De acordo com a ISO 31000, o propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Entre os componentes dessa estrutura, um estabelece o desenvolvimento de um plano adequado, incluindo prazos e recursos, a modificação dos processos de tomada de decisão aplicáveis, quando necessário, além da garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados. Outro componente envolve mensurar periodicamente o desempenho da estrutura de gestão de riscos em relação aos seus objetivos, indicadores e comportamento esperado, além de determinar se permanece adequada para apoiar o alcance das metas da organização.
Esses componentes da gestão de riscos são conhecidos, respectivamente, como: