O Risco empresarial pode ser definido como um evento que, caso ocorra, pode causar algum tipo de prejuízo para a empresa.
A Gestão de Riscos, por sua vez, inclui atividades de identificação, que tipos de riscos a empresa está exposta, de avaliação, entendimento da probabilidade de ocorrência e possíveis impactos e de proteção e/ou tratamento. Algumas empresas utilizam métodos sofisticados e complexos para fazerem a avaliação de riscos, utilizando-se de modelos estatísticos, que nem sempre estão disponíveis nas pequenas e médias empresas. No entanto, estas empresas podem se utilizar de meios mais simples, como a avaliação qualitativa, feita com recursos de observação e pesquisas internas. Hoje, toda empresa deve mapear e acompanhar seus riscos, sejam de propriedade (aqueles associados ao patrimônio), de processos (ligados com a operação do negócio), ou comportamentais, (associados à pessoas).