A considera que os riscos devem ter proprietários, e que a organização deve estabelecer critérios contra os quais os riscos são comparados.
B valoriza a auditoria interna, provendo avaliações independentes sobre a eficácia da governança e do gerenciamento e controle de riscos internos.
C prevê a realização obrigatória de ao menos uma avaliação anual e incorpora elementos de governança de riscos de Tecnologia de Informação.
D prevê a gestão de riscos como sistemática, feita sob medida, como parte da tomada de decisões e facilitadora da melhoria contínua.
E possui componentes relacionados à definição de objetivos, além do apetite para riscos e tolerância a estes.