Desenvolver uma filosofia organizacional de gestão de riscos e conscientizar os níveis da alta direção sobre 'riscos'. Isso poderia ser facilitado com educação, treinamento e orientação da direção executiva.

• O executivo sênior da organização deve dar suporte ativo e contínuo.
• Um gerente executivo sênior ou um "champion" (ou equipe) deve patrocinar a iniciativa.
• Todos os executivos sêniores devem dar total suporte.

Elaboração da política organizacional

Desenvolver e documentar uma política corporativa e uma estrutura para a gestão de riscos, que deverão ser endossadas pelo principal executivo e implementadas em toda a organização. A política pode incluir informações tais como:

• objetivos da política e fundamento lógico para a gestão de riscos;
• ligação entre a política e o plano estratégico/corporativo da organização;
• extensão ou série de questões às quais se aplica a política;
• diretrizes sobre o que deve ser considerado como risco aceitável;
• responsável pela gestão de riscos;
• suporte/equipe de especialistas disponível para auxiliar os responsáveis pela gestão de riscos;
• nível da documentação necessária; e
• plano para análise crítica do desempenho organizacional em relação à política.

Comunicação da política

Desenvolver, estabelecer e implementar uma infra-estrutura ou providências para assegurar que a gestão de riscos se torne parte integrante do planejamento, dos processos de gestão e da cultura geral da organização.

Gestão de riscos no nível organizacional

Desenvolver e estabelecer um programa de gestão dos riscos no âmbito organizacional mediante a aplicação do sistema de gestão de riscos aqui descrito. O processo para a gestão de riscos deve ser integrado ao planejamento estratégico e aos processos de gestão da organização. 

Gestão de riscos no nível do programa, projeto e equipe

Desenvolver e estabelecer um programa para gerenciar os riscos para cada área da organização, programa, projeto ou atividade de equipe, mediante a aplicação do processo de gestão de riscos aqui descrito. O processo para gerenciar riscos deve ser integrado a outras atividades de planejamento e gestão. O processo escolhido, as decisões tomadas e as ações planejadas devem ser documentados.

Monitoramento e análise crítica

Desenvolver e aplicar mecanismos para assegurar a análise crítica contínua dos riscos. Isso assegurará que a implementação e a política de gestão de riscos permaneçam pertinentes, uma vez que as circunstâncias se modificam continuamente e a análise crítica de decisões anteriores é vital. Os riscos não são estáticos. A eficácia do processo de gestão de riscos também deve ser monitorada e analisada criticamente.