در نوشتار قبلی، مطالبی در خصوص جزء اول سیستم کنترل داخلی تحت عنوان “محیط کنترلی” بیان گردید. در این نوشتار، مطالبی در خصوص جزء دوم سیستم کنترل داخلی تحت عنوان “ارزیابی ریسک” ارائه خواهد شد. برای ریسک تعاریف متعددی ارائه شده است. در تعریف کوزو (2013) ریسک بعنوان احتمال به وقوع پیوستن یک رویداد و تاثیر نامطلوب آن بر دستیابی به اهداف بیان شده و همچنین، در دستورالعمل کنترل داخلی بورس (1391) به عنوان امکان وقوع رویدادی که دستیابی به اهداف را تحت تاثیر قرار میدهد تعریف گردیده است. به نظر نگارنده، ریسک عبارت است از انواع وقایع یا شرایطی که در صورت وقوع/وجود یا عدم وقوع/وجود میتواند بر توانایی سازمان برای تحقق اهدافش بطور منفی تاثیرگذار بوده و آن را از دستیابی کامل به اهداف بازدارد. به سخن دیگر ریسک، عامل بالقوهای است که میتواند بهعنوان مانع در مسیر دستیابی سازمان به اهداف عمل کرده و بهطور منفی موفقیت آن را تحت تأثیر قرار دهد. علاوه بر ریسکها که دستیابی به اهداف را بهطور منفی تحت تاثیر قرار داده، فرصتها نیز میتوانند به طور مثبت بر دستیابی به اهداف تاثیرگذار باشند. ارزيابی ريسک يک فرآيند پويا، دائمی و مستمر جهت شناسائی و ارزيابی ريسكها و فرصتهای مربوط به دستيابی به اهداف است. طبق رهنمود کوزو (2013) برای ارزیابی ریسکها، سازمان باید ضمن تعیین دقیق و شفاف اهداف، تمامی ریسکهای مربوط به دستیابی به آنها از جمله ریسک تقلب را بطور مداوم و مستمر در کل سازمان شناسایی و تجزیه و تحلیل نموده و تاثیرات احتمالی آنها بر سیستم کنترل داخلی موجود را ارزیابی نماید بهنحوی که شرایط و بستر لازم برای طراحی و اجرای روشهای مدیریت ریسک (از جمله طراحی و اجرای فعالیتهای کنترلی) فراهم گردد. همچنین، سطح قابل پذیرش ریسک متناسب با شرایط خاص هر سازمان باید توسط مدیریت ارشد تعیین شود. این نکته باید مدنظر قرار گیرد که تنها زمانی میتوان ریسکها را حذف یا احتمال وقوع آنها را به صفر رساند که اهداف و یا شرایط و عوامل ایجاد کننده آنها کلا تغییر یافته و یا حذف گردند. بطور کلی، ارزيابی ريسک ايجاب میكند كه مديريت، اثر تغييرات در اهداف، محيط درونی و بيرونی و نيز مدل كسب و كار سازمان را كه ممکن است منجر به ایجاد ریسکهای جدید یا تغییر در پورتفوی ریسکهای موجود گردیده را شناسایی و ارزیابی نموده و متناسبا شیوههای مدیریت ریسک خود را بهبود و بروزرسانی نماید.