Risikostyring er et sett av aktiviteter for å styre og kontrollere risiko. De kalles ofte «risikostyringsprosessen», men aktivitetene er ikke nødvendigvis sekvensielle. De ulike aktivitetene kan i hovedsak være foranlediget av hvilken som helst av de andre aktivitetene.
De mest anerkjente referansene er rammeverket COSO ERM og standarden ISO 31000. Aktivitetene i risikostyringsprosessen er i hovedsak de samme aktivitetene som i en internkontrollprosess når internkontroll forstås som styring og kontroll. Dette er slik internkontroll benyttes både i eForvaltnignsforskriften § 15 og mye annet offentlig regelverk. Risikostyring og internkontroll brukt på denne måten betyr dermed i hovedsak det samme.