De eerste stap is logischerwijs het in kaart brengen van de organisatiedoelstelling. Immers, risicomanagement is een directe afgeleide van de organisatiestrategie. Zijn de doelstellingen eenmaal helder geformuleerd, dan volgt de risico-identificatie. Bekeken wordt welke doelstellingen of risico`s de organisatiedoelstellingen kunnen beïnvloeden. Dit geschiedt aan de hand van een risicosessie die met de relevante betrokkenen idealiter tweemaal per jaar wordt uitgevoerd. Geïdentificeerde risico`s worden vervolgens gekwantificeerd met een kans- en gevolgklasse. Zo wordt zichtbaar welke risico`s de doelstellingen het meest beïnvloeden en kan er geprioriteerd worden.
In de vierde stap komen de beheersmaatregelen in beeld. Belangrijk is dat aan die maatregelen een actie, deadline en verantwoordelijke medewerker worden gekoppeld. Ten slotte moet het risicomanagement geïntegreerd worden in de dagelijkse gang van zaken. Dit geschiedt door continue monitoring.
