Manager, die im Unternehmen den Auftrag haben, Risiko- management einzuführen, erliegen der Versuchung, in operative Hektik zu verfallen. Sie suchen eine Umsetzung eines Risikomanagements entlang des standardisierten Risikomanagementprozesses (nach der Norm ISO 31000:2009), die aus wenigen prägnanten Formblättern besteht, die ihren Höhepunkt in einer mehr oder weniger quantitativen, auf jeden Fall aber graphischen Präsentation einiger Risiken im Format der klassischen Risikomatrix (nach der Norm ISO / IEC 31010:2009) hat.
Sie vergessen, dass mit einer solchen Risikomatrix noch kein Risiko gemanagt ist.
Sie vergessen, dass eine solche Risikomatrix beziehungslos zur Unternehmenspolitik steht, da ihr keine integrierte Risikopolitik zugrunde liegt.
Sie vergessen, dass ein solches Vorgehen lediglich den Prozessschritt 5.4 Risikobeurteilung umfasst, dieser Risikomanagementprozess aber aus sieben Schritten besteht und der gesamte Risikomanagementprozess nur eines von fünf Normkapiteln der ISO 31000 ausmacht.
Sie merken nicht, dass ein solches "quick 'n' dirty" Vorgehen, sich sofort auf den operativen Risikomanagementprozess zu stürzen, selbst ein Risiko für das Unternehmen ist. Ein solches Vorgehen steht im Widerspruch zu den Grundsätzen nach Kapitel 3 und zum Rahmen nach Kapitel 4 der Norm ISO 31000:2009. Es steht darüber hinaus im Widerspruch zu allen explizit und implizit bekannten "besten Managementpraktiken".