不论是在单位整体层抑或在作业层，均应辨认相关风险，并考虑风险发生的后果，风险评估过程应包括考虑影响目标达不成的内部或外部因素、分析目标不能达成的风险，以作为风险管理的基础。

（一）外在风险辨识

管理层是否考虑与风险有关的外在因素，如进货的来源、科技的改变、债权人的要求、竞争对手的行动、经济环境、政治环境、法律法律、大自然引发的事件。引发单位整体风险的外在因素有哪些？如何辨识？每一种因素发生的可能性有多大？万一发生，其后果有多严重？

（二）内在风险辨识

管理层是否考虑与下列因素有关的风险：

（1）人力资源，例如，重要主管人员的留任，可能会影响单位的有效运作及员工责任的变动。

（2）理财活动，例如，新计划或主要旧计划的延续，其财源的筹措是否可行？

（3）员工关系，例如，薪酬及退休抚恤计划，是否使本单位在同业中具有竞争力？

（4）资讯系统，资讯系统一旦失效，可能严重影响营运，如备份系统的适当性。(www.daowen.com)

总之，要辨识引发单位风险的内在因素有哪些？如何辨识？每一种因素发生的可能性有多大？万一真的发生，其后果有多严重？

（三）作业目标风险辨识

每一项主要的作业层级目标，影响其实现的重大风险。引发作业层风险内、外因素有哪些？如何辨识？每一种因素发生的可能性有多大？万一真的发生，其后果有多严重？

（四）风险分析程序

风险分析程序具有周延性和相关性。风险分析程序包括估计重大风险、评估其发生的可能性以及决定所需的行动。

（1）风险分析是经正式的风险分析程序还是经非正式的平时管理活动。

（2）辨认出的风险是否即为相对应作业目标达不成的相关风险。

（3）负责评估风险的管理层的层级顺序是否适当。