Une fois le cadre implémenté dans votre entreprise, il s’agit d’introduire les processus de gestion des risques et de les mettre en œuvre. Contrairement au cadre et aux principes de base, les processus sont des actions concrètes adaptées à l’entreprise. Toutefois, comme la norme ISO 31000 peut être appliquée de façon générale aux entreprises de tous les secteurs, elle donne uniquement des indications qui devront alors être adaptées pour une mise en œuvre dans l’entreprise.
Deux facteurs jouent un rôle essentiel dans ce cadre : la communication et l’évaluation des risques. Les parties prenantes (d’après la norme ISO 31000, il s’agit de toutes les personnes impactées par la gestion des risques) doivent être informées des étapes de l’implémentation. Discuter avec tous les employés permet d’adapter en permanence le système de gestion des risques aux besoins de l’entreprise.
Une partie de l’évaluation des risques consiste à identifier les risques potentiels dans un premier temps. Une fois la liste des risques dressée, ils sont répartis entre les responsables. Ces personnes analysent alors les risques et les évaluent sur la base de cette analyse. L’évaluation des risques fournit également des indications sur la mesure dans laquelle il est possible de contrer ces événements potentiels et sur les moyens à utiliser pour y parvenir.
La gestion des risques peut véritablement commencer après l’évaluation. Il est ainsi possible d’éviter complètement certains risques, d’en réduire l’ampleur ou d’accepter leur impact et de ne rien faire pour y remédier. L’entreprise peut également décider de confier la gestion à des tiers externes. Ce processus est complété par la surveillance des risques et l’établissement d’un rapport sur les conclusions.