Menurut Peraturan Menteri Keuangan Nomor 222/PMK.01/2021 tentang Manajemen Risiko Pengelolaan Keuangan Negara, risiko didefinisikan sebagai kemungkinan terjadinya suatu peristiwa yang berdampak terhadap pencapaian sasaran. Sedangkan, menurut ISO 31000:2018, risiko didefinisikan sebagai effect of uncertainty on objectives. Dari definisi ini, dapat disimpulkan bahwa risiko merupakan penyimpangan terhadap tujuan atau hasil yang diharapkan (expected result). Penyimpangan ini dapat membawa efek positif (upside risk) atau negatif (downside risk). Risiko dapat melekat pada keseluruhan aspek organisasi, tidak hanya pada aspek operasional level kegiatan, namun juga pada level strategis dan kebijakan.

Karakteristik risiko antara lain adalah sebagai berikut:

a.  Selalu ada dan melekat pada setiap pelaksanaan kegiatan atau aktivitas untuk mencapai tujuan/sasaran. Jika tidak ada kegiatan atau aktivitas untuk mencapai sasaran/tujuan, maka tidak ada risiko;

b.  Bersifat kemungkinan atau belum pasti terjadi;

c.   Menimbulkan dampak, baik positif maupun negatif, bagi pencapaian tujuan/sasaran;

d.  Bersifat futuristik dengan sudut pandang masa depan;

e.  Bukan merupakan negasi dari dari sasaran/tujuan;

f.    Muncul karena adanya peluang (opportunities) dan/atau ancaman (threats);

g.  Dalam organisasi sektor publik, pembahasan mengenai risiko biasanya difokuskan pada risiko yang berdampak negative (downside risk);

h.  Merupakan potensi masalah, sehingga berbeda dengan masalah. Masalah merupakan risiko yang sudah terjadi;

i.    Ada yang bisa dikendalikan (controllable risk) dan ada yang tidak bisa dikendalikan (uncontrollable risk); dan

j.    Daftar risiko suatu organisasi tidak menunjukkan baik buruknya organisasi tersebut.

Jenis-jenis risiko:

a.  Berdasarkan kemungkinan kerugian dan keuntungan

1.    Pure Risk (Risiko Murni)

Risiko yang menimbulkan kemungkinan kerugian, namun tidak menimbulkan kemungkinan keuntungan.

2.    Speculative Risk (Risiko Spekulatif)

Risiko yang menimbulkan kemungkinan kerugian dan keuntungan.

b.  Berdasarkan tingkat kendali/kontrol

1.    Controllable Risk

Merupakan risiko yang dapat dikendalikan dan biasanya penyebabnya dari faktor internal organisasi.

2.    Uncontrollable Risk

Risiko yang tidak dapat dikendalikan dan biasanya disebabkan oleh faktor eksternal organisasi sehingga tidak dapat dikendalikan/dipengaruhi.

c.   Berdasarkan karakteristik

1.    Inherent Risk (Risiko Melekat)

Risiko alami, tanpa pengaruh kontrol atau mitigasi.

2.    Residual Risk

Risiko yang masih muncul setelah dilakukan tindakan kontrol atau mitigasi.

d.  Berdasarkan sumber

1.    Risiko Finansial

Risiko yang disebabkan oleh faktor-faktor ekonomi, fluktuasi target keuangan, dan/atau ukuran moneter.

2.    Risiko Nonfinansial

Risiko yang disebabkan oleh tidak normalnya/kegagalan proses internal, sistem teknologi, manusia, dan faktor eksternal.

Menurut Peraturan Menteri Keuangan Nomor 222/PMK.01/2021 tentang Manajemen Risiko Pengelolaan Keuangan Negara, Manajemen Risiko didefinisikan sebagai Proses sistematis dan  terstruktur yang didukung budaya sadar risiko untuk mengelola risiko pada tingkat yang dapat diterima guna memberikan keyakinan yang memadai terhadap pencapaian sasaran. Sedangkan, menurut ISO 31000:2018, Manajemen Risiko adalah coordinated activities to direct and control an organization with regard to risk. Tujuan Manejemen Risiko bukan untuk menghilangkan risiko, tetapi untuk mengendalikan risiko sampai pada level yang dapat ditoleransi organisasi. Adapun tujuan Manajemen Risiko adalah sebagai berikut:

a.  Mengurangi peluang terjadinya risiko dan menurunkan dampak risiko;

b.  Menambah nilai maksimum yang berkelanjutan pada semua aktivitas organisasi;

c.   Menambah pemahaman tentang potensi keuntungan dan kerugian dari semua faktor yang dapat mempengaruhi organisasi; dan

d.  Meningkatkan kemungkinan keberhasilan dan mengurangi kemungkinan kegagalan dan ketidakpastian dalam mencapai tujuan organisasi secara keseluruhan.

Karakteristik Manajemen Risiko:

a.  Merupakan suatu perangkat (tools) bagi manajemen;

b.  Merupakan suatu proses yang sistematis dan terarah untuk melindungi aktivitas pencapaian tujuan;

c.   Ditujukan untuk mengelola risiko; dan

d.  Memiliki beberapa tahapan dalam proses penerapan atau pelaksanaannya.

Manfaat Manajemen Risiko:

a.  Meningkatkan kepercayaan para pemangku kepentingan (stakeholder) organisasi, baik stakeholder internal maupun eksternal;

b.  Meningkatkan budaya sadar risiko dan menjadikan organisasi selalu tanggap serta senantiasa well-prepared terhadap adanya risiko berikut dengan dampak negatifnya;

c.   Meningkatkan transparansi dan memberikan input positif dalam proses pengambilan keputusan organisasi;

d.  Meningkatkan pemahaman dan pengetahuan atas risiko yang ada dalam organisasi bagi seluruh anggota organisasi;

e.  Mengurangi kejutan-kejutan peristiwa berbiaya besar yang kemungkinan akan dialami organisasi, karena telah adanya langkah preventif dan/atau upaya mitigasi dampak risiko yang mungkin terjadi;

f.    Meningkatkan efektifitas program/kegiatan organisasi dan menjaga kualitas dari aktivitas operasional organisasi terhadap potensi kerusakan dan/atau kecacatan; dan

g.  Menjaga serta melindungi karyawan dari adanya potensi bahaya atau hazard dalam lingkungan kerja.

Manajemen Risiko yang baik dilaksanakan secara berkesinambungan dan berkembang sesuai dengan strategi organisasi dan implementasi strategi tersebut, mencakup seluruh risiko yang berkaitan dengan aktivitas organisasi baik di masa lalu, saat ini, dan khususnya di masa depan, diintegrasikan ke dalam budaya organisasi dengan kebijakan dan program yang efektif dan dipimpin oleh manajemen yang paling senior, dilaksanakan dengan melibatkan seluruh perangkat organisasi sesuai dengan tanggung jawab dan uraian tugas masing-masing, serta mendukung akuntabilitas, pengukuran kinerja dan penghargaan sehingga mendorong efisiensi operasional di semua tingkatan organisasi. Adapun beberapa kunci sukses Manajemen Risiko adalah adanya komitmen dari manajemen puncak, adanya kebijakan, sistem, dan proses kontrol yang ditunjang dengan budaya peduli terhadap risiko yang kuat, adanya kejelasan dalam penentuan risk appetite dan risk tolerance sesuai dengan kemampuan organisasi, adanya integrasi manajemen risiko ke dalam rencana strategis, proses bisnis, penilaian kinerja, dan penghargaan (reward system dikaitkan dengan risk-based performance), adanya komunikasi dan pembelajaran terus-menerus, adanya organisasi manajemen risiko yang permanen, serta adanya akuntabilitas dan responsibilitas yang jelas.