido o nível necessário de cópias de segurança das

informações e, em situações em que a confidencialidade seja importante, se as
cópias de segurança foram protegidas por meio de encriptação, armazenadas
sem vírus, em mídia confiável, em lugar climatizado e restrito.
63 se são observadas, para cada recurso ou arquivo existentes em um

sistema, as diretrizes que especificam o que cada usuário pode fazer, diretrizes
estas que devem dar privilégio de acesso a dados aos servidores que trabalham
na área de TI.
Prof. Victor Dalton


(CESPE – ANCINE - Analista Administrativo – Área 2 – 2013) Com
base no Cobit 4.1, julgue os itens que se seguem.
64 O processo em que se define a arquitetura da informação é atingido ao

se definirem os padrões de infraestrutura tecnológica, com base nos requisitos e
nas necessidades de informação que a organização demanda.
65 Uma das métricas utilizadas para a medição do processo que determina

as diretrizes de tecnologia é a quantidade de plataformas de tecnologia por área
da organização.
66 O gerenciamento de benefícios, que integra o processo de comunicar

metas e diretrizes gerenciais, é o objetivo de controle mediante o qual se
acompanha e se mantém a capacidade apropriada de TI para a organização.
67 No domínio denominado adquirir e implementar (AI), cuja missão é

prover soluções para que estas se tornem serviços, é descrito o processo de
gerenciamento de mudanças.
68 A criação de um portfólio de planos táticos de TI ocorre no processo em

que se define o planejamento estratégico de TI.
(CESPE – BACEN - Analista - Área 5 – 2013) No que se refere ao COBIT

4.1, julgue os itens subsecutivos.
69 Os níveis de maturidade no COBIT são mensurados de maneira precisa

por meio da efetivação dos objetivos de controle em uma escala de 0 a 5. Ou
seja, cada processo encontra-se em um nível de maturidade, de modo que é
possível avançar para o próximo nível somente quando forem cumpridas todas
as condições do nível inferior.
08007832475
70 Política Planos e Procedimentos é um requisito de controle genérico que

descreve e comunica os objetivos específicos para a efetiva execução de cada
processo de TI, assegurando que eles estejam ligados aos objetivos de negócios
e que sejam suportados por métricas apropriadas.

Tecnologia da Informação – 2013) Os vários elementos do modelo CobiT 4.1
podem ser mapeados com as áreas de foco de governança de TI. Por exemplo:
no Alinhamento Estratégico, os Objetivos e as Métricas são mapeados como
Ferramenta Primária (P); na Entrega de Valor, as Práticas são mapeadas como
Ferramenta Secundária (S); no Gerenciamento de Risco, as Métricas, as Práticas
Prof. Victor Dalton


e os Modelos de Maturidade são mapeados, respectivamente, como S, P e S. No
Gerenciamento de Recursos, as Métricas, as Práticas e os Modelos de Maturidade
são mapeados, respectivamente, como
a) S, P e P.
b) S, S e P.
c) S, P e S.
d) P, S e P.
e) P, S e S.

Tecnologia da Informação – 2013) No CobiT 4.1, NÃO se trata de um
Objetivo de Controle Detalhado do processo Definir um Plano Estratégico de TI:
a) Plano Estratégico de TI.
b) Gerenciamento do Portfólio de TI.
c) Avaliação da Capacidade e Desempenho Correntes.
d) Modelo de Arquitetura da Informação da Organização.
e) Gerenciamento de Valor da TI.

Tecnologia da Informação – 2013) O modelo de maturidade é uma forma de
medir o quanto os processos de gerenciamento são capazes de medir a
maturidade de uma empresa em relação ao estabelecimento e performance dos
controles internos. Capacidade, cobertura e controle são as dimensões do
processo de maturidade do CobiT 4.1, como ilustrado na figura abaixo.
08007832475
Prof. Victor Dalton


Os direcionadores primários relativos às dimensões do processo de

maturidade representados nas caixas I, II e III são, respectivamente:
74ª Questão) (FCC – TRT/12ª Região – Analista Judiciário-

Tecnologia da Informação – 2013) O CobiT é orientado para os objetivos e
escopo da governança de TI, assegurando que a metodologia de controle seja
08007832475
compreensiva e alinhada com os princípios de governança de organizações. Além

disso,
a) o CobiT é baseado na análise e na harmonização dos padrões e boas

práticas de TI existentes, adequando-se aos princípios de governança
geralmente aceitos. Ele está posicionado em alto nível, direcionado por
requisitos de negócios, abrange todas as atividades de TI e concentra-se em
como atingir uma efetiva governança, gerenciamento e controle e não no que
deveria ser obtido.
b) o CobiT age como um modelo único que reúne todas as boas práticas de
governança de TI e influencia a alta direção, gerências de negócios e de TI,
Prof. Victor Dalton


profissionais de governança, avaliação e segurança e profissionais de auditoria
de TI. É desenhado para ser independente de outros padrões.
c) para atingir o alinhamento das boas práticas com os requisitos de

negócios é recomendável que o CobiT seja utilizado em um alto nível, provendo
uma metodologia de controle geral com base em um modelo de processos de TI
que deve servir para toda a empresa. Práticas e padrões cobrindo áreas
específicas podem ser mapeados com o CobiT, provendo, assim, um material de
orientação.
d) os padrões e boas práticas do CobiT só funcionam quando aplicados

como uma política rígida de regras e princípios para produzir procedimentos
genéricos. Para evitar que as práticas fiquem só no papel, a gerência e os
funcionários devem entender o que fazer, como fazer e porque isso é
importante.
e) a implementação de boas práticas provindas de diferentes modelos

sempre gera conflitos com a governança e o ambiente de controle da
organização, devido às dificuldades de integração com outros métodos e práticas
utilizadas. Assim, o CobiT provê uma solução que integra todos os padrões,
gerando a efetividade desejada e dispensando a utilização de outros modelos.

Computação – 2013) Para atender aos objetivos de negócios, as informações
precisam se adequar a certos critérios de controles, aos quais o CobiT denomina
necessidades de informação da empresa. Baseado em abrangentes requisitos de
qualidade, guarda e segurança, o CobiT define sete critérios de informação, dos
quais quatro são descritos abaixo.
I. Lida com a informação relevante e pertinente para o processo de

negócio, bem como a mesma sendo entregue em tempo, de maneira correta,
consistente e utilizável.
08007832475
II. Está relacionada com a proteção de informações sigilosas para evitar a

divulgação indevida.
III. Relaciona-se com a fidedignidade e totalidade da informação, bem

como sua validade de acordo com os valores de negócios e expectativas.
IV. Lida com a aderência a leis, regulamentos e obrigações contratuais aos

quais os processos de negócios estão sujeitos, isto é, critérios de negócios
impostos externamente e políticas internas.
A associação das definições acima com os critérios está expressa correta, e

respectivamente, em
Prof. Victor Dalton



Computação – 2013) O CobiT fornece boas práticas através de um modelo de
domínios e processos. Além disso,
a) é atualizado a cada 2 anos e harmonizado com todos os outros padrões

e guias. Assim, o CobiT tornou-se o único modelo capaz de integrar as boas
práticas de TI e as metodologias de governança de TI como PMBoK e ITIL.
b) o foco em processos do CobiT 4.1 é ilustrado por um modelo de

processos de TI subdivididos em 34 domínios e 4 processos em linha com as
áreas responsáveis por planejar, construir, executar e monitorar, provendo
assim uma visão total da área de TI.
c) a orientação por maturidade é o principal tema do CobiT, pois foi

desenvolvido somente para ser utilizado por executivos e donos de empresas, já
que fornece um guia de rígidos controles para que a empresa atinja o nível
máximo de maturidade.
d) é um modelo e uma ferramenta de suporte que permitem aos gerentes

e riscos de negócios. O CobiT habilita o desenvolvimento de políticas claras e
boas práticas para controles de TI em toda a empresa.
e) as boas práticas do CobiT representam o consenso de especialistas e são

fortemente focadas mais na execução e menos nos controles. Essas práticas
08007832475
ajudam a diminuir os investimentos em TI, provendo punições quando os

serviços de TI saem errados.
77ª Questão) (FCC – TRT/12ª Região – Técnico Judiciário-

Tecnologia da Informação – 2013) A missão do CobiT é pesquisar,
desenvolver, publicar e promover um modelo de controle para governança de TI
atualizado e internacionalmente reconhecido para ser adotado por organizações
e utilizado no dia a dia por gerentes de negócios, profissionais de TI e
profissionais de avaliação. Além disso,
a) o modelo CobiT é baseado nos princípios: prover a informação de que a

organização precisa para atingir os seus objetivos, as necessidades para investir,
Prof. Victor Dalton

gerenciar e controlar os recursos de TI usando um conjunto estruturado de
processos para prover os serviços que disponibilizam as informações necessárias
para a organização.
b) os recursos de TI identificados no CobiT são: Sistemas, Infraestrutura,

Controles e Pessoas.
c) o CobiT define as atividades de TI em um modelo de processos genéricos

com 4 domínios. Esses domínios são: Planejar e Controlar, Organizar e
Implementar, Entregar e Monitorar, Testar e Avaliar.
d) o modelo CobiT fornece um modelo de referência e uma linguagem

específica para cada departamento da organização de forma que cada gerente e
cada funcionário possam visualizar e gerenciar as suas atividades específicas de
forma alinhada à TI. O gerenciamento e o controle da infraestrutura de TI estão
presentes em toda a metodologia CobiT e ajudam a assegurar o alinhamento
com os requisitos de negócios.
e) a orientação para processos é o principal tema do CobiT, o qual foi

desenvolvido para ser utilizado por provedores de serviços de TI, usuários e
gerentes, mas também, e mais importante, para fornecer um guia de controles
para a alta administração gerenciar o ROI e os investimentos de TI de seus
negócios.
78ª Questão) (FCC – TRT/2ª Região – Analista Judiciário –

Tecnologia da Informação - 2014) A tabela abaixo mostra o uso de uma
técnica muito usada no gerenciamento de projetos e processos, recomendada
pelo PMBoK, CobiT, ITIL v3 e outras práticas de mercado.
08007832475
A tabela mostrada é um exemplo de
a) Matriz RACI.
b) Structured Process Control.
c) Work Breakdown Structure.

Prof. Victor Dalton

d) Análise SWOT.
e) Matriz GUT.

Prova anulada – 2013) Assinale a alternativa que apresenta o nível de
maturidade no COBIT de uma organização cujos procedimentos foram
padronizados, documentados e comunicados através de treinamento, no entanto
desvios não são detectados.
a) Repetível, porém Intuitivo.
b) Gerenciado e Mensurável.
c) Processo Definido.
d) Otimizado.
e) Ad hoc.

Prova anulada – 2013) Em relação aos conceitos do COBIT (Control
Objectives for Information and Related Technology), marque V para verdadeiro
ou F para falso e, em seguida, assinale a alternativa que apresenta a sequência
correta.
( ) O alinhamento estratégico foca em garantir a ligação entre os planos de

( ) A entrega de valor é a execução da proposta de valor de TI através do

na estratégia da organização, concentrado-se em otimizar custos e provendo o
08007832475
( ) É organizado em quatro níveis, a saber: de Executivos e Alta Direção;

de Gerentes de TI e de negócios; de Profissionais de avaliação; e de controles e
segurança.
( ) Modelo, sem uma ferramenta de suporte, que permite aos gerentes

e riscos de negócios, comunicando esse nível de controle às partes interessadas.
a) F/ F/ V/ V
Prof. Victor Dalton


b) V/ V/ F/ F
c) F/ F/ F/ F
d) V/ V/ V/ F
e) V/ V/ F/ V

Prova anulada – 2013) É correto afirmar que, no COBIT, o PC3 (Repetibilidade
dos Processos)
a) elabora e estabelece cada processo-chave de TI de maneira que possam

ser repetidos e produzir, de maneira consistente, os resultados esperados.
b) designa um proprietário para cada processo de TI e claramente define os

papéis e responsabilidades de cada proprietário de processo.
c) define as atividades-chave e as entregas do processo.
d) define e comunica como todas as políticas, planos e procedimentos que

aprovados, armazenados, comunicados e utilizados para treinamento.
e) identifica um conjunto de métricas que fornecem direcionamento para os

resultados e performance dos processos.

2013) Assinale a alternativa que apresenta o nível genérico de maturidade de
um processo do COBIT, no qual os processos são documentados e comunicados.
a) Nível 1.
08007832475
b) Nível 2.
c) Nível 3.
d) Nível 4.
e) Nível 5.

2013) Tendo como base o COBIT, correlacione os Objetivos aos exemplos de
Prof. Victor Dalton


Medidas de Resultados e, em seguida, assinale a alternativa que apresenta a
sequência correta.
a) 1/ 3/ 2/ 4
b) 4/ 2/ 1/ 3
c) 1/ 4/ 2/ 3
d) 4/ 1/ 2/ 3
e) 3/ 1/ 4/ 2
GABARITO
08007832475
1.d 2.a 3.e 4.e 5.e 6.d 7.d 8.c 9.a 10.a
11.b 12.b 13.a 14.d 15.a 16.c 17.e 18.c 19.e 20.e
21.e 22.e 23.c 24.c 25.c 26.c 27.e 28.e 29.c 30.e
31.c 32.c 33.c 34.e 35.c 36.c 37.e 38.c 39.c 40.c
41.c 42.e 43.d 44.e 45.d 46.a 47.e 48.c 49.e 50.c
51.e 52.c 53.c 54.e 55.e 56.c 57.e 58.c 59.c 60.c
61.c 62.c 63.e 64.e 65.c 66.e 67.c 68.c 69.e 70.e
71.a 72.d 73.d 74.c 75.e 76.d 77.a 78.a 79.c 80.b
81.a 82.c 83.a
Prof. Victor Dalton


Curso 4376 Aula 05 v1 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso 4376 Aula 05 v1 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 05

Tecnologia da Informação p/ TRT/PB (13ª região) - Técnico Judiciário (Com videoaulas)

Professor: Victor Dalton

08007832475 - thiago bruno

AULA 05: COBIT 4.1

Olá amigos e amigas! Que bom estar aqui!

Vamos lá? 08007832475

Observação importante: este curso é protegido por direitos

Grupos de rateio e pirataria são clandestinos, violam a lei e

08007832475 - thiago bruno

1.1 Conceitos básicos

Governança de TI é “um braço” da Governança Corporativa, e para

“é o sistema pelo qual as sociedades(empresas) são dirigidas e

A necessidade de se ter uma política de Governança se avançou ao longo

Em 2001, houve um fato que acelerou a adoção de práticas de Governança

Corporativa no mundo, que foram os escândalos financeiros de grandes

Prof. Victor Dalton

08007832475 - thiago bruno

Pelo fato das informações financeiras das empresas estarem salvos em

E como garantir que os dados nos sistemas são fidedignos

A Governança de TI tem o papel de criar estes controles, de forma que a TI

1.2 Objetivo da governança de TI 08007832475

O objetivo principal da Governança de TI é alinhar a TI aos requisitos do

 Promover o posicionamento mais claro e consistente da TI em

Prof. Victor Dalton

08007832475 - thiago bruno

Vistas essas características, podemos iniciar o estudo do COBIT

2.1 Conceitos Básicos

O Control Objectives for Information and Related Technology

As boas práticas do CobiT representam o consenso de especialistas. Elas

O Cobit é ferramenta mister para a Governança de TI, cuja finalidade

O COBIT atende aos 5 requisitos de um framework de controle,

 Define uma linguagem comum para a área de TI e negócio

Prof. Victor Dalton

08007832475 - thiago bruno

O COBIT possui uma imagem muito famosa, de um cubo, que ilustra o

Vejamos, desde já, alguns desses componentes.

 Aplicações: sistemas automatizados e procedimentos

 Informação: os dados de todos os formulários de entrada, processados e

 Infraestrutura: inclui hardware, sistemas operacionais, sistemas de

 Pessoas: pessoal necessário para planejar, organizar, adquirir,

Prof. Victor Dalton

08007832475 - thiago bruno

Para satisfazer os objetivos de negócio, as informações precisam estar em

Os Requisitos de Negócio podem ser classificados em:

 Requisitos Fiduciários (Relatório do COSO)

Para satisfazer esses requisitos, o COBIT adota sete Critérios de

Efetividade (eficácia): lida com a informação relevante e pertinente para

Eficiência: relaciona-se com a entrega da informação através do melhor

Confidencialidade: está relacionada com a proteção de informações

Integridade: relaciona-se com a fidedignidade e totalidade da informação

Disponibilidade: relaciona-se com a disponibilidade da informação quando

Conformidade: lida com a aderência a leis, regulamentos e obrigações

Prof. Victor Dalton

08007832475 - thiago bruno

Flávio Pinheiro realizou um mapeamento entre os critérios de informação

Atenção! O critério de informação do COBIT effectiveness foi

Tomando a versão em inglês como norte, o nome correto é

Prof. Victor Dalton

08007832475 - thiago bruno

O COBIT é dividido em 4 Domínios e 34 Processos de TI, cada processo

Vejamos cada um dos domínios e seus respectivos processos.

1. Planejar e Organizar (PO) – Este domínio cobre a estratégia e as