ISO31000认证风险管理程序包括5个方面：沟通与协商，创建背景，风险评估，风险处置，监测与评估。 
1、沟通与协商 
　　在风险管理程序的每一个阶段，与内部和外部利益相关者进行沟通与协商是十分必要的。在早期阶段，应该制订一个与内部和外部利益相关者进行沟通和协商的计划，处理与风险本身、风险后果和应当采取的管理措施相关的问题。有效的外部和内部沟通与协商可以明确地解释实施的风险管理程序，使利益相关者了解做出相关决定的依据，采取的特殊措施的原因。 
2、创建背景 
　　通过创建背景，企业在管理风险、制订风险范围和标准时，能够充分考虑内部和外部的影响因素。 
　　创建风险管理程序的背景――风险管理程序的背景将根据企业的需求而发生改变，主要包括：明确风险管理程序的责任；明确被实施风险管理活动的范围、深度、宽度；明确企业的特别计划或活动与其他计划或活动之间的关系；明确风险评估的方法等。 
　　制订风险标准――企业应当制订评估风险重要性的标准。该标准应反映企业的价值观、目标和资源，与企业的风险管理政策相一致。风险标准应当在风险管理程序的开始阶段制订，并不断被修订。

 
3、风险评估 
　　风险评估——指风险辨识、风险分析和风险评价的全过程。 
　　风险辨识——企业应当辨识风险的根源、影响的范围、潜在性的后果等。企业应当根据其目标和能力、面临的风险，去运用风险辨识工具和技术。 
　　风险分析——即对风险的理解，决定风险是否需要被处置，以及最合适的风险处置战略和方法。风险分析包括考虑风险产生的原因和根源，其积极与消极结果，这些结果发生的可能性等。 
　　风险评价——风险评价的目的是帮助在风险分析结果的基础上做出决策，哪些风险需要被优先采取处置措施。 
4、风险处置 
　　风险处置的方法主要包括：通过决定不开始或继续能够产生风险的活动来避免风险；消除风险产生的根源；通过选择保留部分风险等。 
　　风险处置包括一个评估风险处置的循环程序，决定剩余风险的程度是否可以容忍。如果不能容忍，将采取新的风险处置方法。评估风险处置的效果，直到剩余风险达到了公司风险标准的要求。 
5、监测与评估 
　　监测与评估应当成为风险管理程序的计划部分，应当明确地规定监测与评估的责任。监测与评估可以包括日常检查或监督。