①リスクの評価

　リスクとは、組織目標の達成を阻害する要因をいう。具体的には、天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報及び高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられる。ここでのリスクは、組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない。
　リスクの評価と対応の実務は、個々の組織が置かれた環境や事業の特性等によって異なるものであり、一律に示すことはできないが、リスクの評価の流れの例を示すと次のとおりである。
リスクの評価の流れ「リスクの識別」→「リスクの分類」→「リスクの分析」→「リスクの評価」→「リスクへの対応」
イ． リスクの識別
　リスクの評価と対応のプロセスにおいては、まずはじめに、リスクを適切に識別することが必要である。このため、組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるのかを特定する。リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在することから、各段階において適切にリスクを識別することが重要である。
ロ． リスクの分類
リスクを適切に分析及び評価するためには、識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクか等の観点から分類することが重要である。
ａ．全社的なリスクと業務プロセスのリスク
　全社的なリスクとは、組織全体の目標の達成を阻害するリスクをいう。
　全社的なリスクとしては、例えば、財政状態、経営成績及びキャッシュ・フローの状況の異常な変動、特定の取引先・製品・技術等への依存、特有の法的規制・取引慣行・経営方針、重要な訴訟事件等の発生、経営者個人への依存等が挙げられる。財務報告の信頼性に関して、例えば、適正な会計上の見積りや予測を行っていくためには、全社的なリスクへの適切な対応が重要な要素となる。
　業務プロセスのリスクとは、組織の各業務プロセスにおける目標の達成を阻害するリスクをいう。
　業務プロセスのリスクについては、通常、業務の中に組み込まれた統制活動等で対応することとなるが、全社的なリスクについては、明確な経営方針及び経営戦略の策定、取締役会及び監査役又は監査委員会の機能の強化、内部監査部門などのモニタリングの強化等、組織全体を対象とする内部統制を整備し、運用して対応することが必要となる。
ｂ．過去に存在したことのあるリスクと未経験のリスク
　リスクには、既に過去に存在したことのあるリスクと、未経験のリスクとがある。過去に存在したことのあるリスクについては、リスクの影響を推定できるが、未経験のリスクについては、どういう影響が生じるかということについて不透明であることが多いと考えられることから、その影響について、より慎重に検討する必要がある。なお、過去に存在したことのあるリスクであっても、時の経過とともに、状況等が変化し、影響の度合いが変化している可能性があることに留意する必要がある。
ハ． リスクの分析と評価
　上記の通り識別・分類したリスクについて、当該リスクが生じる可能性及びリスクがもたらす影響の大きさを分析し、当該リスクの重要性を見積もることとなる。その上で、見積もったリスクの重要性に照らして、対応策を講じるべきリスクかどうかを評価する。
　組織は、識別・分類したリスクのすべてに対応策を講じるのではなく、重要性があるものについて対応策を講じることになる。