Risikomanagement ist ein strukturierter Prozess zur Beherrschung von Unsicherheiten und zur Sicherung der Zielerreichung. Zentrale Schritte sind die Festlegung des Risikokontexts, die Identifizierung, Analyse und Bewertung von Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe. In der Praxis bleiben statische Risikokataloge oft unvollständig, insbesondere bei neuen Bedrohungen wie Cyberangriffen oder Lieferkettenrisiken. Ein wirksames Risikomanagement erfordert daher kontinuierliche Überprüfung und Anpassung. Orientierung bietet das Modell der Three Lines of Defense (IIA), das Verantwortlichkeiten klar zwischen operativem Management, Risikomanagement, interner Revision und externen Instanzen verteilt.