风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

1.目标设定

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

2.风险识别

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是:存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

3.风险分析

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

4.风险应对

企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有:

(1)风险规避。

风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如:由于雨雪天气，航空公司取消某次航班;企业拒绝与不守信用的厂商有业务来往;新产品在试制阶段发现问题而果断地停止研发。

(2)风险承受。

风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如:企业设有一个小型仓库，平时就存放一些待处理的设备(市场价值很小)，如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于这种存在的失窃风险企业就应该采用风险承受策略。

(3)风险降低。

风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施:风险预防和风险抑制。

(4)风险分担。

风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如:大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险;公司给某些关键设备购买财产保险来转移风险。

风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。