Segundo a definição do que é gerenciamento de riscos ISO 31.000, uma gestão de risco eficaz deve atender os seguintes princípios:
Proteger e criar valor para as organizações.
Ser parte integrante de todos os processos organizacionais.
Ser considerada no processo de tomada de decisão
Abordar explicitamente à incerteza.
Ser sistemática, estruturada e oportuna.
Basear-se nas nas melhores informações disponíveis
Estar alinhada com os contextos internos e externos da organização e com o perfil do risco.
Considerar os fatores humanos e culturais.
Ser transparente e inclusiva.
Ser dinâmica, interativa e capaz de reagir às mudanças.
Permitir a melhoria contínua dos processos da organização.