Das Risikomanagement umfasst die Risikobeurteilung, -bewältigung und -kommunikation, wobei die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert ist.
Ein Risikomanagement kann erst mit der Risikowahrnehmung beginnen. Sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können. Hierbei ergibt sich bereits die Herausforderung, dass verschiedene Risikoträger dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.
Erfolgt die Risikowahrnehmung fehlerhaft selektiv, kann dieses dazu führen, dass wichtige Risiken übersehen werden, was sich negativ auf die nachfolgenden Phasen des Risikomanagements auswirkt.
Das Risikomanagement ist eine Aufgabe, die eine Funktion einer Organisationseinheit in Unternehmen oder Behörde zugeordnet ist. Risikomanagement ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden. Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen. Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen.
