Em relação ao processo e organização da função de auditoria de TI, é correto afirmar:

A ITIL v3, no estágio Estratégia do Serviço, se refere a uma atividade que identifica funções vitais de negócio e as suas dependências, que podem incluir fornecedores, serviços de TI, pessoas e outros processos de negócio. Esta atividade define os requisitos de recuperação para serviços de TI, que incluem objetivos de tempo de recuperação e de ponto de recuperação e as metas de nível de serviço mínimas para cada serviço de TI.

Esta atividade é definida como

A gestão de riscos é um elemento central na gestão das estratégias de qualquer organização. A gestão de riscos é um processo que

I. deve analisar todos os riscos inerentes somente às atividades presentes e futuras de uma organização.
II. contribui para a melhoria da tomada de decisões, do planejamento e da definição de prioridades, através da análise das atividades do negócio, da volatilidade dos resultados e das oportunidades/ameaças.
III. deve traduzir as estratégias em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos por toda a organização, como parte integrante da respectiva descrição de funções.
IV. deve ser definido uma única vez quando da definição da estratégia da organização, e ser integrado em sua cultura com uma política eficaz e um programa criado e conduzido pelos membros do departamento de TI da organização.

Está correto o que se afirma APENAS em

...declarações recentes de líderes do Ministério do Planejamento e do Tribunal de Contas da União indicam claramente a insatisfação e os riscos envolvidos com o modelo atual.

Duas alternativas devem ser consideradas: a TNS e a PPP. A TNS é a forma mais evoluída de contratação de serviços e é indicada para todo grupo de processos cuja capacitação e relação custo-benefício sejam superiores se operados por empresa externa. Neste grupo, situam-se operações de logística e distribuição, manutenção, alguns tipos de centrais de atendimento e, principalmente, operações de TI. A PPP é a forma mais evoluída de repartir investimentos e riscos com a iniciativa privada, alavancando recursos que o governo sozinho não teria disponíveis, a partir dos quais seriam erigidos serviços conjuntos nos mesmos moldes da TNS.

(Adaptado de: http://www1.serpro.gov.br/publicacoes/tema/173/materia12.htm)

O artigo acima trata de uma prática na Administração pública que se refere à

Considere as afirmações abaixo.

I. Consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno.
II. Está relacionado com o RBAC (Role Based Access Control), que denomina um projeto do NIST/INCITS, cujo objetivo é padronizar um modelo para prover e administrar privilégios de acesso em uma organização.
III. Proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio; a hierarquia organizacional reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização.
IV. Refere-se ao controle de acesso baseado no papel, na atividade ou na função que o colaborador exerce dentro da organização; possibilita ter uma visão do privilégio de acesso de forma corporativa e não apenas por sistema.

Sabendo que SF refere-se à Segregação de Funções e PF refere-se à Perfil por Função, as afirmativas de I a IV são correta e respectivamente, relacionadas a: