In den meisten Organisationen koordiniert die zweite Zeile der Risikomanager die Risikobewertungen. Diese zweite Reihe von Risikomanagern identifiziert die Entitäten und die Risiken innerhalb dieser Entitäten für die Risikobewertung. Sie bestimmen auch, wer die identifizierten Risiken bewerten muss. Dieser Prozess ist wie eine Risikobewertungskampagne, die von Risikomanagern verwaltet werden muss, bis die ersten Risikomanager den Reifegrad erreicht haben, bei dem dies nicht mehr erforderlich ist und die ersten Risikomanager diese Risiken selbst bewerten und melden können. Aufgrund dieses Risikobewertungszyklus wird von den Risikomanagern erwartet, dass sie individuelle Risikobewertungsbereiche erstellen und Risikobewertungen initiieren​. Diese sich wiederholende Aktivität führt zu Zeitverlust für Risikomanager. Um dieses Problem zu beheben, wurde im Release Quebec ein neues Formular namens „Zeitplaner für Risikobewertung“ eingeführt. Der Risikobewertungsplaner ermöglicht es dem Risikomanager, Folgendes auszuwählen:

• Risikobewertungsmethode
• Entitäten, die bewertet werden müssen
• Beurteiler der Bewertung
• Häufigkeit, mit der die Risiken neu bewertet werden müssen.

Basierend auf diesen Informationen erstellt das System automatisch den Risikobewertungsumfang und initiiert die Risikobewertungen für diese Entitäten mit der definierten Häufigkeit. Alle Risiken, die der Entität zugeordnet sind, gelten als im Umfang der Bewertung enthalten​.

Die folgende Abbildung zeigt die Status, die Beschreibungen und die erwarteten Ergebnisse der einzelnen Aktionen für das Risikoplanungsformular: