SóProvas

IV. deve ser definido uma única vez quando da definição da estratégia da organização, e ser integrado em sua cultura com uma política eficaz e um programa criado e conduzido pelos membros do departamento de TI da organização. 

Ficou muito taxativo, visto que riscos precisam ser revisados, podem ser removidos, etc...

I. deve analisar todos os riscos inerentes somente às atividades presentes e futuras de uma organização.
-> Muitas coisas estão em jogo e não somente atividades. Deve-se considerar os objetivos da organização e não somente as atividades presentes e futuras.
II. contribui para a melhoria da tomada de decisões, do planejamento e da definição de prioridades, através da análise das atividades do negócio, da volatilidade dos resultados e das oportunidades/ameaças. 
III. deve traduzir as estratégias em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos por toda a organização, como parte integrante da respectiva descrição de funções. 
IV. deve ser definido uma única vez quando da definição da estratégia da organização, e ser integrado em sua cultura com uma política eficaz e um programa criado e conduzido pelos membros do departamento de TI da organização. 
A gestão de riscos é um processo contínuo que deve fazer parte de todos os processos da organização.