A avaliação de riscos é a etapa imediatamente posterior à análise.

Nela, o risco calculado (probabilidade × impacto) é comparado ao:

• apetite ao risco,
• tolerância,
• nível de exposição aceitável definido pela organização.

É exatamente isso que a alternativa descreve: “A avaliação de riscos compara o nível de risco identificado na análise com o limite de exposição ou tolerância ao risco da organização…”

E prossegue: “…sendo que riscos que excedem esse limite não são obrigatoriamente objeto de mitigação se as ações de tratamento não forem viáveis ou vantajosas.”

Isso também está correto, pois o TCU e a ISO 31000 afirmam:

• Riscos não tratáveis (demasiado caros, impossíveis de mitigar ou de custo maior que o benefício) podem ser aceitos conscientemente pela alta administração.
• O gestor não está obrigado a mitigar todos os riscos acima do nível de tolerância se o tratamento não for eficaz ou factível — mas deve fundamentar essa decisão.

Conclusão: alternativa D reflete com precisão as etapas e o processo decisório da gestão de riscos segundo TCU e ISO 31000.

❌ Por que as demais estão incorretas?

A — Incorreta: Inverte conceitos básicos.

• A análise NÃO é o momento de decidir tratamento.
• Essa decisão ocorre somente na etapa de resposta (tratamento).
• A análise envolve estimar probabilidade, impacto, causas e consequências — não escolher mitigação.

Além disso, o tratamento não é exclusivamente custo‑benefício: envolve apetite ao risco, capacidade de resposta, controles existentes e contexto institucional.

B — Incorreta: Define incorretamente “transferência de risco”.

Na transferência:

• a organização não reduz probabilidade a zero;
• o risco é transferido a terceiros (seguro, garantias, contratos, parcerias).

Quem reduz probabilidade é a estratégia de mitigação, não transferência.

E nunca existe risco zero — isso viola os princípios de incerteza e incontrolabilidade reconhecidos pelo TCU e pela ISO 31000.

C — Incorreta: A alternativa confunde dois instrumentos distintos:

• Mapa de riscos → ferramenta interna, usada no planejamento, não é contratual.
• Matriz de alocação de riscos → cláusula contratual, usada para distribuir ônus entre as partes.

O mapa não é negociado no contrato, muito menos “divide responsabilidades”.

E — Incorreta: A probabilidade não precisa ser estritamente quantitativa.

O TCU e a ISO 31000 admitem plenamente:

• estimativas qualitativas,
• escalas subjetivas estruturadas,
• julgamento profissional,
• métodos sem séries históricas.

Em contratos inovadores (como ETEC), a incerteza impede medições puramente estatísticas.

Logo, é totalmente falso exigir probabilidade exclusivamente numérica.

A) ERRADA. Conforme extraído da ISO 31000: "O propósito da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e sua eficácia." 

B) ERRADA. Não existe reduzir risco a zero. Conforme extraído da ISO 31000: "As opções para tratar o risco podem envolver um ou mais dos seguintes: — evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco; — assumir ou aumentar o risco de maneira a perseguir uma oportunidade; — remover a fonte de risco; — mudar a probabilidade; — mudar as consequências; — compartilhar o risco (por exemplo, por meio de contratos, compra de seguros); — reter o risco por decisão fundamentada."

C) ERRADA. Essa é a definição da matriz de riscos, conforme consta na Lei de Licitações. 

D) CORRETA. conceito extraído da ISO 31000: "O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional..." 

E) ERRADA. Não é estritamente quantitativa, conforme extraído da ISO 31000: "Nota 1 de entrada: Na terminologia de gestão de riscos (3.2), a palavra “probabilidade” é utilizada para referir-se à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante um determinado período de tempo)."