Risiko blir oftest uttrykt som kombinasjonen av konsekvens og tilhørende sannsynlighet ved hendelser som kan påvirke måloppnåelse. Det har frem til nylig vært vanlig å bare fokusere på negative konsekvenser, dvs. at virksomheten ikke når målet. De fleste metoder og verktøy for risikovurdering har denne tilnærmingen.
I de siste ISO-standardene blir også mulige positive konsekvenser inkludert i risikobegrepet. Risiko handler da om usikkerhet rundt måloppnåelse generelt. Usikkerheten kan være påvirket av både trusler og muligheter og dermed gi både negative og positive resultat i forhold til målet. Noen mål er utformet slik at resultatet bare kan være 100% måloppnåelse eller dårligere. Risikoen vil ved slike mål alltid være negativ. Andre mål er utformet slik at virksomheten kan få resultat som både er bedre eller dårligere enn målet. Risikoen kan da være både positiv og negativ. Det finnes per i dag ikke noen godt utbredte metodikker og verktøy for å håndtere dette i praksis.
En utvidelse som imidlertid har fått noe praktisk utbredelse er å beskrive hvor usikre en er på fastsettelsen av risikoens størrelse, dvs. usikkerheten ved anslagene for sannsynlighet og konsekvens. Dette kalles gjerne kunnskapsstyrke. Kunnskapsstyrken blir uttrykt for å synliggjøre til beslutningstaker at det er ulik grad av usikkerhet knyttet til de konsekvens- og sannsynlighetsnivåene ulike risikoer blir estimert til. Det blir deretter opp til beslutningstaker, med basis i eventuelle føringer fra ledelsen, hvordan de skal ta hensyn til slike ekstra usikkerhetsuttrykk i kombinasjon med de mer tradisjonelle konsekvens- og sannsynlighetsfremstillingene.
I noen fagmiljø, f.eks. innen samfunnsøkonomiske analyser, fokuseres det fortsatt kun på negative effekter når de snakker om risiko. Risiko blir da motpol til muligheter og analysen som omfatter begge kalles ofte usikkerhetsanalyse i stedet for risikoanalyse.
Trenden i de fleste miljøer for virksomhetsstyring og internkontroll er at virksomheten må vurdere både negative og positive konsekvenser, både trusler og muligheter eller både risiko og muligheter, avhengig av hvilken terminologi fagmiljøet bruker. Forskjellene er derfor mer på terminologi enn av praktisk betydning.
Det er viktig at virksomhetene klarer å harmonisere risikoarbeidet på tvers av fagområder i egen virksomhet.