的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制定中确定其风险偏好，而业务目标使得战略得以实践并形成主体日常的运营。7考虑风险和业务环境：组织考虑业务环境对风险图谱的潜在影响。组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。外部环境包括政治、经济、社会、科技、法律和环境等方面，内部环境包括资本、人力、流程和技术等方面。8定义风险偏好：组织在创造、保存和实现价值的过程中定义风险偏好。负责确定风险偏好的董事会和管理层必须完全了解不同风险偏好所代表的取舍和利害关系。对于一些组织来说，“高风险偏好”或“低风险偏好”已经足够区分，对已另外一些组织来说，风险偏好必须是可以量化的。风险偏好可以有“目标”、“范围”、“上限”、“下限”等不同的表达和设定方式。9评估可供选择的战略：组织评估可替代的战略和对风险状况的影响。组织必须明确战略的重要意义和不同战略选择所隐含的意义，将战略和风险偏好结合在一起考虑并依据不同情况和阶段调整战略。10建立业务目标的同时考虑风险：组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。业务目标可以使财务表现、客户满意度、卓越运营、合规、效率提升或者领先行业的创新等等。组织必须理解不同的业务目标所隐含的意义并确定不同的绩效
f度量方式和目标。11定义可接受的绩效浮动区间：可接受的绩效浮动也可以理解为风险容忍度。衡量绩效的完成度可以是定量的也可以是定性的。前者如资本回报率等，后者如品牌知名度、媒体评价等。执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险，结合企业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险应对的方法并对绩效进行监控以做出调整。这样，企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。12识别执行中的风险：组织识别执行过程中影响业务目标实现的风险。风险识别的方法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。风险和机遇并存，识别风险的过程也是识别机遇的过程。13评估风险的严重程度：风险评估的重要工具是风险热力图，热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。图5：风险热力图14区分风险的优先次序：组织结合风险偏好，选定对风险排分优先等级的标准，然后对所有识别的风险进行r