Organizacije su manje ili više izložene rizicima koji dolaze ili nastaju u samoj organizaciji ili potiču iz njenog okruženja.  
Rizik predstavlja mogućnost nastanka događaja koji će uticati na postizanje ciljeva. Oni se mere u pogledu uticaja i verovatnoće.
Proces procene rizika može se podeliti u četiri faze. Prva faza je identifikovanje činioca rizika, koji mogu biti interni i eksterni. Zatim sledi vrednovanje nastanka mogućih rizika, odnosno određivanje verovatnoće nastanka nepovoljnog događaja. Ocenjivanje rizika podrazumeva sagledavanje uticaja dejstva nepovoljnog događaja na poslovanje organizcije. Kao poslednja faza ističe se priprema odgovora na rizike u pogledu prihvatanja rizika ili neprihvatanja rizika, odnosno preduzimanje mera za njihovo ublažavanje.