Risikomanagement ist nach der Norm ISO 31000: 2009 eine Führungsaufgabe, in der die Risiken einer Organisation identifiziert, analysiert und bewertet werden. Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation zum Risikomanagement festzulegen.

Im Einzelnen betrifft das die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Reporting) sowie die Qualifizierung des Personals für das Risikomanagement.