New COSOの第2構成要素「リスクの評価」の4つの原則は次のような内容です。
(6) 組織は、以下の5つの目的に関連するリスクの識別と評価を可能にするために十分な明確さをともないつつ、目的を特定する。
1.業務に関する目的、
2.外部報告目的の財務報告に関する目的、
3.外部報告目的の非財務報告に関する目的 、
4.組織内部における各種報告に関する目的、
5.コンプライアンスに関する目的.
(7) 組織は、全社的な目的を達成するためのリスクを識別し、そのリスクがどのように管理されるべきかを決定するための一つの基礎として、リスクを分析する。
(8) 組織は、目的を達成するためのすリスクを評価する上で不正の可能性を検討する。
(9)組織は、内部統制システムに重大な影響を与える可能性のある変化を識別し評価する。
