A identificação e avaliação dos riscos existentes, tanto os reais como os potenciais, compreende a terceira fase do planejamento da segurança empresarial.
A partir da fotografia, diagnóstico dos ambientes internos e externos no qual se ressaltam os pontos fortes e fracos, deve-se projetar qual será o risco que a instituição possui, tendo em vista sua situação, diante da filosofia empresarial existente.
É óbvio que para levantar riscos e assumir quais são os seus reais perigos, a empresa tem que estar focada na sua política de segurança, ou seja, na forma como vai encarar as ocorrências e na maneira como quer gerenciá-las.
A compreensão dos riscos e sua origem, ou seja, o porque da existência de tal perigo, é imperiosa para a eficácia da segurança e consequentemente para a administração e controle da crise. É necessário ter uma avaliação precisa das ameaças, a fim de que possam ser determinadas quais as medidas ou condutas mais indicadas a serem adotadas.
A avaliação dos riscos nada mais é do que saber qual a chance do risco vir a acontecer. Quando a empresa possui um histórico, ou seja possui dados anteriores sobre a ocorrência de determinados riscos pode-se trabalhar com dados objetivos. Neste caso específico a estatística e a média serão muito úteis para que o departamento de segurança embase seu estudo.
Mas na maioria dos casos dos riscos em segurança patrimonial não há um levantamento formal, nem um histórico para que o profissional possa realizar um estudo detalhado. Para que haja um estudo formalizado, existe inúmeros