i.            Kommunikasjon og rapportering. Informasjon om usikkerhetsbildet må deles med aktuelle interessenter gjennom hele usikkerhetsstyringsprosessen for å sikre at best mulig beslutninger fattes og evt. nødvendige tiltak iverksettes. Rapportene bør inneholde informasjon om de identifiserte usikkerheter, deres årsak og konsekvens (hvis kjent), forventet sannsynlighet for at de inntreffer og evt. tiltak som er (planlagt) iverksatt.

     ii.            Definere rammevilkår. Innledningsvis i prosessen må målene med å implementere en usikkerhetsstyringsprosess fastsettes, hvilke eksterne og interne parametere som kan innvirke på organisasjonens/prosjektets mål, samt definere akseptansekriterier og skalaer. Tildele roller og ansvar, samt sikre nødvendige ressurser og verktøy. Mye av dette er tidligere beskrevet i rammeverket (under pkt. 3 “Rammeverk”), men detaljeres ytterligere i dette steget av prosessen.

   iii.            Risikoanalyse

a)     Identifisere. Hensikten er å identifisere alle mulige hendelse som inntreffe, årsaken til at de kan inntreffe og hvilke mulige konsekvenser (positivt eller negativt) disse kan medføre på organisasjonens/prosjektets definerte mål.

b)     Analysere. Vurdere årsaken til at identifiserte hendelser kan inntreffe og hvilke mulige, positive eller negative, konsekvenser disse kan ha, samt sannsynligheten for dette inntreffer. Faktorer som kan innvirke på årsak eller konsekvens skal også vurderes. Nivået på risikoen vurderes ut ved å fastsette hendelsens sannsynlighet og konsekvens ved bruk av skalaene for hvert mål. Eventuelle avhengigheter mellom hendelser må vurderes. Det ferdige produktet vil vises i en risikomatrise og utgjør usikkerhetsbildet.

c)      Evaluere. Basert på resultatene av analysen og akseptansekriteriene, vurdere hvilke risikoer som trenger videre detaljering, tett oppfølging og hvilke som det må iverksettes risikoreduserende tiltak mot for å redusere risikoen (evt. tiltak for å sikre eller maksimere muligheter).

    iv.            Planlegge tiltak. Tiltak iverksettes mot de risikoene som må endres, og gjelder oftest å redusere sannsynlighet og/eller konsekvens for mulige negative hendelser. Følgende typer tiltak kan iverksettes: konsekvens- eller sannsynlighetsreduserende, overføre risikoen til andre (eks. kjøpe forsikring, tegne kontrakt), eliminere risikoen ved å stoppe aktivitet(er), eller å akseptere risikoen slik den er. Viktig å vurdere eventuelle følgerisikoer ved iverksetting av tiltak. Effekten av iverksatte tiltak må vurderes, og eventuelle nye tiltak iverksettes dersom effekten ikke vurderes å være tilstrekkelig.

      v.         Monitorere og evaluere. Dette bør gjennomføres regelmessig, evt. ad-hoc dersom spesielle forhold tilsier det. Hvorvidt prosessen virker effektiv og hensiktsmessig må vurderes, om det er endringer i omgivelsene eller spesielle erfaringer som tilsier at (deler av) prosessen bør justeres.