在组织的营运过程中，风险不仅种类繁多而且无所不在，它们像病毒一样无法回避且防不胜防。而由于组织庞大、管理层次众多和经营方向多元，势必使得对风险的嗅觉敏感度降低，造成风险识别的匹配能力下降。开展风险管理机制的精髓主要包括三个步骤：

　　　步骤一：风险识别
　　　　组织存在的风险极其多样，包括环境风险、策略风险、财务风险、信用风险、法律风险、营运风险、信息技术风险、授权风险与操守风险等等。有经验的管理者或是稽核人员，虽然具备风险识别上较高的能力，然而墨菲定律告诉我们，“越是有经验的管理者，越会犯下疏忽的大错”。

　　步骤二：进行风险评估（风险矩阵）　　
　　建立分别以“对企业的冲击风险影响度”及“风险发生的可能性”为纵轴和横轴的矩阵，并以0到10为范围，0代表最低，10代表最高，然后自右上（纵轴横轴都高）往左下（双轴都低）开始排定风险的重大性顺序。

　　 步骤三：设定风险承担能力指数与行动计划
　　将通过步骤二识别出来的风险的纵轴乘以横轴所得的评估分数，即为该项的风险指数，再按其指数高低排定的顺序，拟订行动计划。