A compartilha-se a responsabilidade de gerenciar riscos e também a responsabilidade legal por um impacto.
B se o risco atender aos critérios legais para a aceitação do risco, devem ser implementados controles adicionais para que o risco possa ser aceito.
C riscos considerados de impacto mediano ou alto, mesmo que os custos do tratamento não excedam os benefícios, devem ser evitados completamente.
D o nível de risco pode ser gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.
E determinar se o risco residual está ou não abaixo ou acima de um limite bem definido deve ser o único critério para aceitar ou não o risco.