1、内部环境(internal environment)–内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念、风险容量、董事会的监督、企业中人员的诚信、道德价值观和胜任能力、以及管理当局分配权力和职责、组织和开发其员工的方式。
2、目标设定(objective setting)–必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
3、事项确认(event identification)–必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。
4、风险评估(risk assessment)–通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。
5、风险应对(risk response)–管理当局选择风险应对–回避、承受、降低或者分担风险–采取一系列行动以便把风险控制在主体的风险容限(risk tolerance)和风险容量以内。
6、控制活动(control activity)–制订和执行政策与程序以帮助确保风险应对得以有效实施。
一、风险评估
一旦列出了系统内的各种风险,就需要评估假设没有采取控制措施时每种风险对系统的影响,可以通过风险的高低来对风险进行排序,并依此来确定何时需要采取控制措施。
二、风险避免
在这个阶段,风险是可以被消除的。如在工厂某一特殊区域存在火灾风险,改用不燃物质可以消除这种风险从而达到预防的目的。
三、风险减少
减少风险的一种方法就是通过工程手段。例如,传送带上的交咬点就是一个易伤手或手指的危险点,采用工程控制手段如安装阻止人员接触设备运行部分的保护装置就可以控制该危险。用电力发动机代替动力机器上的手柄和皮带也是减少风险的实例。
四、风险保留
用保险业人士关于风险保留的观点来说,万一无法避免或减少风险,保留这个风险并由组织承担相应费用。职业安全健康工作者认为可以通过诸如工伤保险和火灾保险等方法去除保留风险。
五、风险转移
风险转移是把风险转移到其他能更好控制风险的组织。某一项特殊任务若没有足够的设备、经验或技术时就要考虑风险转移。如在组织内,使用应对灾难的应急管理队伍。