должен быть документ, описывающий оценку рисков с указанием методики, а также периодичность и необходимость повторных оценок. Должен быть документ (приказ), где сказано, кто проводит оценку рисков (комиссия, рабочая группа). Должен быть реестр рисков/опасностей. И перечень мероприятий по управлению рисками. Соответственно, какие-то документы, подтверждающие, что эти мероприятия проводились / проводятся.