事業活動を行う上で発生し得るリスクを特定し，リスク回避，リスク低減，リスク移転，またはリスク保有などを選択することで，リスクによる影響を最小限に抑えるためのプロセスです。
例えば，情報セキュリティにおいては，情報漏洩や不正アクセスといったリスクを特定し，そのリスクを未然に防ぐための対策を講じます。