Zur Ableitung von angemessenen Steuerungsmassnahmen können identifizierte Risiken untersucht und bewertet werden. Ziel der Risikoanalyse ist die qualitative Beurteilung beziehungsweise quantitative Messung der Risiken, umdas Risikoportfolio des Unternehmens abzubilden.
Bei der Diskussion zur Risikoidentifikation sollten alle Punkte dokumentiert werden, ohne dass es bereits zu einer Bewertung und Vertiefung kommt. Dies erfolgt erst im nächsten Schritt des Risikomanagements, der Beurteilung von Eintrittswahrscheinlichkeit und Schadenshöhe. Aus diesem Grund macht es ebenfalls keinen Sinn schon in dieser Phase mögliche Risiken als nicht relevant auszugrenzen.
Dabei sollten die Wirkungszusammenhänge einzelner Risiken berücksichtigt werden. In dieser Phase werden die Ursachen, Fehlvorgänge und/oder Risiken transparent gemacht und ihre Wirkungen bewertet. Um die mögliche Auswirkung zu quantifizieren, werden Risikoausmaß (Schadenpotential) und Eintrittswahrscheinlichkeit betrachtet.