Kurumsal Risk Yönetimi sürecinin tam kapsamlı danışmanlığı yerine sadece risk belirleme ve analiz ile sınırlı danışmanlık hizmeti ihtiyacı karşılanmaktadır.
Kurumsal risklerin belirlenmesi ve analizi Kurumsal Risk Yönetimi’nin (KRY) temel taşlarından biridir. Kurumsal risklerin belirlenmesi ve analizinde kullanılacak olan yöntemler hem ISO 31010 Risk Belirleme ve Değerlendirme Teknikleri standardına uyumlu olarak hem de kuruluş ihtiyaç ve imkanlarını gözeterek uygulanır. Çalışmalar kuruluşun belirleyeceği kapsam özelinde kullanılacak yöntemlerin onayı ile başlar. Çalışmalar belirlenen kapsamın paydaşlarının katılımı ile yapılmalıdır.
Kurumsal risk belirleme adımı için kuruluşun ihtiyaç ve imkanlarına göre farklı yöntemler kullanılabilir. Bunlar arasında beyin fırtınası, bire bir veya çoklu görüşmeler, grup çalıştayları, çeklistler, senaryo analizi gibi yöntemler yer almaktadır. Birden fazla yöntem kullanılması mümkün olsa da odağın kaybedilmemesi adına sınırlı bir sayıda yöntemin uygulanması önerilir. Bu adımda amaç belirlenen kapsamda şirketin önceliklerini etkileyebilecek risklerin, bunların kaynaklarının ve sonuçlarının belirlenmesidir.
Kurumsal risk analiz adımı için yine kuruluşun ihtiyaç ve imkanlarına göre farklı yöntemler kullanılabilir. Bunlar arasında kök neden analizi, karar ağacı analizi, papyon analiz (bowtie) gibi yöntemler yer almaktadır. Bu adımda tek yöntem ile ilerlenmesi daha çok önerilir. Amaç bir önceki adımda belirlenen risklerin, bunların kaynaklarının ve sonuçlarının olasılıklarının, etki boyutlarının ve nihai risk seviyelerinin ortaya konmasıdır. Bu adımda kuruluş iç kontrol ortamındaki risk yönetim mekanizmalarının etkinliğinin analize dahil edilmesi daha kapsamlı bir analiz imkanı sağlar.
Belirlenen kapsamda şirketin önceliklerini etkileyebilecek risklerin belirlenmesi, bunların kaynak ve sonuçlarının da belirlenmesi, bu kaynak ve sonuçların hem olasılık hem de etki boyutlarının ortaya konması ve nihayetinde risklerin seviyelerinin hesaplanması ile çalışma tamamlanmış olur.