É fator de risco associado à gestão dos ativos de TI e passível de auditoria:

Considere um contrato de fornecimento de equipamentos de informática, com renovação prevista de equipamentos a cada 3 anos e serviços de instalação por conta do fornecedor. Para este contrato, faz sentido constar num acordo de nível de serviço:

Segundo o COBIT 4.1, o processo de Avaliar e Gerenciar Riscos tem seus resultados medidos

A avaliação de controles específicos implementados para prevenir, detectar e corrigir erros e irregularidades em transações durante a entrada, processamento e saída de dados dos sistemas de informação é escopo

Uma empresa prestadora de serviços de suporte técnico em TI está aprimorando sua forma de trabalho e iniciou por avaliar pontos de melhoria necessários, levando em conta suas estratégias comerciais e financeiras. Somente após concluir essas avaliações ela desenhou as mudanças a serem realizadas em seus serviços, sendo que durante o desenho, bem como durante o planejamento da implantação dos serviços, revisões de metas estratégicas e avaliações de novos pontos de melhorias não puderam mais ser feitas. O processo está em desacordo com a proposta da ITIL v3 atualizada em 2011, a qual estabelece que

Através de uma auditoria por amostragem, foi constatada a falha em controles internos de acesso aos sistemas de informação de uma empresa. Diante do risco de auditoria, para aprofundar exames minuciosamente e de forma planejada, o Auditor deve aplicar:

Com relação à Governança de TI, ao COBIT e ao ITIL, avalie se são verdadeiras (V) ou falsas (F) as afirmativas a seguir:

COBIT: um conjunto de diretrizes baseadas em auditoria para processos, práticas e controles de TI, voltado para redução de risco, enfoca integridade, confiabilidade e segurança, além de abordar quatro domínios que são planejamento, organização, aquisição e implementação, entrega e suporte e monitoração.

ITIL: conjunto de melhores práticas para operações de serviços de TI, como gerenciamento de service desk, incidente, mudança, capacidade, nível de serviço e segurança, possibilitando o rastreamento em áreas de serviço de TI.

COBIT trata das melhores práticas para TI como negócio, com foco na gestão dos serviços de TI, enquanto que ITIL trata da governança em TI, com foco no controle.

As afirmativas são respectivamente:

O SEI (Software Engineering Institute) desenvolveu um abrangente metamodelo de processo, conhecido pela sigla CMMI, baseado em um conjunto de capacidades de engenharia de software que devem estar presentes à medida que as empresas alcançam diferentes níveis de capacidade e maturidade de processo. O CMMI representa o metamodelo de processo de dois modos diferentes, (1) como um modelo contínuo e (2) como um modelo em estágios, de acordo com a figura abaixo.



Cada área de processo é avaliada formalmente com base em metas e práticas específicas e é classificada de acordo com os níveis de capacitação listados a seguir.

(I) Gerido

(II) Definido

(III) Realizado

(IV) Otimizado

(V) Incompleto

(VI) Quantitativamente gerido

Os níveis de (I) a (VI) da lista acima correspondem, respectivamente, aos níveis 0 – 1 – 2 – 3 – 4 – 5 indicados na figura:

A Norma ISO/IEC 20.000 define um nível de qualidade para as atividades, que podem ser auditadas, de acordo com o ciclo de qualidade conhecido por PDCA, ilustrado na figura abaixo.

Nesse contexto, ALFA, BETA, GAMA e DELTA correspondem, respectivamente, a:

A ISO/IEC 20.000 é vista como a norma ISO para certificação de empresas no Gerenciamento de Serviços de TI, com base nas melhores práticas das disciplinas ITIL. Neste contexto, observe a figura abaixo.

Os processos de Controle, de Relacionamento, de Liberação, de Resolução e de Entrega de Serviços, correspondem na figura, respectivamente, aos processos identificados por: