Langkah pengawalan risiko biasanya dirumuskan menurut satu atau lebih pilihan risiko utama berikut, iaitu:

1. Mereka proses perniagaan baru dengan kawalan bina dalam mencukupi dan mengubah langkah pencegahan.
2. Menilai risiko secara berkala yang menerima proses berlangsung sebagai ciri normal operasi perniagaan dan mengubah langkah pencegahan.
3. Memindahkan risiko pada agensi luaran (contoh. Syarikat insuran)
4. Mengelak risiko sama sekali (contoh. Dengan menutup kawasan perniagaan berisiko tinggi)

Penyelidikan berikut telah menunjukkan kebaikan kewangan bagi pengurusan risiko kurang bergantung pada formula yang digunakan tetapi lebih bergantung kepada kekerapan dan bagaimana penilaian risiko dilaksanakan.

Dalam perniagaan adalah penting bagi membentangkan hasilan penilaian risiko dalam istilah kewangan, pasaran, atau jadual. Robert Courtney Jr. (IBM, 1970) mencadangkan formula bagi membentangkan risiko dalam istilah kewangan. Formula Courtney diterima sebagai kaedah analisa risiko rasmi bagi agensi kerajaan Amerika Syarikat. Formula tersebut mencadangkan pengiraan jangkaan kerugian tahunan (ALE-annualised loss expectancy) dan membandingkan nilai kerugian dijangka dengan kos perlaksanaan kawalan keselamatan (analisa kos-faedah).

Menangani risiko dijangka

Apabila risiko telah dikenal pasti dan dinilai, semua teknik bagi menangani risiko tergolong dalam satu atau lebih dari empat langkah utama:[8]

• Mengelak (menyingkir, menarik diri dari atau tidak membabitkan diri)
• Pengurangan (optima – pengurangan)
• Perkongsian (memindahkan – luaran atau insuran)
• Pengekalan (menerima dan budget)

Penggunaan sempurna bagi strategi ini mungkin tidak berlaku. Sesetengahnya mungkin membabitkan pertukaran yang tidak boleh diterima kepada organisasi atau orang yang membuat keputusan pengurusan risiko. Sumber lain, dari Jabatan Pertahanan, Universiti Dapatan Pertahanan (“Defense Acquisition University”), mengelar kategori ini sebagai ACAT, bagi Avoid (Mengelak), Control (mengawal), Accept (Terima), atau Transfer (Pemindahan). Kegunaan singkatan ACAT ini serupa seperti ACAT lain (bagi Kategori Dapatan (“Acquisition Category”)) yang digunakan dalam dapatan industry Pertahanan Amerika Syarikat, di mana angka Pengurusan Risiko memainkan peranan penting dalam perancangan dan membuat keputusan.

Pengelakan Risiko

Ini termasuk tidak melakukan aktiviti yang berisiko. Sebagai contoh tidak membeli harta tanah atau perniagaan agar tidak mengambil bebanan perundangan (“legal liability”) yang dating bersamanya. Yang lain termasuk tidak terbang agar tidak mengambil risiko bahawa kapal terbang akan dirampas. Pengelakkan mungkin kelihatan sebagai jawapan bagi semua risiko, tetapi pengelakan bererti kehilangan kemungkinan keuntungan yang mungkin didapati dengan menerima (mengekalkan) risiko. Tidak mencebur perniagaan bagi mengelakkan kerugian turut bererti mengelak kemungkinan mendapat keuntungan.

Pencegahan Ancaman

Pencegahan ancaman merujuk kepada menghalang risiko semasa kecermasan. Tahap pertama dan paling berkesan bagi pencegahan ancaman adalah penyingkiran ancaman. Sekiranya ia mengambil masa terlalu lama, terlalu mahal, ataupun tidak dapat dilaksanakan, tahap kedua iaitu Pengurangan bencana.

Pengurangan risiko

Pengurangan risiko atau "pengoptimaan" membabitkan mengurangkan tahap kerugian atau kemungkinan rugi dari berlaku. Sebagai contoh, perenjis kebakaran direka bagi memadamkan kebakaran bagi mengurangkan risiko kerugian akibat kebakaran. Kaedah ini mungkin menyebabkan kerosakan lebih teruk melalui kerosakan akibat air dan dengan itu tidak sesuai, contohnya dalam bilik komputer. Sistem pemadam kebakaran Halon mungkin mengurangkan risiko tersebut, tetapi kos yang tinggi mungkin menghalang kegunaannya sebagai satu strategi.

Menerima bahawa risiko boleh menjadi positif atau negetif, mengoptima risiko bererti mencari keseimbangan di antara risiko negetif dan keuntungan sesuatu operasi atau aktiviti; dan antara pengurangan risiko dan usaha dilakukan. Seseorang kontraktor carigali luar pantai melaksanakan Pengurusan HSE Management secara berkesan dalam organisasinya, ia boleh mengoptima risiko bagi mencapai tahap sisa baki risiko pada tahap yang boleh diterima.[9]

Metodologi pembangunan perisian moden mengurangkan risiko dengan membangunkan dan menghantar perisian secara berperingkat. Motodologi sebelumnya lemah kerana ia menghantar perisian pada fasa akhir pembangunan; dengan itu sebarang masaalah yang dijumpai pada fasa sebelumnya menimbulkan langkah pemulihan yang mahal dan sering mengancam keseluruhan projek. Dengan membangunkannya secara iterations, projek perisian boleh menghadkan usaha yang rugi pada iterasi tunggal.

Khidmat luaran (“Outsourcing”) juga merupakan contoh pengurangan risiko sekiranya Khidmat luaran boleh membuktikan keupayaan lebih baik bagi menangani atau mengurangkan risiko.[10] Sebagai contoh, sesebuah syarikat boleh menggunakan khidmat luaran bagi pembangunan perisiannya, pengilangan barangan, atau keperluan pelayan pelangan pada syarikat yang lain, sementara mengendalikan pengurusan syarikan dengan sendiri. Dengan cara ini, syarikat boleh menumpu pada pembangunan perniagaan tanpa perlu bimbangkan mengenai proses pengilangan, menguruskan pasukan pembangunan atau mencari tapak lokasi fizikal bagi pusat panggilan.

Perkongsian risiko

Ditakrifkan secara ringkas sebagai "berkongsi dengan pihak lain bebanan kerugian atau pulangan dari risiko, dan satu langkah mengurangkan risiko."

Istilah 'pemindahan risiko' sering digunakan menggantikan perkongsian risiko akibat salah faham bahawa seseorang boleh memindahkan risiko pada pihak ketiga melalui insuran atau khidmat luaran. Dalam amalan sekiranya syarikat insuran atau kontraktor jatuh muflis atau dihadapkan ke mahkamah, risiko asal kemungkinannya masih kembali kepada pihak pertama. Dengan itu terminologi yang digunakan oleh sarjana dan pengamal, pembelian kontrak insuran sering digambarkan sebagai "pemindahan risiko." Bagaimanapun, secara teknikal, pembeli kontrak pada umumnya mengekalkan risiko perundangan bagi kerugian "dipindahkan", bererti insuran boleh digambarkan dengan lebih tepat sebagai mekanisma gantirugi selepas kejadian. Sebagai contoh, polisi kecederaan peribadi tidak memindahkan risiko kemalangan kereta kepada syarikat insuran. Risiko itu masih terikat pada pemegang polisi iaitu orang yang terbabit dalam kemalangan. Polisi insuran sekadar menyatakan bahawa jika kemalangan (peristiwa) berlaku membabitkan pemegang polisi ganti rugi yang setimpal dengan kecederaan / kerosakan mungkin akan di bayar.

Sesetengah cara menguruskan risiko merangkumi pelbagai kategori. Takungan simpanan risiko secara teknikal menyimpan risiko bagi kumpulan, tetapi menyebarkannya dikalangan keseluruhan kumpulan membabitkan pemindahan dikalangan ahli individu pada kumpulan. Ini berbeza dari insuran tradisi, di mana tiada premium ditukarkan dikalangan ahli kumpulan pada awalnya, tetapi sebaliknya kerugian dinilai pada kesemua ahli dalam kumpulan.

Pengekalan risiko

Pengekalan risiko membabitkan menerima kerugian, atau keuntungan, akibat risiko apabila ia berlaku. Insuran diri sebenar tergolong dalam kategori ini> Pengekalan risiko merupakan strategi boleh diterima bagi risiko kecil apabila kos insuran terhadap risiko berkali ganda berbanding jumlah kerugian keseluruhan yang dialami. Kesemua risiko yang tidak dielak atau dipindahkan dikekalkan secara ingkar. Ini termasuk risiko yang begitu besar atau melapetaka sehinggakan ia tidak boleh diinsuran atau premiumnya tidak berbaloi. Perperangan adalah satu contoh kerana kebanyakan harta benda dan risiko tidak diinsuran bagi perperangan. Juga sebarang jumlah potensi kerugian (risiko) pada jumlah yang diinsuran adalah risiko dikekalkan. Ini mungkin boleh diterima sekiranya peluang bagi kerugian amat besar adalah kecil atau kos bagi membeli insuran lebih besar amat mahal sehingga ia amat menghalang matlamat organisasi.

Mencipta rancangan pengurusan risiko

Memilik kawalan yang bersesuaian atau langkah pencegahan bagi setiap risiko. Pengurangan risiko perlu diluluskan oleh tahap pengurusan yang bersesuaian. Sebagai contoh, risiko berkenaan imej sesebuah organisasi memerlukan keputusan pengurusan atasan sedangkan pengurusan IT akan memiliki bidang kuasa bagi memutuskan risiko virus komputer.

Rancangan pengurusan risiko perlu mencadangkan kawalan keselamatan yang berkesan dan boleh dilaksanakan bagi mengawal risiko. Sebagai contoh, risiko tinggi ancaman virus komputer boleh dikurangkan dengan mendapatkan dan melaksanakan perisian anti virus. Rancangan pengurusan risiko yang baik patut mengandungi jadual bagi perlaksanaan kawalan dan orang yang bertanggungjawab bagi tindakan tersebut.

Menurut ISO/IEC 27001, tahap langsung sejurus selepas melengkapi penilaian risiko terdiri daripada penyediaan Rancangan Menangani Risiko, yang perlu merekodkan keputusan bagaimana setiap risiko yang dikenalpasti perlu ditangani. Pengurangan risiko sering bererti pemilihan kawalan keselamatan, yang perlu direkodkan dalam Kenyataan Amalan (“Statement of Applicability”), yang mengenalpasti kawalan dan matlamat kawalan yang mana telah dipilih dari piwaian, dan mengapa.

Perlaksanaan

Perlaksanaan mengikut semua kaedah dirancang bagi mengurangkan kesan risiko. Pembelian polisi insuran bagi risiko yang telah diputuskan untuk dipindahkan kepada syarikat insuran, mengelak semua risiko yang boleh dielak tanpa mengorbankan matlamat entity, mengurangkan yang lain, mengekalkan yang terbaik.

Penilaian dan semakan rancangan pengurusan risiko

Rancangan pengurusan risiko awal tidak akan sempurna. Latihan, pengalaman, dan hasil kerugian sebenar akan memerlukan perubahan pada rancangan dan menyumbang maklumat bagi membenarkan keputusan berbeza dilakukan apabila menangani risiko yang dihadapi.

Hasil analisa risiko dan rancangan pengurusan perlu dikemas kini secara berkala. Terdapat dua sebab utama bagi melakukannya:

1. bagi menilai samaada kawalan keselamatan yang dipilih sebelum ini masih boleh diguna pakai dan berkesan
2. bagi menilai kemungkinan perubahan tahap risiko dalam persekitaran perniagaan. Sebagai contoh, risiko maklumat merupakan contoh yang baik bagi persekitaran perniagaan yang pesat berubah.