Segundo a NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes, na etapa de concepção da estrutura para gerenciar riscos,
a pessoa designada para gerenciar todo o processo de risco de uma organização deve possuir experiência mínima de três anos em gestão de risco e ser do corpo gerencial da organização.
a organização deve identificar os proprietários dos riscos que têm a responsabilidade e a autoridade para gerenciá-los.
a publicação de uma política de gestão de risco é obrigatória, sendo que a mesma deve ser assinada pela maior autoridade da organização.
os estudos de riscos serão coordenados pela organização e deles deverão participar dois representantes da comunidade, caso a comunidade vizinha possa ser afetada pelos riscos gerados pela organização.
os planos de ação para a eliminação e controle dos riscos devem ser reavaliados, obrigatoriamente a cada dois anos.