リスクマネジメントの方針は、リスクに対する経営者の考え方や経営方針などを反映させ、どのレベルのリスクを対象に取り組むのかを決定します。

企業を取り巻くリスクは多種多様です。
これらを整理するには、自社に及ぼす可能性のあるリスクを網羅した「リスクマップ（※）」を活用すると便利です。

→ リスクマップ「主なリスクと対応する保険一覧」を参照ください。

※ここでは、3つのリスク分野（災害・事故のリスク/経営リスク/政治・経済・社会リスク）、4つの損失形態（物的損害・費用損害・賠償責任・人的損害）を関連づけ、「何が、どのように」発生するかを表記しています。

このステップでは、発見された各種のリスクを、その影響の大きさと発生確率の両面から算定します。
通常、リスクの大きさは、次の式で表すことができます。

一般に、影響の大きさを重視する傾向がありますが、必ず、発生確率にも注意が必要です。
影響の大きさでは、経済的な損失だけでなく、人命や企業イメージの損失も考慮に入れておく必要があります。

リスク対策の実施にも優先順位があり、重要なリスクと、そうでないリスクを選別する必要があります。
この評価作業は、企業のリスクマネジメント方針に照らして、自社のリスクマネジメントプログラムで扱うべきリスクであるか否かを判別するプロセスです。
また、ここでふるい落とされたリスクについても、それ以降、単に無視するのではなく、継続的に監視していく必要があります。

リスクマネジメントサイクルの中で、取り分け重要なのが、この"リスク対策"であり、一般に、次のように分類され、リスクの種類・性質に応じて主に次の処理方法があります。

リスクの回避・・・

リスクのある活動自体をやめる（リスク発生源との断絶）

リスクの軽減・・・

リスクを起こりにくくする「予防」やリスクによる損害を小さくする対策をとる
（損失発生の抑制（予防）および発生した損失の局限化・拡大防止（防護））

リスクの移転・・・

予測される損失の大部分または一部を自社以外に負担させる（損害保険の利用等）

リスクの保有・・・

損失そのものを自社で負担する （準備金の内部取りくずし等）

※「回避」「低減」をリスクコントロール。「移転」「保有」をリスクファイナンシングといいます。

リスク対策は、いずれか一つに取り組む事だけでは成り立ちません。
適切な方策を選択もしくは組合わせて実施していくこと重要であり、また、これら全てのコストの合計を最小化する事がリスクマネジメントの目標となります。