Um risco, num contexto de negócio, é qualquer coisa que ameace a capacidade de uma organização de gerar lucros nos seus níveis alvo; a longo prazo, os riscos podem ameaçar a sustentabilidade de uma organização.
Os riscos de negócio são amplamente categorizados como riscos puros, que são eventos negativos sobre os quais a organização não tem controle, e riscos especulativos, que são efeitos potenciais das ações tomadas e escolhas feitas que podem ter efeitos positivos e/ou negativos. Outro modelo categoriza os riscos de negócio como internos (resultantes de eventos com a organização) e externos (resultantes de eventos que ocorrem fora da organização).
De acordo com a especialista em segurança Shon Harris, uma vez identificado um risco de negócio, uma organização tem quatro opções: transferi-lo, evitá-lo, reduzi-lo ou aceitá-lo.
Programas de análise de risco são projetados para ajudar uma organização a lidar da forma mais eficaz possível com ameaças existentes ou potenciais. The four main elements of risk analysis are:
- Identifying corporate assets and assessing their value.
- Identifying vulnerabilities and threats to the security of those assets.
- Quantifying the probability of those threats and their potential impact on the business.
- Compare the potential economic impact of the threat versus the cost of the countermeasures required to protect the organization from it.
See also: Types of enterprise risk