Zagadnienia związane z zarządzaniem ryzykiem korporacyjnym (Enterprise Risk Management - ERM) są coraz szerzej wdrażane przez różnego rodzaju organizacje, a ich rezultaty są kolejnym narzędziem w ręku zarządów spółek wspomagającym bieżące zarządzanie.
Na przykładzie polskich przedsiębiorstw można zauważyć pewne zjawisko. Otóż organizacje, które decydują się na zbudowanie i wdrożenie w swoich strukturach praktyk z zakresu zarządzania ryzykiem, obierają jedną spośród dwóch najczęstszych dróg dochodzenia do tzw. świadomego zarządzania ryzykiem.
Jedna z nich polega na tym, iż jednostką inicjującą praktyki zarządzania ryzykiem jest komórka audytu wewnętrznego. W zdecydowanej większości spółek i organizacji funkcjonują już ukształtowane jednostki audytu wewnętrznego. Jednostki te, zgodnie z najlepszymi praktykami wyznaczanymi m.in. przez międzynarodowe standardy audytu wewnętrznego, planują prowadzone przez siebie zadania audytowe na podstawie przeprowadzonej analizy ryzyka i zidentyfikowania obszarów, w których ryzyka są najwyższe dla organizacji. W ten sposób jednostka audytu wewnętrznego dla własnych celów, ale także dla całej organizacji i kierownictwa, przeprowadza identyfikację i ocenę ryzyk. W rezultacie tej czynności powstaje tzw. Mapa Ryzyka, ilustrująca, które obszary/procesy w organizacji są narażone na ryzyko. Analiza tego typu przeprowadzana jest w sposób na ogół kompleksowy, a Mapa Ryzyka definiuje ryzyka operacyjne, ryzyka zgodności, ryzyka strategiczne oraz ryzyka finansowe. W przypadkach gdzie inicjatorem procesu zarządzania ryzykiem jest komórka audytu wewnętrznego, praktyka pokazuje, że później powstaje dedykowana komórka zarządzania ryzykiem, wywodząca się z pracowników audytu wewnętrznego i ściśle z nią współpracująca.
Drugą ścieżką dochodzenia organizacji do uruchomienia procesu zarządzania ryzykiem jest zainicjowanie tego procesu przez oficera ryzyka, który odpowiada w organizacji także za kwestie ubezpieczeniowe. W tym sposobie dochodzenia do wdrożenia procesu zarządzania ryzykiem analiza ryzyka i informacja o poziomie ryzyk w organizacji w pierwszej kolejności wykorzystywana jest na potrzeby ustalenia właściwej i efektywnej kosztowo polityki ubezpieczeniowej, wskazującej, co organizacja powinna ubezpieczać i w jakim zakresie oraz które ryzyka organizacja powinna zaakceptować. W przyszłości, po zainicjowaniu działań z zakresu zarządzania ryzykiem, wokół oficera ryzyka powstanie komórka, która przejmuje na siebie czynności i działania z zakresu tego procesu.
Audyt wewnętrzny, nawet jeśli inicjuje proces zarządzania ryzykiem w organizacji, nie może i nie powinien być za niego odpowiedzialny i zarządzać tym procesem w przyszłości. Jeśli organizacja decyduje się uruchomić w swoich strukturach praktyki zarządzania ryzykiem, to powinna dążyć to tego, aby docelowo obowiązki zarządzania ryzykiem wziął na siebie dedykowany menedżer i zbudowana wokół jego wiedzy i kompetencji komórka organizacyjna. Zadaniem audytu zaś pozostanie weryfikacja poprawności funkcjonowania tego procesu w organizacji.