风险评估是识别与分析为达成营运、财务报道与遵循目标的风险，用以构成决定该如何管理这些风险方法的基础。风险识别是指对有可能破坏达成控制目标的事物的识别。风险分析主要包括评估风险发生的频率；如果风险即将发生，则预估潜在冲击并考虑定性与定量成本；决定应如何管理该项风险及应采取的必要措施。

（一）目标确认

进行风险评估，首先应进行目标确认。目标应视评估的目的而定。目标有广义的营业目标，也有明细的作业目标；有涵盖的整体目标，也有各层级的目标。进行控制目标确认，主要考虑目标与单位经营的连结、整体目标与层级目标的一致性以及目标的恰当性、明确性和稳定性。目标确认必须以书面形式表达。

（二）风险识别

所谓风险，是指可能破坏达成目标的事物。营业风险一般是指那些可能出错的事。而曝险则是风险造成的冲击，如营业收入损失、顾客不满意等。风险评估主要是指固有风险的评估。应在目标确认的基础上进行风险识别，即识别实现目标的过程中可能会遭遇的风险。

风险识别应从因果两个方面去进行分析。如果不找出风险发生的原因，就无法判定风险发生或频率，也无法找出预防风险的方法；如果不知道其结果，就无法判定风险的重大性，或该用多少资源来控制风险。

进行风险识别，首先应分析单位可能面临来自哪些方面的风险。

单位所面临的外部风险，一般有竞争者、主管单位、环保、卖方／供应商、政治、购并、大众媒体、能力、灾害、可用资本等。

单位所面临的内部风险，一般有技术的可能性、正确／完整、机密、效率等；人力资源的可用性、能力、发展、安全、正直诚信、沟通、领导统御、授权、奖赏等；财务的利率、市场、货币、清偿、对方、征信／集中、诱导等；财务／法规／管理报告方面的存在性、完整性、正确性、所有权、揭露、评价等；营运的顾客满意、遵守、营业中断、产品开发、品牌形象、第三者供应商、营销／广告、事业绩效管理、联盟、经销等；策略的策略、资源分配、交叉事业问题等。

为了更好地识别风险，应注意下列问题：

①哪些地方会出错？

②我们可能会失败的方式有哪些？

③若要成功，我们必须采取哪些正确的措施？

④我们的弱点在哪里？

⑤有哪些资产需要我们保护？

⑥我们是否拥有流动资产或具有不同用途的资产？

⑦部门可能遭窃的方式有哪些？

⑧部门的营运可能遭到他人中断的方式有哪些？

⑨我们如何知道是否已达成我们的目标？

⑩我们最依赖的资讯是什么？

我们最大的开销是什么？

我们用来开立账单与收账的方法是什么？

最需要高度判断的决策有哪些？

有哪些活动性质最复杂？

有哪些活动受到法规规范？

我们最大的合法性曝险是什么？

最为重要的是全面识别风险，即针对部门层级与作业或过程层级的营运、财务报道与遵守目标，并考虑内部与外部风险因素。一般地，每个目标都可识别出数项风险。

（三）或然率／重大性判定

是指每一种风险发生的或资本（L）以及其可经判定为高度、中度或低度风险的重大显著性（S）。经评等为双高（资本高、重大性高）的风险，当然要进一步进行分析；经评等为双低（资本低、重大性低）的风险，则可以不必考虑。其他的风险是否需要进一步分析，要看评估人员如何界定实质风险性。

或然率／重大性的界定主要通过风险分析的方法进行确认。风险分析将一种风险区分为三个层面。(www.daowen.com)

（1）风险原因：引起曝险事件发生的人或事。这可能为某一类型的人，如员工或外人；也可能是事件，如火灾、水灾；或者可能是未采取适当的行动。

（2）风险性质：风险或曝险的类型。最好的表达方式是实际发生的事情，如舞弊、盗窃、资料损失等。西欧一些企业把风险划分为8种类型，如财务资讯与准度、财务管理与结果、法律与规章遵行、授信品质、内部舞弊与越权、犯罪与外部舞弊、系统／营业、管理等。把控制标准分为13类，如人、组织、政策、程序、组织安全保障、系统／资料安全保障、实体安全保障、资料质量核对、财务资讯／正确性检查、资产／完整性检查、记录、管理／例外报告和外部控制。

（3）风险后果：潜在风险转变成实际曝险的逻辑结果。

（四）控制项目

对各项风险的控制皆应列示，包括硬性与柔性的控制项目在内。在实际评估中，应区别不同作业细项，列出其控制目标、存在风险及控制措施。

以分析与调节作业为例，其控制目标是：

①将实际营业结果与预定的标准相比较，并确认差异、趋势或不寻常改变是否发生及其发生原因；

②调节账簿与实际记录，确保相关资料及记录与事实相一致。

分析与调节作业中的风险有：

①尚未制定明确的标准；

②预设标准资讯缺乏或不正确。

分析与调节作业中的控制措施是：

①定期制定营业标准，如制定年度预算与各季、各月预算等。

②说明用以辨认并解释差异、趋势或不寻常改变是否发生所需的资讯。

③设计可用来及时沟通必要资讯的相关人员的资讯系统。

（五）适当性评估

评价人员在决定抽查哪几个控制项目之前，应先对各项风险控制的设计适当性进行评估。所谓适当性评估，就是根据所设计的控制作业，分析其是否能有效地防范风险而达到控制目标，如果能，就可以认定控制作业是合适的；否则，就是不合适或不完全合适，在结论中就应说明理由。

（六）有效性抽查

如果对于一种风险的控制未经适当地设计，评价人员一般不再查核而直接进入报告阶段。如果控制适当的话，评价人员仍需要对控制作业的有效性进行抽查，即查明主要控制事实上是否如预期一般运作。有效性抽查一般是通过观察、查阅及重做等传统交易抽查技术完成的，或者在遇到柔性控制时使用访谈或员工调查的方式。有效性抽查结果一定要记入工作底稿。

评价人员如要验证价值观是否已开诚布公的问题，应借助观察办公室并询问员工和管理层是否以文字与行为来表达价值观，并且能接纳员工的反映意见。

评价人员如要验证管理层是否适当地处理偏离既定政策的行为，应借助与管理层检讨最近发生的事件，询问他们所采取的特定行动，以及必要时借助复查人事档案或与员工面谈的方式确认他们的说法。

（七）管理风险

在风险评估思考过程中，最后一个步骤为风险管理，以利于使用它作为设计新过程的控制。管理风险的主要方法是：

（1）避险。如果风险过大，就不宜承担，应当给予回避，或者使用一种消除风险的方式修改作业过程，以回避风险。

（2）接受现有的程度。如果属于中度或低度风险，可以保持现状，以接受风险。

（3）减量至可接受程度。如果无法和平共处，就需要设计控制将风险减量至一个可接受的程度。

（4）转嫁。通过购买保险、签订协约等措施，将部分风险转嫁给另外一方。

（5）平衡风险。管理层为了达到目标，需要有效地平衡风险与控制，以获得“合理的保证”。由于平衡方式与财务及遵行目标有关，若失衡，则会出现过度风险与过度控制。过度风险会造成资产、捐赠或补助款损失、营业决策不良、未遵行法律规章、过度控制会造成官僚主义抬头、生产力降低、增加复杂性、循环时间延长和无附加价值的作业。内部控制应为自发性的，有附加价值与成本效益。