1.2. Hệ thống kiểm soát nội bộ COSO
1.2.2.2. Đánh giá rủi ro
Đánh giá rủi ro là bộ phận thứ hai của HTKSNB. Rủi ro là những nguy cơ làm cho mục tiêu của tổ chức không được thực hiện. Kinh doanh là chấp nhận rủi ro. Dù cho quy mơ, cấu trúc, loại hình hay vị trí địa lý khác nhau, mọi tổ chức đều có rủi ro. Rủi ro phát sinh từ các nguồn bên ngoài lẫn bên trong của tổ chức, nên cần phải đánh giá và phân tích rủi ro, kể cả các rủi ro hiện hữu lẫn tiềm ẩn.
Vấn đề quan trọng của quản lý luôn là quyết định rằng rủi ro nào có thể chấp nhận và phải làm gì để quản lý và giảm thiểu tác hại của chúng. Nội dung của đánh giá rủi ro bao gồm:
Thiết lập mục tiêu của doanh nghiệp: thiết lập mục tiêu thực ra không phải là bộ phận của kiểm soát nội bộ nhưng là điều kiện tiên quyết, là cơ sở quan trọng để đánh giá rủi ro. Một sự kiện chỉ được xem là rủi ro nếu nó đe dọa việc đạt được các mục tiêu của doanh nghiệp. Do đó, mục tiêu phải được đề ra thì Nhà quản lý mới có thể nhận dạng rủi ro và có những hành động cần thiết để quản lý chúng.
Nhận dạng và phân tích rủi ro: nhận dạng rủi ro được thực hiện thông qua việc xem xét các nhân tố bên ngoài và bên trong doanh nghiệp ảnh hưởng trực tiếp đến các hoạt động của doanh nghiệp. Phân tích rủi ro bao gồm việc xem xét tầm quan trọng và khả năng xảy ra rủi ro, từ đó cân nhắc việc đối phó với rủi ro, quản lý và giảm thiểu tác hại của chúng. Phương pháp phân tích rủi ro rất đa dạng và phong phú bởi vì có nhiều loại rủi ro rất khó định lượng.
Một HTKSNB hữu hiệu cần có khả năng đánh giá các rủi ro. Một trong những tiền đề quan trọng của việc đánh giá rủi ro là phải xác định được mục tiêu của doanh nghiệp, bởi vì, một sự kiện chỉ là rủi ro nếu nó đe dọa đến mục tiêu của doanh nghiệp và mức trọng yếu của nó tùy thuộc vào mức độ nó có thể tác động xấu đến các mục tiêu của tổ chức.