風險評估 是指，在風險事件發生之前或之后（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

風險評估的主要任務包括：

1、識別評估對象面臨的各種風險

2、評估風險概率和可能帶來的負面影響

3、確定組織承受風險的能力

4、確定風險消減和控制的優先等級

5、推薦風險消減對策

風險評估途徑包括：

1、基線評估。采用基線風險評估，組織根據自己的實際情況，對信息系統進行安全基線檢查，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。

2、詳細評估。詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。

3、組合評估。組織多是采用二者結合的組合評估方式。為了決定選擇哪種風險評估途徑，組織首先對所有的系統進行一次初步的高級風險評估，著眼于信息系統的商務價值和可能面臨的風險，識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產（或系統），這些資產或系統應該劃入詳細風險評估的范圍，而其他系統則可以通過基線風險評估直接選擇安全措施。

風險評估的方法：

一、風險因素分析法：指對可能導致風險發生的因素進行評價分析，從而確定風險發生概率大小的風險評估方法。

二、模糊綜合評價法

三、內部控制評價法：指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。

四、分析性復核法:是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。

五、定性風險評價法：指那些通過觀察、調查與分析，并借助注冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。

六、風險率風險評價法：是定量風險評價法中的一種。它的基本思路是：先計算出風險率，然后把風險率與風險安全指標相比較，若風險率大于風險安全指標，則系統處于風險狀態，兩數據相差越大，風險越大。