Zagadnienia związane z zarządzaniem ryzykiem korporacyjnym (Enterprise Risk Management - ERM) są coraz szerzej wdrażane przez różnego rodzaju organizacje, a ich rezultaty są kolejnym narzędziem w ręku zarządów spółek wspomagającym bieżące zarządzanie.
Na przykładzie polskich przedsiębiorstw można zauważyć pewne zjawisko. Otóż organizacje, które decydują się na zbudowanie i wdrożenie w swoich strukturach praktyk z zakresu zarządzania ryzykiem, obierają jedną spośród dwóch najczęstszych dróg dochodzenia do tzw. świadomego zarządzania ryzykiem.
Jedna z nich polega na tym, iż jednostką inicjującą praktyki zarządzania ryzykiem jest komórka audytu wewnętrznego. W zdecydowanej większości spółek i organizacji funkcjonują już ukształtowane jednostki audytu wewnętrznego. Jednostki te, zgodnie z najlepszymi praktykami wyznaczanymi m.in. przez międzynarodowe standardy audytu wewnętrznego, planują prowadzone przez siebie zadania audytowe na podstawie przeprowadzonej analizy ryzyka i zidentyfikowania obszarów, w których ryzyka są najwyższe dla organizacji. W ten sposób jednostka audytu wewnętrznego dla własnych celów, ale także dla całej organizacji i kierownictwa, przeprowadza identyfikację i ocenę ryzyk. W rezultacie tej czynności powstaje tzw. Mapa Ryzyka, ilustrująca, które obszary/procesy w organizacji są narażone na ryzyko. Analiza tego typu przeprowadzana jest w sposób na ogół kompleksowy, a Mapa Ryzyka definiuje ryzyka operacyjne, ryzyka zgodności, ryzyka strategiczne oraz ryzyka finansowe. W przypadkach gdzie inicjatorem procesu zarządzania ryzykiem jest komórka audytu wewnętrznego, praktyka pokazuje, że później powstaje dedykowana komórka zarządzania ryzykiem, wywodząca się z pracowników audytu wewnętrznego i ściśle z nią współpracująca.