1、内部环境:内部环境包含组织的基调,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。

2、目标设定:必须先有目标,管理当局才能识别影响目标实现的潜在事项。确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。

3、事项识别:必须识别影响主体目标实现的内部和外部事项,区分风险和机会。