Menggunakan pendekatan prinsip, boleh dikatakan bahwa ISO 31000 adalah konsep yang dituliskan dengan model penyajian pada tingkatan yang tinggi (high level concept). Hal ini berarti bahwa ISO 31000 memiliki tingkat kesulitan yang lebih tinggi untuk dimengerti, jika dibandingkan dengan standar manajemen risiko yang dikonsepkan dengan pendekatan proses atau berbasis peraturan.
Sayangnya, ISO 31000 justru menjadi standar yang banyak dirujuk oleh korporasi di Indonesia. Nama besar International Organization for Standardization mendorong Indonesia untuk meratifkasi ISO 31000 menjadi Standar Nasional Indonesia (SNI) ISO 31000. Untungnya, proses manajemen risiko yang lebih tegas, yang distandarkan oleh COSO, menyebar juga di Indonesia oleh kepeloporan Badan Pengawasan Keuangan dan Pembangunan (BPKP). Sebagai pembina tatakelola sektor publik dan sebagian sektor privat (khusus Badan Usaha Milik Negara dan Milik Daerah/ BUMN/D), BPKP masih menggunakan COSO Internal Control Integrated Framework (COSO ICIF) dan ERM COSO sebagai rujukan. Bertemunya konsep ISO 31000 dan ERM COSO di lapangan melalui pertemuan para praktisinya, tentu akan membentuk proses Manajemen Risiko yang Indonesia.
ISO 31000 menstandarkan bahwa proses manajemen risiko berpuncak pada perlakuan risiko (risk treatment). Sebagai standar, ISO 31000 memberikan rincian perlakuan risiko yang terdiri atas langkah (respon) seperti: (1). menghindarkan risiko; (2). mengambil atau meningkatkan risiko untuk mengambil kesempatan; (3). menghilangkan sumber risiko; (4). mengubah likelihood atau (5). Mengubah dampak dan (6). berbagi dengan pihak lain, termasuk pendanaan risiko. Rincian perlakuan yang berwujud respon ini, telah mencakup seluruh yindakan yang mungkin, karena sudah merupakan suatu continuum, yang berujung disatu ekstrim adalah menghindarkan dan diujung ekstrim lainnya adalah meningkatkan pengambilan risiko.
Menghindarkan risiko lebih mudah dikaitkan dengan risiko negatif, sementara meningkatkan pengambilan risiko dapat dikaitkan dengan risiko positif. Penganjur manajemen risiko lebih menyarankan organisasi untuk menitik beratkan pada pengelolaan risiko positif. Hal ini sejalan dengan pemahaman umum bahwa risiko adalah sumber hasil lebih (premium) karena high risk selalu high return. Risiko positif adalah risiko yang jika dikelola akan dapat bernilai positif. Risiko positif adalah kontras dari risiko negatif.
Risiko negatif adalah risiko yang pertama-tama dibahas sebagai obyek manajemen risiko. Dengan bergeraknya obyek pembahasan manajemen risiko menuju risiko positif, beberapa orang masih belum bisa meninggalkan pemahaman bahwa risiko adalah bencana. Hingga hari ini, tidak kurang orang yang jika membicarakan risiko, asosiasinya adalah hal buruk. Mengambil sejumlah risiko, belum masuk dalam opsi tindakan yang harus mereka lakukan, dalam ketidak-pastian. Sementara, mengambil sejumlah risiko adalah konsep terpenting dalam manajemen risiko, yang kemudian disebut sebagai menetapkan selera risiko (risk appetite).
Penetapan selera risiko adalah dasar yang digunakan untuk merancang pengendalian (control). Selera risiko bergerak secara inversi dengan pengendalian. Mereka yang mengambil risiko lebih banyak atau menetapkan selera risiko yang tinggi, akan merancang pengendalian dengan keluasan dan kedalaman yang lebih rendah. Sebaliknya, mereka yang menetapkan selera risiko yang lebih rendah, akan merancang pengendalian yang lebih kuat.
Diletakkan dalam konsep manajemen risiko, ukuran rancangan pengendalian yang lebih kuat atau lebih sederhana, adalah soal menetapkan bauran pengendalian (control mix). Disamping konsep selera risiko, Manajemen Risiko juga memperbaharui konsep tentang pengendalian. Aktivitas pengendalian yang datar, yang tidak selalu memenuhi kebutuhan organisasi oleh manajemen risiko diubah agar cocok dengan lingkungan ketidak-pastian.
Manajemen risiko memodifikasi pengendalian sedemikian sehingga terdapat mekanisme penyesuaian yang dinamis oleh Existing Control dan Mitigation Plan yang saling berkomplementer. Menghindarkan risiko dapat dengan mudah dilakukan dengan memperkuat pengendalian. Sebaliknya mengambil risiko lebih banyak dengan mudah dapat dilakukan dengan menyederhanakan pengendalian.
ISO 31000 tidak mengenal istilah Existing Control, tetapi hanya “risk mitigation” yang dipersamakan dengan “risk elimination”, “risk prevention” and “risk reduction”. Ketiga tindakan dikatakan ISO 31000 sebagai risk treatment yang terkait dengan dampak negatif dari risiko. Jika dalam Register Risiko kita mengenal bauran pengendalian, duo Existing Control dan Mitigation Plan, sangat mungkin adalah dari para praktisi yang merujuk ERM COSO.
Sebagai standar yang juga menjadi standar utama (main stream), COSO memilih menggunakan pendekatan proses. Dari kelima elemen ERM COSO: Integrating Strategy with Performance, tiga diantaranya adalah kelompok proses. Dua eleman lainnya, salah satunya adalah platform, dan elemen lainnya adalah infrastruktur. Dengan pendekatan proses, produk-produk COSO, sering disertai dengan buku kerja (workbook) dan juga model evaluasi penerapannya.