Menurut piawaian ISO 31000 "Pengurusan Risiko – Prinsip dan garis panduan bagi perlaksanaan,"[3] proses pengurusan risiko terdiri dari beberapa langkah seperti berikut:

Penetapan konteks

Penetapan konteks membabitkan:

1. mengenalpasti risiko pada ruang kepentingan yang dipilih
2. merancang proses seterusnya.
3. memeta yang berikut:
   • skop masyarakat pengurusan risiko
   • identity dan matlamat yang berkepentingan (projek tersebut)
   • asas bagi mana risiko akan dinilai, kekangan.
4. Mentakrifkan rangka kerja bagi aktiviti dan agenda bagi mengenal pasti.
5. Membangunkan analisa risiko terbabit dalam proses.
6. Mengurangkan atau Penyelesaian risiko dengan menggunakan teknologi, manusia, dan sumber organisasi yang ada.

Mengenal pasti

Selepas menetapkan konteks, langkah berikut dalam proses pengurusan risiko adalah mengenal pasti potensi risiko. Risiko adalah mengenai peristiwa yang, apabila tercetus, menimbulkan masalah. Dengan itu, mengenalpasti risiko boleh bermula dengan sumber masalah atau dengan masalah itu sendiri.

• Analisa sumber. Sumber risiko mungkin dalaman atau luaran pada sistem yang merupakan sasaran bagi pengurus risiko

Contoh sumber risiko adalah: orang berkepentingan sesuatu projek, pekerja sesebuah syarikat atau cuaca atas lapangan terbang.

• Menganalisa masalah: Risiko berkait dengan mengenal pasti ancaman. Sebagai contoh: ancaman kehilangan wang, ancaman penyalahgunaan maklumat sulit atau ancaman kemalangan atau kecederaan. Ancaman mungkin wujud dengan pelbagai entiti, lebih penting dengan pemilik saham, pelanggan dan badan penyelia seperti kerajaan.

Apabila samada sumber atau masaalah diketahui, peristiwa yang mungkin dicetuskan oleh sumber boleh disiasat. Sebagai contoh: orang berkepentingan menarik diri semasa projek mungkin membahayakan pembiayaan projek; maklumat sulit mungkin dicuri oleh pekerja walaupun dengan jaringan tertutup; kilat mungkin menyambar kapal terbang ketika berlepas menyebabkan kesemua yang di dalamnya korban segera.Kaedah yang dipilih bagi mengenal pasti risiko mungkin bergantung pada budaya, amalan industry, dan kepatuhan (“compliance”). Kaedah mengenalpasti dibentuk melalui templat atau pembangunan templat bagi mengenal pasti sumber, masaalah atau peristiwa. Kaedah mengenal pasti risiko yang biasa adalah:

• Mengenal pasti risiko berasaskan objektif: Organisasi dan ahli projek memiliki objektif. Sebarang peristiwa yang membahayakan sebahagian atau sepenuhnya objektif dikenall pasti sebagai risiko.
• Mengenal pasti risiko berasaskan senario: Dalam analisis senario, senario berbeza dicipta. Senario mungkin cara lain mencapai objektif, atau analisa pada interaksi kuasa dalam, sebagai contoh, pasaran atau pertempuran. Sebarang peristiwa yang mencetus senario yang tidak diingini dikenal pasti sebagai risiko – lihat Kajian Masa Hadapan bagi metodologi yang digunakan oleh Futuris.
• Mengenalpasti berasaskan taksonomi: Taksonomi pada mengenalpasti berasaskan taksonomi merupakan memecahkan kemungkinan sumber risiko. Berasaskan taksonomi dan pengetahuan amalan terbaik, satu soal selidik disediakan. Jawapan pada soalan mendedahkan risiko.[5]
• Memeriksa risiko biasa: Dalam beberapa industry, senarai dengan risiko yang diketahui sedia ada. Setiap risiko dalam senarai boleh diperiksa bagi pengunaan dalam keadaan tertentu.[6]
• Pencartaan risiko: [7]Kaedah ini menggabungkan pendekatan di atas dengan menyenaraikan sumber berisiko, ancaman pada sumber tersebut, mengubah factor yang mungkin meningkat atau mengurangkan risiko dan hasil ia ingin elakkan. Mencipta matriks risiko dibawah judul ini membolehkan pelbagai pendekatan. Seseorang boleh bermula dengan sumber dan menimbang ancaman yang terdedah dan kesan setiap satunya. Sama juga seseorang boleh bermula dengan ancaman dan memeriksa dumber apa yang akan dijejaskannya, atau seseorang boleh bermula dengan kesan dan menentukan gabungan ancaman dan sumber mana yang terbabit menyebabkannya.

Penilaian

Sebaik sahaja risiko telah dikenal pasti, ia perlu dinilai bagi potensi kesan terjejas (pada umumnya kesan negetif, seperti kerosakan atau kerugian) dan kemungkinan ia berlaku. Kuantiti ini boleh jadi mudah diukur dalam kes nilai kehilangan bangunan atau mustahil diketahui secara sebenar dalam kes kemungkinan peristiwa yang mustahil berlaku. Dengan itu, dalam proses penilaian adalah kritikal untuk membuat keputusan kajian terbaik agar dapat mengatur kepentingan perlaksanaan rancangan pengurusan risiko.

Malah perelokan positif jangka pendek boleh mendorong kepada kesan negatif jangka panjang. Ambil contoh "turnpike". Lebuh raya diperluaskan bagi membenarkan lebih banyak trafik melaluinya. Peningkatan kapasiti trafik mendorong kepada pembangunan lebih pesat dikawasan sekeliling keupayaan trafik diperelok. Dalam perubahan masa, trafik dengan itu meningkat bagi mengisi keupayaan sedia ada. Turnpike dengan itu perlu diperluaskan dalam kitaran yang tiada penghujungnya. Terdapat banyak contoh kejuruteraan lain di mana peningkatan kapasiti (bagi apa-apa fungsi) tidak lama diisi dengan permintaan yang meningkat. Oleh kerana perkembangan dating dengan kos, pertumbuhan terhasil boleh menjadi tidak dapat dikekalkan tanpa jangkaan dan pengurusan.

Kesukaran asas dalam penilaian risiko adalah bagi menentukan kadar berlaku disebabkan maklumat statistic tidak ada bagi kesemua kajadian lalu. Tambahan lagi, menilai tahap teruk hasil kejadian (kesannya) sering sukar bagi aset tidak nyata. Penilaian aset merupakan satu lagi persoalan yang perlu ditangani. Dengan itu, pendapat terpelajar terbaik dan statistic yang ada merupakan sumber maklumat utama. Walaupun begitu, penilaian risiko perlu menghasilkan maklumat tersebut kepada pengurusan organisasi agar risiko utama mudah difahami dan keputusan pengurusan risiko boleh diatur. Dengan itu, terdapat beberapa teori dan cubaan bagi mengukur risiko. Banyak formula risiko wujud, tetapi kemungkinan formula yang paling meluas diterima bagi kuantifikasi adalah: