企业风险管理并非限于特定的事件或情况，它是一个持续不断进行的过程，而且会牵涉整个企业各方面的资源及营运作业。企业风险管理关系到每个层级的人员，并且应用全面性的观点来检视风险。

以程序而言，企业风险管理有八个相互关联的要素，这八个要素形成了一个全面性的行动架构。

（一）内部环境

企业的内部环境是风险管理的基础，内部环境不仅会影响到策略及目标的设定和活动的建置，而且影响到对风险的辨认、评估及回应。内部控制环境由多种因素组成，如道德观、人员、管理者的经营理念及风险管理的态度和文化。

（二）目标设定

即规定设定目标的程序，并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定：

（1）策略：有关企业整体的目标及使命；

（2）营运：有关效率、绩效及获利能力；

（3）通报：有关内部及对外部的报告；

（4）遵循：有关法令及规章的遵循。

（三）事件辨认

企业经营环境充满不确定性，没有任何企业可以百分之百地确定特定事项是否或何时发生及其结果将会如何。通过事项辨认的程序，管理者将思考所有会影响其策略及目标达成的内部及外部因素，并将潜在事项加以分类。其分类方式可按事项是否横跨整个企业或是否垂直穿越各个作业单位来进行归类。管理者还要对这些事项之间的相关性进行分析和了解，并且获得充足的资讯作为风险评估的基础。

（四）风险评估

风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小，但是一连串的事件可能使影响程度增大。(www.daowen.com)

风险评估同时使用定性与定量的方法来评估潜在事项的不确定性程度。

（五）风险回应

当风险被辨认及评估之后，管理者必须思考可能采取的风险回应方式及其影响，同时考量风险承受度及成本效益。为了达到有效的风险管理，所选择的风险回应方式不能超出企业所能承受的风险范围。

风险回应方式主要有回避、降低、分摊及接受，当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后，必须将其转化为有效的行动，制定执行计划并且评估计划执行后的剩余风险。

（六）控制活动

内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达到目标的方法不同，控制活动也不相同，而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及企业文化等。一般控制通常包括了对IT管理架构、软件的购置及维修和资料存取的安全等控制；而应用控制的目的则在于确保资讯处理的完整、正确及有效。

（七）资讯及沟通

组织的每个层级在辨认、评估及回应风险时都需要取得来自内部及外部的适当的资讯。资讯取得后，应帮助组织快速而有效地执行任务。有效的沟通既包括内部从上至下或从下至上的沟通，也包括对客户、供应商、政府单位及股东等外部团体的资讯沟通。

有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪实际经营结果与目标的差异并找出趋势，同时也能提前察觉到与风险相关的潜在事项。而现时资讯则能够反映已存在于作业程序或作业单位风险的及时资讯，使企业能够依据风险承受度改变其所进行的营运活动。

（八）监督

监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级系一致执行。监督进行的方式包括持续监督及个别监督。持续监督是建立在营运活动之中，并且随时不断进行；个别监督是在事实发生之后才进行。相比之下，持续监督的机制更能够迅速地发现问题。

企业风险管理是一个相互关联的程序，只有八个要素同时存在并能顺利地运作才能发挥其作用。当然，任何一种风险管理程序，不论其设计及执行多少，都不能对结果加以保证，但一定有助于管理阶层增加实现目标的信心。

COSO风险管理架构是在内部控制架构基础上发展起来的，虽然企业风险管理的八要素也反映了内部控制与要素的相关内容，但不能替代内部控制要素，因为各要素的目的及具体内容是不相同的。