Na calma, dá para chegar no gabarito
a) são incluídos somente riscos de nível operacional, que podem paralisar processos ou serviços essenciais para a organização.
b) não se pode demonstrar visualmente os níveis de tolerância da organização a riscos para não evidenciar fragilidades que possam aumentar a exposição aos riscos.
c) se existirem dois ou mais riscos de mesma probabilidade e impacto, todos serão tratados concomitantemente, já que não é permitida a criação de escalas complementares.
d) a organização deve utilizar rigorosamente o padrão determinado nas normas ISO que estabelece o nível de análise adequado para todas as circunstâncias.