A definição mais simples de risco é “o efeito da incerteza nos objetivosISO 31000”.

A gestão de risco é a identificação, avaliação e priorização de riscos, seguida pela aplicação coordenada e económica de recursos para minimizar, monitorizar e controlar a probabilidade e/ou impacto de eventos infelizesHubbard, Douglas (2009). The Failure of Risk Management: Why It’s Broken and How to Fix It. John Wiley & Sons. p. 46. ou para maximizar a concretização de oportunidades. O objetivo da gestão de risco é assegurar que a incerteza não desvie o empreendimento dos objetivos de negócio.Antunes, Ricardo; Gonzalez, Vicente (3 March 2015). A Production Model for Construction: A Theoretical Framework”. Buildings 5 (1): 209–228.

Nunca podes proteger-te a 100%. O que fazes é proteger-te tanto quanto possível e mitigar o risco até um grau aceitável. Nunca podes eliminar todo o risco.
Kevin Mitnick

Na maioria dos casos, os riscos podem ser caracterizados como pertencendo a uma de três categoriasMark Davis, Identifying And Managing Business Risks, www.investopedia.com:

Riscos Preveníveis
Os riscos preveníveis são riscos internos, surgidos dentro da organização, que são controláveis e devem ser eliminados ou evitados. Exemplos incluem os riscos das ações não autorizadas, ilegais, antiéticas, incorretas ou inapropriadas de empregados e gestores, e os riscos provenientes de falhas nos processos operacionais rotineiros. Certamente, as empresas devem ter uma zona de tolerância para defeitos ou erros que não causassem danos graves à empresa e para os quais seria demasiado dispendioso conseguir evitá-los completamente. Mas, em geral, as empresas devem procurar eliminar esses riscos, pois não obtêm  benefícios estratégicos ao assumi-los.

Riscos Estratégicos
Uma empresa aceita voluntariamente alguns riscos para gerar retornos superiores a partir da sua estratégia. […] Os riscos estratégicos são bastante diferentes dos riscos preveníveis porque não são inerentemente indesejáveis. Uma estratégia com elevados retornos esperados geralmente exige que a empresa assuma riscos significativos, e a gestão desses riscos é um fator crucial na captura dos ganhos potenciais.

Riscos Externos
Os riscos externos surgem de eventos fora da empresa e estão além da sua influência ou controlo.

Embora existam inúmeros tipos de risco, os quatro principais tiposRobert S. Kaplan, Anette Mikes, (June 2012), Managing Risks: A New Framework, Harvard Business Review. nos quais a ProActive Risk Management (PARM) se especializa são descritos na seguinte lista:

Riscos Físicos
Os riscos físicos incluem riscos associados a edifícios e infraestruturas. O risco de incêndios, explosões, armazenamento e manuseamento de inventário são todos considerados riscos físicos. Materiais perigosos, derrames e acidentes também se enquadram neste tipo. Na maioria das vezes, esses riscos são preveníveis.

Riscos Ambientais
Desastres naturais, proximidade de instalações potencialmente perigosas e níveis de criminalidade na vizinhança constituem riscos ambientais. Na medida em que uma empresa tem a liberdade de escolher o ambiente em que trabalha, alguns destes riscos são preveníveis, outros podem ser estratégicos e o restante externo.

Riscos Humanos
Alcoolismo, abuso de drogas, problemas comportamentais, antecedentes criminais e problemas financeiros são todos diferentes tipos de riscos humanos. Este tipo também inclui desfalque, roubo e fraude. Em geral, todos esses riscos podem ser considerados preveníveis.

Riscos Tecnológicos
A categoria de risco mais nova e que mais rapidamente cresce é a de tecnologia. A pirataria informática, roubo de identidade, violação de dados e publicações danosas à reputação nas redes sociais são os mais comuns deste tipo de risco. Ameaças deste tipo que têm origem dentro da organização devem ser consideradas preveníveis, mas na maioria das vezes aparecerão de fora da empresa e, portanto, são classificadas como externas.

Apesar de toda a retórica e do dinheiro investido, a gestão de risco é muitas vezes tratada como uma questão de conformidade que pode ser resolvida através da criação de muitas regras e garantindo que todos os empregados as sigam. Muitas dessas regras, naturalmente, são sensatas e reduzem alguns riscos que poderiam danificar gravemente uma empresa. O problema com este tipo de pensamento é que a gestão de risco baseada em regras não diminuirá nem a probabilidade nem o impacto de todos os riscos. A conformidade não garante segurança.

Os riscos que caem na categoria Prevenível são melhor geridos através da prevenção ativa: monitorizando processos operacionais e orientando comportamentos e decisões das pessoas para as normas desejadas.

Os riscos classificados como riscos de Estratégia não podem ser geridos através de um modelo de controlo baseado em regras. Em vez disso, é necessário um sistema de gestão de risco projetado para reduzir a probabilidade de que os riscos assumidos se materializem e para melhorar a capacidade da empresa de gerir ou conter os eventos de risco, caso ocorram. Tal sistema não impediria as empresas de empreenderem projectos arriscados; pelo contrário, permitiria às empresas assumir projectos de maior risco e maior recompensa do que os  concorrentes com programas de gestão de risco menos eficazes.

Os riscos externos apresentam os maiores desafios. Por sua natureza, uma empresa não pode controlar ou influenciar, muito menos prevenir, esses riscos. A gestão destes riscos deve concentrar-se primeiro na sua identificação e depois na mitigação do seu impacto.