A alternativa "a" está incorreta, pois quem elabora a estrutura de gestão de riscos dos processos da empresa são os gerentes, diretores, etc. e não o auditor interno, o que não impede que o auditor interno utilize gestão de riscos e auditoria baseada em riscos para traçar seu planejamento de auditoria.
A letra "b" também está errada, pois também são os gerentes, diretores, etc. os responsáveis por justificativas à alta administração de alguma falha na gestão de riscos.
A classificação de risco dos processos não tem relação com a ocorrência ou não de duplicidade nos testes de auditoria. Além disso, a avaliação realizada pelo auditor interno é da gestão de riscos da empresa e não das ferramentas de alta tecnologia. Portanto, as opções "c" e "d" estão incorretas.
Por fim, a alternativa "e" aborda exatamente a maneira como o auditor interno deve agir em relação aos riscos dos processos auditados, que é monitorar esses riscos, avaliando o controle interno e os resultados alcançados. Resposta: E
Fonte: Prof. Rodrigo Fontenelle www.estrategiaconcursos.com.br