A não podem ser diferenciados de acordo com o tempo de existência previsto do risco, pois os riscos não estão associados a atividades temporárias ou de curto prazo.
B devem incluir apenas um limite, representando um nível desejável de risco, porém precauções devem ser tomadas por gestores de TI para que não sejam aceitos riscos acima desse nível.
C devem ser expressos como a razão entre o efeito estimado e a probabilidade da ocorrência do risco.
D diferentes podem ser aplicados a classes de risco diferentes, por exemplo, riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto podem ser aceitos se isto for especificado como um requisito contratual.
E não podem incluir requisitos para um tratamento adicional futuro, já que tentativas de ações futuras para reduzir o risco a um nível aceitável podem falhar.