COSO 2004 cung cấp cách thức về chu trình và những kỹ thuật cụ thể để đánh giá rủi ro. Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm tàng và do đó xem xét những cách thức phản ứng phù hợp. Việc đánh giá rủi ro bao gồm các nội dung sau:
F Rủi ro tiềm tàng và rủi ro kiểm soát: rủi ro tiềm tàng là rủi ro do thiếu các hoạt động của đơn vị nhằm thay đổi khả năng hoặc sự tác động của các rủi ro đó. Rủi ro kiểm sốt là rủi ro vẫn cịn tồn tại sau khi đơn vị đã phản ứng với rủi ro. Đơn vị cần phải xem xét cả rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét các rủi ro tiềm tàng, sau đó khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm soát.
F Ứơc lượng khả năng và ảnh hưởng:các sự kiện tiềm tàng phải được đánh giá trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Những sự kiện mà khả năng xuất hiện thấp và tác động ít đến đơn vị thì khơng cần phải tiếp tục xem xét. Ngược lại, các sự kiện với khả năng xuất hiện cao và tác động lớn thì cần phải xem xét
kỹ càng. Các sự kiện nằm giữa hai thái cực này đòi hỏi sự đánh giá phức tạp, điều quan trọng là phải phân tích kỹ lưỡng và hợp lý.
Để đo lường khả năng xuất hiện một sự kiện, có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hoặc các cấp độ chi tiết khác. Hoặc có thể dùng chỉ tiêu định lượng như: tỷ lệ xuất hiện, tần suất xuất hiện,..
F Kỹ thuật đánh giá rủi ro: đơn vị thường sử dụng kết hợp các kỹ thuật định lượng và định tính khi đánh giá rủi ro. Kỹ thuật định tính được sử dụng khi rủi ro không thể định lượng được, hoặc khi dữ liệu đầu vào không đủ tin cậy hoặc không tương xứng với chi phí để định lượng. Kỹ thuật định lượng được sử dụng cho những hoạt động phức tạp của đơn vị và thường phải sử dụng các mơ hình tốn học, cho kết quả chính xác hơn so với kỹ thuật định tính.
F Sự liên hệ giữa các sự kiện:đối với những sự kiện độc lập với nhau thì đơn vị đánh giá các sự kiện một cách độc lập. Nhưng nếu có sự liên hệ giữa các sự kiện hoặc các sự kiện cùng kết hợp lại với nhau sẽ tạo nên những tác động lớn thì đơn vị phải đánh giá được tác động tổng hợp đó.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro đó trong danh sách các sự kiện và xem xét trước hết sự tác động đến từng bộ phận, sau đó xem xét tác động tổng thể đến toàn đơn vị.