ويعتبر تحليل الخطر أحد الجوانب الرئيسة في إدارة الخطر؛ وهو يعني تحديد وتقييم مصادر الخطر ومسبباته. وتمتلك مايكروسوفت برنامجًا لتحليل الخطر مبنيًا على عالمية الخطر"Universe of Risk"، ويشمل اثني عشر مصدرًا أوليًا للخطر وهي: شركاء الأعمال - المنافسة - العميل - التوزيع - التمويل - التشغيل - الجمهور - الظروف السياسية - اللوائح والتشريعات القانونية - الشهرة - خطر الاستراتيجيات والتقنية، ويتم تقييم كل منتج جديد أو استراتيجية عمل جديدة لمايكروسوفت اعتمادًا على عوامل الخطر هذه، على سبيل المثال كانت مايكروسوفت عام 1995 تستعد لإجازة لوحة مفاتيح Keyboard مبتكرة للإنتاج، مضيفة نسبة من الضريبة على كل وحدة منتجة، وقبل إصدار العقد أظهر تحليل الخطر احتمالية التعرض للإصابة أو الأذى أثناء الاستخدام بشكل متكرر، وهو ما لم يؤخذ في الحسبان من قبل أقسام التصنيع والتسويق، مما دعا الشركة إلى تعديل الضريبة للتأمين لمواجهة إمكانية أن تضطر للدفاع عن تصميم لوحة المفاتيح عند اتخاذ الإجراءات القانونية ضدها، ... فإذا تم تحديد مصادر الخطر ومسبباته ثم تحليل الخطر وقياسه يمكن اقتراح وتطبيق استراتيجيات معينة لتخفيض درجة الخطورة، فإذا أظهر تحليل الخطر ارتفاع مستوى درجة الخطورة من حيث حجم الخسارة المتوقعة وكذلك احتمال حدوث الخسارة يصبح من الضروري اتخاذ كافة الإجراءات اللازمة والسياسات الممكنة لمنع حدوث ذلك الخطر، على سبيل المثال، يمكن لأحد قراصنة الكمبيوتر مهاجمة موقع إحدى الشركات على شبكة الإنترنت بسهولة، ويمكن أن يكون لذلك تأثيرًا سلبيًا ملحوظًا على سمعة الشركة وقدرتها على القيام بأعمالها، عندئذ يمكن لمدير إدارة الخطر وضع استراتيجيات منع الخطر موضع التنفيذ. وفي المقابل إذا كانت قيمة الخطر مرتفعة من حيث حجم الخسارة المتوقعة ولكن احتمال حدوثها منخفض، عندها ينصح القيام بإجراءات التأمين أو اتخاذ الاحتياطيات المناسبة. على سبيل المثال، قد يكون لخسارة أحد الموردين الرئيسيين للمؤسسة أثرًا كبيرًا على عملياتها، ولكن احتمالية حدوث ذلك ضئيلة لذلك يصبح من الأهمية بمكان اتخاذ إجراءات احتياطية مثل إصدار عقود طوارئ لموردين ثانويين، ومن تحليل الخطر أيضًا يستنتج مدير إدارة الخطر كيفية إيجاد توازن بين تكاليف استراتيجيات تخفيض الخطر والمزايا التي يمكن تحقيقها من وراء تنفيذ هذه الاستراتيجيات. ويمكن القول ببساطة أن حجم تكاليف إدارة الخطر والمخصصة لخفض التهديد المتوقع يجب ألا تتجاوز قيمة الشيء الذي تتم حمايته من الخطر، فعلى سبيل المثال: يجب أن يكون مديري أقسام أمن وحماية المعلومات قادرين على تبرير كل من تكاليف إجراءات الأمن .. وكذلك عدم رضا المستخدم .. وذلك في ضوء احتمال تكرار المهاجمات على موقع الشركة والخسارة المتوقعة نتيجة تنفيذ إحدى هذه الهجمات، وقد يصل الأمر إلى حد إقامة جدار ناري (Fire Wall)