一、收集风险管理初始信息
       要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
　　收集初始信息要根据所分析的风险类型具体展开（例如战略风险、财务风险、市场风险、运营风险、法律风险方面）。
　　二、进行风险评估
　　完成了风险管理初始信息收集之后，企业要对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。
　　（一）风险评估的步骤
　　风险评估包括风险辨识、风险分析、风险评价三个步骤。
　　1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。
　　2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。
　　3. 风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
　　（二）风险评估的方法
　　进行风险辨识、分析和评价，应将定性与定量方法相结合。
　　定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡洛分析法）、失效模式与影响分析、事件树分析等。
　　企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。
风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。