Secara umum, hanya risiko signifikan prioritas yang memerlukan perhatian di tingkat paling senior dalam organisasi. Namun, sudah sepantasnya risiko regulasi juga mendapat perhatian di ruang rapat. Dalam praktiknya, dewan akan mengharapkan risiko regulasi ini dikelola dengan baik dan dewan hanya akan menerima laporan rutin/tahunan yang menjelaskan kinerja risiko, atau laporan khusus jika masalah tertentu muncul.
Tes benchmark untuk signifikansi harus ditetapkan pada tingkat yang mewakili dampak signifikan bagi organisasi. Setelah mengidentifikasi risiko signifikan yang diprioritaskan, organisasi kemudian perlu meninjau pengendalian yang ada dan memutuskan apakah tindakan lebih lanjut diperlukan. Untuk risiko bahaya, kisaran respons yang tersedia sering digambarkan sebagai 4T.
Ada berbagai terminologi yang tersedia untuk menggambarkan opsi respons risiko. Faktanya, British Standard BS 31100 dan ISO 31000 menggunakan istilah risk treatment sebagai deskripsi yang lebih umum. Misalnya, British Standard mendefinisikan perlakuan risiko sebagai 'proses pengembangan, pemilihan, dan penerapan kontrol'. Demikian pula, ISO 31000 mendefinisikan perlakuan risiko sebagai 'pengembangan dan penerapan langkah-langkah untuk memodifikasi risiko'.
Terminologi yang digunakan dalam Buku Oranye telah diadopsi untuk teks ini untuk tahap respons risiko dari proses manajemen risiko. Pilihan untuk menanggapi risiko kemudian dapat diidentifikasi sebagai 4T.
4T manajemen risiko bahaya dapat diringkas sebagai:
- Tolerate (Accept/retain): Paparan mungkin dapat ditoleransi tanpa ada tindakan lebih lanjut yang diambil. Sekalipun tidak dapat ditoleransi, kemampuan untuk melakukan sesuatu terhadap beberapa risiko mungkin terbatas, atau biaya untuk mengambil tindakan apa pun mungkin tidak sebanding dengan potensi manfaat yang diperoleh.
- Treat (Control/reduce) : Sejauh ini, semakin banyak risiko yang akan ditangani dengan cara ini. Tujuan perlakuan adalah bahwa, sementara terus dalam organisasi dengan aktivitas yang menimbulkan risiko, tindakan (pengendalian) diambil untuk membatasi risiko ke tingkat yang dapat diterima.
- Transfer (Insurance/contract) : Untuk beberapa risiko, respons terbaik mungkin adalah mentransfernya. Ini mungkin dilakukan dengan asuransi konvensional, atau mungkin dilakukan dengan membayar pihak ketiga untuk mengambil risiko dengan cara lain. Opsi ini sangat baik untuk mengurangi risiko keuangan atau risiko terhadap aset.
- Terminate (Avoid/eliminate) : Beberapa risiko hanya akan dapat diobati, atau dapat ditahan hingga tingkat yang dapat diterima, dengan menghentikan aktivitas. Perlu dicatat bahwa opsi penghentian kegiatan mungkin sangat terbatas di pemerintah jika dibandingkan dengan sektor swasta.
Risk Tolerance
Toleransi risiko didefinisikan dalam British Standard BS 31100 sebagai 'kesiapan organisasi untuk menanggung risiko setelah perlakuan risiko untuk mencapai tujuannya'. Sebuah organisasi mungkin harus menoleransi risiko yang memiliki tingkat saat ini di luar zona nyaman dan selera risikonya. Kadang-kadang, sebuah organisasi bahkan mungkin harus menoleransi risiko yang berada di luar kapasitas risiko sebenarnya. Namun, situasi ini tidak akan berkelanjutan dan organisasi akan rentan selama periode ini.
Ketika risiko bahaya dianggap berada dalam selera risiko organisasi, organisasi akan menoleransi risiko itu. Toleransi risiko ditunjukkan sebagai pendekatan yang akan diadopsi dalam kaitannya dengan risiko dengan kemungkinan kecil dengan dampak rendah. Namun, organisasi dapat memutuskan untuk menoleransi tingkat risiko yang tinggi karena terkait dengan aktivitas yang berpotensi menguntungkan atau terkait dengan proses yang mendasar bagi sifat organisasi.
Tidak biasa risiko bahaya diterima atau ditoleransi sebelum tindakan pengendalian risiko diterapkan. Secara umum, risiko hanya menjadi dapat ditoleransi ketika semua tindakan pengendalian yang hemat biaya telah diterapkan, sehingga organisasi menerima atau menoleransi risiko pada tingkat saat ini.
Tindakan pengendalian tertentu mungkin telah diterapkan karena tingkat risiko yang melekat mungkin tidak dapat diterima. Upaya pengendalian berusaha untuk memindahkan risiko ke kuadran kemungkinan rendah/berdampak rendah dari matriks risiko.
Terkadang risiko hanya diterima sebagai bagian dari pengaturan dimana satu risiko seimbang dengan risiko lainnya. Ini adalah deskripsi sederhana tentang menetralisir atau melindungi risiko, tetapi pada tingkat bisnis ini mungkin merupakan keputusan strategis yang penting secara fundamental. Misalnya, perusahaan listrik yang beroperasi secara independen di negara bagian utara Amerika Serikat mungkin harus menerima dampak variasi suhu pada penjualan listrik.
Dengan menggabungkan (atau mendirikan usaha patungan) dengan perusahaan listrik di negara bagian selatan, operasi gabungan utara/selatan akan dapat memperlancar variasi terkait suhu dalam penjualan listrik. Operasi gabungan kemudian akan menjual lebih banyak listrik di negara bagian utara selama cuaca dingin, ketika permintaan di negara bagian selatan rendah. Sebaliknya, operasi gabungan akan menjual lebih banyak listrik untuk unit AC di negara bagian selatan di musim panas, ketika permintaan listrik di negara bagian utara mungkin lebih rendah.
Risk treatment
Ketika tingkat paparan risiko (kemungkinan) yang terkait dengan bahaya tertentu tinggi tetapi potensi kerugian (dampak) yang terkait dengannya rendah, organisasi akan ingin menangani risiko tersebut. Perlakuan risiko akan sering dilakukan dengan risiko pada tingkat bawaan dan/atau saat ini, sehingga ketika risiko telah ditangani, tingkat atau tingkat target baru saat ini dapat ditoleransi.
Tindakan untuk meningkatkan standar pengendalian risiko akan selalu ditinjau secara konstan dalam suatu organisasi. Pada tingkat pribadi, mengenakan sabuk pengaman saat mengendarai mobil atau memasang alarm penyusup di dalam rumah adalah contoh tindakan pengurangan risiko. Perbaikan standar pengendalian risiko dalam kaitannya dengan risiko fisik (yang dapat diasuransikan) sudah dikenal luas. Memasang alat penyiram ke gedung, menyediakan pengaturan keamanan gedung yang ditingkatkan, dan pemeriksaan keamanan karyawan adalah semua contoh tindakan peningkatan risiko yang dirancang untuk mengelola risiko bahaya dengan lebih baik.
Ketika mengidentifikasi opsi perlakuan risiko yang sesuai, organisasi perlu melihat efek perlakuan pada kemungkinan risiko terwujud serta melihat dampak risiko jika itu terwujud. Perlakuan risiko yang hemat biaya perlu dipilih dan efek dari tindakan pengendalian yang berbeda dapat ditunjukkan pada matriks risiko.
Risk transfer
Ketika kemungkinan terjadinya risiko rendah tetapi potensinya tinggi, organisasi akan ingin mentransfer risiko itu. Asuransi adalah mekanisme yang mapan untuk mentransfer konsekuensi keuangan dari kerugian yang timbul dari risiko bahaya dan (pada tingkat lebih rendah) risiko pengendalian.
Dalam beberapa kasus, transfer risiko terkait erat dengan keinginan untuk menghilangkan atau menghentikan risiko. Namun, banyak risiko yang tidak dapat dialihkan ke pasar asuransi, baik karena premi asuransi yang sangat tinggi atau karena risiko yang dipertimbangkan (secara tradisional) tidak dapat diasuransikan.
Pengalihan risiko dapat dicapai dengan asuransi konvensional dan juga dengan perjanjian kontrak. Dimungkinkan juga untuk menemukan mitra usaha patungan, atau cara lain untuk berbagi risiko. Oleh karena itu, lindung nilai atau netralisasi risiko dapat dianggap sebagai opsi pengalihan risiko, serta opsi perlakuan risiko.
Biaya pengalihan risiko merupakan komponen pembiayaan risiko. Sekali lagi, ada variasi dalam definisi yang digunakan. Sehubungan dengan pembiayaan risiko, baik BS 31100 dan ISO 31000 setuju bahwa pembiayaan risiko melibatkan biaya pengaturan kontinjensi untuk penyediaan dana guna memenuhi konsekuensi keuangan dari risiko yang terwujud. Pengaturan tersebut biasanya disediakan oleh asuransi, dan asuransi, oleh karena itu, keuangan yang bergantung pada peristiwa tertentu yang diasuransikan terjadi.
Perbedaan definisi antara BS 31100 dan ISO 31000 adalah ISO 31000 juga mempertimbangkan bahwa biaya pembiayaan risiko harus mencakup penyediaan dana untuk memenuhi biaya penanganan risiko. Dalam teks ini, sumber daya kontrol dianggap sebagai langkah terpisah dalam proses manajemen risiko. Ini adalah contoh lain yang menggambarkan bahwa tidak ada bahasa risiko yang disepakati secara universal atau umum.
Risk termination
Ketika risiko memiliki kemungkinan tinggi dan dampak potensial tinggi, organisasi akan ingin menghentikan atau menghilangkan risiko tersebut. Mungkin risiko perdagangan di bagian dunia tertentu atau risiko lingkungan yang terkait dengan terus menggunakan bahan kimia tertentu tidak dapat diterima oleh organisasi dan/atau pemangku kepentingannya. Dalam keadaan ini, tanggapan yang tepat akan menghilangkan risiko dengan menghentikan proses atau aktivitas, mengganti proses alternatif atau mengalihdayakan aktivitas yang terkait dengan risiko.
Suatu organisasi mungkin ingin menghentikan suatu risiko, tetapi bisa jadi bahwa aktivitas yang menimbulkan risiko tersebut merupakan hal mendasar bagi operasi organisasi yang sedang berlangsung. Dalam keadaan seperti itu, organisasi mungkin tidak dapat menghentikan atau menghilangkan risiko sepenuhnya dan dengan demikian perlu menerapkan langkah-langkah pengendalian alternatif.
Ini adalah masalah khusus untuk layanan publik. Mungkin ada risiko tertentu yang kemungkinan besar dan berdampak tinggi, tetapi organisasi tidak dapat menghentikan aktivitas yang menimbulkan risiko tersebut. Ini mungkin karena aktivitas tersebut merupakan persyaratan undang-undang yang ditempatkan pada lembaga pemerintah atau otoritas publik. Keharusan pelayanan publik dapat membatasi kemampuan untuk menghentikan kegiatan, sehingga organisasi perlu memperkenalkan langkah-langkah pengendalian, sejauh yang hemat biaya.
Kemungkinan tindakan pengendalian tersebut akan menjadi kombinasi dari perlakuan risiko dan transfer risiko. Ketika langkah-langkah pengendalian ini diterapkan, tingkat risiko akan berpindah ke tingkat di mana organisasi akan dapat mentolerir risiko tersebut. Karena sifat risiko yang bervariasi, mungkin tidak mungkin untuk mendapatkan semua risiko ke tingkat yang sesuai dengan selera risiko organisasi. Organisasi mungkin menemukan bahwa ia harus menoleransi risiko di luar selera risiko empirisnya untuk terus melakukan aktivitas tertentu.