Os controles de riscos podem ser de três tipos: os preventivos (quando atuam na causa, sua identificação previne os desvios antes de eles ocorrerem), os detectivos (quando estão relacionados à detecção do evento de risco, identificam violações e incidentes) e os mitigatórios (quando atuam no impacto, é o processo de avaliação de possíveis controles aplicados e sua respectiva eficiência, quanto mais controles eficientes existirem na organização, menor é a chance de um risco se materializar). O tratamento do risco envolve a escolha de opções. Levar um guarda-chuva, considerando o risco de chover, é uma opção: