การบริหารความเสี่ยงระดับองค์กรของ รฟม. ดำเนินการตามแนวทางระบบการบริหารความเสี่ยงระดับองค์กรของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ซึ่งมีองค์ประกอบการบริหารความเสี่ยง ดังนี้

   1. สภาพแวดล้อมภายในองค์กร (Internal Environment) คือ แนวทางและนโยบายภายในเกี่ยวกับการบริหารความเสี่ยงของ รฟม. สภาพแวดล้อมภายในองค์กรเป็นปัจจัยสำคัญที่มีผลต่อกระบวนการบริหารความเสี่ยง

   2. การกำหนดเป้าหมาย (Objective Setting) การกำหนดเป้าหมายสำหรับการบริหารความเสี่ยงของ รฟม. จะกำหนดจากเป้าหมายการดำเนินงานตามที่กำหนดไว้ในแผนวิสาหกิจ และเป้าหมายอื่นๆ ตามข้อสังเกตของคณะกรรมการประเมินผลการดำเนินงานของรัฐวิสาหกิจด้านการบริหารความเสี่ยง คณะอนุกรรมการบริหารความเสี่ยง/คณะทำงานบริหารความเสี่ยงองค์กรที่กำหนดเพิ่มเติม

   3. การระบุความเสี่ยง (Risk Identification) คือ การพิจารณาเหตุการณ์ที่นำไปสู่ความเสียหาย โดยการระบุความเสี่ยงจะต้องพิจารณาปัจจัยทั้งจากภายในและภายนอกองค์กร การระบุความเสี่ยงสามารถทำได้หลายแนวทาง ได้แก่ การสัมภาษณ์ (Interviews) การใช้ดุลยพินิจจากประสบการณ์ทำงาน การระดมความคิดจากส่วนงานต่างๆ (Brainstorming) การประชุมเชิงปฏิบัติการ (Workshop) การจัดตั้งคณะทำงานที่ประกอบด้วยบุคลากรที่มีความรู้ความสามารถในด้านต่างๆ การวิเคราะห์จากข้อมูลในอดีต เป็นต้น

   ในการบริหารความเสี่ยงของ รฟม. ได้มีการแบ่งความเสี่ยงออกเป็น 4 ประเภท ดังนี้

ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกำหนดกลยุทธ์และการตัดสินใจด้านกลยุทธ์ ซึ่งรวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมาย กลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน และสภาพแวดล้อม อันส่งผลกระทบต่อองค์กร

ความเสี่ยงด้านการปฏิบัติงาน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทั้งในส่วนของการบริหารงานบุคลากร และเทคโนโลยีที่ใช้ในการทำงาน

ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับนโยบายและขั้นตอนการบริหารจัดการด้านการเงินและการลงทุน

ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk: C) หมายถึง ความเสี่ยงจากการฝ่าฝืนหรือไม่สามารถปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ มติคณะรัฐมนตรี มาตรฐานต่างๆ หรือ กฎหมาย/ระเบียบที่มีอยู่ไม่เหมาะสมหรือเป็นอุปสรรคในการปฏิบัติงาน

   4. การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยงพิจารณาจากองค์ประกอบ 2 ประการ ได้แก่ โอกาสที่จะเกิดความเสี่ยง (Likelihood) และผลกระทบที่เกิดขึ้น (Impact) จากนั้นจึงนำองค์ประกอบทั้งสองมาพิจารณาร่วมกันเพื่อหาระดับความเสี่ยง (Level of Risk)

โอกาสที่จะเกิดความเสี่ยง (Likelihood) หมายถึง ความเป็นไปได้ที่ความเสี่ยงหรือเหตุการณ์นั้นจะเกิดขึ้นโดยแบ่งออกเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก

ผลกระทบที่เกิดขึ้น (Impact) หมายถึง ผลกระทบของความเสี่ยงหรือเหตุการณ์ที่จะเกิดขึ้น ซึ่งอาจเป็นมูลค่าความเสียหาย ความมีนัยสำคัญต่อวัตถุประสงค์หรือเป้าหมายความอ่อนไหว (Sensitive) ต่อประชาชน โดยแบ่งออกเป็น 5 ระดับ คือ สูงมาก สูง ปานกลาง น้อย และน้อยมาก

ระดับความเสี่ยง (Level of Risk) หมายถึง ตัวชี้วัดที่ใช้ในการกำหนดความสำคัญของความเสี่ยง โดยค่าระดับความเสี่ยงได้มาจากผลคูณระหว่างโอกาสที่จะเกิดความเสี่ยง (Likelihood) กับผลกระทบของความเสี่ยง (Impact) ซึ่ง รฟม. ได้แบ่งระดับความเสี่ยงออกเป็น 4 ระดับ ได้แก่ สูงมาก สูง ปานกลาง และต่ำ ตามเกณฑ์การแบ่งระดับความเสี่ยง ดังนี้

ระดับความเสี่ยงสูงมาก	ค่าระดับความเสี่ยงมากกว่า 16
ระดับความเสี่ยงสูง	ค่าระดับความเสี่ยง 10 - 16
ระดับความเสี่ยงปานกลาง	ค่าระดับความเสี่ยง 4 - 9
ระดับความเสี่ยงต่ำ	ค่าระดับความเสี่ยง 1 - 3

   5. การจัดการความเสี่ยง (Risk Responses) การพิจารณากำหนดกลยุทธ์ในการจัดการความเสี่ยงโดยจะเลือกใช้กลยุทธ์ใดกลยุทธ์หนึ่งหรือหลายกลยุทธ์รวมกันก็ได้ เพื่อให้ระดับความเสี่ยงลดลงมาอยู่ในระดับที่ยอมรับได้ ซึ่งกลยุทธ์ในการจัดการความเสี่ยงประกอบด้วย 4 กลยุทธ์ (4T) ได้แก่ การหลีกเลี่ยงความเสี่ยง (Terminate), การถ่ายโอนความเสี่ยง (Transfer), การควบคุมความเสี่ยง (Treat), การยอมรับความเสี่ยง (Take)

   6. กิจกรรมควบคุม (Control Activities) คือ นโยบายและวิธีการปฏิบัติงานที่กำหนดขึ้นเพื่อช่วยให้ฝ่ายบริหารมั่นใจว่าได้มีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยกิจกรรมการควบคุมมีทั้งการควบคุมแบบป้องกัน ค้นพบและแก้ไข

   7. การติดตามและประเมินผล (Monitoring) เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อม วิธีการจัดการความเสี่ยงที่กำหนดไว้อาจจะไม่เหมาะสม กิจกรรมควบคุมอาจมีประสิทธิภาพน้อยลง หรือเป้าหมายการดำเนินงานอาจมีการเปลี่ยน ดังนั้นจึงต้องมีการติดตามตรวจสอบว่าการบริหารความเสี่ยงในแต่ละขั้นตอนยังคงมีประสิทธิภาพอยู่หรือไม่ ในการติดตามตรวจสอบของ รฟม. จะใช้หลักการประเมินตนเอง (Self - Assessment) โดยส่วนงานหลักรับผิดชอบบริหารจัดการความเสี่ยงใด ส่วนงานนั้นจะเป็นผู้รับผิดชอบในการประเมินประสิทธิภาพการบริหารความเสี่ยงของตนเอง ทั้งนี้สำนักตรวจสอบจะเป็นส่วนงานหนึ่งที่จะทำการติดตามตรวจสอบตามหน้าที่ประจำของส่วนงาน หรืออาจจะทำการตรวจสอบตามคำสั่งของคณะกรรมการตรวจสอบ หรือคณะกรรมการ รฟม.

   8. สารสนเทศและการสื่อสาร (Information and Communication) คือ การจัดให้มีการสื่อสารและระบบสารสนเทศความเสี่ยงที่ดี เพื่อให้มั่นใจว่าผู้บริหารและพนักงานทุกคนเข้าใจกระบวนการและบทบาทหน้าที่ความรับผิดชอบของตนเกี่ยวกับการบริหารความเสี่ยง