1. Rischio: È l'effetto di fattori interni ed esterni e di altre influenze che rendono incerto il raggiungimento degli obiettivi. Tutte le attività di un'organizzazione comportano dei rischi. Le organizzazioni gestiscono il rischio, individuandolo, analizzandolo e poi valutando se è opportuno modificare il modo in cui è trattato, sulla base dei propri criteri di propensione al rischio. 2. Evento: Un fatto o cambiamento di un particolare insieme di circostanze. Un evento può essere frutto di uno o più fatti e può avere diverse cause. Un evento può consistere in qualcosa che non è accaduto. 3. Conseguenza: L’esito di un evento che influenza gli obiettivi. Un evento può portare a una serie di conseguenze. Una conseguenza può essere certa o incerta e avere effetti positivi o negativi sugli obiettivi. Le conseguenze possono essere espresse qualitativamente o quantitativamente. Una conseguenza può comportare effetti a catena. 4. Probabilità: L'eventualità che accada qualcosa di definito, misurato o determinato oggettivamente o soggettivamente, qualitativamente o quantitativamente, e descritto utilizzando termini generali o matematicamente (ad esempio una certa probabilità o frequenza in un dato periodo di tempo). 5. Profilo di rischio: La definizione di un qualsiasi insieme di rischi. L'insieme può comprendere rischi che riguardano l'intera organizzazione o una parte di questa. 6. Analisi dei rischi: Un processo che serve a comprendere la natura del rischio e determinarne il livello. L'analisi dei rischi costituisce la base per la loro valutazione e per assumere le decisioni circa il loro trattamento. L'analisi dei rischi include la loro stima. 7. Criteri di rischio: I termini di riferimento rispetto ai quali si valuta la rilevanza di un rischio. I criteri di rischio sono basati sugli obiettivi organizzativi, sul contesto esterno e sul contesto interno. I criteri di rischio possono derivare da norme, leggi, politiche e altri fattori. 8. Livello di rischio: La dimensione di un rischio, espressa in termini di combinazione fra conseguenze e probabilità. 9. Valutazione del rischio: Il processo di comparazione dei risultati dell'analisi del rischio con i criteri di rischio per determinare se il rischio e/o la sua dimensione sono accettabili o tollerabili. La valutazione del rischio aiuta la decisione in merito al suo trattamento. 10. Trattamento del rischio: Il processo che modifica il rischio. Il trattamento dei rischi può comprendere la decisione di: 11. evitare il rischio decidendo di non iniziare o non proseguire con l'attività che dà luogo al rischio stesso; 12. assumere o aumentare il rischio; 13. eliminare la fonte di rischio; 14. modificare la probabilità che il rischio abbia delle conseguenze; 15. modificare le conseguenze derivanti dall’assunzione del rischio; 16. condividere il rischio con altri (attraverso i contratti e il risk financing); 17. mantenere, per scelta, il rischio. 18. Il trattamento del rischio è indicato come mitigazione, eliminazione, prevenzione o riduzione del rischio. Il trattamento del rischio può creare nuovi rischi o modificare rischi già esistenti. 19. Controllo: L’azione finalizzata a modificare il rischio. I controlli includono qualsiasi processo, politica, dispositivo, prassi, o altre azioni che modifica il rischio. 20. Rischio residuo: La parte di rischio che rimane dopo il suo trattamento. Il rischio residuo può contenere rischi non identificati. 21. Monitoraggio: Il processo di controllo, supervisione e osservazione critica continua per individuare gli scostamenti fra il livello di prestazioni richiesto o previsto e quello effettivo. Il monitoraggio può essere applicato al framework di gestione del rischio, al processo di gestione dei rischi, ai rischi o ai controlli. 22. Revisione 23. L’attività svolta per determinare l'idoneità, l'adeguatezza e l'efficacia dell'oggetto analizzato per raggiungere gli obiettivi definiti. La revisione può essere applicata al framework di gestione del rischio, al processo di gestione dei rischi, al rischio o al controllo.