ISO31000：2009《風險管理-原則與指南》標準由國際標準化組織于2009年11月15日發布，開啟了人類標準化風險管理的新起點。雖然目前在中國沒有推出正式版本，在中國企業管理界推廣應用也較少，但其對風險、風險評估、風險管理與應對等的詮釋及原則性指引具有很好的借鑒意義。

1. 風險管理原則、框架、過程之間的關系

標準中給出了風險管理原則、總體框架及風險管理過程，三者之間的關系，這也是ISO31000標準的核心構成與核心思路。

2. “風險”的最新定義與內涵

ISO31000對“風險”一詞的最新定義，賦予了“風險”豐富的且不同以往的內涵，誕生了一個全新的“風險觀”。

（1）風險的未來屬性：風險直接與未來有關，談論風險就是談論未來，發現風險就是發現未來，面對風險就是面對未來，應對風險就是應對未來，贏得風險就是贏得未來。

（2）風險的兩重性：標準中賦予了風險中性特性，既具有威脅，也具有機會，糾正了以往偏向負面的風險內涵。

（3）風險的不確定性：不確定性是風險一詞的內核，管理風險即使管理不確定性，所以風險管理更關注未來，必須識別和管理不確定性，以期改變它對目標的影響。

（4）風險的事件性：由于風險的未來屬性，與風險相關的事件一定是“潛在事件”，是今天沒有發生的，可能在未來某一時間點發生的事件。

（5）風險的二維表示：風險的評價通過發生可能性和發生后果兩個維度表示，而且，要完成一個風險的表示，需要對這兩個維度進行賦值，確定它們的數值標準（可以定量也可以半定量），這便是風險準則中最為核心的內容。

（6）風險的信息性：不確定性的根源在于缺乏信息，如果有了對潛在事件、后果、可能性的足夠信息，就可以實現對它們的認識和了解，變“不確定性”為“確定性”。

3. 風險管理的框架各組成部分之間的關系

ISO31000中給出了管理風險框架設計的七個主要內容，即了解組織及其環境、建立風險管理方針、責任、整合入組織過程、資源、建立內部溝通和報告機制、建立外部溝通和報告機制。同時，對授權與承諾、管理風險框架、實施風險管理、監測與評審、持續改進等內容之間的循環關系進行了詮釋。

4.  風險管理過程

標準中對風險管理過程進行了闡述，其主循環流程由“建立環境? 風險評估 ? 風險應對 ?監測與評審”構成，其中，風險評估又分為風險識別、風險分析與風險評價三個階段，監測與評審不僅是循環流程中的一個子過程，還需要嵌入“建立環境、風險評估、風險應對“三個子過程，同時，這三個子過程還要嵌入到溝通與咨詢、監測與評審兩個子過程中。

整個風險管理過程特別強調建立環境（包括內部環境與外部環境）階段的重要性，每個循環的起點都是建立環境，終點是監測與評審，其結果還應對風險管理框架的評審提供輸出。

5.  記錄風險管理過程

標準中特別提出風險管理活動應可追溯，與所有過程一樣，在風險管理進程中，記錄相關過程信息，便于風險管理活動的追溯。同時，創建、保留、維護記錄是要有資源投入的，應考慮到記錄的成本與記錄效果之間的關系，在一定的記錄成本下，發揮記錄的最大作用。