A Gestão de Risco  abrange um conjunto de procedimentos e melhores práticas adotados pelas empresas para identificar e classificar os riscos operacionais e jurídicos que enfrentam, e assim estabelecer mecanismos internos de prevenção, gestão, controlo e reação aos mesmos. A tendência é clara a este respeito, e deixou de ser uma opção voluntária para muitas empresas tornando-se numa exigência a ser integrada nas suas estratégias e estruturas; por um lado, a nível interno e a fim de cumprirem as obrigações legais ou terem a capacidade de se protegerem de situações de risco que coloquem em causa a sua estabilidade e continuidade da atividade, por outro, a nível internacional, e principalmente na União Europeia, a rápida e recente evolução da legislação, aliada às sanções crescentes, bem como à relevância que a própria legislação confere na tomada de ações preventivas para o cumprimento das empresas, fez desta área um dos temas mais recentes a serem incorporadas nas estratégias de gestão e visão de qualquer entidade.

A Gestão de risco pode ajudar uma empresa a crescer através do aumento da sua competitividade, da criação de novas oportunidades, da geração de valor para a organização, na otimização de capital da empresa, no aumento da segurança dos projetos e minimizando a utilização de más práticas.

A norma mais adotada de Gestão de Risco é a ISO 31000, que estabelece as diretrizes para a condução desse processo numa organização empresarial. De acordo com a metodologia, Risco é a possibilidade de perda ou dano, Ameaça é um evento ou circunstância que pode causar perda ou dano.

Fases da metodologia :
1 – Âmbito, Contexto e Critérios
Ao avaliar o contexto interno e externo, deverá ser definido o âmbito da gestão de riscos para a empresa, mencionando os seus critérios e objetivos.
2 – Identificação dos Riscos
Para “alimentar” o processo de gestão de riscos, deve-se questionar tudo que possa servir para identificar o risco, incluindo o que pode acontecer, quando, onde, como e porquê.
3 – Análise dos Riscos
Nesta fase, deverá ser criada uma matriz de gestão de riscos, determinando as consequências dos mesmos, probabilidade de ocorrerem e o nível de impacto sofrido pela organização em cada um.
4 – Avaliação dos Riscos
Considerando os resultados da análise do riscos e os critérios determinados para a sua gestão, estabelecem-se as prioridades e os riscos que necessitam de um tratamento mais urgente.
5 – Tratamento dos Riscos
Finalmente, procede-se ao tratamento efetivo dos riscos, em que a gestão de riscos baseada na ISO 31000 irá identificar as alternativas, analisar a sua viabilidade e eficiência, preparar um plano de mitigação de riscos e avaliar a existência de ameaças residuais.