根据《COSO全面风险管理整合框架》，中央企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成。

　　（一）内部环境

　　中央企业内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。其中特别是中央企业领导班子的风险偏好，决定了中央企业对可能出现的预料之外的事件的态度，中央企业管理层必须明确战略及其执行过程中的风险和回报。

　　（二）目标设定

　　根据国资委确定的任务或预期，管理层制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程，将目标与企业的任务或预期联系在一起，保证制定的目标与企业的风险偏好相一致。

　　（三）事项识别

　　企业风险管理要求辨别可能对实现中央企业目标产生负面影响的所有重要情况或事件，事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。

　　（四）风险评估

　　一般用可能性（概率）和影响结果两个指标度量风险。风险评估的过程根据不同的情况，采用定性和定量相结合的方法。若可以获取充足的数据，可采用决策风险定量评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则可采取定性的评估方法。

　　（五）风险应对

　　中央企业要对每一个重要的风险及其对应的回报进行评价和平衡，据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是中央企业风险管理的整体重要组成部分。

　　（六）控制活动

　　控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是中央企业管理层设计的政策和程序，为执行特定的风险应对措施提供合理保证。

　　（七）信息与沟通

　　风险信息必须以一定的形式和框架进行交流，使中央企业员工、管理层履行各自的责任。中央企业必须对各种数据和信息流进行加工，形成关于企业风险组合轮廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分，应鼓励员工就其意识到的重要风险与中央企业管理层进行交流，中央企业管理层应当重视员工的意见。

　　（八）监控

　　中央企业应通过持续的监控和独立的评价活动，监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象，包括中央企业管理层和专门的监控人员的活动。