Das Risikomanagement übernimmt in Unternehmen das Management von Unternehmensrisiken durch deren Risikoidentifikation, Risikoanalyse, Risikoquantifizierung, Risikoaggregation, Risikobeurteilung, Risikobewertung, Risikokommunikation und abschließende Risikobewältigung.
Werden Risiken wahrgenommen, muss in der nächsten Stufe eine Risikoidentifikation, danach eine Risikoanalyse, Risikoquantifizierung, Risikoaggregation, Risikobeurteilung und schließlich eine Risikobewertung vorgenommen werden.
Risikoaggregation () ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
Um die Maßnahme im Gesamtkontext des Unternehmens zu untersuchen, muss die Veränderung des Ertrag-Risiko-Profils des Unternehmens inklusive der Entscheidung mittels der Risikoaggregation untersucht werden.
Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation).
Das Unternehmensrisiko findet zunächst in der Volatilität des Ergebnisses (Gewinn oder Verlust) seinen Niederschlag, die durch statistische Analysen oder zukunftsorientiert mittels Risikoaggregation bestimmbar ist.
Die Beurteilung des betrieblichen Gesamtrisikos durch Risikoaggregation ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreicht, um alle Risiken auch künftig decken zu können.
Das Risikocontrolling analysiert und beobachtet Risiken, denen ein Unternehmen ausgesetzt ist (siehe zu den Aufgaben Risikoanalyse und Risikoaggregation).