风险评估

风险评估（英语：Risk Assessment），是风险管理的一个重要过程。风险评估包括了以下二个工作：

1. 识别及分析对人员、财产或环境可能有潜在危害的事件（危害分析）
2. 在考虑影响因素的情形下，进行“基于风险分析的风险容忍度”的判断（也就是风险评估）^[1][2]。

风险管理国际标准ISO 31000（英语：ISO 31000）定义风险评估的过程为：风险评估是风险识别、风险分析及风险评价的全过程。在ISO 3101“风险管理——风险评估技术”中，明确给出了风险评估过程需要解决的5个基本问题：

1. 现状是什么？可能发生什么（事件）？为什么发生？
2. 产生的后果是什么？对目标的影响有多大？
3. 这些后果发生的可能性有多大？
4. 是否存在可以减轻风险后果、降低风险可能性的因素？
5. 风险等级是否是可容忍或可接受的？是否需要进一步应对？

而表示风险的方法则为：经常用一个事件的后果（包括情况变化）和对应的发生可能性这二者的结合来表示风险。风险的定义已经发生了颠覆性的改造，摆脱了传统管理思维中定义风险为纯损失的模式，从而直接改变风险管理的方式：降低损失，最大化机遇。

应用领域

在所有类型的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性，尤其在涉及到生活，环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外，医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同，在不同行业间和风险评估方法也不同。

审计

主条目：风险评估 (审计)

审计中的风险评估是指审计师为了了解被审计者及其环境而实施的审计程序。审计师根据这些程序获取的审计证据评估重大错报风险。

网络安全（cyber security）

主条目：电脑安全

威胁和风险评估（Threat and Risk Assessment）简称TRA，是风险管理上有关网络攻击的评估。威胁和风险评估会识别网络风险、评估风险严重程度，也会有建议的活动，使风险降到可以接受的水准。

在进行威胁和风险评估时，有不同的方法论（协调TRA方法论^[3]），其中会利用以下的元素：^[4][5][6]识别资产（需要保护的事物）、识别和评估需识别资产的威胁和弱点、确定漏洞的可能被利用的程度、确认漏洞相关风险的程度（如果资产损坏或丢失，会有什么影响）、推荐风险缓解计划。

相关条目

• 风险
• 风险因子
• 可接受的损失（英语：Acceptable loss）
• 福利不足（英语：Benefit shortfall）
• 控制自我评估（英语：Control self-assessment）
• 成本超支（英语：Cost overrun）
• 数位延续性（英语：Digital continuity）
• 谨慎责任
• Edwards v National Coal Board（英语：Edwards v National Coal Board）
• 极端风险
• 环境影响评价
• 洪水风险评估（英语：Flood risk assessment）
• 696表格（英语：Form 696）
• 全球灾难危机
• 危害（英语：Hazard）
• 危害分析
• 危害分析重要管制点（HACCP）：有关食物的风险管理
• 健康影响评估（英语：Health impact assessment）
• 水平扫描（英语：Horizon scanning）
• 信息保障
• 审计相关条目目录（英语：Index of auditing-related articles）
• ISO 28000（英语：ISO 28000）
• ISO 31000（英语：ISO 31000）
  • ISO/IEC 31010（英语：ISO/IEC 31010）
• ISSOW（英语：ISSOW）
• 风险评估中的网络理论（英语：Network theory in risk assessment）
• 职业接触带（英语：Occupational exposure banding）
• 乐观偏误
• PIMEX（英语：PIMEX）
• 几率性风险评估（英语：Probabilistic risk assessment）
• Probit模型（英语：Probit model）
• 专案风险管理
• 参考分类预估（英语：Reference class forecasting）
• 可靠度工程
• 定性风险分析
• 风险基准的审计（英语：Risk-based auditing）
• 风险管理工具（英语：Risk management tools）
• 风险矩阵（英语：Risk matrix）
• 安全工程
• 统计风险（英语：Statistical risk）
• 规划谬误