內部控制控制的對象不是業(yè)務，也不是具體操作業(yè)務的人員，而是經(jīng)濟業(yè)務活動中的風險。所以，通過風險評估這項活動，分析和甄別經(jīng)濟業(yè)務活動中存在的風險，是內部控制建設工作的基礎。風險評估活動一般包括以下步驟：

一、建立工作機制

行政事業(yè)單位經(jīng)濟活動具有很強的政策性、專業(yè)性和技術性，財務科單獨難以完成這項工作，所以，風險評估小組應該是一個在單位領導統(tǒng)一領導下、由各項經(jīng)濟活動的關鍵崗位工作人員及技術專家組成的跨部門聯(lián)合工作小組。單位經(jīng)濟業(yè)務活動風險評估工作由風險評估小組具體組織和實施，風險評估小組可以由財務科，如果也可以由辦公室牽頭，一把手或分管財務的領導擔任組長，負責統(tǒng)籌、協(xié)調各業(yè)務部門積極配合風險評估工作。

風險評估是內部控制建設工作的一部分，為實現(xiàn)內部控制建設工作的統(tǒng)一領導，提高工作效率，風險評估小組的日常工作可以由內部控制工作小組承擔，但不能由評價與監(jiān)督小組承擔，因為風險評估屬于內控建設執(zhí)行層面的活動。

單位對經(jīng)濟業(yè)務活動和權力運行的風險評估每年至少進行一次，第一次風險評估是最復雜的最重要的，在設計編寫手冊之前的評估要盡可能的全面、細化，形成風險數(shù)據(jù)庫，按照財政部的要求，單位每年都應該開展風險評估工作，需要在第一次風險評估數(shù)據(jù)庫基礎上進行調整。每年度的風險評估側重于經(jīng)濟活動的變化部分，如果外部環(huán)境、經(jīng)濟活動或者管理要求等發(fā)生重大變化，應當及時對經(jīng)濟活動風險進行重新評估。對于某些高風險經(jīng)濟活動開展不定期評估，建立專門的風險預警機制，以便有效的防范和管控風險。

二、風險識別和分析

風險識別是對單位面臨的各種不確定因素進行梳理，采取問卷調查、小組討論、專家咨詢、情景分析、訪談等方法識別風險并進行必要的篩選、提煉、對比、分類。單位層面的風險識別主要從組織、機制、制度、崗位和信息系統(tǒng)入手；業(yè)務層面的風險識別從梳理業(yè)務流程、明確業(yè)務環(huán)節(jié)入手。

風險分析的目的是對識別的風險進行排序，確定內部控制需要重點關注和優(yōu)先控制的風險點。在內部控制建設初期，單位管理基礎都比較薄弱，通過風險評估識別的風險一般都有幾百個甚至上千個，單位很難面面俱到的對這些風險采取同等程度的管理措施，根據(jù)管理學中的“二八原則”，決定結果的往往是關鍵的少數(shù)（20%），這就需要進行風險分析工作，從風險發(fā)生的可能性和風險影響程度兩個維度，確定風險等級，以便能正確制定相應的風險應對策略，在內部控制建設初期階段，一般是針對“極大級”和“重大級”風險采取重點管控措施即可。

三、風險評估實施程序

風險評估的實施過程一般包括計劃、組織、實施、反饋這幾個環(huán)節(jié)，風險評估最重要的成果就是出具《風險評估報告》。

1、風險評估工作由財務科牽頭、風險評估小組組織實施。風險評估小組于每年年初制定《風險評估實施方案》，提交內部控制建設領導小組審議通過后執(zhí)行。

2、各科室按照風險評估的方法進行風險信息收集、風險識別和科室自我評估，并提出相應的風險應對策略和管控措施的建議。

3、風險評估小組負責對風險評估過程中出現(xiàn)的問題進行解釋與指導，確保各科室及時完成本科室的風險評估工作。風險評估小組將各科室風險評估結果的匯總整理，形成單位年度《風險評估報告（草案）》。

4、風險評估小組成員以專題會議的形式對《風險評估報告（草案）》認真分析研究，對報告草案提出正式審議意見，審議不通過的由財務科組織相關科室重新修訂后再次報審，審議通過后出具《風險評估報告》，提交內部控制建設領導小組批準，作為制定內部控制管控措施的重要依據(jù)。

5、內部控制評價與監(jiān)督小組定期對風險評估工作實施情況和有效性進行監(jiān)督。