A gestão de riscos permite identificar, avaliar e gerenciar riscos potenciais fornecendo informações mais seguras para as tomadas de decisões para a realização dos objetivos da organização.
Os controles internos constituem-se em regras, procedimentos, diretrizes para prevenir, detectar, reduzir o impacto e a probabilidade de riscos à organização, fornecendo segurança razoável para o alcance dos objetivos da organização, obtendo melhores resultados e com menor dispêndio de recursos.
Nesse pilar de governança encontram-se os requisitos de promoção da governança de Tecnologia da Informação e Comunicação, governança de Dados, Gestão de Terceiros e Política de Gestão de Riscos.
