Een risicoregister is een centraal document of systeem waarin alle geïdentificeerde risico's worden vastgelegd, samen met essentiële kenmerken zoals de risico-eigenaar, waarschijnlijkheid, impact, huidige maatregelen, restrisico en behandelstatus. Het fungeert als de enige bron van waarheid voor het risicolandschap van een organisatie en is een verplicht artefact binnen kaders zoals ISO 27001.
Het bijhouden van een actueel risicoregister stelt het management in staat om middelen effectief te prioriteren en biedt auditors duidelijk bewijs van doorlopende risicogovernance. Regelmatige beoordelingen—doorgaans elk kwartaal of na significante wijzigingen—waarborgen dat nieuwe risico's tijdig worden vastgelegd en dat bestaande risicobeoordelingen de actuele situatie weerspiegelen.