Manajemen risiko tidak akan berjalan dengan baik apabila tidak dilaksanakan dalam serangkaian proses yang berkelanjutan. Dalam ISO 31000, proses pengelolaan risiko didefinisikan sebagai:
“a systematic application of management policies, procedures and practices to the activities of communicating, consulting, establishing the context, and identifying; analyzing; evaluating; treating; monitoring and reviewing risk.”
Pada umumnya, masing-masing perusahaan melaksanakan proses yang berbeda dalam mengelola risiko. Hal tersebut terjadi karena adanya perbedaan budaya internal, kebijakan, dan program yang diterapkan oleh perusahaan. Sesuai dengan ISO 31000, segala bentuk proses pengelolaan risiko di setiap perusahaan harus diintegrasikan dengan semua lini manajemen perusahaan, ditanamkan pada budaya dan praktik perusahaan, serta disesuaikan pada proses bisnis perusahaan. Sesuai dengan ISO 31000, pengelolaan risiko dapat dilaksanakan melalui serangkaian proses pada Gambar berikut ini.
1. Komunikasi dan konsultasi
Konsep komunikasi risiko secara umum dapat diartikan sebagai proses interaktif dalam hal tukar-menukar informasi dan pendapat yang mencakup multi-pesan mengenai risiko dan pengelolaannya (National Research Council, 1989, dalam Susilo dan Kaho, 2011). Sedangkan konsultasi merupakan proses komunikasi antara perusahaan dengan pemangku kepentingan mengenai isu yang terkait dengan pengambilan keputusan atau pentapan tindakan dalam menangani suatu masalah (Susilo dan Kaho, 2011). Proses komunikasi dan konsultasi harus dilakukan di setiap tahap dalam proses pengelolaan risiko, baik komunikasi di dalam maupun luar perusahaan. Apabila perusahaan mengabaikan proses komunikasi dan konsultasi risiko, maka proses manajemen risiko dapat berhenti dan kepercayaan stakeholder akan menurun.
2. Menentukan ruang lingkup
Dalam ISO Guide 73:2009 Risk Management - Vocabulary, tahap menentukan ruang lingkup dijelaskan sebagai: “defining the external and internal parameters to be taken into account when managing risk, and setting the scope and risk criteria for the risk management policy.” Menentukan ruang lingkup memiliki arti bahwa perusahaan menentukan batasan atau parameter internal dan eksternal yang digunakan sebagai bahan pertimbangan dalam pengelolaan risiko. Bahan pertimbangan tersebut mencakup lingkup kerja proses pengelolaan risiko dan kriteria yang digolongkan sebagai risiko bagi perusahaan. Menentukan ruang lingkup merupakan tahapan yang penting bagi perusahaan untuk menganalisis bagaimana lingkungan internal dan eksternal mempengaruhi perusahaan.
3. Penilaian risiko
Penilaian risiko adalah keseluruhan proses yang berkaitan dengan mengidentifikasi risiko, menganalisis risiko, dan mengevaluasi risiko.
a. Identifikasi risiko
Pada tahap ini, perusahaan harus melakukan identifikasi sumber risiko, area dampak risiko bagi perusahaan, peristiwa dan penyebabnya, serta potensi akibatnya. Tujuan dari tahap ini adalah untuk menyusun daftar risiko (risk register) yang terdiri dari keseluruhan risiko yang harus dikelola oleh perusahaan.
b. Analisis risiko
Analisis risiko adalah proses untuk memahami risiko lebih dalam dengan cara menganalisis sumber risiko dan pemicu terjadinya risiko, dampak positif dan negatifnya, serta kemungkinan risiko terjadi. Analisis risiko dapat dilaksanakan dengan cara kualitatif, semi-kualitatif, kuantitatif, atau kombinasi keduanya sesuai dengan situasi yang sedang dihadapi oleh perusahaan. Analisis risiko juga dapat dilaksanakan dengan tingkat kerincian yang bervariasi, tergantung dari jenis risiko, sasaran analisis risiko, informasi, data, dan sumber daya yang tersedia (Susilo dan Kaho, 2011). Hasil dari analisis risiko ini bermanfaat sebagai sumber informasi dan bahan masukan untuk mengevaluasi risiko dan mengambil keputusan mengenai tindakan yang akan dilakukan untuk memperlakukan risiko tertentu. c. Evaluasi risiko Evaluasi risiko adalah proses untuk mengevaluasi tingkat bahaya masing-masing risiko dengan menggunakan kriteria yang telah ditentukan pada saat menentukan ruang lingkup pengelolaan risiko (Susilo dan Kaho, 2011). Proses ini bertujuan untuk membantu perusahaan dalam menyusun prioritas mengenai implementasi tindakan dalam memperlakukan risiko.
4. Perlakuan risiko
Perusahaan menentukan tindakan yang akan dilakukan untuk memperlakukan risiko dengan tujuan mengurangi atau menghilangkan dampak dan kemungkinan terjadinya risiko. Susilo dan Kaho (2011) menjelaskan beberapa pilihan perlakuan risiko:
a. Menghindari risiko, yaitu tidak melaksanakan atau melanjutkan aktivitas yang menimbulkan risiko tersebut.
b. Berbagi risiko, yaitu perlakuan terhadap risiko untuk mengurangi kemungkinan timbulnya risiko atau dampak risiko. Misalnya dengan asuransi, outsourcing, subcontracting, dan lain-lain.
c. Mitigasi risiko, yaitu perlakuan risiko untuk mengurangi kemungkinan timbulnya risiko, mengurangi dampak risiko, atau keduanya. Mitigasi risiko dapat dilakukan dalam aktivitas perusahaan sehari-hari.
d. Menerima risiko, yaitu dengan tidak melakukan perlakuan terhadap risiko tersebut.
5. Monitoring dan Review
Monitoring merupakan proses pemantauan yang dilaksanakan secara rutin dengan membandingkan antara proses aktual manajemen risiko dan rencana manajemen risiko. Sedangkan review merupakan proses peninjauan yang dilaksanakan dengan mengkaji ulang kondisi saat ini mengenai fokus atau topik tertentu secara berkala. Misalnya, efektivitas pengendalian terhadap risiko pasar, efektivitas analisis risiko, dan lain-lain.