企业风险管理由八个相关要素组成，这些要素来自于管理者管理一个企业的方式，并和管理过程相结合。

一、内部环境（internal environment）

企业的内部环境是企业风险管理所有其他要素的基础，它提供规则和结构。内部环境影响如何制定战略和目标、如何组织经营活动以及如何识别、评价和对风险采取行动。它影响控制活动、信息与沟通体系及监督活动的设计和职能。内部环境由许多要素组成，包括企业的道德价值、职员的能力和发展、管理者的经营风格以及它如何分配权力和责任。董事会是内部环境的主要部分，并大大影响内部环境的其他要素。作为内部环境的一部分，管理者建立风险管理哲学、制定企业的风险偏好、形成风险文化并把企业风险管理与有关的主动性结合起来。

一个被所有人了解的企业风险管理哲学有助于员工识别和有效管理风险。这个哲学——企业关于风险以及它如何选择实施它的活动并处理风险的信念——反映了企业从企业风险管理中寻求的价值，并影响着对企业风险管理要素的应用。管理者通过政策说明和其他沟通方式向员工传达它的企业风险管理哲学。重要的是，管理者不仅用言辞强化这个哲学，而且通过每天的行为强化它。

由管理者制定并由董事会审核的风险偏好是制定战略的路标。通常能设计许多不同的战略以实现希望的增长和利润目标，每个战略都有不同的相应风险。应用于战略制定中的企业风险管理有助于管理者选择与它的风险偏好一致的战略。管理者期望通过调整组织、人力、过程和基础设施以有助于成功的实施战略并使企业保持在它的风险偏好之内。

风险文化是表征一个企业如何考虑日常活动中的风险的共同态度、价值和惯例。对许多公司来说，风险文化从企业的风险哲学和风险偏好中产生。对于那些没有明确定义它们的风险哲学的企业，风险文化可能随意形成，导致在企业内或甚至在一个特定的业务单位、职能或部门内的区别很大的风险文化。

二、目标设定（objective setting）

根据既定的任务或远景，管理者制定战略目标，选择战略并制定贯穿企业并与战略相联系的相关目标。目标必须在管理者能识别潜在影响目标实现的事项之前存在。企业风险管理保证管理者有一个适当过程，既制定目标又把目标和企业的任务/远景结合起来并和企业的风险偏好一致。

企业目标可以分为以下四种类型：

（一）战略的——与高层目标有关，结合并支持企业的任务/远景。

（二）经营——与企业的经营效益和效率有关，包括绩效和利润目标。它们随管理者选择的结构和绩效而变化。

（三）报告——与企业报告的有效性有关。它们包括内部和外部报告以及可能涉及财务或非财务信息。

（四）遵守——与企业遵守适用的法律和法规有关。

企业目标的分类允许管理者和董事集中关注企业风险管理的不同方面。这些分明但重叠的类别——一个特殊的目标能归入不止一个类别一表达了不同主体的要求，而且，可能是不同执行者的直接责任。这个分类也可以区分从每个目标中期望得到的东西。

一些组织用另一类目标，“资源防护”有时称为“资产防护”。广泛地看，这些目标防止一个组织的资产或资源通过盗窃、浪费、低效、或证明是完全不好的经营决策——如低价格出售产品、没有留住重要职员或没能防止专利侵权、或招致无法预料的债务而流失。这种广泛意义上的资产防护范畴可能因某些报告目的而缩小，在这里防护概念仅适用于防止或及时发现未经授权的取得、使用或处理组织的资产。

三、事项识别（event identification）

管理者确认存在不确定性——它不能确切知道事件是否发生和何时发生，或它将产生的结果。作为事项识别的一部分，管理者考虑影响事件发生的外部和内部因素。外部因素包括经济、业务、自然环境、政治、社会和技术因素。内部因素反映管理者的选择并包含诸如基本设施、人力、过程和技术。

一个组织的事项识别方法可能把技术和辅助工具结合在一起。事项识别技术关注过去和未来。集中于过去事项和趋势的技术考虑诸如支付拖欠历史，商品价格变化和耽搁时间等事项。集中于未来风险的技术考虑诸如移动人口统计学、新的市场和竞争者行为等事项。

它可能对潜在事项分类有用。通过合计横向贯穿一个组织和纵向贯穿所有营业单位的事项，管理者能了解事项间的相互联系并获得更多的信息作为风险评估的基础。

所有事项都潜在地有负面影响、正面影响或两者都有。有潜在负面影响的事件表示风险，它要求管理者的评价和反应。相应地，风险被定义为一个事件将发生并负面影响目标实现的可能性。有潜在正面影响的事件表示机会或弥补风险的负面影响。表示机会的事项引导管理者的战略或目标制定过程，因此可以规划行动以抓住机遇。潜在弥补风险负面影响的事项在管理者的风险评价和反应中考虑。

四、风险评估（risk assessment）

风险评估允许一个组织考虑潜在的事项如何影响目标的实现。管理者从两个方面评估所有事件：可能性和影响。可能性表示一个特定的事件将发生的可能性，而影响表示它会产生的影响效果。风险可能性和影响的估计用来自过去可观察事件的数据来确定，这可能提供一个比完全主观评估更客观的基础。但是，即使内部产生的资料是第一位的来源，外部资料作为一个检验点或提高分析都是有用的。使用者必须小心的是当用过去事件来预测未来时，影响事件的因素可能随时间发生变化。

一个组织的风险评价方法通常由定性和定量技术的结合而组成。如果风险不适宜于定量，或定量评价所必需的充分可靠的数据不能实际得到或获得和分析数据符合成本——收益原则时，管理者通常用定性的评价技术。定量技术更精确，用于更复杂的活动以补充定性技术。一个组织不必所有业务单位用共同的评价技术。相反，技术的选择应反映精确和业务单位的文化的需要。在任何情况下，被单个业务单位使用的方法应有助于组织对整体风险的评价。

管理者经常用绩效衡量来确定目标被实现的程度。如果考虑一个风险对特定目标的实现的影响，用相同的方法可能是有益的。.当系列事件联合并相互作用，以产生重大不同的可能性或影响时，管理者可能评价这些事件是如何相关的。虽然单个事件的影响可能是微小的，但一系列事件的影响可能是较重大的。如果潜在事项不是直接相关的，管理者会单独的评价它们；如果风险可能在多个业务单位发生，管理者就要进行评价，并把可识别的事项划分到一般范畴。

通常一个潜在的事件有很多可能的结果，因此管理者把它们视为发展一个风险反应的基础。通过风险评价，管理者单独或分类地考虑贯穿组织的系列潜在事件的正面和负面的后果。

因为根据一个组织的战略和目标评价风险，管理者常常倾向于集中关注短期到中期范围的风险。但是，战略方向和目标的一些要素延长到了较长的期间。从而，管理者需要关注较长的时间框架，而且不能忽略可能进一步出现的风险。

风险评价首先应用于固有风险——在缺少管理者可能采取任何措施以改变风险的可能性和影响时组织的风险。一旦风险反应已经形成，接着管理者用风险评价技术确定剩余风险——管理者采取措施改变风险的可能性或影响之后的残存的风险。(www.daowen.com)

五、风险反应（risk response）

管理者识别风险反应选择并考虑它们在相关风险容忍度和成本一收益原则下对事件可能性和效果的影响，并设计和实施反应选择。考虑风险反应并选择和实施一个风险反应是完整的企业风险管理。有效的企业风险管理要求管理者选择一个能使预期产生的风险可能性和影响置于企业风险容忍度之内的反应。

风险反应属于风险规避、风险降低、风险分享和接受的范畴。规避反应就是采取措施以排除可能产生风险的活动。降低反应就是降低风险的可能性、影响或两者都降低。分享反应就是通过转移或另外的分享部分风险的方法来降低风险可能性或影响。接受反应是不采取任何影响可能性或影响的措施。作为企业风险管理的一部分，对于每一个重大风险，一个组织从一系列反应类型中考虑潜在的反应。这要求深入考虑反应选择，也向“现状”提出了挑战。

已经选择了一个风险反应后，管理者在残余基础上重新校准风险。管理者从组织范围或组合视角或远景考虑风险。管理者可能采取这样的方法：让负责每个部门、职能或业务单位的经理为那个单位制定一个综合的风险评价和风险反应。这个视图反映出一个单位与其目标和风险容忍度相关的风险组合。有了单个单位的风险视图，企业的高级经理就处在一个从风险组合的角度来确定组织的风险组合是否和与其目标相关的总体风险偏好相称。

管理者应承认剩余风险总是存在的，不仅因为资源是有限的，而且因为固有的未来不确定性及所有活动的固有局限性。

六、控制活动（control activities）

控制活动是帮助确保适当实施风险反应的政策和程序。控制活动存在于整个组织，各个级别和所有职能部门里存在。控制活动是一个企业努力实现其业务目标过程的组成部分，它们通常包括两个要素：确定应做什么的策略和实施策略的程序。

由于广泛的依赖于信息体系，从而，对重大体系需要进行控制。有两大类信息系统控制活动可以使用。第一类是一般控制，它虽然不是应用于所有应用体系，也应用于许多体系并有助于保证它们持续、适当的运行。第二类是应用控制，它包括控制技术应用的应用软件里的计算机化步骤。在必要时和其他手工过程相结合。这些控制可以保证信息的完整、准确和有效性。

一般控制包括对信息技术管理、信息技术基础设施、安全管理和软件购买、开发和维持的控制。这些控制应用于所有体系——从主机到客户/服务器到桌面计算机处理环境。一般控制包括处理信息技术监督程序、监督和报告信息技术活动和业务改进措施的信息技术管理控制。应用控制是用来保证数据捕获和交易处理的完整性、准确性、授权和有效性。单个的应用依赖于信息体系控制的有效运行，这些信息体系是用来确保需要时能产生界面数据以及辅助应用可用并能快速检测界面错误的。

因为每个组织有它自己的一套目标和执行方法，所以目标、结构和有关的控制活动都存在差别。即使两个组织有同样的目标与结构，它们的控制活动也可能是不同的。每个组织被不同的人管理，他在实施内部控制中使用特有的判断。此外，控制反映了一个组织运作的环境和行业，也反映它的组织、历史和文化的复杂性。

七、信息和沟通（information and communication）

有关的信息——来自内部和外部的——必须被识别、捕获并以一种能使员工履行他们职责的方式传达。有效的沟通也会在更广泛的意义上发生，自上而下、横向以及自下而上等。与外部群体如消费者、供应商、监督者和股东也有有效的沟通和相关信息的交换。

组织的所有级别都需要信息以识别、评价风险并对风险做出反应，以及管理组织并实现它的目标。大量信息被用，与一个或多个目标有关。信息有许多来源——内部的和外部的，以定量和定性的方式一允许企业风险管理对变化的条件适时地做出反应。对管理者的挑战是把大量数据处理和提炼成可用的信息。通过设立一个信息体系基础设施以获取、捕捉、处理、分析和报告相关信息，来应对这个挑战。这些信息体系——通常计算机化但也包含手工输入或界面一通常是在处理内部产生的交易相关数据的情况下考虑（view）。设计信息体系并用来支持企业战略已是很久的事情了，当企业需要变革和技术为战略优势创造新的机会时，这个角色变得尤为关键。

为支持有效的企业风险管理，一个企业需要捕获和使用历史和现在的数据。历史数据可以使企业追踪相对于目标、计划和期望的真实绩效，它可以洞察企业在变化的环境里如何经营，使管理者识别相关性和趋势并预测未来绩效。历史数据也能对潜在事件提出预警，确保引起管理者的关注。

现在或当前状况的数据允许一个组织及时评价它在特定时点的风险并保持在已制定的风险容忍度之内。目前状况数据使管理者可以适时评估一个过程、操作程序或单元存在的固有风险，并识别与期望的差别。这提供了一个组织的风险组合，使管理者可以改变调整组织的风险偏好时所必需的活动。

信息是沟通的基础，必须满足小组和个体的期望，使他们能有效地履行他们的职责。最重要的沟通渠道是高级管理层和董事会之间的沟通。管理层确保董事会了解最新的绩效、发展、风险和企业风险管理的运作，以及其他有关的事件和问题。沟通越好，董事会越能更有效地履行它的监督职能、担任关键问题的宣传者并提供建议、忠告和指导。基干同样理由，董事会应向管理层传达它需要何种信息并提供反馈和指导。

管理者提供详细和有指导性的沟通，来表述行为方面的期望和个人职责，这包括清楚陈述组织的企业风险管理哲学和方法及授权。过程和程序的沟通应支持和巩固期望的风险文化。另外，应当对信息进行适当“设计”——信息的表述能较大地影响如何理解它以及如何评价相关的风险或机遇。沟通应提高对有效的企业风险管理的重要性和相关性的认识，应传达组织的风险偏好和风险容限，应实施和支持一个通用的风险用语，以及向员工建议他们在实现和支持企业风险管理要素中的角色和职责。

沟通渠道也应保证个人能在业务单位、过程或职能中传递风险信息。在大部分情况下，组织里正常的报告方式是合适的沟通渠道。但是，在有些情况下，需要单独的沟通方式充当故障保险机制以防正常的渠道无效。在所有情况下，员工获知报告相关的信息不会遭到报复非常要。

外部沟通渠道能提供关于产品、服务设计或质量的高度重要的信息。管理者要考虑如何把它的风险偏好和风险容忍度与消费者、供应商和合作伙伴的风险偏好和风险容忍度结合起来，保证它的业务不会因为相互作用而疏忽地承担了太多风险。来自外部的沟通经常提供有关企业风险管理职能发挥的重要信息。

八、监督（monitoring）

企业风险管理是被监督的，是一个评价其要素的存在与职能发挥和长期实施质量的过程。监督可以通过两种方式实施：通过正在进行的活动或者单独的评价。正在进行的和单独的监督确保企业风险管理持续应用于企业的所有层次。

正在进行的监督成为企业正常的、反复的经营活动的组成部分。正在进行的监督在适时基础上执行，动态地对变化的环境做出反应并在企业里根深蒂固。结果，它比单独的评价更有效。因为单独的评价在事后发生，所以事中（正在进行的）监督程序能更快的识别问题。许多有健全的事中（正在进行的）监督活动的组织仍然实施企业风险管理的单独评价。

单独评价的频率是管理层的判断问题。在作决定时，管理层考虑内部和外部事件变化的性质和程度及它们的相关风险，员工执行风险反应和有关控制的能力和经验，以及事中（正在进行的）监督的结果。通常，事中（正在进行的）监督与单独评价的组合将保证企业风险管理保持它持续的有效性。

一个组织的企业风险管理的记录范围随组织的规模、复杂性和相似因素而变化。企业风险管理所有要素不被记录的事实并不意味着它们不是有效的或它们不能被评估。然而，一个适当水平的记录通常使监督更有效和高效率。管理层打算向外部群体作一个企业风险管理有效性的报告时，它应考虑完善并保留记录以支持这个报告。

所有影响一个组织规划并实施它的战略以及实现已制定的目标的能力的企业风险管理缺陷都应报告给那些负责采取必要措施的人。将被沟通的事情的性质将随个人处理发生情况的授权和上司的监督活动而变化。“缺陷”指在企业风险管理过程内值得注意的情形。因此，一个缺陷可能表示一个觉察到的、潜在的或真实的缺点，或者表示一个机遇以强化提高实现组织目标可能性的过程。通常通过正常渠道报告在经营活动中产生的信息。可供选择的沟通渠道也应存在以报告敏感的信息如非法的或不正当的行为。给合适的当事人提供关于企业风险管理缺陷的必要信息非常关键。应制定协议以识别什么信息是一个特别部门为作有效的决策所需要的。这样的协议反映一般原则：经理既应接收影响职员职责内的举动或行为的信息，也应接收实现专门的目标所需要的信息。