風險管理是在項目或者企業一個肯定有風險的環境里，把風險可能造成的不良影響減至最低的管理過程。風險管理是企業管理中的重要組成部分，對現代企業而言十分重要。企業風險管理包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控八個相互關聯的構成要素，它們來源于管理層經營企業的方式，并與管理過程整合在一起。

一、內部環境

內部環境包含組織的基調，它影響組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。內部環境因素包括主體的風險管理理念、它的風險容量、董事會的監督、主體中人員的誠信、道德價值觀和勝任能力，以及管理層分配權力和職責、組織和開發其員工的方式。

二、目標設定

必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應。

三、事項識別

在活動中，管理者會識別對主體目標實現產生影響的潛在事項——機會或風險，識別結果也會被反饋到管理層的戰略或目標制定過程中。所以，管理層要在組織的全部范圍內考慮一系列的可能帶來風險和機會的內部和外部因素。

四、風險評估

要對識別的風險進行分析，以便確定管理的依據。

固有風險和剩余風險：管理層要評估固有風險。風險應對一旦確立，管理層就要考慮剩余風險。

估計可能性與影響：潛在事項的不確定性從兩個方面進行評價——可能性和影響?？赡苄员硎疽粋€給定事項將會發生的或然率，而影響則代表它的后果。評估風險的時間范圍也應該與相關戰略和目標的時間范圍相一致。

評估技術：一個主體的風險評估方法包括定性和定量技術的結合。在不要求定量化或者定量化評估無法實現的情況下，管理層通常采用定性的評估技術。定量技術可以帶來更高的精確度，但是卻高度依賴支持性數據和假設的質量。

五、風險應對

員工識別和評價可能的風險應對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。

六、控制活動

制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。

七、信息與溝通

有關的信息以保證人們能夠履行其職責的形式和時機。每個主體都要識別和獲取與管理該主體相關的涉及到外部和內部事項和活動的廣泛的信息。

八、監控

一個主體的企業風險管理會隨著時間而變化，所以對企業風險管理的監控，需要隨時對其構成要素的存在很運行進行評估。

監控可以以兩種方式進行，持續的活動或者專門評價。