Concebeu-se e organizou-se um sistema de gestão de risco composto por três partes:
· Política de Gestão de Risco;
· Plano de Gestão de Risco;
· Subsistema de Controlo Interno de Risco.
A Política de Gestão de Risco, que seguiu de perto o enquadramento da norma ISO 31000:2018 e as orientações da ISO 9001:2015, estabeleceu os princípios, a estrutura e o processo de gestão de risco. A política definida enquadrou a construção do plano de gestão de risco e o controlo interno de riscos. O Plano de Gestão de Risco, igualmente desenvolvido nos termos da norma ISO 31000:2018, identificou, analisou e avaliou os riscos de modo a projetar as medidas de tratamento do risco. Quanto ao Subsistema de Controlo Interno de Risco, ele foi montado a partir do que, sobre este assunto, é recomendado pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO). Coube-lhe, no desenrolar do processo de gestão de risco, definir e implementar as atividades de controlo, estabelecer os conteúdos de informação e circuitos de comunicação e reporte, assim como a definição das próprias atividades de monitorização do subsistema, de modo a melhorar a sua conceção, execução e eficácia.