O processo de gestão de riscos deve ser parte integrante da gestão e da tomada de decisão e compreende as seguintes atividades:
Estabelecimento do contexto:
Compreende o entendimento do ambiente interno e externo específico relacionado com os objetivos e atividades da organização.
Identificação de riscos:
Descrição dos componentes do risco: causas, evento e consequências.
Análise de riscos:
Levantamento e análise da eficácia dos controles existentes, análise da probabilidade de ocorrência do evento, análise do impacto das consequências nos objetivos e classificação do nível de risco.
Avaliação de riscos:
Avaliação da resposta ao risco comparando o nível de risco com as diretrizes definidas pela alta administração para priorização e tratamento de riscos.
Tratamento de riscos:
Elaboração do plano de ação para tratamento dos riscos, conforme a criticidade do nível de risco.
Monitoramento e comunicação e consulta:
Acompanhamento dos riscos (alterações de cenários e de nível de criticidade), considerando a comunicação e envolvimento de todas as partes interessadas que possam influenciar ou serem influenciadas pelas decisões tomadas.
Critérios para análise da probabilidade e impacto
Matriz de probabilidade e impacto
Diretrizes para avaliação e tratamento de riscos