Management rizika probíhá v určitých cyklech, kde se střídají a mnohdy do určité míry prolínají jednotlivé fáze.
Identifikace rizika, resp. rizikových faktorů představuje nejnáročnější a nejdůležitější fázi managementu rizika, neboť pouze vzhledem k předem identifikovaným rizikům může firma připravit svoje obranné reakce.
Výsledkem fáze identifikace je zpracování seznamu rizikových faktorů, ohrožujících prosperitu či přímo existenci firmy, resp. možných příležitostí. Vzhledem k velkému počtu těchto faktorů je třeba stanovit jejich důležitost a dále soustředit pozornost pouze na klíčové faktory, u nichž existuje vysoká pravděpodobnost výskytu a intenzita dopadů na firmu.
Ke stanovení velikosti firemního rizika (resp. rizika určitých aktivit či nových projektů) lze využít určité statistické charakteristiky (rozptyl, směrodatná odchylka aj.) či manažerské charakteristiky, zahrnující odolnost firmy, její flexibilitu a konkurenční sílu. Firma je odolná, jestliže nepříznivé změny rizikových faktorů působí relativně málo na hospodářské výsledky a její finanční stabilitu. Firma je tím odolnější, čím má menší podíl fixních nákladů ve své nákladové struktuře (snadněji překoná období poklesu prodeje či prodejních cen), přičemž jako míra odolnosti může sloužit tzv. provozní páka (procentuální pokles zisku při poklesu prodejů o 1 %). Odolnost firmy zvyšuje také její diverzifikace, a to výrobková, dodavatelská, odběratelská a teritoriální (nejvíce jsou zranitelné firny s úzkým sortimentem, vázané na jednoho klíčového odběratele a dodávající omezenému počtu odběratelů v jednom teritoriu). Flexibilita firmy vyjadřuje její schopnost reagovat pohotově a nákladově efektivně na výskyt rizik. Je závislá především na povaze užívaných technologií a výrobních zařízení (jednoúčelovost či univerzalita), organizační struktuře a systému řízení firmy. Větší konkurenční síla firmy či existence určitých konkurenčních výhod (kvalita vrcholového managementu, rychlost inovací aj.) vytváří příznivější předpoklady pro zvládnutí nepříznivých situací.
Hodnocení rizika má význam především u nových projektů. Mělo by vést k posouzení přijatelnosti či nepřijatelnosti jejich rizika a ovlivnit navazující přípravu opatření na snížení rizika, resp. rozhodnutí o přijetí či zamítnutí projektu. Přijatelnost (nepřijatelnost) rizika nelze obecně vymezit, neboť závisí převážně na charakteristikách projektu a jeho organizačním kontextu.
Opatření na snížení rizika se často dělí na preventivní opatření zaměřená na eliminaci či oslabení příčin rizika a na opatření orientovaná na snížení negativních dopadů výskytu rizik na firmu. Protirizikových opatření existuje velký počet a zahrnují diverzifikaci, transfer rizika na jiné subjekty, pojištění, pečlivý výběr pracovníků a tvorbu účinných kontrolních systémů aj. Pro klíčové rizikové faktory neošetřené preventivními opatřeními je třeba připravit plány korekčních opatření, aby bylo možné zajistit rychlou a efektivní reakci firmy na jejich výskyt (např. havárie výrobních zařízení, výpadek významného dodavatele) nebo využít určité příležitosti (např. jak rychle zvýšit produkci při odchodu významného konkurenta z trhu). Je zřejmé, že příprava a realizace opatření na snížení rizika zvyšuje odolnost firmy a její flexibilitu. Nelze však opomenout ani náklady spojené s realizací těchto opatření.