A apetência pelo risco é o risco total que a organização pode suportar num determinado perfil de risco, normalmente expresso de forma agregada. Em contrapartida, a tolerância ao risco é o nível de risco que uma organização pode aceitar por risco individual; a tolerância ao risco está relacionada com a aceitação dos resultados do risco, caso ocorram, e com a existência dos recursos e controlos adequados para absorver ou "tolerar" o risco em causa, expressa em critérios de risco qualitativos e/ou quantitativos. Por outro lado, a apetência pelo risco está relacionada com a estratégia a longo prazo do que é necessário alcançar e com os recursos disponíveis para o fazer, expressa em critérios quantitativos.