风险评估（risk assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

风险评估程序：
分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。
分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。本准则主要说明在了解被审计单位及其环境并评估重大错报风险时使用的分析程序，即将分析程序用作风险评估程序。
注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。
在实施分析程序时，注册会计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较；如果发现异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。
如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。例如，被审计单位存在很多产品系列，各个产品系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果仅可能初步显示销售成本存在重大错报风险，注册会计师需要实施更为详细的分析程序。例如，对每一产品系列进行毛利率分析，或者将总体毛利率分析的结果连同其他信息一并考虑。

注册会计师在审计过程中应当实施风险评估程序和相关工作，以获取与识别关联方关系及其交易相关的重大错报风险的信息。
　　（一）了解关联方关系及其交易
　　1.项目组内部讨论
　　2.询问管理层
　　3.与关联方关系及其交易相关的控制
　　如果适用的财务报告编制基础对关联方作出规定，编制财务报表要求管理层在治理层的监督下设计、执行和维护与关联方关系及其交易相关的适当控制，使得关联方关系及其交易能够按照适用的财务报告编制基础的要求得到识别、适当的会计处理和披露。治理层负责监督管理层如何履行这些控制责任。
　　注意：
　　第一，无论适用的财务报告编制基础是否对关联方作出规定，在履行监督责任的过程中，治理层需要向管理层获取信息，以了解关联方关系及其交易的性质和商业理由。
　　第二，在实务中，由于某些原因，被审计单位可能不存在与关联方关系及其交易相关的控制或控制存在缺陷。如果这些控制无效或者不存在，注册会计师可能无法就关联方关系及其交易获取充分、适当的审计证据。在这种情况下，注册会计师需要考虑对审计工作（包括审计意见）的影响。
　　第三，如果管理层和参与交易的另一方之间具有控制或重大影响的关系，管理层凌驾于控制之上的风险就越高，其原因是这些关系可能表明管理层有更大的动机和机会实施舞弊。
　　（二）在检查记录或文件时对关联方信息保持警觉
　　某些安排或其他信息可能显示管理层以前未识别或未向注册会计师披露的关联方关系或关联方交易，在审计过程中检查记录或文件时，注册会计师应当对这些安排或其他信息保持警觉。
　　1.检查文件记录。为确定是否存在管理层以前未识别或未向注册会计师披露的关联方关系或关联方交易，注册会计师应当对某些可能提供有关关联方关系及其交易信息的记录或文件进行检查。
　　2.询问管理层。如果识别出被审计单位超出正常经营过程的重大交易，注册会计师应当向管理层询问这些交易的性质以及是否涉及关联方。
　　注意：
　　就超出正常经营过程的重大交易获取进一步的信息，有助于注册会计师评价是否存在舞弊风险因素，并能够识别重大错报风险。

风险评估的过程很复杂，可以说是一个系统性强、变化不断、牵涉范围广阔的内容，给你讲三天都讲不完。但大体有目标、风险、应对、整改等几个常规流程