Devido ao seu caráter incerto, o risco não pode ser objeto de mensuração e análise, somente o planejamento de sua resposta.

Riscos operacionais consistem em riscos que, em decorrência de fragilidades organizacionais, favorecem a ocorrência de violações de integridade e de conformidade.

Riscos estratégicos, sejam eles incertezas ou oportunidades, emergem em cenários de consecutivos ciclos de ajustes e desdobramentos dos objetivos e metas.

A ISO 18000 é uma norma técnica de abrangência internacional que fornece instruções e princípios gerais para a gestão de riscos de qualquer organização, sem enfoques setoriais ou de atividades específicas.

São exemplos de fontes de risco de natureza interna: aumento da competitividade, dependência excessiva de determinado público ou de fornecedores e problemas no sustento de vantagens competitivas.