​​Bu, hem olumsuz etkileri (gelir hedeflerinde azalma veya itibarın zedelenmesi gibi) hem de olumlu etkileri (yeni ürünler veya maliyet tasarrufuna yönelik girişimler için gelişen pazar gibi fırsatları) içermektedir.

​Şirketlerin bu riskleri yönetmeleri ve fırsatlardan faydalanabilmeleri için sistematik olarak kurumsal risk yönetimini uygulamaları gerekmektedir.

Bu amaçla COSO Kurumsal Risk Yönetimi Çerçevesi’nin beş bileşenine uygun olarak;

1. Sürdürülebilirlik riskleri için yönetişim ve kültür
Yönetişim ve kültür, kararların alınma şeklini ve bu kararların nasıl yürütüldüğünü belirler. Kurumsal Risk Yönetimi’nin (KRY) sürdürülebilirlik risklerine uygulanması, yönetim kurulunun ve üst yönetimin bu riskler konusundaki farkındalığını artırmayı ve sürdürülebilirlik konularında risk yönetiminden sorumlu kişiler arasında bir iş birliği kültürünü desteklemeyi kapsar.
​
2. Sürdürülebilirlik riskleri için strateji ve hedef belirleme
Tüm kurumların doğa ve toplum üzerinde etkileri olduğu gibi doğaya ve topluma bağımlılıkları da bulunur. Bu nedenle, iş ortamının, stratejinin ve hedeflerin güçlü bir şekilde anlaşılması, tüm KRY faaliyetleri ve risklerin etkin yönetimi için bir çıpa görevi görür. KRY’nin sürdürülebilirlik risklerine entegre edilmesi, kısa, orta ve uzun vadede bu etkileri ve bağımlılıkları anlamak için değer yaratma sürecini incelemeyi kapsar.
​
3. Sürdürülebilirlik riskleri için performans
​
a) Riski tanımla: 
Kurumlar, sürdürülebilirlik risklerini belirlemek için megatrend analizi, SWOT analizi, etki ve bağımlılık haritalaması, paydaş katılımı ve sürdürülebilirlik önceliklendirme analizleri gibi birden fazla yaklaşım kullanır. Bu yaklaşımlar sürdürülebilirlik konularının, risklerin bir kurumun strateji ve iş hedeflerine giden yolda ne gibi tehditlerle karşılaşabileceğinin belirlenmesine yol gösterir. Risk yönetimi ve sürdürülebilirlik uzmanları arasındaki iş birliği ile sürdürülebilirlik riskleri de risk envanterlerinde yer bulur ve bu sayede uygun bir şekilde değerlendirilir ve yanıtlanır.
​
b) Riskleri değerlendir ve önceliklendir:
​
Kurumlar sınırlı kaynaklara sahiptir, bu nedenle kurum genelinde tanımlanan tüm risklere eşit şekilde yanıt veremeyebilirler. Bu nedenle risklerin önceliklendirmesi gerekir. Sürdürülebilirlik risklerinin KRY bakış açısıyla ele alınması, risklerin ciddiyeti ifade edilirken kullanılacak dili ve yönetimin konuyu nasıl önceliklendireceğini de kapsar. Sürdürülebilirlik konusundaki uzmanlıktan yararlanmak, yeni beliren veya daha uzun vadeli sürdürülebilirlik risklerinin göz ardı edilmesini engellemek, bunun yerine uygun şekilde değerlendirilmesini ve önceliklendirilmesini sağlamak için kritik önem taşır.
​
c) Risk yanıtlarını uygulamaya koy:
​
Bir kurumun belirlenen risklere nasıl yanıt verdiği, nihayetinde kurumun uzun vadede değeri ne kadar etkili bir şekilde koruduğunu veya yarattığını belirleyecektir. Bir riskin kaynağını ve her bir yaklaşımın maliyet ve faydalarını dikkate alan yenilikçi ve iş birliğine dayalı yaklaşımları benimsemek, bu yanıtların başarısını artırır.
​
4. ESG riskleri için gözden geçirme ve revizyon
​
KRY faaliyetlerinin gözden geçirilmesi ve revizyonu, faaliyetlerin etkinliklerini değerlendirmek ve gerektiğinde yaklaşımları değiştirmek için kritik öneme sahiptir. Kurumlar, risk tanımlama,
değerlendirme ve yanıtlamaya yansıtılması gereken değişiklikler hakkında yönetimini uyarmak üzere özel göstergeler geliştirebilir. Bu bilgiler farklı iç ve dış paydaşa raporlanır.
​
5. ESG riskleri için bilgi, iletişim ve raporlama
​
Sürdürülebilirlik risklerinin KRY bakış açısıyla ele alınması, riske dayalı karar vermeyi desteklemek için risk sahiplerine kurum içinde ve dışında paylaşılacak ve raporlanacak en uygun bilgileri danışmayı da kapsar.
 
Risk Yanıtları
​
Şirketler riskleri tanımladıktan, değerlendirdikten ve önceliklendirdikten sonra bu risklere yanıtlarının ne olacağını belirlemek durumundadır. Bu noktada yönetim, tanımlanan tüm riskler için bir risk cevabı seçer ve uygular. COSO KRY Çerçevesine göre, risk cevapları seçenekleri aşağıdaki gibidir;
 
Kabul et:
Riskin şiddetini değiştirmek için herhangi bir aksiyon almamak, olduğu gibi kabul etmek. Bu cevap, strateji ve iş hedeflerine yönelik risklerin, risk iştahı dâhilinde olduğu ve daha şiddetli hâle gelme olasılığının bulunmadığı durumlarda uygundur.
​
Kaçın:
Riski ortadan kaldırın. Kurulumların belirli sürdürülebilirlik risklerine karşı sıfır toleransı olabilir, bu da onları riskten tamamen kaçınmaya yönlendirir.
​
Azalt:
Riskin şiddetini azaltmak için aksiyon alın. Kurumlar genellikle bu aksiyonu, riskin şiddeti risk iştahından daha yüksek olduğunda devreye alırlar. Kurumlar, sürdürülebilirlik konuları için bir miktar riski kabul edebilir ve ardından kalan riski, risk iştahı dâhilinde düşürmek için riski azaltma faaliyetleri uygulayabilir.
​
Paylaş:
Riskin bir kısmını devretmek veya harici iş birlikleri geliştirmek. Sürdürülebilirlik risklerinin paylaşılması, tek bir kurumun yönetemeyeceği kadar büyük veya karmaşık ESG risklerinin tekil şirketler üzerindeki bazı risklerini ortadan kaldırabilir. Riske karşı sigorta yaptırılması en iyi risk paylaşma örneğidir. Ayrıca, belirli risklere, bireysel yerine kollektif olarak verilen cevaplar; diğer işletmeler, meslek kuruluşları, hükümetler, STK'lar, düzenleyiciler, tedarikçiler, müşteriler, topluluklar ve hatta rakiplerle sektöre veya konuya özel bir iş birliğini içerir.
​
Faydalan:
Riskleri fırsatlara çevirmek. Risk yanıtları genellikle değeri korumaya odaklanır, ancak çoğu durumda sürdürülebilirlik risklerine yanıt vermek kurumlar icin yeni degerler yaratabilir. Risk oluşturabilecek bir sürdürülebilirlik konusu, yaratıcı yaklaşımlar sayesinde fırsat olarak değerlendirilebilir.