Kuantifikasi risiko tidak cukup: Informasi yang dikumpulkan dari penilaian risiko sebagian besar bersifat kualitatif. Bahkan peringkat penilaian probabilitas, keparahan, dan kontrol biasanya mewakili ekspresi numerik dari input kualitatif. Untuk membangun kepercayaan dalam strategi dan tindakan manajemen risiko yang tepat, kuantifikasi risiko objektif harus melengkapi penilaian risiko. Ini menekankan pentingnya mengembangkan KRI, tingkat toleransi risiko, dan indikator peringatan dini.
Strategi dan rencana tindakan manajemen risiko yang tidak memadai: Salah satu keluhan terbesar tentang penilaian risiko adalah bahwa prosesnya tidak menghasilkan strategi dan tindakan yang menambah nilai. Perusahaan menghabiskan waktu dan sumber daya yang signifikan untuk menghasilkan dan meninjau sejumlah besar laporan dan peta penilaian risiko, tetapi dokumen-dokumen ini dapat disimpan di rak sampai siklus penilaian risiko berikutnya. Tujuan akhir dari penilaian risiko bukanlah untuk menghasilkan informasi yang lebih baik, tetapi untuk mendukung pengambilan keputusan yang lebih cerdas berdasarkan informasi tersebut. Sangat penting bahwa strategi manajemen risiko khusus dan rencana aksi dikembangkan sebagai bagian dari proses penilaian risiko. Selain itu, penilaian risiko harus diintegrasikan ke dalam proses bisnis dan praktik ERM lainnya, seperti yang akan kita bahas di bagian selanjutnya.