ความเสี่ยง(Risk)คือสิ่งที่เป็นอันตรายหรือผลเสียหรือข้อบกพร่องหรือโอกาสที่จะเกิดสิ่งเหล่านั้นต่อผู้ป่วย ญาติ เจ้าหน้าที่ โรงพยาบาล ชุมชนและสังคม ในระบบความเสี่ยงนี้ต้องถือว่าคนที่ทำให้เกิดความเสี่ยงหรือข้อผิดพลาดไม่ผิดถ้ารายงานในบัญชีอุบัติการณ์เพื่อจะได้นำข้อผิดพลาด(Error)หรือข้อบกพร่อง(Defect)ที่เป็นความเสี่ยงเหล่านี้มาศึกษาเป็นบทเรียน (Lesson Learned)ซึ่งจะได้นำมาถอดบทเรียนจากความผิดพลาด ทำให้หน่วยงานหรือคนอื่นๆในหน่วยงานไม่ทำผิดพลาดตาม การบริหารความเสี่ยงประกอบด้วย

1)    การค้นหาความเสี่ยง(Risk Identification) พยายามมองหาให้ได้มากที่สุดทั้งการค้นหาเชิงรับโดยเชิงรับแบบรับ(Passive)จากการบันทึกรายงานอุบัติการณ์(Incidence report)ที่เกิดขึ้นเห็นผลชัด เกิดผลเสียแล้วกับเชิงรุก(Proactive)ที่ค้นหา ติดตาม สุ่มดูอุบัติการณ์ที่เกิดแต่ยังไม่ส่งผลเสียต่อใครและการค้นหาความเสี่ยงเชิงรุก(Preventive)สิ่งที่มีโอกาสเกิดแต่ยังไม่เกิดขึ้นจริงจากกระบวนการทำงานต่างๆ จากลูกค้า นำความเสี่ยงเหล่านั้นมาจัดทำบัญชีความเสี่ยง (Risk profiles) 

2)    การประเมินความเสี่ยง(Risk Evaluation) ความเสี่ยงมีจำนวนมาก นำมาแก้ไขปรับปรุงทั้งหมดเลยทีเดียวคงทำไม่ไหวเนื่องจากข้อจำกัดต่างๆ เราก็มาจัดลำดับความเสี่ยง(Priority setting)แล้วนำความเสี่ยงลำดับต้นๆเหล่านั้นมาวิเคราะห์หรือจัดการ

3)    การจัดการความเสี่ยง นำความเสี่ยงเหล่านั้นมาวิเคราะห์หรือจัดการ หากเป็นอุบัติการณ์ก็ต้องทำการแก้ไข(Correction) แก้ไขต้นเหตุ(Corrective Action)รวมทั้งป้องกันต้นเหตุ(Preventive Action)เพื่อไม่ให้เกิดอุบัติการณ์ขึ้น

4)    การประเมินผล(Evaluation) ประเมินระบบการบริหารความเสี่ยงทั้งระบบว่าสามารถครอบคลุมป้องกัน แก้ไข มีระบบรายงานที่เหมาะสม ลดอันตรายและความเสี่ยงหรืออุบัติการณ์ลงได้  ถ้าเกิดอุบัติการณ์ขึ้นต้องดูว่ามีในบัญชีความเสี่ยงไหม ถ้าไม่มีแสดงว่าหน่วยงานค้นหาความเสี่ยงไม่ครอบคลุม ถ้ามีในบัญชีแต่ยังเกิดเป็นอุบัติการณ์ต้องดูว่ามีระบบป้องกันหรือไม่ ถ้าไม่มีต้องวางระบบป้องกัน ถ้ามีระบบป้องกันต้องดูว่าระบบที่วางไว้ดีหรือไม่ หรือดีแต่คนไม่ปฏิบัติตามหรือไม่ จะได้แก้สาเหตุได้อย่างถูกต้อง