まず、リスク発生確率、影響度マトリクスを作成した後にリスク評価を行い、対応が必要なリスクをリスク管理表にまとめます。リスク管理表にはリスク名称、リスク発現時の損害額、発生確率、トリガ、リスク発現時の対応策を記入します。トリガとはリスクの発現が予想される場合のモニタリングすべき状況変化や項目です。リスクの発現時にはリスク管理表の記述に従い、リスク対応行動が行われます。しかし、リスク対応行動の発動には資源が必要です。資源とは経営資源である、人、お金、物や設備です。そこで、大規模なリスク対応策の発動は経営的な意思決定を伴います。特に国内ではリスクマネジメントリーダと業務活動リーダが同じであることがあるため、トリガ観察に伴う対応行動の発動が遅れることがあります。意志決定支援システムであるとも言える。特定され評価分析されたリスクは対応が必要なものであり、対応策と完了時期を明確にする必要がある。この時対応策は時間と費用で評価され、第2、第3の案も考慮して検討するべきである。当然、リスク対応は限定された経営資源の中で経営目標に沿った形で実施することとなる。リスクの回避には別のルートを検討することが必要である。
また、リスクの対策案は実行の敷居が低いことが必要である。時間的、費用的に敷居の高い対策は実施が困難であり、効果的ではない。
