Este documento fornece um modelo para analisar riscos em uma unidade organizacional, incluindo: 1) definir a cultura de risco e apetite a risco; 2) identificar eventos de risco e avaliar sua probabilidade e impacto; 3) determinar respostas de risco como tolerar, transferir, tratar ou terminar. O documento também cobre: avaliar controles internos, período de testes, evidências e indicadores.