Dem Risiko steht meist eine Chance gegenüber, welches ein positives Ergebnis in Aussicht stellt. Das Risiko eines Geschäftsvorhaben setzt sich aus zwei Hauptkomponenten zusammen: Der Wahrscheinlichkeit, dass ein Schadensereigniss Bei einer Risikoanalyse sollen alle Gefahrenquellen erfasst werden, auch wenn sie nicht im Einflussbereich des Unternehmens liegen. Die Kosten der zu treffenden Maßnahmen und der dadurch erzielte Sicherheitsgewinn werden ermittelt um diese in das Angebot einfließen lassen zu können.
Bei der Risikoanalyse werden die Bedrohungen anhand von Bedrohungskatalogen sowie Intelligence sowie Schwachstellen im Unternehmen identifiziert. Im zweiten Schritt werden die Auswirkungen einer eintretenden Bedrohung Identifiziert und Bewertet. Durch diesen Ansatz können Gefahren rechtzeitig erkannt und folgerichtlich behandelt werden, um eine existenzbedrohende Situation abzuwenden.
Die Methoden der Risiko-Einschätzung setzten sich aus der Qualitativen und der Quantitativen Risiko-Einschätzung zusammen. Bei der Qualitativen Risiko-Einschätzung werden die Auswirkungen und Wahrscheinlichkeiten von Schadensereignissen verbal beschrieben, bei der Quantitativen Einschätzungen werden numerische Werte angegeben. Die Qualitative Risiko-Einschätzung eignet sich als Startpunkt, mit diesem Ansatz können die wichtigsten Risiken rasch Identifiziert werden. Die Qualitative Methode kommt nur dann zum Einsatz, wenn vernünftige, geeignete und belastbare Daten zur Verfügung stehen. Häufig ist „besser richtig qualitativ als falsch quantitativ“ die vernünftige Lösung.
Eine Risikoanalyse von der Stange gibt es nicht, auch wenn die Hinzuziehung von Standards zur Risikoanalyse und Risikomanagement hilfreich sind. Hierzu zählen ISO 3100, welches ein Rahmenwerk zur Einführung eines Risikomanagementsystems darstellt. Der britische Standard BS 25999 ist auch bei der Erstellung von Risikoanalysen und Risikomanagement hilfreich – er zielt in erster Linie auf betriebliches Kontinuitätsmanagement in Krisensituationen ab. Schließlich ist auch der österreichische Standard ONR 49000 bei der Umsetzung von ISO 3100 hilfreich.
Eine an die Situation und an das Unternehmen orientierte Risikoanalyse ist von entscheidender Bedeutung bei der Minimierung von Risiken, ohne die Erkennung und Bewertung von Risiken innerhalb und außerhalb des Unternehmens ist ein effektives Risikomanagement nicht möglich. Gerade der Einsatz in Schwellen und Entwicklungsländer kann sehr schnell zum Fiasko werden wenn nicht im Vorfeld die Risiken identifiziert werden und geeignete Maßnahmen zur Risikominimierung getroffen werden.