Segundo a ISO 31000 (ABNT, 2018), risco é a incerteza nos objetivos e a análise de risco busca a prevenção na mitição ou controle dos eventos negativos. Além disso, a análise de risco é o processo de compreender a natureza e determinar o nível de risco, bem como o tratamento necessário, por exemplo, a remoção da fonte de risco, a alteração da probabilidade e das consequências. Convém que o processo de gestão de riscos seja parte da gestão e tomada de decisão, integrado a estrutura, operação e processos de programas e projetos. 

• • • • Comunicação e consulta: apoia as partes interessadas na compreensão do risco, base de decisões e ações específicas.

      • Escopo, contexto e critérios: visa personalizar o processo de gestão de riscos, permitindo eficaz avaliação e tratamento.

      • Processo de avaliação de riscos: identificação (reconhecer e descrever), análise (poderá ter vários graus de detalhamento e complexidade, com técnicas qualitativas e/ou quantitativas) e avaliação de riscos (apoia decisões, com estabelecimento de critérios para determinar onde é necessária ação adicional).

      • Tratamento de riscos: visa selecionar e aplicar as opções para abordar os riscos, de modo a alcançar os objetivos (face a benefícios, custo, esforço).

      • Monitoramento e análise crítica: para assegurar a qualidade e eficácia da concepção e resultados planejados, convém que o monitoramento seja contínuo e a análise crítica periódica, com responsabilidades claramente estabelecidas.

      • Registro e relato: é importante que o processo e resultados de gestão de riscos sejam documentados e relatados pelos mecanismos apropriados.