Como parte dessa estrutura, recomenda-se que a organização tenha uma política ou estratégia para decidir quando e como os riscos deveriam ser avaliados.
Em particular, convém que aqueles que realizam processos de avaliação de riscos sejam esclarecidos sobre:
· o contexto e os objetivos da organização;
· a extensão e o tipo de riscos que são toleráveis e como tratar os riscos inaceitáveis;
· como o processo de avaliação de riscos se integra nos processos organizacionais;
· os métodos e técnicas a serem utilizados no processo de avaliação de riscos e sua contribuição para o processo de Gestão de Riscos;
· responsabilização, responsabilidade e autoridade para a realização do processo de avaliação de riscos;
· os recursos disponíveis para realizar o processo de avaliação de riscos;
· como o processo de avaliação de riscos será reportado e analisado criticamente.
