Artigo 12, Inciso IV do Decreto Estadual de São Paulo nº 68.158 de 09 de dezembro de 2023

entendimento do contexto: conhecer os objetivos institucionais e os processos a eles relacionados, assim como definir os contextos internos e externos a serem levados em consideração ao gerenciar os riscos;

identificação e análise de riscos: levantar os possíveis riscos relativos aos processos, projetos, atividades e ações, bem como suas causas e consequências;

avaliação de riscos: estimar os níveis dos riscos identificados, avaliando a gravidade com base em critérios de impacto, probabilidade de ocorrência e definição do apetite a riscos;

tratamento de riscos: definir as medidas de controle, de acordo com o apetite a risco estabelecido;

comunicação e monitoramento: acompanhar o desempenho e verificar a adequação e suficiência dos controles internos, mantendo um fluxo contínuo de compartilhamento de informações entre as partes interessadas.