El análisis de riesgos es la ciencia de los riesgos y su probabilidad y evaluación.
La evaluación probabilística de riesgos es una estrategia de análisis habitualmente empleada en ciencia e ingeniería. En una evaluación probabilística de riesgos, los riesgos se identifican y luego se evalúan en términos de probabilidad de que ocurra una consecuencia y la magnitud de una consecuencia potencial.
El análisis de riesgos debe realizarse como parte del proceso de gestión de riesgos de cada proyecto . cuyos datos se basarían en talleres de discusión de riesgos para identificar problemas y riesgos potenciales con anticipación antes de que supongan costos y/o programen impactos negativos (consulte el artículo sobre contingencia de costos para una discusión sobre la estimación de impactos de costos).
A los talleres sobre riesgos debería asistir un grupo grande, idealmente entre seis y diez personas de las diversas funciones departamentales (por ejemplo, director de proyecto, director de construcción , superintendente de obra y representantes de operaciones, adquisiciones, controles [de proyecto], etc.) para que para cubrir cada elemento de riesgo desde diferentes perspectivas.
El resultado del análisis de riesgos sería la creación o revisión del registro de riesgos para identificar y cuantificar los elementos de riesgo para el proyecto y su impacto potencial.
Dado que la gestión de riesgos es un proceso continuo e iterativo, los miembros del taller de riesgos se reagruparían a intervalos regulares y en los hitos del proyecto para revisar los planes de mitigación del registro de riesgos, realizar cambios según corresponda y, tras esos cambios, volver a ejecutar el modelo de riesgos. Al monitorear constantemente los riesgos, estos se pueden mitigar con éxito, lo que resulta en un ahorro de costos y cronograma con un impacto positivo en el proyecto.
La evaluación de riesgos del entorno de tecnologías de la información ha sido objeto de algunas metodologías; La seguridad de la información es una ciencia basada en la evaluación y gestión de los riesgos de seguridad respecto de la información utilizada por las organizaciones para perseguir sus objetivos de negocio. Organismos de normalización como ISO , NIST , The Open Group y Information Security Forum han publicado diferentes estándares en este campo.