Faut-il se contenter de faire le strict minimum en matière de sécurité? Des règles existent si une société souhaite améliorer sa gestion des risques.
Pour remplir les obligations légales minimales du Code des obligations suisse, l'entreprise est tenue de présenter au moins une évaluation des risques et d'annexer aux comptes annuels les données s'y rapportant. Par conséquent, ces entreprises se concentrent sur la planification de l'évaluation, ainsi que sur l'identification des risques.
Les entreprises qui, outre le fait de satisfaire aux exigences minimales, souhaitent se développer conformément au "Swiss Code of Best Practice for Corporate Governance", passent aussi par les phases processus de gestion des risques et mise en œuvre. La décision relative au volume que l'entreprise veut couvrir est définie par le conseil d'administration, responsable de la direction de l'entreprise, conformément à l'art. 716a al. 1 CO.