Processo mediante o qual os riscos identificados de uma organização são ordenados, analisados, qualificados e/ou quantificados, utilizando-se um determinado critério, com a finalidade de compreender sua natureza, determinar sua probabilidade de ocorrência e suas possíveis consequências.