อนุมัติ และระบุรอบระยะเวลาทบทวนความเสี่ยง · กำหนดวิธีการประเมินความเสี่ยงและกำหนดระดับความเสี่ยงที่บริษัทยอมรับได้ (risk appetite) · จัดทำการประเมินความเสี่ยงที่เกี่ยวข้องกับการประกอบธุรกิจของบริษัททั้งหมด
ความเสี่ยง 2. ระดับความเสี่ยงที่ยอมรับได้ (IT risk appetite) ควรผ่านการพิจารณาโดยคณะกรรมการบริหารความเสี่ยง (ถ้ามี) และได้รับการอนุมัติจากคณะกรรมการของผู้ประกอบธุรกิจ ทั้งนี้ ระดับความเสี่ยงที่ยอมรับได้