Evaluare sistematica a riscurilor la care este expusa o organizatie. Prima etapa consta in identificarea amenintarilor la care este expusa organizatia, apoi se estimeaza probabilitatea de materializare pentru fiecare amenintare, precum si efectul pe care il poate avea asupra activitatilor organizatiei. Fiecarui risc i se asociaza o valoare a probabilitatii de manifestare (cat de des apare in mod normal riscul respectiv intr-un an), apoi se estimeaza cat de grav este impactul asupra organizatiei (niveluri de gravitate). Produsul valorilor din aceste doua coloane reprezinta probabilitatea de pierdere cauzata de riscul respectiv.
De exemplu, sa presupunem ca folosim o scara cu 3 niveluri, pe care probabilitatea riscului este de 3, iar impactul (severitatea) este 2. In acest caz, nivelul de risc este 6 (3 x 2), deci avem de-a face cu un risc mediu.
Pe baza acestor date se determina care riscuri trebuie abordate cu prioritate si ce resurse sunt necesare pentru aceste masuri. Este posibil ca organizatia dvs. sa fie supusa unui risc de mare gravitate, dar a carui probabilitate de aparitie este mica (riscuri catastrofice), deci sa aiba un nivel mediu. Pe de alta parte, unele riscuri cu gravitate mica pot sa se manifeste des, astfel incat efectul lor cumulat sa fie mare.
