La definición más simple de riesgo es “ el efecto de la incertidumbre en los objetivos ISO 31000”.

La gestión de riesgos es la identificación, evaluación y priorización de los riesgos seguido de la aplicación coordinada y económica de los recursos para minimizar, monitorear y controlar la probabilidad y / o impacto de eventos inoportunosHubbard, Douglas (2009). The Failure of Risk Management: Why It’s Broken and How to Fix It. John Wiley & Sons. p. 46. para maximizar la realización de oportunidades. El objetivo de la gestión de riesgos es el de asegurar que la incertidumbre no desvíe el esfuerzo de los objetivos de negocio.Antunes, Ricardo; Gonzalez, Vicente (3 March 2015). A Production Model for Construction: A Theoretical Framework”. Buildings 5 (1): 209–228.

Nunca se puede proteger al 100%. Lo que se hace es protegerse a sí mismo tanto como sea posible y mitigar el riesgo a un nivel aceptable. Nunca se puede eliminar todo riesgo.
Kevin Mitnick

En su mayoría, los riesgos pueden caracterizarse como pertenecientes a una de estas tres categorías Mark Davis, Identifying And Managing Business Risks, www.investopedia.com:

Los Riesgos se Pueden Prevenir

Riesgos prevenibles son los riesgos internos, derivados de dentro de la organización, que son controlables y deben ser eliminados o evitados. Por ejemplo, son los riesgos de los empleados y los gerentes no autorizados, ilegales, no éticos, incorrectos o acciones inapropiadas y los riesgos de averías en los procesos operativos de rutina. Para estar seguros, las empresas deben tener una zona de tolerancia de los defectos o errores que no causarían graves daños a la empresa y para el cual el logro de la eliminacion completa, sería demasiado costoso. Pero, en general, las empresas deben tratar de eliminar estos riesgos, ya que no reciben beneficios estratégicos de tomarlas.

Los Riesgos de Estrategia

Una empresa acepta voluntariamente un cierto riesgo con el fin de generar una mayor rentabilidad de su estrategia. Riesgos de estrategia son bastante diferentes de los riesgos evitables porque no son inherentemente indeseable. Una estrategia con altos rendimientos esperados generalmente requiere que la empresa pueda asumir riesgos significativos, y la gestión de los riesgos es un factor clave en la captura de las ganancias potenciales.

Los Riesgos Externos

Los riesgos externos se deben a eventos fuera de la empresa y están más allá de su influencia o control.

Si bien existen innumerables tipos de riesgos, los cuatro tipos principalesRobert S. Kaplan, Anette Mikes, (June 2012), Managing Risks: A New Framework, Harvard Business Review. en el que PARM se especializa están descritas en la siguiente lista:

Los Riesgos Físicos

Los riesgos físicos incluyen los riesgos asociados a edificios e infraestructuras. El riesgo de incendios, explosiones, el almacenamiento y el inventario o la manipulación son todos considerados como riesgos físicos. Materiales peligrosos, derrames y accidentes también caerían en este tipo. En su mayor parte, estos riesgos se pueden prevenir.

Los Riesgos Ambientales

Los desastres naturales, la proximidad a las instalaciones potencialmente peligrosas y los niveles de delincuencia en el barrio todos constituyen riesgos ambientales. En la medida en que la empresa tiene la libertad de elegir el entorno en que funciona algunos de estos riesgos se pueden prevenir, otros pueden ser de forma estratégica y el resto externa.

Los Riesgos Humanos

Alcoholismo, abuso de drogas, problemas de comportamiento, antecedentes penales y problemas financieros son todos los diferentes tipos de riesgos humanos. Este tipo también incluye la malversación, el robo y el fraude. En general, todos estos riesgos pueden ser considerados para ser prevenibles.

Los Riesgos Tecnológicos

El crecimiento y la categoría de riesgo más reciente y más rápido es el de la tecnología. La piratería, robo de identidad, violación de datos y reputación, publicaciones perjudiciales en los medios de comunicación social son los más comunes de este tipo de riesgo. Las amenazas de este tipo que se originan dentro de la organización deben ser considerados como evitables, pero la mayoría de las veces van a aparecer siendo ajenos a la empresa y por lo tanto se clasifican como externos.

A pesar de toda la retórica y el dinero invertido en ella, la gestión del riesgo es a menudo tratada como una cuestión de cumplimiento que puede ser resuelto mediante la elaboración de un montón de reglas y asegurarse de que todos los empleados los sigan. Muchas de tales reglas, por supuesto, son sensibles y no reducir algunos riesgos que podrían dañar seriamente una empresa. El problema con este tipo de pensamiento es que la gestión del riesgo basado en normas no disminuirá, ya sea la probabilidad o el impacto de todos los riesgos. El cumplimiento no garantiza la seguridad.

Los riesgos que entran en la categoría evitable se manejan mejor mediante la prevención activa: el seguimiento de los procesos operativos y guiar los comportamientos y las decisiones de la gente hacia normas deseadas.

Los riesgos que se clasifican como riesgos de tipo de estrategia y no pueden ser manejados a través de un modelo de control basado en reglas. En su lugar, se necesita un sistema de gestión de riesgos que esté diseñado para reducir la probabilidad de que los riesgos asumidos se materialicen y para mejorar la capacidad de la empresa para controlar o contener los eventos de riesgo que puedan producirse. Tal sistema no detendrá a las  empresas de emprender aventuras arriesgadas; por el contrario, se permitiría a las empresas a asumir mayor riesgo, las empresas de mayor recompensa  podrían competir con programas menos eficaces de gestión de riesgos.

Los riesgos externos presentan el mayor número de desafíos. Por su naturaleza una empresa no puede controlar o influir, y mucho menos prevenirlos. La gestión de estos riesgos debe centrarse en primer lugar su identificación entonces la reducción de ese impacto seria menor.