O conceito de risco residual é essencial para a tomada de decisão consciente e justificada sobre a segurança de uma aplicação ou sistema. Representa o risco que permanece após a aplicação de controlos, e deve ser sempre comparado com os limites de tolerância da organização.
A aceitação formal de risco é uma etapa fundamental no processo de gestão de risco, e deve ser suportada por critérios claros, objetivos e documentados. Estes critérios determinam quando um risco é considerado aceitável, com ou sem mitigação adicional.
A adoção eficaz do Capítulo 01 - Gestão de Risco - exige a existência de políticas organizacionais formais que enquadrem, legitimem e sustentem a aplicação das práticas descritas neste capítulo.