Una herramienta de gestión de riesgos que sirve como registro de todos los riesgos de la organización, incluso a nivel de proyecto, programa/unidad y nivel corporativo. Para cada riesgo identificado, incluye la siguiente información: identificación del riesgo, descripción del riesgo (causa, evento, consecuencias), probabilidad, impacto, nivel de importancia, categoría de riesgo, propietario del riesgo, acción de tratamiento del riesgo, escalada del riesgo y estado del riesgo.
El efecto de la incertidumbre sobre los objetivos de la organización, que puede ser positivo y/o negativo (ISO 31000:2018). El riesgo se describe como un "evento futuro", con sus causas y sus posibles consecuencias. La ERM del PNUD se ocupa de: - El riesgo institucional. Incertidumbres existentes y emergentes que podrían facilitar o dificultar la eficiencia y eficacia de las operaciones básicas de la organización. - El riesgo programático. Las incertidumbres existentes y emergentes que podrían facilitar o dificultar la realización de los objetivos de los programas o proyectos. - Riesgo contextual. Incertidumbres existentes y emergentes que podrían facilitar u obstaculizar el progreso hacia las prioridades de desarrollo de una sociedad determinada. La gestión de riesgo empresarial considera el riesgo contextual cuando estas incertidumbres externas también presentan riesgos institucionales o programáticos. Obsérvese que algunos riesgos contextuales pueden entrar en las prácticas y definiciones establecidas de gestión de riesgos que deben tenerse en cuenta (por ejemplo, para el riesgo climático y de catástrofes).