依公開發行公司建立內部控制制度處理準則第13條規定,所謂風險評估係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業內容,可酌予參考下列項目:
- 考量公司之整體經營環境、交易型態、組織、人員與系統現況,評估各項潛在風險的影響程度。
- 考量公司外部環境與商業模式改變之影響,以及可能發生之舞弊情事,瞭解公司、各事業單位、部門或流程之目標,並辨識各項可能影響目標達成的風險。
- 依風險評估結果決定年度的稽核範圍(風險較高部分)、排程及資源投入的多寡。