我国《企业内部控制基本规范》要求：

1企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

2 企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

3企业识别内部风险，应当关注下列因素：（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；（2）组织机构、经营方式、资产管理、业务流程等管理因素；（3）研究开发、技术投入、信息技术运用等自主创新因素；（4）财务状况、经营成果、现金流量等财务因素；（5）营运安全、员工健康、环境保护等安全环保因素；（6）其他有关内部风险因素。

4企业识别外部风险，应当关注下列因素：（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；（2）法律法规、监管要求等法律因素；（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；（4）技术进步、工艺改进等科学技术因素；（5）自然灾害、环境状况等自然环境因素；（6）其他有关外部风险因素。

5企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

6企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

7企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

8企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。