Zarządzanie ryzykiem w grupie kapitałowej nie jest procesem linearnym. To mechanizm cykliczny. Stabilność organizacji zależy od ciągłej płynności przejść między sześcioma fazami. Punktem wyjścia jest Identyfikacja. Bez precyzyjnej taksonomii zagrożeń, system pozostaje ślepy. Nienazwane ekspozycje mają tendencję do niekontrolowanej eskalacji. Następnie następuje Pomiar i ocena. Kwantyfikacja jest tu niezbędna. Jednak same algorytmy bywają zwodnicze. Modele matematyczne wymagają korekty o osąd ekspercki. Liczby bez kontekstu to tylko szum.
Po zdiagnozowaniu skali zjawiska, organizacja musi sformułować Odpowiedź. Możliwości są ograniczone: mitygacja, transfer lub świadoma akceptacja. Bierność jest błędem operacyjnym. Zmienność otoczenia wymusza z kolei Prognozowanie i monitorowanie. Statyczne założenia szybko tracą ważność w dynamicznej gospodarce. Ciągła obserwacja jest imperatywem. Zgromadzone dane zasilają proces Raportowania. Kluczowa jest tu przejrzystość, a nie objętość. Należy redukować asymetrię informacyjną. Całość wieńczą Działania zarządcze (czyli przegląd procesu). To moment wdrożenie zmian resetuje układ. Pętla zarządzania ryzykiem w tym momencie rozpoczyna się od nowa.
Poniżej zaprezentowano cykl zarządzania ryzykiem a nastepnie każdy z elementów opówiono szerzej stosując niektóre metody zarządzania ryzykiem. Jest to standardowy proces obecny w wielu programach takich jak PRM (Professional Risk Manager).