ISO 31000:2018(E)


               pengetahuan  dan  pandangan  para  pemangku  kepentingan.  Informasi  terbaik  yang  tersedia  harus
               digunakan dan dilengkapi dengan penyelidikan lebih lanjut jika diperlukan.

               6.4.2 Identifikasi Risiko (Risk Identification)
               Tujuan  dari  identifikasi  risiko  adalah  untuk  menemukan,  mengenali,  dan  menjelaskan  risiko  yang
               dapat membantu atau mencegah organisasi mencapai tujuannya. Informasi yang relevan, tepat, dan
               terbaru penting untuk digunakan dalam mengidentifikasi risiko.

               Organisasi  dapat menggunakan  berbagai  teknik  untuk mengidentifikasi ketidakpastian  yang  dapat
               mempengaruhi satu atau lebih tujuan. Faktor-faktor berikut, dan hubungan antara faktor-faktor ini,
               harus dipertimbangkan:

               -   sumber-sumber risiko yang berwujud dan tidak berwujud;
               -   Penyebab dan kejadian;
               -   Ancaman dan peluang;
               -   kerentanan dan kemampuan;
               -   perubahan dalam konteks eksternal dan internal;
               -   indikator risiko yang muncul;
               -   sifat dan nilai aset dan sumber daya;
               -   dampak risiko dan pengaruhnya pada tujuan;
               -   keterbatasan pengetahuan dan keandalan informasi;
               -   faktor-faktor yang berhubungan dengan waktu;
               -   bias, asumsi dan keyakinan dari pihak-pihak yang terlibat.

               Organisasi  harus  mengidentifikasi  risiko  dan  mengetahui  apakah  dapat  dikendalikan  atau  tidak.
               Perusahaan juga harus mempertimbangkan bahwa ririsko dapat menghasilkan berbagai akibat yang
               dapat berujung pada berbagai dampak berwujud maupun tidak berwujud.

               6.4.3 Analisis Risiko (Risk Analysis)
               Tujuan dari analisis risiko adalah untuk memahami sifat risiko, karakteristiknya dan tingkat risikonya.
               Analisis  risiko  melibatkan  pertimbangan  rinci  mengenai  ketidakpastian,  sumber  risiko,  dampak,
               kemungkinan, peristiwa, skenario, kontrol dan keefektifan dari control tersebut. Suatu peristiwa dapat
               memiliki banyak penyebab dan konsekuensi serta dapat mempengaruhi beberapa tujuan.

               Analisis  risiko  dapat  dilakukan  dengan  berbagai  tingkat  detail  dan  kompleksitas,  tergantung  pada
               tujuan analisis, ketersediaan dan keandalan informasi, dan sumber daya yang tersedia. Teknik analisis
               dapat  bersifat  kualitatif,  kuantitatif  atau  kombinasi  dari  keduanya,  tergantung  pada  keadaan  dan
               penggunaan yang dimaksudkan.
               Analisis risiko harus mempertimbangkan faktor-faktor seperti:
               -   kemungkinan kejadian dan dampak;
               -   sifat dan besarnya dampak;
               -   kompleksitas dan konektivitas;
               -   faktor dan volatilitas terkait waktu;
               -   Efektivitas dari pengendalian yang ada;
               -   Tingkat sensitivitas dan keyakinan terhadap analisis.