风险评估一般由目标设定、风险分析和风险应对三个步骤组成。其中，目标设定主要是确定风险评估的目的；风险分析主要是评价风险发生的可能性和对既定目标的影响程度；风险应对主要是提出化解风险的措施，降低和避免风险发生的可能性，保证既定目标的实现。具体地讲，企业的风险评估应当按照以下程序进行。

（一）确定风险评估任务和责任部门

要明确规定企业的主要风险评估任务是什么，由哪些部门负责完成，应当采取哪些保障措施。例如，经营决策风险、安全风险等主要由企业最高管理层负责，采购业务风险主要由企业供应部门负责，货币资金收支业务风险主要由企业财务部门负责等。

（二）开展年度风险评估

要详细描述各种风险的来源、发生领域、对企业目标的影响、风险职责部门、风险水平、风险应对措施等。这是对企业风险进行的年度综合评估，评估结果可以通过编制年度风险评估结果表进行，如表5-7所示。

表5-7　年度风险评估结果

企业在编制年度风险评估结果表时，需要做好六项工作。

（1）参照《企业内部控制基本规范》（以下简称《基本规范》）中关于内部、外部风险因素的分类，结合企业的实际情况，确定风险因素来源及风险领域。必要时，可通过风险状况清单详细列示各种子风险，形成风险评估的基础。

（2）对各种风险进行讨论分析，准确识别每一个风险子领域的关键风险点，并界定清楚每个风险点的责任部门或责任人。

（3）采用定性与定量分析相结合的方法，按照风险发生的可能性及影响程度，确定固有风险水平。

（4）正确界定与控制目标相关的内部风险的风险承受度，并与固有风险水平的口径保持一致。(www.daowen.com)

（5）根据风险分析结果和企业的风险承受度，确定风险应对策略，包括风险规避、风险降低、风险分担和风险承受。

（6）在采取风险应对措施的基础上，对剩余风险水平进行评估，确保剩余风险水平低于企业的风险承受度。

（三）明确风险控制程序

风险等级确定后，企业按照以下程序采取控制措施。

（1）分析每种风险对企业可能带来的影响，包括消极影响和积极影响。

（2）对于重要事项面临的风险及其可能带来的重大影响，采用定量分析技术，确定各种风险可能造成的影响程度，为企业采取风险对策提供科学依据。

（3）按照风险可能带来影响程度的大小进行排序，明确划分重要风险和一般风险。

（4）对重要风险予以特别关注，避免重要风险可能给企业带来的重大损失。

（5）针对重要风险优先采取控制措施，并逐步完善一般风险的控制办法。