Существует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI… Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие». ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя: источник угрозы (Actor): внутренний/внешний тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм…