Considere que, no que diz respeito ao processo avaliar e ger...

A alternativa correta é Errado (E).

Vamos analisar detalhadamente a questão proposta e entender por que essa é a resposta correta.

A questão aborda o nível de maturidade de uma organização em relação ao processo avaliar e gerenciar riscos de TI (assess and manage IT risks) conforme o modelo COBIT (Control Objectives for Information and Related Technologies). O COBIT é um framework de governança e gestão de TI que ajuda organizações a criar valor a partir da TI, gerenciando riscos e recursos de forma eficaz.

O modelo COBIT define níveis de maturidade para processos de TI, que variam de 0 (Incompleto) a 5 (Otimizado). Cada nível representa a evolução da capacidade e eficácia dos processos de TI da organização.

No enunciado, a organização apresenta as seguintes características no processo de avaliação e gerenciamento de riscos de TI:

• Existe uma abordagem para avaliar riscos.
• A implementação da avaliação de riscos para cada projeto depende da decisão do gerente do projeto.
• A gerência de riscos é aplicada apenas aos principais projetos ou em resposta a problemas.

Para afirmar que o nível de maturidade é “gerenciado e mensurável (managed and measurable)”, a organização precisa estar no nível 4 de maturidade do COBIT. Nesse nível, os processos de gerenciamento de risco devem ser padronizados, bem documentados e monitorados através de métricas e indicadores. A organização também deve ter uma abordagem proativa e sistêmica na gestão de riscos.

No entanto, as características apresentadas indicam uma situação onde:

• A abordagem de avaliação de riscos não é aplicada consistentemente em todos os projetos (depende da decisão do gerente).
• A gestão de riscos é reativa (aplicada apenas aos principais projetos ou em resposta a problemas).

Essas características são mais compatíveis com um nível de maturidade 3 (Definido), onde os processos são documentados, mas ainda não são aplicados consistentemente em toda a organização.

Portanto, a afirmação de que a organização está em um nível “gerenciado e mensurável” é errada, pois ela não alcançou ainda esse nível de maturidade descrito.

Espero que essa explicação tenha clarificado a questão. Se precisar de mais detalhes ou ajuda, estou aqui para auxiliá-lo!

 Apenas complementando o comentario da colega tem-se:

4 - Gerenciado e Mensurável quando:

A avaliação e a gestão de risco são procedimentos padronizados. As exceções do processo de gestão de risco são relatadas à Diretoria de TI. A gestão de risco de TI é uma responsabilidade da Alta Direção. O risco é avaliado e mitigado no nível de projeto e também regularmente no nível de operação de TI. O comitê executivo é avisado das mudanças no ambiente de negócios e de TI que podem afetar consideravelmente os cenários de riscos relacionados a TI. A Diretoria é capaz de monitorar a posição do risco e tomar decisões fundamentadas no nível de exposição aceitável. Todos os riscos identificados têm um responsável definido, e o comitê executivo e a Diretoria de TI estabeleceram os níveis de risco que a organização irá tolerar. A área de TI desenvolveu indi- cadores padrão para avaliar riscos e definir taxas de riscos/retornos. A área de TI aloca recursos para um projeto de gestão de risco operacional a fim de reavaliar periodicamente os riscos. Um banco de dados de gestão de risco é estabelecido, e uma parte dos processos de gerenciamento de risco está começando a ser automatizada. A área de TI estuda estratégias de mitigação de riscos.

Os níveis são:

 0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.

1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.

2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.

3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.

4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.

5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.

Fonte: http://www.iso27000.com.br/index.php?option=com_content&view=article&id=76:anamatuseginf&catid=34:seginfartgeral&Itemid=53

DEUS abençoe quem estuda e merece!