风险管理评价主要是对企业风险管理状况的评价，包括企业风险管理环境、企业风险识别与评估、企业内部控制、风险管理信息交流与反馈、风险管理监督与改进、风险管理与案件和责任事故评价等六个评价系统。

1．企业风险管理环境评价系统(占评价总权重的25%)

评价的主要内容包括：风险管理组织体系是否建立健全，主要包括规范的公司法人治理结构(包括对予公司的控制)；风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构是否健全；股东(大)会、董事会、监事会与经理层、各职能部门之间的权责分配是否合理，职责分工是否明确，报告关系是否清晰；是否制定了明确、适宜、有效的风险管理与内部控制政策；是否建立了风险管理目标；是否建立了符合风险管理与内部控制要求的授权管理体系；是否制定了完整的人力资源政策，是否建立了完善的人力资源管理体系；是否建立了法律风险管理体系；是否培育和塑造了良好的风险管理文化等。

2．企业风险识别与评估评价系统(占评价总权重的10%)

评价的主要内容包括：是否建立了风险识别、评估的机制和程序，并进行持续的风险识别和评估；是否及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略；是否及时改进风险管理与内部控制制度、有效地防范和控制风险；是否建立了风险与危机预警系统；是否建立了风险应急、危机处理和相应的防范措施等。

3．企业内部控制评价系统(占评价总权重的50%)

评价的主要内容包括：内部控制是否贯穿决策、执行和监督全过程，是否覆盖企业及其所属单位的各种业务和事项；各项业务、事项和各个职能部门是否执行和实施了有效的相互制约、相互监督等内部制衡措施；各项业务和事项是否按照组织控制、权限控制、目标控制、措施控制、流程控制等环节进行管理和控制等。内部控制评价系统包括10个子系统：

(1)企业预算内部控制评价(占内部控制评价权重的5%)。

(2)企业筹资内部控制评价(占内部控制评价权重的5%)。

(3)企业投资内部控制评价(占内部控制评价权重的5%)。

(4)企业财务内部控制评价(包括货币资金、存货、固定资产、无形资产、工程项目、成本费用、担保、关联方交易、财务报告编制与信息披露等)(占内部控制评价权重的55%)。

(5)企业采购内部控制评价(占内部控制评价权重的5%)。

(6)企业销售内部控制评价(占内部控制评价权重的5%)。

(7)企业质量内部控制评价(占内部控制评价权重的5%)。

(8)企业安全生产内部控制评价(占内部控制评价权重的5%)。

(9)企业环境保护内部控制评价(占内部控制评价权重的5%)。

(10)企业并购内部控制评价(占内部控制评价权重的5%)。

4．风险管理信息交流与反馈评价系统(占评价权重的5%)

评价的主要内容包括：是否建立了适用的、覆盖企业全部业务和事项的信息系统；决策层、管理层是否能够掌握充分、综合、可靠、连续的财务、经营以及影响决策的其他内外部信息；是否建立了内部上下之间、内外部横向之间信息交流机制和渠道；信息是否能够及时、安全、准确、可靠地传递、存储和使用等。

5．风险管理监督与改进评价系统(占评价权重的10%)

评价的主要内容包括：业务部门、风险管理部门、审计部门、纪检监察部门等是否对风险管理和内部控制规章制度、业务流程的建设和执行情况进行连续的监管；监管活动是否合规；是否建立了监管结果直接向管理层、决策层和股东或股东大会报告的机制；监管中发现的风险管理和内部控制缺陷是否及时报告并得到有效纠正。包括四个评价子系统：

(1)审计监督评价(占风险管理监督与改进评价权重的15%)。

(2)纪检监察监督评价(占风险管理监督与改进评价权重的15%)。

(3)自律监管评价(占风险管理监督与改进评价权重的40%)。

(4)问题整改评价(占风险管理监督与改进评价权重的30%)。

6．案件和责任事故评价(占总体权重的-10%)

评价的主要内容包括：企业是否发生了重大的风险或内部控制失误事件；如果没有发生重大的风险或内部控制失误事件则计零分；如果发生了重大的风险或内部控制失误事件，但损失和影响较小且及时采取了补救措施，则适当扣分；如果企业发生了重大的风险或内部控制失误事件，本评价指标要全部扣分，但最高扣10%。