De kans dat een risico zich voordoet rekening houdende met de bestaande controlemaatregelen. Als een organisatie controlemaatregelen heeft genomen om een risico te beheersen dat inherent is aan een doelstelling, zouden andere risico’s kunnen opduiken die kunnen beletten dat de doelstelling wordt gehaald. Die nieuwe risico’s noemt men restrisico’s.