Quản lý rủi ro là việc xác định, đánh giá và ưu tiên hóa rủi ro (định nghĩa trong ISO 31000 là ảnh hưởng của sự không chắc chắn về mục tiêu) tiếp theo là việc áp dụng hợp lý và tiết kiệm các nguồn lực để giảm thiểu, theo dõi và kiểm soát xác suất xảy ra hoặc ảnh hưởng của các sự kiện không may[1] hoặc để tối đa hoá việc thực hiện các cơ hội. Mục tiêu của quản lý rủi ro là để đảm bảo sự không chắc chắn này không làm lệch hướng các hoạt động của các mục tiêu kinh doanh.[2]
Rủi ro có thể đến từ nhiều nguồn khác nhau bao gồm sự không chắc chắn trong thị trường tài chính, các mối đe dọa từ thất bại của dự án (ở bất kỳ giai đoạn nào trong thiết kế, phát triển, sản xuất, hoặc vòng đời duy trì), trách nhiệm pháp lý, rủi ro tín dụng, tai nạn, nguyên nhân tự nhiên và thiên tai, tấn công từ đối thủ, hoặc các sự kiện có nguyên nhân gốc rễ không chắc chắn hoặc không thể đoán trước. Có hai loại sự kiện, nghĩa là sự kiện tiêu cực có thể được phân loại là rủi ro trong khi sự kiện tích cực được phân loại là cơ hội. Một số tiêu chuẩn quản lý rủi ro đã được một số tổ chức xây dựng bao gồm Viện Quản lý Dự án, Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ, các hiệp hội về thống kê, và các tiêu chuẩn ISO.[3][4] Các phương pháp, định nghĩa và mục đích của các tiêu chuẩn này rất khác nhau, tùy theo phương pháp quản lý rủi ro trong bối cảnh nào: quản lý dự án, an ninh, kỹ thuật, quy trình công nghiệp, danh mục đầu tư tài chính, đánh giá tính toán, hoặc y tế và an toàn công cộng.
Các chiến lược để quản lý các mối đe dọa (sự không chắc chắn với hậu quả tiêu cực) thường bao gồm việc tránh né mối đe dọa, giảm tác động tiêu cực hoặc xác suất của mối đe dọa, chuyển tất cả hoặc một phần mối đe dọa cho bên khác, và thậm chí giữ lại một số hoặc toàn bộ các tiềm năng hoặc hậu quả thực tế của một mối đe doạ nhất định, và sự đối lập về cơ hội (các trạng thái không chắc chắn trong tương lai nhưng có lợi ích).
Một số khía cạnh của nhiều tiêu chuẩn quản lý rủi ro đã bị chỉ trích vì không có cải thiện đáng kể về rủi ro; trong khi sự tin tưởng vào ước tính và quyết định dường như tăng lên. Ví dụ, một nghiên cứu cho thấy rằng cứ một trong sáu dự án CNTT là "thiên nga đen" với chu phí dôi dư khổng lồ (chi phí quá mức trung bình là 200% và lịch trình dôi dư 70%).[5]