Wäre die ISO 31000:2009 eine "Anforderungsnorm" (wie die ISO 9001:2008) deren Erfüllung durch eine Zertifizierung nachzuweisen wäre, wäre ein Risikomanagement nach der ISO 31000:2009 ein Risikomanagement, welches den Inhalten (insbesondere den Anforderungen") entspricht. Jetzt enthält die ISO 31000:2009 keine Anforderungen, sondern Grundsätze und Leitlinien (in Österreich: Richtlinien), und ist nicht zur Zertifizierung vorgesehen (... kann aber zertifiziert werden ...). Die ISO 31000:2009 ist aber eine "Leitliniennorm", die keine Anforderungen stellt, sondern Leitlinien gibt. Bei einem Risikomanagement kann man durchaus auf Inhalte und Strukturen der ISO 31000:2009 zurückgreifen, braucht dies aber nicht so unbedingt zu tun. So können in Anlehnung an Abschnitt 2 "Terms and Definitions" durchaus Begriffe eines individuellen Vokabulars genutzt werden. Die vorgegebenen Begriffe sind nicht generisch. Ebenfalls können in Anlehnung an Abschnitt 3 "Principles" eigene und individuelle Grundsätze formuliert werden und die vorgeschlagenen Grundsätze entweder modifiziert oder ersetzt, oder ersatzlos gestrichen werden. Die vorgegebenen Grundsätze sind nicht generisch. Die Leitlinien des Abschnitts 4 "Framework" und des Abschnitts 5 "Process" werden, da sie generisch sind, übernommen und gegebenenfalls modifiziert.