リスクとはある目的を達成の活動中に存在する障害のことでISO31000では目的に対する不確かさをリスクと定義している。リスクを目標に至るまでの障害と考えた場合にはリスクが大きければ目標を達成できる可能性が低くなり、リスクが少なければ目標を達成できる可能性が高まる。従って初めて行う活動では目標を達成できないリスクが大きく、逆に何度か同じ活動を行っている場合にはリスクは小さいと考えられる。しかしこれはリスクを損害が発生する危険性と考えた場合で実際には目標に向かってプラスとなる事象も存在する。従ってリスクマネジメントとは目標に向かってプラスとなる事象については発生確率を高め、マイナスとなり要素については発生確率を減少させるように制御することである。ISO31000ではリスクマネジメントのプロセスとリスクマネジメントの活動の枠組みについて規定している。枠組みを一般的にはリスクマネジメントシステムと呼ぶ。
リスクマネジメントのループを以下に示す。JISQ2001のリスクマネジメントシステムにはフレームワークに内部監査、教育訓練、文書管理、運用管理を加えている。リスクマネジメントの原則(principles)は体系的組織的であり、タイムリーであること等を含む。
