Die Normungs-Organisation ISO hat seit 2009 einen international gültigen Risikomanagement-Standard verabschiedet, der unter der Bezeichnung ISO31000 den Titel "Richtlinien für die Prinzipien und Implementierung eines Risikomangements" trägt. 

Bemerkenswert : Das für die ISO 31000 national zuständige DIN-Spiegelgremium hat auf seiner Sitzung am 1. September 2011 endgültig entschieden, dass es keine entsprechende DIN ISO 31000-Norm geben wird; d.h. es wird lediglich eine deutsche Übersetzung, aber keine DIN geben.

Darüber hinaus wurde ein begleitendes Dokument, ISO Guide 73, überarbeitet und veröffentlicht. Dieses enthält im Wesentlichen begriffliche Definitionen zum Thema Risikomanagement (Risk Management -Vocabulary - Guidelines). Eine eigene WebSite soll ständig als Portal für diese Norm dienen.
Hervorgegangen ist diese Norm aus der grundlegenden Arbeit verschiedener nationaler Normungsgremien. Erwähnt sei hier das ON-Regelwerkes "Risikomanagement" des österreichischen Normungsinstitutes, die im Jahr 2004 veröffentlich und gleichzeitig zur Integration des Risikomanagements in ein ganzheitliches Managementsystem empfohlen wurden.
Gleichzeitig wurde im Jahr 2004 die neue Ausgabe der australisch-neuseeländischen Norm AS/NZS 4360:2004 "RISK MANAGEMENT" vorgestellt. Aufbau und Betrieb eines Risikomangementsystems im Unternehmen wird hier auf 28 Seiten erläutert.

Aus dem Versicherungsumfeld stammen Normungsbestrebungen der drei englischen Gesellschaften "The Institute of Risk Management (IRM)",   "The National Forum for Risk Management in the Public Sector (ALARM)" und "The Association of Insurance and Risk Managers (AIRMIC)". Ein kurzgefaßter "Risk Management Standard" wird  auf einem 17-seitigen Dokument dargestellt, wobei im Anhang auf die wesentlichen Methoden und Techniken verwiesen wird.

Als wichtiger Industriestandard gilt das Rahmenwerk für das Risikomanagement des "Committee of Sponsoring Organizations of the Treadway Commission (COSO/USA)", das als Dokument "COSO ERM Enterprise Risk Management - Integrated Framework (USA 2004)" auch in Deutsch vorliegt. Damit können Unternehmen das damit vorliegende unternehmensweite Risikomanagementmodell nutzen, um ihre Internen Kontrollsysteme zu gestalten und hin zu einem umfassenderen Risikomanagementsystem entwickeln.

In Deutschland sind offenbar weniger Aktivitäten um einen eigenen Standard für das Risikomanagement zu beobachten und es finden sich keine nationalen Normungen. Verschiedene versicherungsorientierte Verbände orientieren sich an der Federation of European Risk Management Associations (FERMA) . Daher wird eine Übersetzung des oben erwähnten Risk Management Standards aus dem englischen Versichererumfeld als "Deutscher Risiko Management Standard" bezeichnet und auf der WebSite der FERMA veröffentlicht.

Abschliessend  sei noch auf die in Deutschland geltenden gesetzlichen Rahmenbedingungen verwiesen, die seit 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) formuliert werden. Der Gesetzgeber hat hier seine Anforderungen an das Risikomanagement ausgedrückt. So nimmt man die Unternehmensleitung in die Pflicht, Risiken zu kontrollieren und Risikomanagement zu betreiben. Die betroffenen Unternehmen müssen ein Informations- und Kontrollsystem (IKS) einrichten und über Risiken im Leistungsbereich umfassend und unverzüglich informieren.  Eine europäisch initiierte Richtlinie - auch als EuroSOX bezeichnet - ist an die US-amerikanische SOX-Gesetzgebung angelehnt und wird   auch in Deutschland Gültigkeit erlangen.Dabei geht es im Sinne des Risikomanagements um Vorgaben für nationale Gesetze über Aktionärssicherheit sowie unabhängige Rechnungs- und Abschlussprüfung. Allerdings gilt diese Richtlinie nur für bestimmte Unternehmen und insbesondere für öffentlich gehandelte Aktiengesellschaften.

Stellvertretend für das Management von Unternehmensrisiken, die sich aus dem eigentlichen Geschäfts- bzw. Leistungsprozess ergeben, sollen hier die Verordnungen HACPP und REACh aufgezählt werden.  Die Lebensmittelverordnung fordert von allen Betrieben, in denen direkt und indirekt mit Lebensmitteln gearbeitet wird, ein funktionierendes Risikomanagement nach dem HACCP Hazard Analysis and Control Point System.
REACh ist eine Verordnung zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe und am 1. Juni 2007 (mit 851 Seiten) in Kraft  getreten. Ergänzt wird REACh um das Globale Harmonisierte System zur Einstufung und Kennzeichnung von Chemikalien (GHS), um gefährliche Chemikalien zu identifizieren und  über die jeweiligen Gefahren zu informieren. All diese Verordnungen befassen sich mit Risiken, die aus dem Wirken der Unternehmen entstehen können und daher entsprechend zu kontrollieren sind. Umgekehrt können Unternehmensrisiken durch Nichteinhalten und darauffolgende Sanktionsmaßnahmen entstehen. Übrigens: Verordnungen der Europäischen Union treten unmittelbar in Kraft, Richtlinien müssen erst in nationales Recht umgesetzt werden.

Audit WP ohne controls

Für Systeme und Verfahren der Informationstechnik sind Standards und Normen zwar sehr ausführlich formuliert (siehe entsprechene Normen ISO 27000 f.) und umfangreich kommentiert, sind jedoch stets dem Stand der Technik anzupassen.