Der Risikomanagementstandard ISO 31000:2009 "Risk Management - Principles and Guidelines" bringt in seinem Abschnitt 3 "Principles" einen Satz von 11 Grundsätzen mit.
Diese Grundsätze bringen Verständnis und sorgen für Unverständnis gleichermassen!
Beispiel - Abschnitt 3 h: "Risk management takes human and cultural factors into accout."
Dazu der Kommentar eines Vorstands: "Kann ich nicht brauchen; bei uns geht es um Zahlen, Daten und Fakten."
Beispiel - Abschnitt 3 b: Risk management is an integral part of all organizational processes."
Dazu der Kommentar eines Beraters: "Macht klar, dass Risk Management nur "integriert" mit den Prozessen, insbesondere den wertschöpfenden und rechnungslegenden Prozessen des Unternehmens sinnvoll ist."
Über alle diese 11 Grundsätze lässt sich hervorragend diskutieren. Tatsache ist: Im Gegensatz zu den Abschnitten 4 "Framework" und 5: "Process", sind die Inhalte des Abschnitts 3 nicht generisch, sondern gehen von bestimmten grundlegenden Axiomen aus, die unternehmensspezifisch sind. Nicht jedes Unternehmen will "human and cultural factors" berücksichtigen. Es mag dazu gute Gründe haben. Nichts hindert es daran, als einen seiner eigenen Grundsätze z. B. "Risk management ist based on numbers, data and facts." zu formulieren und den nicht gewünschten Grundsatz der Norm zu streichen.