Os riscos identificados podem ser posicionados na matriz de riscos, de acordo com a avaliação realizada de probabilidade de ocorrência e impacto. Na matriz de riscos
são incluídos somente riscos de nível operacional, que podem paralisar processos ou serviços essenciais para a organização.
não se pode demonstrar visualmente os níveis de tolerância da organização a riscos para não evidenciar fragilidades que possam aumentar a exposição aos riscos.
se existirem dois ou mais riscos de mesma probabilidade e impacto, todos serão tratados concomitantemente, já que não é permitida a criação de escalas complementares.
a organização deve utilizar rigorosamente o padrão determinado nas normas ISO que estabelece o nível de análise adequado para todas as circunstâncias.
pode ser adotada uma escala alto/médio/baixo para cada risco, resultando em uma matriz 3 × 3 para cada risco.