Caro Toni Não sei se entendi perfeitamente a sua pergunta, mas tentarei responder.
A auditoria com base no CobiT é feita em alguns pontos de cada controle: - existência do controle - efetividade do desenho do controle - eficiência do controle - Risco resultante E os controles devem atingir o objetivos de controle da empresa (seja ele CobiT ou não) Desse ponto de vista, não há "requisito mínimo" para uma empresa estar aderente ao CobiT : pode ser que uma empresa atinja absolutamente todos os objetivos de controle sem nunca sequer ter aberto um livro sobre o assunto (apesar de a chance ser mínima). Do ponto de vista prático, o mundo não é tão simples: o quanto deve ser considerado o mínimo varia do controle que a sua empresa quer (ou tem que) ter sobre a TI: bancos, por exemplo, estão sujeitos a auditorias do Banco Central, que exije deles níveis de controle altos. A auditoria, nesse caso, deve levar em consideração primeiro o que a empresa entende como importante ou necessário para então levantar os pontos a aserem verificados. Por exemplo: uma empresa que sofra muito com as mudanças no ambiente de TI pode ter prioridade sobre os objetivos de controle do AI6, ou uma empresa com um Service Desk ruim apesar da aplicação do ITIL pode precisar de controles do DS8, DS9 e DS10. Uma medida boa para o nível de controle a ser atingido é o nível de maturidade. Dentro do CobiT 4.1 há a declaração dos níveis de maturidade de cada um dos processos. No Framework (seção do livro) há uma explanação soabre como o nível de maturidade deve ser medido, incluindo um breve ponto sobre a maturidade em três dimensões (mais adequada para a sua necessidade do que a monodirecional). Nessa abordagem, a maturidade mínima para considerar a utilização de um processo é a maturidade 3. Tentando resumir a coisa toda: não há um "nível mínimo" para todo mundo: este deve ser definido pela sua empresa, o que esbarra em estrutura intera, mercado e política interna. De documentação que pode te ajudar, sugiro o ITAF e o IT Assurance Guide, ambos da ISACA. Abaixo o link para ambos: ITAF: http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=41069&TEMPLATE=/ContentManagement/ContentDisplay.cfm IT Assurance Guide: http://www.isaca.org/Template.cfm?Section=Search&template=/Ecommerce/ProductDisplay.cfm&ProductID=766 Ambos requerem membership da ISACA para baixar, ou podem ser comprador por valores obscenos. Espero ter ajudado. Caso não, por favor, diga-me quala dúvida Felipe Raffani Certificado em CobiT Foundation 2009/1/22 Toni Hebert - Gmail <[email protected]> > Bom dia, pessoal. > > > > Tenho outra duvida relacionada ao COBIT, no caso de uma auditoria de TI > baseada em COBIT, alguém saberia me esclarecer sobre as duvidas abaixo. > > > > O que devo considerar (como mínimo) dentro do ambiente de TI, para que se > possa testar a utilização do COBIT perante o Depto. de TI. > > > > O que devo levar em consideração para calcular a quantidade de horas > necessárias. > > > > > > Grato pela atenção de todos. > >
