Romney and Steinbart (2015), menyatakan bahwa risiko sebuah peristiwa yang teridentifikasi dinilai dalam beberapa cara yang berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori, efeknya pada unit-unit organisasi lainnya, dan pada basis inehren dan residual. Risiko inheren adalah kerentanan yang mengatur seperangkat akun atau transaksi untuk masalah pengendalian yang signifikan dalam absennya pengendalian internal. Risiko residual adalah resiko yang tersisa setelah manajemen menerapkan pengendalian internal atau respon lain terhadap risiko. Perusahaan harus menilai risiko yang melekat, mengembangkan respon, dan kemudian menilai risiko residual.
COSO (2013:4) menjelaskan mengenai komponen penilaian risiko (risk assessment) sebagai berikut :
“Risk is defined as the possibility that an event will occur and adversely affect the achivement of objectives. Risk assessment involves a dynamic and iteractive process for identifying and assessing risks to the achievement of objectives. Risks to the achievement of these objectives from across the entity are considered relative to established risk tolerances. Thus, risk assessment forms the basis for determining how risks will be managed. A precondition to risk assessment is the establishment of objectives, linked at different levels of the entity. Management specifies objectives within categories relating to operations, reporting and compliance with sufficient clarity to be able to identify and analyze risks to those objectives. Management also considers the suitability of the objectives for the entity. Risk assessment also requires management to consider the impact of possible changes in the external environment and within its own business model that may render internal control ineffective.”
Berdasarkan rumusan COSO, bahwa penilaian risiko melibatkan proses yang dinamis dan interaktif untuk mengidentifikasi dan menilai risiko terhadap pencapaian tujuan. Risiko itu sendiri dipahami sebagai suatu kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan entitas, dan risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap relatif terhadap toleransi risiko yang ditetapkan. Oleh karena itu, penilaian risiko membentuk dasar untuk menentukan bagaimana risiko harus dikelola oleh organisasi.
Selanjutnya, COSO (2013:7) menjelaskan mengenai prinsip – prinsip yang mendukung penilaian risiko sebagai berikut :
a. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.
b. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.
c. The organization considers the potential for fraud in assessing risks to the achievement of objectives.
d. The organization identifies and assesses changes that could significantly impact the system of internal control.”