Identifier les risques
Une fois que l’environnement interne de contrôle est défini et que les objectifs de l’entreprise en termes de risques ont été précisés, commence l’étape d’identification des événements à risque.
L’identification des risques est généralement effectuée dans le cadre d’un dispositif de contrôle déterminé.
Un dispositif de contrôle est constitué d’un ensemble de contrôles qui permettent d’assurer la prévention et la maîtrise des risques encourus par l’entreprise, l'application de règles de fonctionnement internes, le respect d’une loi ou d’une réglementation en vigueur, ou l’atteinte d’un objectif stratégique de l'entreprise. Exemples : le dispositif de contrôle de la Qualité, le dispositif de contrôle relatif à loi Informatique & Liberté, le dispositif de contrôle de gestion, le dispositif d'audit interne.
Ce dispositif de contrôle peut être défini comme la mise en oeuvre d’une réglementation dans le cadre d’un des métiers de l’entreprise, comme par exemple, l’application de la politique financière de l’entreprise dans le domaine des achats.