风险管理的基本程序包括风险意识、风险收集、风险识别、风险控制及风险管理效果评价等环节（见图8-1）。

图8-1　风险管理基本程序

图来源：ISO 31000风险管理

风险意识：风险信息收集和风险识别、风险控制基础首先是风险意识，有了这种意识才有可能进行管理，风险意识建立需对风险知识进行学习，掌握风险管理一般规律。(www.daowen.com)

风险收集：企业广泛地、持续不断地收集与本企业风险和风险管理相关的内外部初始的，包括历史数据和未来预测数据。

风险识别：包含辨识、分析、评价三步。第一步风险辨识是基础，企业应该全面系统地考察、了解各种风险事件存在和可能发生的概率以及损失的严重程度，因为损失发生的概率、后果及严重程度，直接影响人们对损失危害的衡量，最终决定风险政策措施的选择和管理效果。第二步风险分析是在风险识别基础上，定性的对风险造成的原因和影响、结果进行分析，风险结果可以是健康损害、经济结果、顾客投诉、经济赔偿、社会影响、造成经济损失直至停业、取消营业资格等，风险原因可以是管理原因、活动、设施等造成。第三步风险评价是在风险识别和分析基础上，对风险发生的概率，损失的程度，结合其他因素进行全面考虑，评价发生风险的可能性及危害程度，并与公认的安全指标相比较，以衡量风险的程度，并决定是否需要采取相应的措施。

风险控制：制定和实施风险管理策略。风险控制包括技术措施和管理措施，技术措施如通过设施设备改造、替代、加防护设备，管理措施可以是人员能力要求、制度建设、检查、教育培训等，定期总结和分析已制定的风险管理策略的有效性和合理性，并结合实际不断修订和完善。

风险管理效果评价：风险管理的监督与持续改进评价。对风险处理的效益性和适用性进行分析、检查、评估和修正，分析风险管理的实际效果，也就是进行风险管理的复盘，这样一是有助于预防和减少事故的发生，提高决策水平；二是发现风险管理的问题，提出一些建设性建议，从而改进管理措施，提高管理收益。

风险管理过程应当实行动态管理，并定期或不定期再次实施风险管理过程，以便对新出现的风险和原有风险的变化重新做出评估。