Accepterede risici skal dokumenteres og revurderes
Accepterede risici skal dokumenteres som sådan i myndighedens risikoregister med oplysning om, hvem der har accepteret risikoen, hvornår det er sket og med reference til en sag eller et beslutningsreferat, som er godkendt på et passende niveau. Accepterede risici bør regelmæssigt genbesøges, da trusselsbilledet eller konsekvenserne kan have ændret sig siden risikoaccepten og derfor kræver en fornyet vurdering.
Risikohåndteringsplan
For risikohåndteringsinitiativer skal der dokumenteres handlingsplaner, og det skal identificeres, hvem der er ansvarlig for planernes udførelse, og hvornår de skal være gennemført. Disse oplysninger bør føres ind i risikoregisteret, så risikostyringsorganisationen har et samlet overblik over de vedtagne og igangsatte initiativer med angivelse af deadline og ansvar – en samlet risikohåndteringsplan. Risikohåndteringsinitiativer kan være alt fra små enkeltopgaver til strategiske modningsprojekter. Det kan derfor være vanskeligt at beskrive dem fyldestgørende i risikoregisteret og man bør da referere til projektbeskrivelserne.
Risici forsvinder ikke af at man har en handlingsplan
Man skal være opmærksom på, at når man har truffet beslutning om risikohåndtering, så lever man med den identificerede risiko, indtil håndteringsinitiativet er gennemført og restrisikoen er accepteret. Sker der derfor forsinkelser i forhold til risikohåndteringsplanen eller viser den sig ikke at kunne gennemføres som planlagt, skal dette forelægges for beslutningstagerne, så de kan tage fornyet stilling til risikoen.