การบริหารความเสี่ยงเป็นเครื่องมือการจัดการองค์กร (Organization Management tool) ได้รับการยอมรับว่ามีส่วนช่วยให้การดำเนินงานบรรลุวัตถุประสงค์และเป้าหมายตามที่องค์กรกำหนด มีความหมายที่หลากหลาย แต่ใน ความหมาย ที่รวบรวมจากนักวิชาการและสถาบันที่มีชื่อเสี่ยง สรุปได้ว่า เป็นกระบวนการที่กำหนดโดยฝ่ายบริหารที่จัดให้มี เพื่อมุ่งลดความเสี่ยง ไขว้คว้าโอกาส ให้ภาพรวมและส่วนงานภายใน มีระดับความเสี่ยงอยู่ในระดับที่รับได้ สนับสนุนต่อการดำเนินงานให้บรรลุวัตถุประสงค์และเป้าหมายที่ตั้งไว้ทั้งในระยะสั้นและยาว
การบริหารความเสี่ยงทั่วทั้งองค์การ มีการพัฒนาการ อย่างรวดเร็วในช่องสองทศวรรษที่ผ่านมา จนปัจจุบันได้รับความนิยมและใช้กันอย่างแพร่หลายแทบทุกองค์กรทั้งภาครัฐและเอกชน สำหรับ การพัฒนาการในประเทศไทย มีการนำมาใช้อย่างแพร่หลายหลังจากวิกฤติการณ์เศรษฐกิจในปี 2540 ที่สถาบันการเงินและบริษัทน้อยใหญ่ที่ไม่มีการบริหารความเสี่ยงอย่างเป็นระบบต้องล้มสลาย
แม้ว่าการบริหารความเสี่ยง จะเป็นเรื่องที่ซับซ้อน ยากต่อการนำไปใช้ แต่ มีกรอบและแนวทาง หลายสำนักที่เกี่ยวข้องกับการบริหารความเสี่ยงและการควบคุมภายใน ให้เลือกใช้ให้เหมาะสมกับบริบทของแต่ละองค์กร โดยในส่วนกรอบและแนวทางที่ได้รับความนิยมมากในปัจจุบันคือ กรอบของ COSO –ERM: 2004 และ ISO 31000:2009 แต่ทั้งสองกรอบแนวคิดและ แนวทางการจัดการไม่แตกต่างกัน สำหรับในประเทศไทย ทั้งองค์กรภาครัฐและเอกชนส่วนใหญ่ใช้แนวทาง COSO –ERM:2004 ซึ่งมี องค์ประกอบการดำเนินงาน 8 องค์ประกอบได้แก่
- การกำหนดสภาพแวดล้อมภายในองค์การ
- การกำหนดวัตถุประสงค์
- การระบุเหตุการณ์
- การประเมินความเสี่ยง
- การตอบสนองความเสี่ยง
- กิจกรรมการควบคุม
- ข้อมูลและการสื่อสาร และ
- การติดตามและประเมินผล
เนื่องจาก COSO –ERM มีการใช้งานมานาน COSOและ PwC ได้มีการประเมินร่วมกันพบว่าอาจไม่เหมาะสมกับการใช้งานภายใต้ Disruptive Technology จึงมีแนวคิดที่จะ ออกกรอบและแนวทางERMใหม่ ในเร็วนี้
ปัจจุบัน ในเชิงวิชาการ มี นักวิชาการที่มีผลงานเกี่ยวกับการบริหารความเสี่ยง ไม่มากแต่ที่ได้รับการยอมรับ และมีการศึกษาวิจัยแล้วว่า หากมีการบริหารความเสี่ยงอย่างเป็นระบบจะมีส่วนช่วยให้องค์กรมี การพัฒนาการประสิทธิผล การดำเนินงาน ซึ่งจะส่งผลให้องค์กรเกิด ประสิทธิผลการดำเนินงาน ซึ่งได้แก่สนับสนุนให้มี