O processo do COBIT v.4.1 no qual estratégias de mitigação ...

Alternativa Correta: A - PO9 – Assess and manage IT risks (Determinar e gerenciar riscos de TI).

Para resolver essa questão, é necessário compreender o que o processo PO9 do COBIT versão 4.1 envolve. Este processo é focado na avaliação e gestão de riscos de TI, o que inclui identificar, analisar, avaliar e tratar riscos de TI, além de manter o plano de gerenciamento de riscos. O objetivo principal é garantir que as incertezas de TI não impedirão a organização de alcançar seus objetivos.

Ao falarmos sobre a adoção de estratégias de mitigação para diminuir os riscos residuais a níveis aceitáveis, estamos nos referindo à essência do gerenciamento de riscos. Isso envolve o entendimento do que é considerado um nível de risco aceitável para a organização e a aplicação de controles que ajudem a reduzir os riscos a esses níveis. Além disso, é importante que haja a documentação desses níveis de risco, o que também é uma prática parte do processo PO9.

As outras alternativas não correspondem diretamente ao enfoque da questão:

• DS4 lida com garantir a continuidade dos serviços, que embora relacionado com riscos, é mais focado em manter os serviços de TI funcionando continuamente.
• PO4 também envolve gerenciamento de risco, mas não é o processo específico para a versão 4.1 do COBIT que trata da adoção de estratégias de mitigação como especificado na questão.
• DS7 trata de garantir a segurança da informação, o que é somente uma parte do gerenciamento de riscos e não abrange a totalidade do processo de avaliação e gestão como o PO9.
• ME2 está relacionado ao monitoramento e avaliação de controles internos, o que é uma atividade que pode ter intersecção com a gestão de riscos, mas não é seu foco principal.

Portanto, a Alternativa A é a correta pois o processo PO9 – Assess and manage IT risks abrange a estrutura completa de gerenciamento de riscos de TI, incluindo a adoção de estratégias de mitigação de riscos e documentação dos níveis de risco aceitos pela organização, conforme requerido pela questão.

2017 cobrar COBIT 4.1 é triste.

@Sávio Carneiro 2019 cobrar COBIT 4.1 é triste

Concordo com os colegas sobre o absurdo de ainda cobrar isso, ainda tenho um caso pior, no meu estado será cobrado COBIT 4(mais antigo ainda) para o concurso da Assembleia Legislativa.

Alguns comentários me lembram da opinião de Feynman sobre a forma como o brasileiro decora qualquer coisa, ao invés de estudar, entender e aprender.

O CObIT é um framework de governança especializado para a área de TI. Como tal, sua implementação é da responsabilidade do nível estratégico. Assim, será usado para controle, diagnóstico e definição de processos e boas práticas que resolvam problemas ou melhorem a eficiência, eficácia e efetividade na área de TI das organizações.

Para tanto, ele serve como um guia do que deveria ser encontrado na área de Ti, ou do que pode ser sugerido como remédios (objetivos de controle) para criar uma boa gestão. Devemos melhorar o entrosamento entre os níveis tático e estratégico, bem como diagnosticar e remediar o baixo desempenho na área de TI.

Os profissionais de Governança de TI, que não necessariamente precisam entender de TI, mas sim de gestão e governança, devem conhecer os processos, sua importância para a organização, e quando e como devam ser implantados, visando corrigir ou melhorar a área de TI. Não conhecer os processos sugeridos pelo CObIT significa abrir mão de um framework que facilita o trabalho de auditoria da TI, por exemplo, o que implica em não ter um processo para tal trabalho. Justamente o objetivo da governança, a organização do trabalho, estabelecimento de processos confiáveis, monitoráveis, estimáveis, auditáveis, consistentes, ... gerando valor de forma consistente para a organização.

Triste ver que para alguns, tudo isso seja besteira.