A metodologia de avaliação dos controles internos consiste e...

Primeira vez na vida que vejo multiplicação de x "ao" "y", e não multiplicação de x por/com y.

RISCO INERENTE E RESIDUAL

A administração leva em conta tanto o risco inerente quanto o residual.

Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.

Risco residual é aquele que ainda permanece após a resposta da administração.

A avaliação de riscos é aplicada primeiramente aos riscos inerentes. Após o desenvolvimento das respostas aos riscos, a administração passará a considerar os riscos residuais.

Pensando matematicamente, temos que:

RR = RI x FMP

Onde:

RR = Risco Residual

RI= Risco Inerente

FMP= Força das Medidas de Prevenção sobre o Risco

Ou seja, quanto menor o FMP, menor o risco residual. Nesse caso, quanto menor, melhor. Veja que, no exemplo dado pela questão, os controles internos (FMP) são avaliados em: 

1 (controles não funcionais),

0,5 (controles funcionais medianos) e

0,2 (controles funcionais fortes).

Baseando-se nesses conceitos, pode-se afirmar que o gabarito é C.

Bons estudos!

Fontes:

https://cadernodeprova.com.br/coso-risco-inerente-e-residual/

https://www.rsdata.com.br/gro-risco-inerente-e-risco-residual/

Risco inerente: aquele que existe antes da aplicação de qualquer controle interno.

Risco residual: aquele que ainda persiste depois de considerados os controles internos.

Na minha interpretação, por exemplo, 0,2 de controle funcional forte (o gabarito só fala em controle funcional, então subentendi que os controles são 100% funcionais = forte) significa que 100% do risco inerente vai virar 20% de risco residual depois de aplicados os controles internos.