您好，感谢关注CIO在线平台！
    这个问答较大，先做大致的回答。风险评价包括风险识别、风险分析和风险分析。
    1、风险识别：系统的使用信息（如历史数据、现有判断、理论分析）来寻找和识别所述问题的潜在根源。弄清楚“什么可能会出错？其可能的后果是什么？”
    2、风险分析：对已确定危害相关的风险进行分析、判断；也是对危害发生的概率和严重性进行定性和定量的过程。 弄清楚“出错的可能性有多大？结果是什么？”
  3、风险分析：将已确定和分析的风险与给定的风险标准进行比较。
如贵司还有更多需求，请联系CIO合规保证组织。