Risk yönetimi, işletmelerin kârlılık içerisinde faaliyetlerine devam etmesi için gerekli düzenlemeleri sağlamak, organizasyondaki mal ve kişilerin korunması ile işletmenin kazanma gücünü korumak; organizasyonda oluşabilecek beklenmeyen kayıpların en düşük maliyetle minimize edilmesi için gerekli olan kaynakların ve faaliyetlerin planlanması, organizasyonun yönetilmesi ve kontrol süreçlerini kapsamaktadır (Emhan,
2009)

Risk; kurumların hedeflerine ulaşmasını tehlikeye düşüren, beklenmedik olaylar olarak da tanımlanabilir.

Risklerin kaynağı, kurumun faaliyet gösterdiği çevredeki belirsizlikler ve gelecekteki bilinmeyen olaylardır.

Risk yönetiminin temel hedefi, karar verme mekanizmaları için riskleri görünür kılmak, ölçülebilen bir olgu haline getirmek ve kararlarda sübjektifliği azaltmaktır. Belirsizlik ortamında, geleceğe ilişkin stratejilerin belirlenmesi ve geleceğe hazır olmak risk yönetimi ile sağlanır (Yılmaz, 2005). Risk yönetiminde temel olarak amaç risklerin azaltılması ve gerçekleşmesinin engellenmesine yönelik olarak çalışmaların planlanmasıdır. 

Risk yönetimi süreci içerisinde temel olarak şu faaliyetler yer almaktadır:
• Risk yönetim stratejisinin oluşturulması,
• Risk yönetiminin planlanması,
• Kritik gerekliliklerin belirlenmesi,
• Risklerin belirlenmesi,
• Risklerin listelenmesi,
• Risklerin ne zaman oluşacağının tahmin edilmesi,
• Öncelikli ve kritik risklerden başlayarak risklerin temel nedenlerinin belirlenmesi,
• Risklerin oluşma olasılığı ve sonuca etkilerinin belirlenmesi,
• Risklerin önem derecesinin belirlenmesi,
• Risklerin incelenmesi,
• En kritik risklerin belirlenmesi,
• Risklerin temel nedenlerinin belirlenmesi,
• Riskleri en aza indirgeyecek faaliyetlerin ve önlemlerin planlanması, uygulanması,
• Risklerin kabul edilebilir bir düzeye indirgenmesi,
• Risklerin oluşma olasılığını ve sonuca etkilerini en aza indirgemek, riskin temel nedenlerini ortadan kaldırmak için risk azaltma faaliyetlerinin planlanması,
• Risklerin problem haline dönüşmesi durumunda yürütülecek faaliyetlerin planlanması,
• Risk azaltma ve yönetim faaliyetlerinin yürütülmesi,
• Risk azaltma ve yönetim faaliyetlerinin etkinliğinin ölçülmesi ve izlenmesi,
• Etkin olmayan süreç ve faaliyetlerin iyileştirilmesi,
• Risk yönetim süreç ve faaliyetlerinin belgelenmesi,
• Risk yönetim sisteminin sürekli iyileştirilmesi,

• Risk yönetim eğitiminin verilmesi,
• Risk verilerinin ilgili karar mekanizmalarına geri bildirimi.

Risk yönetim süreci birbirine bağımlı işlem basamaklarından oluşur. Bu basamaklar ise şu şekilde sıralanmaktadır:
1. Risk stratejisinin belirlenmesi,
2. Risklerin değerlendirilmesi,
• Risklerin tanımlanması ve belirlenmesi,
• Risklerin analizi,
3. Risklerin yönetilmesi,
4. Risk izleme ve kontrol,
5. Raporlama süreci.

Risk planlamanın amaçları: riski ortadan kaldırmak veya en aza indirgemek, alternatif çözümler geliştirmek, kaçınılamayan riskler için ek maliyet ve zaman rezervi ayırmaktır. Risk planlama sürecinde risk yönetim stratejisi geliştirilir ve belgelenir, risk yönetiminde kullanılacak yöntem, teknik ve gereçler belirlenir ve risk yönetiminde kullanılacak kaynaklar planlanır.

Risk planlama sürecinin sonucunda ise üç tane risk planlama süreç çıktısı vardır. Bunlar (Gök, 2006):
1. Risk yönetim planı: programın başında hazırlanan risk yönetim stratejisini ve risk yönetim sürecinin nasıl uygulanacağını anlatan risk yönetim faaliyetlerinin planlandığı süreçtir.
2. Risk azaltma planı: belirlenen ve analiz edilen risklerin oluşma olasılığını ve sonuca etkisini en aza indirgemek amacıyla yürütülecek önleyici faaliyetlerin planlaması sürecidir.
3. Önlem planları: risklerin problem haline dönüşmesi durumunda yürütülecek faaliyetlerin öngörülmesi ve planlanması sürecidir.

Risk değerlendirme, riski kabul edilebilir düzeye indirebilmek amacıyla yapılan çalışmadır. Bu amaç doğrultusunda risk değerlendirme aşağıdaki sorulara cevap vermektedir (Özkılıç, 2008):
1. Tehlikeler nelerdir?
2. Potansiyel etki ve sonuçlar nelerdir ve bunlar kabul edilebilir midir?
3. Bu etki ve sonuçların meydana gelme olasılıkları nedir?
4. Riskin kabul edilebilir durumunun devam ettirilebilmesi için kontrol ve koruma çalışmaları yeterli midir?
Farklı kaynaklarda farklı isimlerde ve sayılarda risk değerlendirme aşamaları olduğu belirtilse de burada risk değerlendirme süreci; tehlikelerin tanımlanması, risklerin belirlenmesi ve derecelendirilmesi, risk kontrol tedbirlerinin tanımlanması ve uygulanması, risk kontrol tedbirlerinin gözden geçirilmesidir (Usta, 2010).

Risk yönetiminde, riskin tanımlanması en önemli basamaklardandır. Bu aşamada yapılacak işlemler:
• Konu analizi: Kurumun karşılaşabileceği tehlikelere neden olan dört faktör analiz edilir. Bu faktörler; insan faktörü, çevre faktörü, yönetim faktörü ve kullanılan malzeme faktörüdür.
• Tehlikelerin listelenmesi: Yapılacak faaliyetlerle ilgili yukarıdaki dört faktörden
kaynaklanabilecek olası tehlikeler sıralanır.
• Tehlike sebeplerinin listelenmesi: Olası tehlikelerin nedenlerinin listelenmesidir (Emhan, 2009).

Potansiyel riskler şu yöntem ve faaliyetlerle belirlenmektedir (Aydeniz, 2008; Fıkırkoca, 2003; Gök, 2006):
• Beyin fırtınası,
• Standart anketler,
• Risk listeleri ve dokümanları,
• Süreç analizi,
• Çalışma grupları,
• Görüşmeler,
• Tek tek zararların analizi,
• Program yönetiminin değerlendirilmesi,
• Dokümantasyonun gözden geçirilmesi,
• Sözleşmelerin gözden geçirilmesi,
• Geçmiş programların ve verilerin değerlendirilmesi.

Risk analiz sürecinde, her risk aşağıdaki faktörlerle analiz edilir (Çobanoğlu, 2008):
• Olasılık: Riskin oluşma olasılığı,
• Etki: Risk probleme dönüştüğünde oluşturacağı kayıp,
• Zaman çerçevesi: Riskin oluşabileceği zaman aralığıdır (yakın gelecekte oluşabilecek bir risk, uzak gelecekte ulaşacak riskten daha öncelikli olabilecektir).

Nicel risk analizi, geçmişten dersler alınarak daha sayısal değerlerle risklerin tehdit oranının belirlenmesi çalışmasıdır. Nicel risk analizinde, kıymet, açıklık, tehdidin olma ihtimali, tehdidin etkisi gibi değerlere sayısal değerler verilir ve bu matematiksel ve mantıksal yöntemler ile risk değeri elde edilir (Fıkırkoca, 2003; Çobanoğlu, 2008). Bu aşamada nitel risk analizinde yer alan girdilere ihtiyaç duyulur.
Nicel risk analizi uygulaması sonrası yönetici, gelirler, süre, maliyet ve projeyi bitirme durumuna göre risklerin tehdit durumuna bağlı olarak risklerin sıralanması, risklerin ne yönde eğilim gösterdiği, risklerin nasıl önlenebileceğine ilişkin yorumlara ulaşabilir (Bostancı ve Demir, 2008).

Nitel risk analizi: Tanımlanmış risklerin gerçekleşme olasılığının ve etki gücünün değerlendirdiği süreçtir. Özellikle uzmanların görüşlerine başvurularak risklerin etki ve olasılıklarının sıralanmasını hedefler. Nitel risk analizini yapabilmek için risk yönetim planına, tanımlı risklere, kurumda kullanılan olasılık ve etki ölçeklemesine ve projenin en başında tanımlanan varsayımlara gereksinim vardır. Risk olasılık ve etki araştırması, olasılık/etki gücü matrisi, varsayımların detaylı analizi, veri doğruluk sıralaması gibi nitel risk ölçüm teknikleri kullanılarak projenin genel risk tehdit sıralaması, risk eğilimleri ve önleme fikirleri ortaya çıkarılabilir (Bostancı ve Demir, 2008).

Risk azaltma sürecinde aşağıdaki temel faaliyetler yürütülür (Çobanoğlu, 2008; Fıkırkoca, 2003):
• Risklere neden olabilecek temel nedenlerin belirlenmesi,
• Risklerin oluşma olasılığını ve sonuca etkisini en aza indirgeyecek önlemlerin planlanması,
• Riski en aza indirgeme faaliyetlerinin planlanması,
• Önlem planlarının hazırlanması,
• Risk azaltma planlarının hazırlanması,
• Risk azaltma planlarının uygulanmasıdır.

Riskten Kaçınma Yöntemi:
Riskin ortaya çıkmasına veya artmasına sebep olan faaliyetlere başlanılmaması veya son verilmesi şeklinde riskten kaçınmak mümkündür. (Saka, 2010). Bu tür cevapta riske yol açan aktivitelere son verilir (Yörüker, 2007). Riskten kaçınma yöntemi, riski arttıran faaliyetlerle uğraşmayarak ya da riskli işlemleri terk ederek başarılabilir. Meydana gelebilecek kötü durumlara karşı kurumların veya şahısların potansiyel tehlikelere karşı alınması gereken önlemlerini kapsamaktadır (Emhan, 2009).

Riski Kabullenme/Üstlenme Yöntemi:
Kabullenme de bir risk yanıtlama planıdır. Tanımlanan risklerin tümüne önlem almaya çalışmak bütçeyi bir hayli zorlayabilir. Bu nedenle yok edilemeyen riskler kabul edilir (Filizi, 2005). Risk üstlenme yaklaşımında birey riskin farkındadır ve riskin oluşması durumunda yaratacağı sonuçların kabul edilmesi kararı alınır. Bu yöntem düşük risk için daha uygundur. Bu tür riskler daha çok azaltılmadığında, kaçınılmadığında ya da transfer edilemediğinde meydana gelir (Gök, 2006).

Riski Sigortalama Yöntemi:
Kişiler veya organizasyonlar, karşılaşacakları zararın ve gelir kaybının ekonomik sonuçlarından kendilerini korumak için belli bir prim karşılığında risklerini devir etmek için tercih ettikleri pratik ve en çok kullanılan metottur (Emhan, 2009).

Risk analizi ve yönetimi işleminin birçok yararları vardır. Bu yararların başta gelenleri şu şekilde sıralanabilir (Özkılıç, 2008):
1. Kurumun yazılı prosedür ve politikalarının oluşmasını ya da olgunlaşmasını sağlar.
2. Kurum çalışanlarının iş sağlığı ve güvenliği konularında bilgi sahibi olmalarını ve katılımını sağlar.
3. Kurum yönetiminin de iş sağlığı ve güvenliği konularında bilgi sahibi olmalarını ve bu
konularda karar vermelerini sağlar.
4. Risk analizi işlemlerinden alınan ilk sonuçlar ile organizasyon ya da işletmedeki olası tehlikeler ve alınacak tedbirler belirlenir.
5. Organizasyon ya da kurumdaki risklerin büyüklüğünün hesaplamasına ve riskin tolere edilebilir olup olmadığına karar verilmesini sağlar.
6. Kurumda yanlış güvenlik tedbirleri alınmış olabilir, yada insanlarda yanlış güvenlik bilinci oluşmuş olabilir, tüm bu tedbirlerin ve güvenlik bilincinin gözden geçirilmesini sağlar.
7. Kurumda yasal yükümlülükler ve iş sağlığı ve güvenliği politikası çerçevesinde tahammül edilebilir düzeye indirilmiş risk ile çalışılmasını sağlar.
8. Kurumdaki gerekli düzeltici ve önleyici faaliyetlerin gerçekleştirilmesini sağlayacak verilerin kaydedilmesini, sonuçların izlenmesini ve ölçülmesini sağlar.

İzleme süreci, veri toplama, veri derleme, veriyi bilgiye dönüştürme ve daha sonra bilginin analizi ve raporlanması faaliyetlerini içerir. Bu faaliyet, risk azaltma faaliyetinin etkilerinin ölçülmesi kadar, bilinen risklerin ölçülmesini ve risk tetikleme mekanizmalarının izlenmesini de içerir (Fıkırkoca, 2003; Çobanoğlu, 2008).

Bu çerçevede risk izleme faaliyetinin temel hedefleri şunlardır (Özerkek, 2006):
• Mevcut risk yönetiminin, politika ve süreçlerine uygun çalışılmasını denetlemek,
• Yeni riskler varsa bunları tespit etmek,
• Risklerin gerçekleşme olasılığını değerlendirmek,
• Risk azaltma çalışmalarını gözden geçirmek.

Risklerin raporlanmasında amaç, belirlenen, analiz edilen risklerin ve bu risklere karşı alınan önlemlerin rapor olarak sunulmasıdır. Raporlamanın görevi ilgili birimlere veya kişilere önemli riskler ve fırsatlar hakkında düzenli olarak bilgi sunmaktır. Raporun içeriği şu şekildedir (Aydeniz, 2008):
• Risklerin belirlenmesi, analizi ve değerlendirilmesi,
• Risklere karşı alınan önlemlerin planlanması, yönetilmesi ve uygulanması,
• Risk denetiminin sonuçları.