L'ISO 31000:2009 fournit des principes et des lignes directrices générales sur le management du risque.
L'ISO 31000:2009 peut être appliquée par tout public, toute entreprise publique ou privée, toute collectivité, toute association, tout groupe ou individu. Par conséquent, l'ISO 31000:2009 n'est pas spécifique à une industrie ou un secteur donné.
L'ISO 31000:2009 peut être appliquée tout au long de la vie d'un organisme et à une large gamme d'activités, dont les stratégies et les prises de décisions, les activités opérationnelles, les processus, les fonctions, les projets, les produits, les services et les actifs.
L'ISO 31000:2009 peut s'appliquer à tout type de risque, quelle que soit sa nature, que ses conséquences soient positives ou négatives.
Bien que l'ISO 31000:2009 fournisse des lignes directrices générales, elle ne vise pas à promouvoir l'uniformisation du management du risque au sein des organismes. La conception et la mise en œuvre des plans et des structures organisationnelles de management du risque devront tenir compte des divers besoins d'un organisme spécifique, de ses objectifs, son contexte, sa structure, son activité, ses processus, ses fonctions, ses projets, ses produits, ses services ou ses actifs particuliers, ainsi que de ses pratiques spécifiques.
Il est prévu que l'ISO 31000:2009 serve à harmoniser les processus de management du risque dans les normes existantes et à venir. Elle offre une approche commune à l'établissement des normes traitant de risques et/ou secteurs spécifiques, sans toutefois remplacer ces normes.