A gestão de riscos em uma organização deve ser um processo contínuo e integrado às demais funções administrativas, envolvendo a identificação, análise, avaliação, tratamento e monitoramento de ameaças e oportunidades que possam impactar o alcance dos objetivos estratégicos, sendo fundamental que a alta direção esteja ativamente envolvida na definição das políticas de gestão de riscos.