风险识别工作结束后，就需要对识别出的风险进行测评与分析，通过对风险可能性和损失度进行测评，确定风险状况，为下一步的风险控制打下基础。风险分析与测评的工作方法与流程首先是对风险进行量化分析和测评，并划分风险等级，其次对风险进行多角度的定向分析。
　　1．风险量化分析
　　风险量化分析是指通过测评风险发生的可能性和风险发生后的损失度，实现对风险的量化分析。风险发生的可能性是指风险发生的概率，一般情况下是从外部监管执行力度、内部制度的完善及执行力度、企业员工的素质和特定业务的工作频次等几个纬度对风险进行测评。风险发生后的损失度也称为风险损失期望值，该数值综合考虑了风险可能性和风险的损失度，代表了风险的严重程度。风险发生后的损失度主要从风险损失的影响范围、财产损失的大小、非财产损失的大小等几个方面对风险进行测评。通过对风险的测评，得出各项风险的测评结果，明确不同风险的严重程度，结合风险管理需要，确定风险分级标准，把风险水平相近的进行合并，形成相应等级的风险，便于企业集中资源优先进行控制。
　　2．风险定向分析
　　风险定向分析是从特定的角度出发，对风险进行全面的分析，通过风险分析，可以明确企业所面临风险的分布特点，以便日后更有针对性的加强控制。一般情况下特定的角度是指主体（实施者）、部门、业务管理活动等因素。这些因素是产生风险的直接或间接的原因，通过对风险的定向分析可以很轻易的知晓风险产生的根源，并能够很好的制定控制措施对其加以防范。 风险测评与分析的工作方法及流程如图所示：
 

　　3．风险控制
　　风险控制是整个风险管理工作中最重要的环节，也是风险管理工作的终极目标。风险控制的方法和流程大致可分为三个步骤：首先制定控制措施，其次形成控制计划，最后实施控制计划。
　　4．制定控制措施
　　制定控制措施的目的是确定风险行为的应对态度，指导应对措施的制定。企业应根据风险水平、风险偏好及风险管理的成本收益分析来综合考虑，针对每个风险，根据风险的控制现状，制定有针对性的、切实可行的控制措施，并明确每个措施的完成标志和确定风险应对态度。大体来讲，风险的控制措施主要有风险避免、风险转移、风险降低和风险接受四种类型。风险避免主要涉及完全避免某一具体的威胁或风险，企业应采取各种方法以保证风险不发生。风险转移是指通过采取控制措施，将风险转移给其他主体，包括直接转移和间接转移（例如将业务/服务外包或委托、投保、收取保证金等）。风险降低是指通过采取控制措施，降低风险发生的可能性或降低风险发生造成的损失程度。风险接受是指对风险采取接受的态度，暂时不采取控制措施。如风险发生的可能性很低，负面影响小，承担比控制更为经济。
　　5．形成控制计划。
　　已制定的控制措施不可能一蹴而就的实施且控制和防范所有的风险，需要有一个结合企业实际情况的控制计划，并作为企业工作制度或流程的一部分。控制措施形成后，根据实际工作情况和资源配备情况，制定每个控制措施的完成时间（指制度/流程/组织/职能的成文管理文件制定完成的时间，及“其他”类具体活动完成的时间），并严格按照计划执行。
　　6．实施控制计划
　　实施控制计划是风险管理的具体化工作，通过控制计划的实施，达到对企业风险控制的目的。在实施过程中要注意与控制计划的有效衔接和互补性，避免计划仅仅停留在纸面；同时要注意来自实践的反馈：实施控制计划的过程中如果有新的风险类型出现或现有的控制措施难以实现控制的目的时，要及时修正、更改控制计划，以保证风险管理工作的正常运转。风险控制的方法及流程图如图所示：