Restrisico is het risiconiveau dat overblijft nadat alle geïdentificeerde maatregelen en mitigerende acties zijn toegepast. Geen enkele beheeromgeving kan risico's volledig elimineren, waardoor restrisico de blootstelling vertegenwoordigt die een organisatie bewust accepteert. Het wordt berekend door het oorspronkelijke risiconiveau te verminderen met de effectiviteit van geïmplementeerde maatregelen.
Inzicht in restrisico is essentieel voor weloverwogen besluitvorming door het senior management. Als het restrisico de vastgestelde risicobereidheid van de organisatie overschrijdt, moeten aanvullende maatregelen worden geïmplementeerd of moet het risico worden overgedragen, bijvoorbeeld via een verzekering. Het documenteren van restrisico in het risicoregister waarborgt doorlopende zichtbaarheid en maakt periodieke herbeoordeling mogelijk.