1.2 Lý luận về hệ thống kiểm soát bội bộ
1.2.2.2.4 Đánh giá rủi ro
COSO 2004 cung cấp cách thức về chu trình và những kỹ thuật cụ thể để đánh giá rủi ro. Trên cơ sở đó, đơn vị có thể đánh giá cụ thể sự tác động của các sự kiện tiềm tàng và xem xét những cách thức phản ứng phù hợp. COSO 2004 đề nghị đánh giá rủi ro cần bao gồm việc xem xét rủi ro tiềm tàng và rủi ro kiểm soát, đầu tiên là xem xét rủi ro tiềm tàng, sau khi đã có phương án phản ứng với rủi ro tiềm tàng thì tiếp tục xem xét đến rủi ro kiểm sốt. Ngồi ra, các sự kiệm tiềm tàng phải được đánh trên hai khía cạnh: khả năng xảy ra và mức độ tác động của nó. Để đo lường khả năng xuất hiện của một sự kiện có thể dùng các chỉ tiêu định tính như cao, trung bình, thấp hay chi tiêu định lượng như tần suất xuất hiện, tỷ lệ xuất hiện ….
Các kỹ thuật để đánh giá rủi ro bao gồm kỹ thuật định tính và kỹ thuật định lượng. Kỹ thuật định tính được sử dụng khi rủi ro không thể định lượng, hoặc dữ liệu đầu vào không đủ tin cậy hoặc khơng tương xứng với chi phí để định lượng. Kỹ thuật định lượng được sử dụng cho những hoạt động phức tạp của đơn vị và thường phải sử dụng các mơ hình tốn học, và cho kết quả chính xác hơn lỹ thuật định tính.
Việc xem xét các sự kiện cần thực hiện trong mối liên hệ giữa các sự kiện: đơn vị cần đánh giá các sự kiện một cách độc lập hoặc tổng hợp các tác
động khi các sự kiện độc lập với nhau hoặc có sự liên hệ, kết hợp giữa các sự kiện.
Khi rủi ro tác động đến nhiều bộ phận, đơn vị kết hợp các rủi ro trong danh sách các sự kiện và xem xét hết sự tác động đến từng bộ phận, sau đó xem xét tác động đến toàn thể đơn vị.