<!DOCTYPE html>
<html lang="pt-BR">
<head>
 <meta charset="UTF-8">
 <style>
 body {
 font-size: 16px;
 line-height: 1.5;
 }
 .blue {
 color: blue;
 }
 math {
 font-size: 16px;
 }
 </style>
</head>
<body>
 A questão fornecida aborda o processo de identificação de riscos no contexto da gestão de riscos de TI, especificamente relacionado à norma ISO 31000. Importante lembrar que o entendimento correto dos processos envolvidos na identificação e análise de riscos é crucial para a implementação eficaz de qualquer estratégia de mitigação de riscos em Tecnologia da Informação.
 

 A ISO 31000 define o gerenciamento de riscos como um processo sistemático, transparente e estruturado que visa tratar a incerteza dentro das organizações, contribuindo para a consecução de seus objetivos. A identificação de riscos é o processo utilizado para encontrar, reconhecer e descrever os riscos que podem afetar o alcance dos objetivos. Esse processo envolve a compreensão das fontes de risco, eventos, causas e potencial impacto.
 

 O enunciado da questão sugere que o processo de identificação de riscos "envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação". Estamos diante de uma confusão entre os processos de "identificação" e "análise" de riscos:
 

 <ul>
 <li>Identificação de Riscos: Na fase de identificação, o foco está em enumerar os riscos potenciais sem entrar em uma análise profunda sobre sua natureza ou impacto. Isso inclui listar fontes de risco, eventos possíveis e cenários, mas não detalhar probabilidades ou consequências específicas. </li>
 
 <li>Análise de Riscos: A análise de riscos é o passo subsequente, onde estas características são detalhadamente exploradas, incluindo a avaliação de consequências, a probabilidade de ocorrência e a eficácia dos controles existentes.</li>
 
 </ul>
 
 Portanto, o enunciado da questão está incorreto ao afirmar que a identificação de riscos engloba a análise detalhada das características dos riscos, confundindo assim duas etapas distintas da gestão de riscos conforme a norma ISO 31000.
 

 Por esta razão, a alternativa correta é "Errado", pois a descrição dada tem mais a ver com a fase de análise do que propriamente com a identificação de riscos.
 

 Portanto, a alternativa correta é E.
 

</body>
</html>

O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação.


Julgue o item subsecutivo, relativo a gerenciamento de riscos de TI.


Questões de Tecnologia da Informação - Gestão de Risco - ISO 31000 - Fundação Universidade de Brasília