Đánh giá rủi ro nên được thực hiện bởi các nhóm bao gồm cả các nhà quản lý chức năng và quản trị viên công nghệ thông tin. Hoạt động kinh doanh, quy trình làm việc hoặc thay đổi công nghệ, phải tiến hành đánh giá định kỳ để phân tích những thay đổi này. Kết quả của các mối đe dọa và lỗ hổng bảo mật mới do những thay đổi này tạo ra phải được quyết định. Cũng cần kiểm tra toàn diện tính hiệu quả của các biện pháp kiểm soát hiện có.
Mục tiêu của đánh giá rủi ro là cung cấp cho ban lãnh đạo các chiến lược và biện pháp kiểm soát thích hợp để quản lý tài sản thông tin. Các mục tiêu cơ bản của đánh giá rủi ro phải luôn là giải quyết những yếu tố không chắc chắn trong quá trình ra quyết định.
Nếu kết quả của các hành động hoặc quyết định là hoàn toàn chắc chắn về những gì sẽ xuất hiện, khi nào và mức độ cũng như tính chất của nó, thì không cần đánh giá rủi ro mà chỉ cần xử lý và theo dõi kết quả. Những người ra quyết định cần cung cấp hiểu biết về sự không chắc chắn nằm ở đâu và nó được xử lý và xử lý như thế nào tốt nhất.
Đánh giá rủi ro phải đa ngành và do đó minh bạch và được tất cả các bên liên quan và quan tâm hiểu rõ thông qua sự bao hàm và khó khăn của họ trong quá trình này. Điều này cho thấy sự cần thiết phải phản ánh khi bắt đầu đánh giá rủi ro, về những người phải có trong quá trình đánh giá rủi ro. Đánh giá rủi ro nói chung không phải là một cuộc trình diễn của một người. Có nhiều bên tham gia.
Ví dụ, bên điều hành (nhóm thường thực hiện đánh giá rủi ro), người quản lý hoặc tổ chức đưa ra quyết định phụ thuộc vào việc đánh giá rủi ro và các bên bị ảnh hưởng bởi các quyết định này. Giao tiếp tốt giữa các bên này là điều cần thiết cho quá trình đánh giá rủi ro.
Hơn nữa, đánh giá rủi ro tồn tại nhiều nhiệm vụ mà một số loại chuyên môn là cần thiết. Do đó, đánh giá rủi ro cần có sự tham gia của nhiều ngành và xem xét quá trình này.
Cần sử dụng quy trình thích hợp để đánh giá đồng cấp và sự tham gia của cộng đồng trong thủ tục chuẩn bị đánh giá rủi ro. Quá trình này sẽ góp phần tạo nên tính khách quan, minh bạch về mặt khoa học và công nhận các kết luận.
Đánh giá đồng cấp có thể bao gồm việc phát hành dự thảo tài liệu đánh giá rủi ro và xem xét các ý kiến nhận được về dự thảo này, chẳng hạn như phát hành tệp “phản hồi để thông báo” tóm tắt các ý kiến quan trọng nhận được và phản hồi của người đánh giá rủi ro đối với những nhận xét đó; và hỗ trợ lý do tại sao người đánh giá rủi ro không đứng ngoài vị trí mà người bình luận đề xuất.
Sự tham gia cũng cung cấp rằng quan điểm của họ được xác định đúng và được tính đến. Điều đặc biệt quan trọng là một số yếu tố rủi ro được sử dụng phản ánh đầy đủ nhận thức và quan điểm của các bên quan tâm có liên quan bởi vì việc đánh giá rủi ro cần xác định mức độ rủi ro phù hợp với họ và ở đâu và khi nào cần xử lý thêm.
Như mong đợi trong quá trình xác định rủi ro, sự tham gia của một nhóm đại diện có nền tảng kinh nghiệm đa dạng và cao luôn cung cấp những phân tích toàn diện nhất. Cuối cùng, những người chịu trách nhiệm về việc giám sát các biện pháp kiểm soát được hưởng lợi rất nhiều từ việc tham gia vào đánh giá rủi ro dẫn đến các biện pháp kiểm soát đó.