Riskienhallinta on yritystoiminnassa seurauksiltaan merkittävien kielteisten tapahtumien (riskien) järjestelmällistä määrittelyä ja niihin varautumista. Merkittäviä riskejä ovat ne, joista tietoisuus vaikuttaa tai vaikuttaisi organisaation johdon päätöksentekoon. Riskienhallinta on prosessi, joka nivoutuu toimintoihin, joiden riskejä käsitellään.

Riskien määrittely käsittää

• riskien tunnistamisen: tuotetaan luettelo riskeistä jatkokäsittelyä varten.
• riskien analysoinnin: määritellään, mitä seurauksia tapahtumalla on ja mikä on tapahtuman todennäköisyys.
• riskien arvioinnin: tehdään päätös siitä, miten analysoitua riskiä käsitellään.

Kielteisten tapahtumien seurauksiin ja todennäköisyyksiinkin pyritään vaikuttamaan toimenpitein, jotka päätetään yksittäistapauksissa tehdyn harkinnan perusteella organisaation riskinottohalua vasten peilaten. Toimenpiteinä tulevat kysymykseen

• Riskin välttäminen. Esimerkiksi luovutaan toiminnasta, johon liittyy liialliseksi koettu riski, tai tietoisesti ei aloita tällaista toimintaa.
• Riskin tai sen vaikutusten pienentäminen tai kasvattaminen. Vaikutetaan kielteisen tapahtuman todennäköisyyteen (vaikuttamalla tapahtuman alkusyihin) ja/tai seurauksiin (esimerkiksi poikkeusjärjestelysuunnitelmin). Riskiä voidaan tietoisesti kasvattaa esimerkiksi, kun riskienhallintakustannuksista halutaan tinkiä.
• Riskin jakaminen tai siirtäminen. Riskejä – tai pikemminkin niiden taloudellisia seurauksia - siirretään tai jaetaan tyypillisesti vakuutusten avulla.

Riskienhallintaa varten voidaan luoda järjestelmä, jossa ovat määriteltyinä riskienhallintapolitiikka, riskienhallinnassa ja sen kehittämisessä sovellettavat menettelyt, riskienhallinnan eri toimijoiden tehtäväjako, riskien tarkkailu- ja raportointimekanismit ja riskienhallinnan tuki.

Riskienhallintaan on kehitetty erilaisia menetelmiä. Tällaisia ovat muun muassa Carnegie Mellon -yliopiston kehittämä Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). OCTAVE-menetelmä sisältää erityisesti isoille (300 tai useamman työntekijän) organisaatioille räätälöidyn OCTAVE Method -menetelmän^[1]. OCTAVE-S-menetelmä on suunniteltu pienten (100 tai vähemmän työntekijän) organisaatioille^[2]. OCTAVE Allegro -menetelmä keskittyy erityisesti organisaatioiden tietorekistereihin kohdistuvien riskien hallintaan^[3].

Yhdysvaltalainen National Institute of Standards and Technology (NIST) -organisaatio on antanut erilaisia suosituksia organisaatioiden riskienhallinnalle. Suositukset luotiin osana Federal Information Security Management Act (FISMA) -projektia:

1. NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final)
2. NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final)
3. NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final)
4. NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final).

• Mattila, Matti: Tehtävänä valvonta (2006), ISBN 952-91-9897-3

Wikimedia Commonsissa on kuvia tai muita tiedostoja aiheesta Riskienhallinta.

• Federal Information Security Management Act (FISMA) Implementation Project National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• Joint Technical Committee OB-007: Australian/New Zealand Standard "Risk Management" ISBN 0-7337-5904-1
• SFS-ISO 31000:2018 Riskienhallinta - Ohjeet
• National Institute of Standards and Technology (html) National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems (Final) (pdf) 2002. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• NIST Special Publication 800-37, Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View (Final) (pdf) 2011. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final) (pdf) 2010. National Institute of Standards and Technology (NIST). Viitattu 21.1.2013. eng
• OCTAVE 2008. Carnegie Mellon University, Software Engineering Institute. Viitattu 21.1.2013. eng
• Committee of Sponsoring Organizations of the Treadway Commission: Enterprise Risk Management — Integrated Framework (Arkistoitu – Internet Archive)
• Pk-yrityksen riskienhallinta
• Vaarojen selvittäminen ja riskien arviointi (Arkistoitu – Internet Archive)