Vamos analisar as alternativas uma a uma para encontrar a correta: A) "São incluídos somente riscos de nível operacional, que podem paralisar processos ou serviços essenciais para a organização." - Esta afirmação é restritiva, pois a matriz de riscos pode incluir riscos de diferentes níveis, não apenas operacionais. B) "Pode ser adotada uma escala alto/médio/baixo para cada risco, resultando em uma matriz 3 x 3 para cada risco." - Esta afirmação é verdadeira, pois a matriz de riscos frequentemente utiliza escalas como alto, médio e baixo para avaliar a probabilidade e o impacto. C) "Não se pode demonstrar visualmente os níveis de tolerância da organização a riscos, para não evidenciar fragilidades que possam aumentar a exposição aos riscos." - Esta afirmação é incorreta, pois a visualização dos níveis de tolerância é uma prática comum e útil na gestão de riscos. D) "Se existirem dois ou mais riscos de mesma probabilidade e impacto, todos serão tratados concomitantemente, já que não é permitida a criação de escalas complementares." - Esta afirmação é confusa e não reflete a prática comum de priorização e tratamento de riscos. E) "A organização deve utilizar rigorosamente o padrão determinado nas normas ISO que estabelece o nível de análise adequado para todas as circunstâncias." - Embora as normas ISO sejam importantes, a gestão de riscos pode variar conforme a situação e não é sempre rígida. A alternativa correta, que reflete uma prática comum na utilização da matriz de riscos, é: B) Pode ser adotada uma escala alto/médio/baixo para cada risco, resultando em uma matriz 3 x 3 para cada risco.