內部控制控制的對象不是業務，也不是具體操作業務的人員，而是經濟業務活動中的風險。所以，通過風險評估這項活動，分析和甄別經濟業務活動中存在的風險，是內部控制建設工作的基礎。風險評估活動一般包括以下步驟：

一、建立工作機制

行政事業單位經濟活動具有很強的政策性、專業性和技術性，財務科單獨難以完成這項工作，所以，風險評估小組應該是一個在單位領導統一領導下、由各項經濟活動的關鍵崗位工作人員及技術專家組成的跨部門聯合工作小組。單位經濟業務活動風險評估工作由風險評估小組具體組織和實施，風險評估小組可以由財務科，如果也可以由辦公室牽頭，一把手或分管財務的領導擔任組長，負責統籌、協調各業務部門積極配合風險評估工作。

風險評估是內部控制建設工作的一部分，為實現內部控制建設工作的統一領導，提高工作效率，風險評估小組的日常工作可以由內部控制工作小組承擔，但不能由評價與監督小組承擔，因為風險評估屬于內控建設執行層面的活動。

單位對經濟業務活動和權力運行的風險評估每年至少進行一次，第一次風險評估是最復雜的最重要的，在設計編寫手冊之前的評估要盡可能的全面、細化，形成風險數據庫，按照財政部的要求，單位每年都應該開展風險評估工作，需要在第一次風險評估數據庫基礎上進行調整。每年度的風險評估側重于經濟活動的變化部分，如果外部環境、經濟活動或者管理要求等發生重大變化，應當及時對經濟活動風險進行重新評估。對于某些高風險經濟活動開展不定期評估，建立專門的風險預警機制，以便有效的防范和管控風險。

二、風險識別和分析

風險識別是對單位面臨的各種不確定因素進行梳理，采取問卷調查、小組討論、專家咨詢、情景分析、訪談等方法識別風險并進行必要的篩選、提煉、對比、分類。單位層面的風險識別主要從組織、機制、制度、崗位和信息系統入手；業務層面的風險識別從梳理業務流程、明確業務環節入手。

風險分析的目的是對識別的風險進行排序，確定內部控制需要重點關注和優先控制的風險點。在內部控制建設初期，單位管理基礎都比較薄弱，通過風險評估識別的風險一般都有幾百個甚至上千個，單位很難面面俱到的對這些風險采取同等程度的管理措施，根據管理學中的“二八原則”，決定結果的往往是關鍵的少數（20%），這就需要進行風險分析工作，從風險發生的可能性和風險影響程度兩個維度，確定風險等級，以便能正確制定相應的風險應對策略，在內部控制建設初期階段，一般是針對“極大級”和“重大級”風險采取重點管控措施即可。

三、風險評估實施程序

風險評估的實施過程一般包括計劃、組織、實施、反饋這幾個環節，風險評估最重要的成果就是出具《風險評估報告》。

1、風險評估工作由財務科牽頭、風險評估小組組織實施。風險評估小組于每年年初制定《風險評估實施方案》，提交內部控制建設領導小組審議通過后執行。

2、各科室按照風險評估的方法進行風險信息收集、風險識別和科室自我評估，并提出相應的風險應對策略和管控措施的建議。

3、風險評估小組負責對風險評估過程中出現的問題進行解釋與指導，確保各科室及時完成本科室的風險評估工作。風險評估小組將各科室風險評估結果的匯總整理，形成單位年度《風險評估報告（草案）》。

4、風險評估小組成員以專題會議的形式對《風險評估報告（草案）》認真分析研究，對報告草案提出正式審議意見，審議不通過的由財務科組織相關科室重新修訂后再次報審，審議通過后出具《風險評估報告》，提交內部控制建設領導小組批準，作為制定內部控制管控措施的重要依據。

5、內部控制評價與監督小組定期對風險評估工作實施情況和有效性進行監督。