Este documento describe tres técnicas principales para administrar riesgos: transferir el riesgo mediante el seguro, administrar el riesgo a través de medidas preventivas, o aceptar el riesgo. También establece una declaración de política para identificar y evaluar riesgos, evitar o eliminarlos cuando sea posible, minimizarlos o transferirlos contractualmente, y retener aquellos riesgos que la organización puede asumir sin afectar su situación financiera. La compra de seguros solo se justifica cuando el riesgo es catastrófico