Risk Analysis (RA) adalah berfungsi untuk mengetahui level risiko yang mengancam aset kritikal dalam membangun strategi Business Continuity Management (BCM). Jika level risiko tersebut tinggi, maka perlu dilakukan risk tratment agar bila bencana terjadi, aset telah mempunyai ketahanan dalam menghadapi bencana ini.
Perusahaan juga harus menindentifikasi ancaman/threat agar dapat menentukan langkah yang diambil dalam RA, berikut 5 ancaman yang dapat mengancam aset perusahaan:
1.Ancaman Alam (natural) : kebakaran, banjir, badai, gempa bumi, tanah longsor
2. Ancaman Manusia (Human) : bom, sabose, kerusuhan, pencurian
3. Ancaman Keamanan (Security) : serangan internal dan external, virus
4. Ancaman Kegagalan Sistem (System Failure) : server failure, database crash, migration pailure
5. Ancaman Kekuatan dan Komunikasi (Power and Communication) : kegagalan kekuatan dan komunikasi.
Dalam pengembangan Business Continuity Plan response, prosedur dikembangkan atas dasar jika risiko benar-benar terjadi dan critical asset mengalami gangguan (down/rusak). BS ISO/IEC 27001 menetapkan fromework untuk pendekatan risk assessment dan dipilih berdasarkan penguraian elemen-elemen utama dalam proses risk assessment. Apapun pedekatan terhadap risk assessment yang dipilih, perusahaan perlu mengindentifikasikan level risiko yang dianggap dapat diterima. Risk Exposure biasanya dikategorikan dalam High, Medium, dan Low.
Dalam melaksanakan Risk Analysis di lapangan, terdapat banyak permasalahan yang perlu diperhatikan seperti tidak ada data historical yang mencukupi untuk menentukan likelihood (peluang) suatu ancaman, tidak ada ukuran yang pasti untuk menilai vulnerability (kerentanan) seatu aset dan perubahan-perubahan kondisi membuat data historical kadang tidak valid.(**)
