风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，以合理确定风险应对策略，进而制定合理的内部控制活动及其措施。风险评估是控制活动及其措施的依据，不经过风险评估就制定控制措施，比较容易犯教条主义、控制过度主义或官僚主义。风险评估包括风险识别、风险分析及风险评价。风险识别是分析业务活动及流程环节是否存在风险及有哪些风险，任何一个业务活动开展都会面临潜在的风险，风险是伴随业务发生而客观存在的。风险分析是指分析导致风险发生的原因有哪些，以及风险触发的条件，风险不会突然产生，是在达到一定的条件或状态才会发生。风险评价是指企业结合管理经验、历史数据及其他相关常识或认知，运用合理的方法预测风险发生的可能性和风险发生带来的影响。

1、风险评估思路

控制目标设置

控制目标是企业管理者在一定期间内根据经营战略，结合内外部环境分析，自行设定的经营或管理各项目标。从战略管理角度来看，企业依据企业发展战略愿景，制定企业战略与经营管理目标，从时间维度上分解到年度、季度及月度，从空间维度上分解至各区域、各层级、各职能机构等，从业务维度上（以制造企业为例）分解至销售、生产、库存、采购等领域。上述目标从类型上均可分解至合规类、财务报告类、运营类、廉洁类、资产安全类等，任何一项控制活动目标都有可能是以上几种目标的有机组合。

风险识别及分析

企业设置各项目标时是基于历史经验或数据分析所作出的对未来一定期间内的一种预测和假设判断，未来的预测和假设具有不确定性。也就是说，企业所设既定目标实现过程中会面临不可预知的内外部因素影响，这些影响因素会改变原本企业所作出的预测和假设的条件，预测和假设条件变化了，企业就必然需要对这些变化因素进行评估，评估其影响程度，并决定是否需要调整经营和管理行为，否则风险及损失可能发生。因此，企业需要系统持续地收集内外部影响目标预测和假设条件的相关信息，对内外部信息进行整理分析，为评价其对已设控制目标的影响提供依据。

风险评价

风险评价是基于分析收集的风险信息后，评价其对已设目标的影响程度，并以此调整改变其现有控制活动及措施，以将风险控制在企业承受范围之内。风险评价是风险评估过程中比较难操作的一个环节，因为风险发生可能性到底多高，以及风险发生的影响程度是多大，有时候难以量化。企业实务中开展风险评估，以定性判断居多，运用量化方法的需要企业大量拥有一定量的历史数据，通过对历史数据的统计分析，结合现状，进而做出未来的预测和判断，具有信息化和数字化基因的企业，如互联网平台、电信、金融行业等，实施风险评估量化相对就要可行的多。

2、风险评估影响因素

企业要做好风险评估，需要考虑几个方面因素：

定量和定性分析相结合

随着现代企业经营数字化转型步伐的不断加快，企业信息化水平会得到不断提升，风险评估在定性分析基础上，运用数学和统计模型进行定量分析已具备较为可行的条件和基础，能够量化更加便于风险的后续有效管控。

利用专业人员的力量

企业应当充分吸收企业内外部专业人员，组成风险分析团队，按照严格规范的程序开展工作，以确保风险分析结果的准确性。对业务领域比较熟悉，会知道业务有哪些潜在风险，哪些风险容易出现，在什么条件下较为容易发生，综合运用各个专业人员的知识开展风险分析，风险评估效果会比较好，更容易被认可。

考虑风险偏好和承受度

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好与风险承受度，风险偏好和风险承受度会影响到最终风险水平大小的评级和排序，风险偏好者和风险保守者对于同一个风险水平评价的结果不一样，风险评估过程中要考虑这些因素，但是要避免因个人风险偏好极端给企业经营可能带来重大损失。

保持动态的风险评估

企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险的应对策略。当今经济环境复杂、瞬息万变、不确定性成为一种常态，风险评估不是一次性的，应结合企业业务实际场景需要进行动态的风险评估，比如互联网企业针对用户流失风险评估，会保持一个非常高的评估频率。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。