Inherent risico is het risiconiveau dat bestaat in een proces, systeem of activiteit voordat er mitigerende beheersmaatregelen, waarborgen of tegenmaatregelen worden toegepast. Het vertegenwoordigt de ruwe, ongecontroleerde blootstelling waarmee een organisatie wordt geconfronteerd door een bepaalde dreiging en wordt bepaald door factoren zoals de waarschijnlijkheid dat de dreiging optreedt en de potentiële impact als deze zich materialiseert. Inherent risico is een fundamenteel concept in risicobeoordelingsmethodologieën die worden gebruikt in alle belangrijke compliance-frameworks.
Het begrijpen van inherent risico is essentieel voor effectief risicobeheer omdat het de baseline biedt waartegen de effectiviteit van beheersmaatregelen kan worden gemeten. Door inherent risico (vóór controls) te vergelijken met restrisico (na controls), kunnen organisaties de risicoreductie kwantificeren die door hun controleomgeving wordt bereikt, gebieden identificeren waar aanvullende maatregelen nodig zijn en weloverwogen beslissingen nemen over risicoacceptatie, -overdracht of verdere mitigatie in lijn met hun risicobereidheid.