A alternativa correta é a E.

No contexto da gestão de riscos no setor público (e também no privado), o apetite ao risco não se trata de eliminar perigos, mas de uma decisão estratégica. De acordo com o framework do COSO e a ISO 31000, ele define o nível de incerteza que a organização considera aceitável para perseguir valor e cumprir sua missão.

• Definição: É a quantidade e o tipo de risco que uma organização está preparada para buscar, reter ou assumir.
• Aplicação: Ajuda a alinhar a estratégia, as pessoas, os processos e a infraestrutura, permitindo que os gestores saibam quando devem "pisar no freio" ou quando têm margem para inovar.

• A e B: É impossível atingir a "eliminação total" de riscos ou ter "tolerância zero" em todas as áreas. Tentar eliminar todo e qualquer risco tornaria a administração pública extremamente lenta, burocrática e ineficiente. Existem riscos que são inerentes à própria atividade estatal.
• C: A gestão de riscos não substitui o planejamento estratégico; ela o apoia. As matrizes de risco servem para garantir que os objetivos do planejamento tenham maior probabilidade de serem alcançados.
• D: Embora a responsabilização (accountability) faça parte da governança, o apetite ao risco foca na definição prévia do que é aceitável, e não apenas na punição por falhas ocorridas.