Alternativa C - Processo de avaliação de riscos
A questão aborda as etapas do processo de Gestão de Riscos (GR), frequentemente baseado em normas como a ISO 31000 ou frameworks de segurança da informação.
Para entender a resposta correta, precisamos analisar o que acontece em cada fase do ciclo de vida do risco:
- Identificação de Riscos: Descobrir quais riscos existem (quais ameaças podem afetar quais ativos).
- Análise/Avaliação de Riscos: Determinar a natureza do risco e sua magnitude. Isso envolve calcular a probabilidade de ocorrência e o impacto (danos/consequências).
- Tratamento de Riscos: Decidir como lidar com o risco (mitigar, aceitar, transferir ou evitar).
- Monitoramento: Acompanhar continuamente os riscos e controles.
No enunciado, o funcionário chegou a uma conclusão quantitativa: "existe uma probabilidade de 67%". Essa estimativa de chance de um evento adverso acontecer é o resultado direto da análise realizada dentro do processo de avaliação de riscos.
Análise das Alternativas
| Alternativa | Análise | Por que está incorreta/correta? |
|---|
| A | Definição do contexto | Incorreta. Aqui se definem os objetivos e o escopo, não se calculam probabilidades específicas de eventos. |
| B | Monitoramento e controle | Incorreta. Esta etapa ocorre após a análise e tratamento, focando na verificação contínua. |
| C | Processo de avaliação de riscos | Correta. Envolve a identificação, análise (probabilidade e impacto) e classificação dos riscos. Determinar a chance de 67% é parte dessa etapa. |
| D | Terminação de riscos | Incorreta. O termo técnico correto é "Tratamento" ou "Resposta", e não se "termina" o risco, mas se gerencia sua exposição. |
| E | Aceitação do risco | Incorreta. A aceitação é uma decisão estratégica tomada após saber o nível de risco, não a descoberta da probabilidade em si. |
Portanto, a conclusão sobre a probabilidade de ocorrência pertence à etapa de Processo de avaliação de riscos.