No domínio monitorar e avaliar (monitor and evaluate), tem-s...

Alternativa Correta: C - certo

O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gestão de Tecnologia da Informação que fornece um conjunto de práticas recomendadas para controle de TI, focando em alinhar as atividades de TI aos objetivos de negócio. Dentro do modelo COBIT, temos diversos domínios e processos que ajudam a estruturar a governança de TI de maneira eficaz.

Um desses domínios é o "Monitorar e Avaliar" (Monitor and Evaluate), que visa garantir que os controles internos estejam funcionando de forma adequada e que as práticas de TI estejam alinhadas com as necessidades do negócio. Dentro deste domínio, existe o processo de "Monitorar e Avaliar Controle Interno" (Monitor and Evaluate Internal Control), que tem entre seus objetivos a avaliação da aderência dos provedores externos de serviços aos requisitos legais e obrigações contratuais.

Quando falamos de níveis de maturidade dentro do COBIT, estamos nos referindo a uma escala que mede até que ponto os processos de TI de uma organização são confiáveis e eficazes. No nível de maturidade "Definido" (Defined), espera-se que a empresa tenha políticas e procedimentos desenvolvidos e implementados para avaliar a eficácia da monitoração do controle interno. Isto implica que a organização não apenas realiza atividades de monitoramento, mas também possui uma estrutura formal para garantir que essas atividades sejam planejadas, executadas e avaliadas de forma consistente.

Assim, a afirmação da questão está correta, pois reflete o que é esperado em organizações que alcançaram o nível de maturidade "Definido" no processo de "Monitorar e Avaliar Controle Interno" segundo o modelo COBIT.

É muita sacanagem decerem a este nível de objetivos de controles. São 210 no total! Mas vamos lá:

ME2   Monitorar e Avaliar os Controles Internos

ME2.1 Monitoramento da Estrutura de Controles Internos
Monitorar, comparar e aprimorar o ambiente e a estrutura de controles de TI continuamente para atingir os objetivos
organizacionais.

ME2.2 Revisão Gerencial
Monitorar e avaliar a efciência e a efcácia das revisões gerenciais dos controles internos de TI.

ME2.3 Exceções aos Controles
Identifcar todas as exceções aos controles, assegurar que seja feita uma análise crítica das causas-raiz. Encaminhar e reportar adequadamente as exceções às partes interessadas. Realizar as ações corretivas necessárias.

ME2.4 Autoavaliação dos Controles
Avaliar o grau de abrangência e a efetividade dos controles internos da administração sobre os processos, as políticas e os contratos de TI através de um programa contínuo de autoavaliação.

ME2.5 Garantia dos Controles Internos
Conforme a necessidade, obter maior garantia da abrangência e da efcácia dos controles internos através de  avaliações de terceiros.

ME2.6 Controles Internos Aplicados a Terceiros
Avaliar o status dos controles internos aplicados a cada fornecedor de serviço. Certifcar-se de que fornecedores externos de serviço atendem às exigências legais e regulatórias e às obrigações contratuais.

ME2.7 Ações Corretivas
Identifcar, iniciar, monitorar e implementar ações corretivas com base nas avaliações e nos relatórios de controle.

3   Processo Defnido quando
A Direção apoia e tem institucionalizado o monitoramento dos controles internos. Políticas e procedimentos foram desenvolvidos para avaliar e relatar as atividades de monitoramento dos controles internos. Foi defnido um programa de educação e treinamento para o monitoramento dos controles internos. Foi defnido um processo de autoavaliações e revisões da garantia de efcácia dos controles internos, com os papéis claramente defnidos para os gestores dos processos de negócios e os gestores de TI. Ferramentas estão sendo utilizadas, porém não necessariamente estão integradas a todos os processos. Políticas de avaliação de risco dos processos de TI estão sendo utilizadas nas estruturas de controle desenvolvidas especifcamente para a organização de TI. Estão
defnidos riscos específcos dos processos e políticas de mitigação de risco.

O Cobit 4.1 tem 6 niveis de maturiadade:
Nível 0 – Inexistente: quando o processo nem é reconhecido, a empresa não reconhece a necessidade de tratar a questão.
Nível 1 – Inicial: quando o processo é reconhecido e as soluções são aplicadas caso a caso de maneira Ad hoc. É executado de forma desorganizada.
Nível 2 - Repetível (porém Intuitivo): Quando tem uma gestão básica e segue um caminho padrão, um conjunto de regras básicas. Procedimentos similares são seguidos por pessoas que executam a mesma tarefa. Não existe formalização na empresa. A coisa é intuitiva e depende do conhecimento dos indivíduos. (semelhante ao nível 2 do CMMI)
Nível 3 – Definido: Quando possui documentação e o conhecimento sobre o processo é compartilhado por toda a empresa. Passa a existir padronização dos processos. Possíveis desvios são difíceis de detectar por que não existe medição. (semelhante ao nível 3 do CMMI)
Nível 4 - Gerenciado e Mensurável: Quando possui monitoramento e medição do processo. Assim passa a existir correção quando necessário. Existem automação e utilização de ferramentas de forma fragmentada.
Nível 5 – Otimizado: quando são alcançadas as melhores práticas de acordo com os resultados mensuráveis daquele processo. As ferramentas automatizadas são utilizadas de maneira mais efetiva e completa para aprimorar a qualidade e efetividade do processo.