Bagaimana proses melakukan manajemen risiko?

Ekonomi & Bisnis Manajemen
1

manajemen risiko
image.jpg700×280 23.2 KB

Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan/pengelolaan sumberdaya.

Bagaimana proses melakukan manajemen risiko ?

2

Manajemen risiko adalah bagian yang tidak terpisahkan dari manajemen proses. Manajemen risiko adalah bagian dari proses kegiatan didalam organisasi dan pelaksananya terdiri dari mutlidisiplin keilmuan dan latar belakang, manajemen risiko adalah proses yang berjalan terus menerus.

Elemen Utama

Elemen utama dari proses manajemen risiko, meliputi:

  • Penetapan tujuan
    Menetapkan strategi, kebijakan organisasi dan ruang lingkup manajemen risiko yang akan dilakukan.

  • Identifkasi risiko
    Mengidentifikasi apa, mengapa dan bagaimana faktor-faktor yang mempengaruhi terjadinya risiko untuk analisis lebih lanjut.

  • Analisis risiko
    Dilakukan dengan menentukan tingkatan probabilitas dan konsekuensi yang akan terjadi. Kemudian ditentukan tingkatan risiko yang ada dengan mengalikan kedua variabel tersebut (probabilitas X konsekuensi).

  • Evaluasi risiko
    Membandingkan tingkat risiko yang ada dengan kriteria standar. Setelah itu tingkatan risiko yang ada untuk beberapa hazards dibuat tingkatan prioritas manajemennya. Jika tingkat risiko ditetapkan rendah, maka risiko tersebut masuk ke dalam kategori yang dapat diterima dan mungkin hanya memerlukan pemantauan saja tanpa harus melakukan pengendalian.

  • Pengendalian risiko
    Melakukan penurunan derajat probabilitas dan konsekuensi yang ada dengan menggunakan berbagai alternatif metode, bisa dengan transfer risiko, dan lain-lain.

  • Monitor dan Review
    Monitor dan review terhadap hasil sistem manajemen risiko yang dilakukan serta mengidentifikasi perubahan-perubahan yang perlu dilakukan.

  • Komunikasi dan konsultasi
    Komunikasi dan konsultasi dengan pengambil keputusan internal dan eksternal untuk tindak lanjut dari hasil manajemen risiko yang dilakukan.

Manajemen risiko dapat diterapkan di setiap level di organisasi. Manajemen risiko dapat diterapkan di level strategis dan level operasional. Manajemen risiko juga dapat diterapkan pada proyek yang spesifik, untuk membantu proses pengambilan keputusan ataupun untuk pengelolaan daerah dengan risiko yang spesifik.

Proses Manajemen Risiko

Proses Manajemen Risiko secara rinci terlihat pada gambar berikut ini.

image|0x842

I. Menetapkan Konteks

  1. Umum
    Pada dasarnya urutan kegiatan dalam proses manajemen risiko ini menggambarkan beberapa konsep dasar sebagai berikut:

    • Urutan tahapan manajemen risiko menggambarkan siklus ‘problem solving’.
    • Manajemen risiko bersifat preventif.
    • Manajemen risiko sejalan dengan konsep ‘continuous improvement’.
    • Manajemen risiko fokus pada ruang lingkup masalah yang akan dikelola.

  2. Konteks Strategis
    Pada tahap ini kegiatan yang dilakukan diantaranya adalah: mendefinisikan hubungan antara organisasi dan lingkungan sekitarnya, mengidentifikasi kelebihan, kekurangan, kesempatan dan rintangan. Konteksnya meliputi bidang keuangan, bidang operasional, pesaing, bidang politik (persepsi umum), sosial, klien, budaya dan bidang legal dari fungsi organisasi.

    Mengidentifikasi faktor pendukung internal dan eksternal dan mempertimbangkan tujuan, menjadikannya dalam bentuk persepsi dan menerbitkan peraturan. Intinya tahapan ini melakukan eksplorasi terhadap semua faktor yang dapat mendukung dan menghambat jalannya kegiatan manajemen risiko selanjutnya.

    Tahap ini berfokus pada lingkungan dimana organisasi itu berada. Sebuah organisasi seharusnya mencoba menetapkan elemen-elemen penting yang mungkin mendukung atau menghambat kemampuan untuk mengelola risiko yang dihadapi, analisa strategis harus dibuat. Hal ini seharusnya didukung pada level eksekutif, membuat parameter dasar dan memberikan bimbingan lebih rinci bagi proses manajemen risiko. Dimana seharusnya ada hubungan yang erat antara misi organisasi atau tujuan organisasi atau tujuan strategis dengan pengelolaan dari seluruh risiko yang akan dilakukan.

  3. Konteks Organisasi
    Sebelum studi manajemen risiko dilakukan, merupakan hal penting untuk memahami kondisi organisasi dan kemampuannya, seperti halnya pemahaman terhadap tujuan, sasaran dan strategi yang dibuat untuk manajemen risiko.

    Merupakan hal penting memahami alasan-alasan berikut:

    • Manajemen risiko menempati konteks sebagai tujuan tahap dekat untuk mencapai tujuan organisasi dan strategi organisasi, karena hasil manajemen risiko barulah tahap awal untuk terciptanya ‘continuous improvement’.

    • Kegagalan pencapaian sebuah objektif dari organisasi bisa dilihat sebagai salah satu risiko yang harus dikelola.

    • Jelasnya kebijakan dan pengertian tujuan organisasi akan sangat membantu dalam menentukan kriteria penilaian terhadap risiko yang ada, apakah dapat diterima/ tidak, demikian juga dengan penentuan pilihan-pilihan pengendaliannya.

  4. Konteks Manajemen Risiko
    Tujuan, strategi, ruang lingkup dan parameter dari aktifitas, atau bagian dari organisasi dimana proses manajemen risiko harus dilaksanakan, dan ditetapkan. Proses itu sebenarnya dilakukan dengan pemikiran dan pertimbangan yang matang untuk memenuhi keseimbangan biaya, keuntungan dan kesempatan. Prasyarat sumber risiko dan pencatatannya dibuat secara spesifik.

    Isi dan ruang lingkup dari aplikasi proses manajemen risiko, meliputi :

    • Identifikasi tujuan dari proyek yang akan dilakukan (sejalan dengan manajemen perusahaan).

    • Penentuan waktu dan tempat pelaksanaan proyek.

    • Identifikasi studi yang diperlukan lengkap dengan ruang lingkupnya, prasyarat, dan objektifitasnya.

    • Menentukan cakupan dan ruang lingkup dari aktifitas manajemen risiko. Kegiatan yang harus dilakukan adalah sebagai berikut:

      • Penentuan wilayah tanggung jawab setiap unit (siapa yang berwenang).
      • Hubungan antara proyek yang satu dengan yang lainnya dalam organisasi tersebut (koordinasinya).

  5. Pengembangan Kriteria Dalam Melakukan Evaluasi Risiko
    Tentukan kriteria yang diduga akan menghambat evaluasi risiko yang akan dilakukan. Hal tersebut ditentukan oleh kesesuaian dan perlakuan risiko yang didasari kegiatan operasional, teknis, dana, hukum, sosial, kemanusiaan atau kriteria lainnya. Biasanya hal tersebut tergantung dari kebijakan internal, tujuan, objektifitas, dan kebijakan organisasi perusahaan.
    Kriteria dipengaruhi oleh persepsi internal dan eksternal, serta ketentuan hukum. Sangat penting untuk menyesuaikan kriteria tersebut dengan lingkungan yang ada. Kriteria risiko harus dibuat sesuai dengan jenis risiko yang ada dan level risikonya.

  6. Mendefinisikan struktur
    Termasuk didalamnya yaitu memisahkan aktivitas atau proyek kedalam elemen-elemen. Elemen-elemen ini menyediakan suatu kerangka logis untuk mengidentifikasi dan menganalisis agar dapat disusun urutan risiko yang signifikan. Struktur yang dipilih tergantung dari risiko dan ruang lingkup aktivitas/ proyek.

II. Identifikasi Risiko

  1. Umum
    Pada tahap ini dilakukan identifikasi terhadap risiko yang akan dikelola. Identifikasi harus dilakukan terhadap semua risiko, baik yang berada didalam ataupun diluar organisasi.

  2. Apa Yang Dapat Terjadi
    Tujuannya adalah untuk menyusun daftar risiko secara komprehensif dari kejadian-kejadian yang dapat berdampak pada setiap elemen kegiatan. Perlu juga dilakukan pencatatan terhadap faktor-faktor yang mempengaruhi risiko yang ada secara rinci sehingga menggambarkan proses yang terjadi. Pada dasarnya tahap ini memberikan eksplorasi gambaran permasalahan yang sedang dihadapi. Tahap ini nantinya akan memberikan besaran konsekuensi yang dapat terjadi. Konsekuensi merupakan salah satu variabel penting untuk penentuan level risiko nantinya.

  3. Bagaimana Dan Mengapa Itu Terjadi
    Pada tahap ini dilakukan penyusunan skenario proses kejadian yang akan menimbulkan risiko berdasarkan informasi gambaran hasil eksplorasi masalah diatas. Skenario menjadi penting untuk memberikan rangkaian ‘cerita’ tentang proses terjadinya sebuah risiko, termasuk faktor-faktor yang adapat diduga menjadi penyebab ataupun mempengaruhi timbulnya risiko. Tahap ini akan memberikan rentang probabilitas yang ada. Sebagaimana konsekuensi, maka probabilitas juga merupakan variabel penting yang akan menentukan level risiko yang ada.

  4. Peralatan Dan Teknik
    Pendekatan yang digunakan untuk identifikasi risiko diantaranya, checklist, penilaian berdasarkan pengalaman dan pencatatan, flowcharts, brainstorming, analisis sistem, analisis skenario, dan teknik sistem engineering.

III. Analisis Risiko

  1. Umum
    Tujuan dari analisis risiko adalah untuk membedakan risiko minor yang dapat diterima dari risiko mayor, dan untuk menyediakan data untuk membantu evaluasi dan penanganan risiko. Analisis risiko termasuk pertimbangan dari sumber risiko, dan konsekuensinya. Faktor yang mempengaruhi konsekuensi dapat teridentifikasi. Risiko dianalisis dengan mempertimbangkan estimasi konsekuensi dan perhitungan terhadap program pengendalian yang selama ini sudah dijalankan.

    Analis pendahuluan dapat dibuat untuk mendapatkan gambaran seluruh risiko yang ada. Kemudian disusun urutan risiko yang ada. Risiko-risiko yang kecil untuk sementara diabaikan dulu. Prioritas diberikan kepada risiko-risiko yang cukup signifikan dapat menimbulkan kerugian.

  2. Menetapkan/ Determinasi Pengendalian Yang Sudah Ada
    Identifikasi manajemen, sistem teknis dan prosedur-prosedur yang sudah ada untuk pengendalian risiko, kemudian dinilai kelebihan dan kekurangannya. Alat-alat yang digunakan dinilai kesesuainnya. Pendekatan-pendekatan yang dapat dilakukan misalnya, seperti inspeksi dan teknik pengendalian dengan penilaian sendiri/ professional judgement (Control Self-Assessment Techniques/ CST).

  3. Konsekuensi/ Dampak Dan Kemungkinan
    Konsekuensi dan probabilitas adalah kombinasi/ gabungan untuk memperlihatkan level risiko. Berbagai metode bisa digunakan untuk menghitung konsekuensi dan probabilitas, diantaranya dengan menggunakan metode statistik.
    Metode lain yang juga bisa digunakan jika data terdahulu tidak tersedia, dengan melakukan ekstrapolasi data-data sekunder secara umum dari lembaga-lembaga internasional maupun industri sejenis. Kemudian dibuat estimasi/ perkiraan secara subyektif. Metode ini disebut metode penentuan dengan professional judgement. Hasilnya dapat memberikan gambaran secara umum mengenai level risiko yang ada.

    Sumber informasi yang dapat digunakan untuk menghitung konsekuensi diantaranya adalah:

    • Catatan-catatan terdahulu.
    • Pengalaman kejadian yang relevan.
    • Kebiasaan-kebiasaan yang ada di industri dan pengalaman-pengalaman pengendaliannya.
    • Literatur-literatur yang beredar dan relevan.
    • Marketing test dan penelitian pasar.
    • Percobaan-percobaan dan prototipe.
    • Model ekonomi, teknik, maupun model yang lain.
    • Spesialis dan pendapat-pendapat para pakar.

    Sedangkan teknik-tekniknya adalah:

    • Wawancara yang terstruktur dengan para pakar yang terkait.
    • Menggunakan berbagai disiplin keilmuan dari para pakar.
    • Evaluasi perorangan dengan menggunakan kuesioner.
    • Menggunakan sarana komputer dan lainnya.
    • Menggunakan pohon kesalahan (fault tree) dan pohon kejadian (event tree).

  4. Tipe Analisis
    Analisis risiko akan tergantung informasi risiko dan data yang tersedia. Metode analisis yang digunakan bisa bersifat kualitatif, semi kuantitatif, atau kuantitatif bahkan kombinasi dari ketiganya tergantung dari situasi dan kondisinya.
    Urutan kompleksitas serta besarnya biaya analisis (dari kecil hingga besar) adalah: kualitatif, semi kuantitatif, dan kuantitatif. Analisis kualitatif digunakan untuk memberikan gambaran umum tentang level risiko. Setelah itu dapat dilakukan analisis semi kuantitatif ataupun kuantitatif untuk lebih merinci level risiko yang ada.

    Penjelasan tentang karakteristik jenis-jenis analisis tersebut dapat dilihat dibawah ini:

    A. Analisis Kualitatif
    Analisis kualitatif menggunakan bentuk kata atau skala deskriptif untuk menjelaskan seberapa besar potensi risiko yang akan diukur. Hasilnya misalnya risiko dapat termasuk dalam:

    • Risiko rendah
    • Risiko sedang
    • Risiko tinggi

    Analisis kualitatif digunakan untuk kegiatan skrining awal pada risiko yang membutuhkan analisis lebih rinci dan lebih mendalam.

    B. Analisis Semi-Kuantitatif
    Pada analisis semi kuantitatif, skala kualitatif yang telah disebutkan diatas diberi nilai. Setiap nilai yang diberikan haruslah menggambarkan derajat konsekuensi maupun probabilitas dari risiko yang ada. Misalnya suatu risiko mempunyai tingkat probabilitas sangat mungkin terjadi, kemudian diberi nilai 100. setelah itu dilihat tingkat konsekuensi yang dapat terjadi sangat parah, lalu diberi nilai 50. Maka tingkat risiko adalah 100 x 50 = 5000. Nilai tingkat risiko ini kemudian dikonfirmasikan dengan tabel standar yang ada (misalnya dari ANZS/ Australian New Zealand Standard, No. 96, 1999).

    Kehati-hatian harus dilakukan dalam menggunakan analisis semi-kuantitatif, karena nilai yang kita buat belum tentu mencerminkan kondisi obyektif yang ada dari sebuah risiko. Ketepatan perhitungan akan sangat bergantung kepada tingkat pengetahuan tim ahli dalam analisis tersebut terhadap proses terjadinya sebuah risiko. Oleh karena itu kegiatan analisis ini sebaiknya dilakukan oleh sebuah tim yang terdiri dari berbagai disiplin ilmu dan background, tentu saja juga melibatkan manajer ataupun supervisor di bidang operasi.

    C. Analisis Kuantitatif
    Analisis dengan metode ini menggunakan nilai numerik. Kualitas dari analisis tergantung pada akurasi dan kelengkapan data yang ada. Konsekuensi dapat dihitung dengan menggunakan metode modeling hasil dari kejadian atau kumpulan kejadian atau dengan mempekirakan kemungkinan dari studi eksperimen atau data sekunder/ data terdahulu.

    Probabilitas biasanya dihitung sebagai salah satu atau keduanya (exposure dan probability). Kedua variabel ini (probabilitas dan konsekuensi) kemudian digabung untuk menetapkan tingkat risiko yang ada. Tingkat risiko ini akan berbeda-beda menurut jenis risiko yang ada.

  5. Sensitifitas Analisis
    Tingkatan sensitifitas analisis (dimulai dari yang paling sensitif sampai dengan yang kurang sensitif) adalah:

    • Analisis Kuantitatif
    • Analisis Semi-kuantitatif
    • Analisis Kualitatif

IV. Evaluasi Risiko

Evaluasi Risiko adalah membandingkan tingkat risiko yang telah dihitung pada tahapan analisis risiko dengan kriteria standar yang digunakan.

Hasil Evaluasi risiko diantaranya adalah:

  1. Gambaran tentang seberapa penting risiko yang ada.
  2. Gambaran tentang prioritas risiko yang perlu ditanggulangi.
  3. Gambaran tentang kerugian yang mungkin terjadi baik dalam parameter biaya ataupun parameter lainnya.
  4. Masukan informasi untuk pertimbangan tahapan pengendalian.

V. Pengendalian Risiko

Pengendalian risiko meliputi identifikasi alternatif-alternatif pengendalian risiko, analisis pilihan-pilihan yang ada, rencana pengendalian dan pelaksanaan pengendalian.

  1. Identifikasi Alternatif-Alternatif Pengendalian Risiko
    Gambar di bawah ini menjelaskan proses pengendalian risiko. Alternatif-alternatif pengendalian yang dapat dilakukan dapat dilihat di bawah ini:

    • Penghindaran risiko
      Beberapa pertimbangan penghindaran risiko :

      1. Keputusan untuk menghindari atau menolak risiko sebaiknya memperhatikan informasi yang tersedia dan biaya pengendalian risiko.
      2. Kemungkinan kegagalan pengendalian risiko.
      3. Kemampuan sumber daya yang ada tidak memadai untuk pengendalian.
      4. Penghindaran risiko lebih menguntungkan dibandingkan dengan pengendalian risiko yang dilakukan sendiri.
      5. Alokasi sumber daya tidak terganggu.

    • Mengurangi probabilitas

    • Mengurangi konsekuensi

    • Transfer risiko
      Alternatif transfer risiko ini, dilakukan setelah dihitung keuntungan dan kerugiannya. Transfer risiko ini bisa berupa pengalihan risiko kepada pihak kontraktor. Oleh karena itu didalam perjanjian kontrak dengan pihak kontraktor harus jelas tercantum ruang lingkup pekerjaan dan juga risiko yang akan ditransfer. Selain itu konsekuensi yang mungkin terjadi dapat juga di transfer risikonya dengan pihak asuransi.

    image
    Gambar Proses Pengendalian Risiko

  2. Penilaian Alternatif-Alternatif Pengendalian Risiko
    Pilihan sebaiknya dinilai atas dasar/ besarnya pengurangan risiko dan besarnya tambahan keuntungan atau kesempatan yang ada. Seleksi dari alternatif yang paling tepat meliputi keseimbangan biaya pelaksanaan terhadap keuntungan.

    Walaupun pertimbangan biaya menjadi faktor penting dalam penentuan alternatif pengendalian risiko, tetapi faktor waktu dan keberlangsungan operasi tetap menjadi pertimbangan utama.

    Seringkali perusahaan bisa mendapatkan manfaat besar dari pilihan kombinasi alternatif-alternatif pengendalian yang tersedia. Oleh karena itu sebenarnya tidak pernah terjadi penggunaan alternatif tunggal dalam proses pengendalian risiko.

  3. Rencana Persiapan Pengendalian
    Setelah ditentukan alternatif pengendalian risiko yang paling tepat, langkah berikutnya adalah menyusun rencana persiapan. Rencana persiapan ini berkaitan dengan pertanggungjawaban, jadwal waktu, anggaran, ukuran kinerja, dan tempat.

  4. Implementasi Perbaikan Program
    Idealnya, tanggungjawab dari pengendalian risiko seharusnya dilakukan oleh mereka yang benar-benar mengerti. Tanggung jawab tersebut harus disetujui lebih awal. Pelaksanaan pengendalian risiko yang baik membutuhkan sistem manajemen yang efektif, pembagian tanggungjawab yang jelas dan kemampuan individu yang handal.

VI. Pemantauan Dan Telaah Ulang

Pemantauan selama pengendalian risiko berlangsung perlu dilakukan untuk mengetahui perubahan-perubahan yang bisa terjadi. Perubahan-perubahan tersebut kemudian perlu ditelaah ulang untuk selanjutnya dilakukan perbaikan-perbaikan. Pada prinsipnya pemantauan dan telaah ulang perlu untuk dilakukan untuk menjamin terlaksananya seluruh proses manajemen risiko dengan optimal.

VII. Komunikasi Dan Konsultasi

Komunikasi dan konsultasi merupakan pertimbangan penting pada setiap langkah atau tahapan dalam proses manejemen risiko. Sangat penting untuk mengembangkan rencana komunikasi, baik kepada kontributor internal maupun eksternal sejak tahapan awal proses manajemen risiko.

Komunikasi dan konsultasi termasuk didalamnya dialog dua arah diantara pihak yang berperan didalam proses manajemen risiko dengan fokus terhadap perkembangan kegiatan.
Komunikasi internal dan eksternal yang efektif penting untuk meyakinkan pihak manajemen sebagai dasar pengambilan keputusan.

Persepsi risiko dapat bervariasi karena adanya perbedaan dalam asumsi dan konsep, isu-isu, dan fokus perhatian kontributor dalam hal hubungan risiko dan isu yang dibicarakan. Kontributor membuat keputusan tentang risiko yang dapat diterima berdasarkan pada persepsi mereka terhadap risiko. Karena kontributor sangat berpengaruh pada pengambilan keputusan maka sangat penting bagaimana persepsi mereka tentang risiko sama halnya dengan persepsi keuntungan-keuntungan yang bisa didapat dengan pelaksanaan manajemen risiko.

DOKUMENTASI

Umum
Setiap tingkatan dari proses manajemen risiko harus didokumentasikan. Dokumentasi harus meliputi asumsi, metode, sumber data dan hasil.

Alasan Pendokumentasian

Alasan untuk pendokumentasian adalah sebagai berikut:

  1. Menggambarkan proses manajemen risiko yang dilaksanakan telah berjalan dengan tepat.
  2. Memberikan masukan data dan informasi untuk proses identifikasi dan analisis risiko.
  3. Menyediakan daftar risiko yang ada dan mengembangkan database organisasi.
  4. Menyediakan informasi untuk proses pengambilan keputusan yang relevan dengan rencana dan pelaksanaan manajemen risiko.
  5. Menyediakan informasi untuk mekanisme tanggung gugat dan peralatan.
  6. Memfasilitasi pengawasan dan review yang berkelanjutan.
  7. Menyediakan informasi yang diperlukan untuk uji coba audit, dan
  8. Mensosialisasikan dan mengkomunikasikan informasi yang berhubungan dengan manajemen risiko.
3

Manajemen risiko tidak akan berjalan dengan baik apabila tidak dilaksanakan dalam serangkaian proses yang berkelanjutan. Dalam ISO 31000, proses pengelolaan risiko didefinisikan sebagai:

“a systematic application of management policies, procedures and practices to the activities of communicating, consulting, establishing the context, and identifying; analyzing; evaluating; treating; monitoring and reviewing risk.”

Pada umumnya, masing-masing perusahaan melaksanakan proses yang berbeda dalam mengelola risiko. Hal tersebut terjadi karena adanya perbedaan budaya internal, kebijakan, dan program yang diterapkan oleh perusahaan. Sesuai dengan ISO 31000, segala bentuk proses pengelolaan risiko di setiap perusahaan harus diintegrasikan dengan semua lini manajemen perusahaan, ditanamkan pada budaya dan praktik perusahaan, serta disesuaikan pada proses bisnis perusahaan. Sesuai dengan ISO 31000, pengelolaan risiko dapat dilaksanakan melalui serangkaian proses pada Gambar berikut ini.

image

1. Komunikasi dan konsultasi
Konsep komunikasi risiko secara umum dapat diartikan sebagai proses interaktif dalam hal tukar-menukar informasi dan pendapat yang mencakup multi-pesan mengenai risiko dan pengelolaannya (National Research Council, 1989, dalam Susilo dan Kaho, 2011). Sedangkan konsultasi merupakan proses komunikasi antara perusahaan dengan pemangku kepentingan mengenai isu yang terkait dengan pengambilan keputusan atau pentapan tindakan dalam menangani suatu masalah (Susilo dan Kaho, 2011). Proses komunikasi dan konsultasi harus dilakukan di setiap tahap dalam proses pengelolaan risiko, baik komunikasi di dalam maupun luar perusahaan. Apabila perusahaan mengabaikan proses komunikasi dan konsultasi risiko, maka proses manajemen risiko dapat berhenti dan kepercayaan stakeholder akan menurun.

2. Menentukan ruang lingkup
Dalam ISO Guide 73:2009 Risk Management - Vocabulary, tahap menentukan ruang lingkup dijelaskan sebagai: “defining the external and internal parameters to be taken into account when managing risk, and setting the scope and risk criteria for the risk management policy.” Menentukan ruang lingkup memiliki arti bahwa perusahaan menentukan batasan atau parameter internal dan eksternal yang digunakan sebagai bahan pertimbangan dalam pengelolaan risiko. Bahan pertimbangan tersebut mencakup lingkup kerja proses pengelolaan risiko dan kriteria yang digolongkan sebagai risiko bagi perusahaan. Menentukan ruang lingkup merupakan tahapan yang penting bagi perusahaan untuk menganalisis bagaimana lingkungan internal dan eksternal mempengaruhi perusahaan.

3. Penilaian risiko
Penilaian risiko adalah keseluruhan proses yang berkaitan dengan mengidentifikasi risiko, menganalisis risiko, dan mengevaluasi risiko.
a. Identifikasi risiko
Pada tahap ini, perusahaan harus melakukan identifikasi sumber risiko, area dampak risiko bagi perusahaan, peristiwa dan penyebabnya, serta potensi akibatnya. Tujuan dari tahap ini adalah untuk menyusun daftar risiko (risk register) yang terdiri dari keseluruhan risiko yang harus dikelola oleh perusahaan.
b. Analisis risiko
Analisis risiko adalah proses untuk memahami risiko lebih dalam dengan cara menganalisis sumber risiko dan pemicu terjadinya risiko, dampak positif dan negatifnya, serta kemungkinan risiko terjadi. Analisis risiko dapat dilaksanakan dengan cara kualitatif, semi-kualitatif, kuantitatif, atau kombinasi keduanya sesuai dengan situasi yang sedang dihadapi oleh perusahaan. Analisis risiko juga dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia (Susilo dan Kaho, 2011). Hasil dari analisis risiko ini bermanfaat sebagai sumber informasi dan bahan masukan untuk mengevaluasi risiko dan mengambil keputusan mengenai tindakan yang akan dilakukan untuk memperlakukan risiko tertentu. c. Evaluasi risiko Evaluasi risiko adalah proses untuk mengevaluasi tingkat bahaya masing-masing risiko dengan menggunakan kriteria yang telah ditentukan pada saat menentukan ruang lingkup pengelolaan risiko (Susilo dan Kaho, 2011). Proses ini bertujuan untuk membantu perusahaan dalam menyusun prioritas mengenai implementasi tindakan dalam memperlakukan risiko.

4. Perlakuan risiko
Perusahaan menentukan tindakan yang akan dilakukan untuk memperlakukan risiko dengan tujuan mengurangi atau menghilangkan dampak dan kemungkinan terjadinya risiko. Susilo dan Kaho (2011) menjelaskan beberapa pilihan perlakuan risiko:
a. Menghindari risiko, yaitu tidak melaksanakan atau melanjutkan aktivitas yang menimbulkan risiko tersebut.
b. Berbagi risiko, yaitu perlakuan terhadap risiko untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Misalnya dengan asuransi, outsourcing, subcontracting, dan lain-lain.
c. Mitigasi risiko, yaitu perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko, mengurangi dampak risiko, atau keduanya. Mitigasi risiko dapat dilakukan dalam aktivitas perusahaan sehari-hari.
d. Menerima risiko, yaitu dengan tidak melakukan perlakuan terhadap risiko tersebut.

5. Monitoring dan Review
Monitoring merupakan proses pemantauan yang dilaksanakan secara rutin dengan membandingkan antara proses aktual manajemen risiko dan rencana manajemen risiko. Sedangkan review merupakan proses peninjauan yang dilaksanakan dengan mengkaji ulang kondisi saat ini mengenai fokus atau topik tertentu secara berkala. Misalnya, efektivitas pengendalian terhadap risiko pasar, efektivitas analisis risiko, dan lain-lain.