لقد اختلف الفكر الإداري كثيراً بالتوازي مع التغيرات التي أخذت مكانها في الأوساط الاقتصادية وثورات التكنولوجيا والتقدم التكنولوجي المرفق بمفهوم العولمة مسقطاً معه الكثير من المقولات التي اعتبرت سابقاً ركناً من أركان الإدارة الحديثة في تلك الأيام كالمقولة التي تقر بوجود علاقة طردية بين الأرباح وبين الخطر الذي يرافق عمل المنشأة دون الأخذ بعين الاعتبار المؤثرات والأحداث الخارجية والداخلية التي ترافق النشاط الاعتيادي للمنشأة أو العوامل التي لا تملك المنشأة السيطرة عليها كالمؤثرات المرتبطة بقوى الطبيعة.
بطبيعة الحال، لم تراع هذه المقولات الطبيعة البشرية المتعلقة بإدارة الشركة ذاتها حيث كان بالإمكان التمييز بين الإدارة ذات الشهية الأكبر للمخاطر أو ما يطلق عليها (Risk Taker)  وبين الإدارة المتحفظة والكلاسيكية (Conservative Management) بحيث تختلف الأولى عن الثانية بالقابلية والقدرة على الاستثمار بمجال أو قطاع أو نشاط أو حتى دولة ذو مخاطر مرتفعة.
 كما أسقط الفكر الحديث لإدارة المخاطر الكثير من المصطلحات التي كانت رائجة كمصطلح عدم التأكد (Uncertainty)، في حين بقيت بعض من هذه المصطلحات مستخدمة في بعض المجالات الأخرى، حيث يلاحظ استخدام مصطلح "عدم التأكد" في معايير المحاسبة الدولية (IAS) كعدم التأكد من قياس قيمة الأصل وغيرها. 
 الاختلاف في عملية إدارة المخاطر بين الشركات (مع مراعاة الشكل القانوني للشركة) والتقليل من آثارها المحتملة بمراحلها هو حقيقة قائمة نتيجة لاختلاف حساسية إدارة كل شركة للمعوقات غير المتوقعة (Unexpected Obstacles or Risks) وغير المدركة (Obstacles or Risks Unforeseen) التي تشكل جوهر الخطر وتؤثر بشكل مباشر أو غير مباشر على الأهداف الطويلة والقصيرة الأجل الخاصة بالمنشأة.
كما تختلف عملية تحديد المخاطر (Risk Assessment) وتقيمها (Risk Quantification) والتعامل معها بحسب مصدر الخطر داخلي أم خارجي وشكله وشدته وبحسب موقع الشركة من الأطراف الأخرى في قنوات التواصل الأمامية والخلفية (Backward & Forward Channel).
كل ما سبق يقودنا إلى الاستنتاج التالي: وجود المخاطر مهما كانت شدتها وحجم تكرارها هو الثابت في المعادلة يقابله على الطرف الآخر الوقاية من المخاطر والإجراءات المتخذة لتقليلها (أي الانتقال من رد الفعل إلى الفعل الاستباقي الوقائي) وبالتالي يمكن اختصار عملية إدارة المخاطر في الشركات بالكلمات التالية: عملية تقليل المخاطر والوقاية منها ومحاولة تجنبها بالقدر المجدي (مجدي اقتصادياً) والذي تسمح به الموارد المتوفرة لدى المنشأة.
فمثلاً: يمكن للتقدم التكنولوجي أن يجعل من منتج إحدى الشركات غير صالح للاستعمال (متقادم – Obsolete) كما يساهم عدم قدرة الإدارة في الشركة في تأسيس والحفاظ على نظام ضبط داخلي فعال (Internal Control System) في زيادة المخاطر وتوسيع الفجوة بين استراتيجية مجلس الإدارة الخاصة بإدارة المخاطر وبين تنفيذها من قبل الإدارة التي هي المسؤول الأول والنهائي عن المخاطر (Risk Owner).
تحديد المخاطر (Risk Assessment): 
يمكن باختصار تعريف عملية تحديد المخاطر بأنها الإجراءات التي تنفذ بهدف تحديد نقاط ضعف الشركة.
يخلط الكثيرون بين المخاطر وبين المشاكل والقضايا الآنية التي تحدث في الشركات حيث ميزت الدراسات الحديثة بين المخاطر (Risk) وبين المشاكل الآنية (Issue)  من حيث النتائج المترتبة من جراء هذه الأخطار أو المشاكل / القضايا الآنية، فالأخطار هي التي تؤثر على نتائج أعمال الشركة المستقبلية أما المشاكل الآنية فهي التي تؤثر على سير النشاط بشكل مؤقت ولاترتقي لدرجة الخطر. 
 أصبح من المسلم به بأنه يمكن لأي إدارة تقليل المخاطر لكن من المستحيل لها إلغائها وأدرك الجميع بأن عملية إدارة المخاطر هي عملية مستمرة تبدأ من الوقاية والإجراءات المصممة لتقليل المخاطر وأنظمة الضبط الداخلي المصممة بالاستناد لعملية تحديد المخاطر والأولويات ومستوياتها من الأشد خطراً إلى الأقل وبالاعتماد على النتائج والآثار السلبية التي قد تؤثر بشكل أو بآخر على كفاءة وفاعلية الشركة وعلى موقعها من المنافسين ومن السوق.
فكثيراً ما بتنا نسمع عن ما يطلق عليه التدقيق السري للشركات (Mystery Audit) وهو وسيلة يتبعها المنافسون للحصول على معلومات غير مباشرة عن منافسيهم والمخاطر التي تحيط بهم ومخاطر الدول التي يعملون بها قبل الولوج لهذه الأسواق وذلك بهدف تجنب هذه المخاطر والاستفادة من نقاط الضعف الخاصة بالمنافسين.
  تقييم الخطر(Risk Quantification):
من الضروري لفت النظر بأن كلمة تقييم (Quantification) لا تعنى بالجانب الكمي فقط وتسقط من حساباتها الجانب النوعي بل تعنى بهما معاُ.
تختلف طريقة الخطر والوقاية منها بحسب الخطر نفسه وبحسب مصدره لكن تعتبر طريقة الجمع بين عامل شدة الخطر واحتمال حدوثه من أبسط الطرق التي يمكن بواسطتها تقييم درجة الخطر وبالتالي الوصول إلى ما يسمى مصفوفة المخاطر كما يلي: 
احتمال حدوث الخطر
Likelihood    عالٍ
Expected    متوسط
Possible    منخفض
Remote 

التأثير
Consequences            
عالٍ    عالٍ   جداً    عالٍ    متوسط
متوسط    عالٍ    متوسط    منخفض
منخفض    متوسط    منخفض    منخفض جداً

مثال: خطر الولوج من قبل أشخاص غير مسموح لهم (قراصنة معلومات) إلى نظام الشركة:
الخطر 
Event     النتائج 
Consequences    احتمال الحدوث Likelihood
ولوج محدود غير كبير    مزعج دون أثر    90%
رؤية قاعدة بيانات الشركة    -    أثر اجتماعي
-    خسارة ثقة الزبائن    8%
تغيير غير مسموح به لقاعدة البيانات    -    كارثي على مستوى العلاقات العامة
-    خسارة العملاء والزبائن    2%

على الرغم من الآثار المزعجة لاحتمال حدوث الولوج المحدود لقاعدة البيانات واحتمال حدوثه الكبير جداً يمكن للإدارة أن تعتبره لا يستحق وضع أنظمة ضبط داخلي لمنعه أو الوقاية منه وذلك بعد المقارنة بين التكاليف اللازمة لوضع أنظمة الضبط الداخلي وبين العائد من عملية الضبط وتقليل هذا الخطر.
وعلى العكس من ذلك قد يكون احتمال حدوث تغيير غير مسموح به لقاعدة البيانات محدوداً وبعيداً (Remote) (2%) حسب المثال السابق ولكنه ذو أثر كارثي لذا نرى الإدارة وبمقارنة بسيطة بين التكاليف والعائد (Tradeoffs between Cost & Benefit) لمعرفة الجدوى الاقتصادية ستقوم بوضع أنظمة الضبط الداخلي المكلفة لتقليل هذه المخاطر والوقاية منها.
تقييم المخاطر التجميعي:  
نادراً ما يكون مصدر الخطر واحداً في المشروع لذلك نقوم بجمع كل مصادر الخطر في قائمة مفصلة لتحديد ومعرفة المخاطر التي قد تنجم عن كل مصدر منها على حدة وإذا استطعنا أن نجمع كل مصادر المخاطر في نموذج واحد فسوف نجده متشابكاً للغاية، لذا نركز اهتمامناً على عدد قليل من المخاطر ذات التأثير القوي على الشركة. 
لقد تم تعديل بعض النماذج (Model) الخاصة بإدارة المخاطر والتي تتوافق مع أنظمة الضبط الداخلي، حيث تأخذ هذه النماذج بعين الاعتبار النقاط التالية: 
1.    الأخطار المرافقة للنشاط (Inherent Risks- IR): ويعرف بأنها عدم القدرة على تحقيق أهداف الشركة نتيجة لنقاط ضعف ترتبط بطبيعة الهدف نفسه.

 مثال: يعتبر منجم اليورانيوم أخطر من مركز تسوق.

2.    أخطار أنظمة الضبط الداخلي (Control Risk- CR): الأخطار التي تنجم عن ضعف أنظمة الضبط الداخلي والتي تساهم في عدم تحقيق أهداف الشركة.

 مثال: تتطلب سياسة الشركة توقيعان لصرف مبلغ فوق حد معين للتقليل من حدوث نوع من التواطؤ بين العاملين.

3.      أخطار التحقق (DR - Detection Risk): هي الأخطار التي تنتج من عدم اكتشاف المعوقات التي تمنع تحقيق الأهداف وتسبب الخسائر.

مثال: عملية الاختلاس المستمرة لمدة سنة قبل اكتشافها اكثر تكلفة من عملية الاختلاس المكتشفة بعد شهر واحد.
 
4.    إجمالي الخطر (Total Risk – TR): هو حاصل ضرب الأخطار السابقة كما يلي:

TR = DR * CR * IR
إجمالي الخطر = الخطر المرافق للنشاط * خطر أنظمةالضبط الداخلي * خطر التحقق

وعادة ما توجد طريقتان لإدارة المخاطر: 
•    طريقة من القاع إلى القمة (Down - Top Approach):
 وفيها تحدد المخاطر ذات المستوى المنخفض مع احتمالاتها للتعامل معها بطريقة مناسبة.
•    طريقة الصعود والهبوط (Top –Down Approach):
وفيها تحدد العوامل التي تؤدي إلى أعلى درجة من المخاطر وتقييم درجتها والتعامل معها على حدة بعيداً عن المشروع، بناء على خبرة المدراء السابقة في التعامل مع هذه المخاطر. 
 تزود هذه الطريقة المدراء بقائمة العوامل المسببة للمخاطر وبناء على خبراتهم السابقة يستطيعون اعطاء كل نوع من المخاطر درجة الأهمية المناسبة له ثم تحديد علاقات التحكم في الخطر التي تؤدي لطرق التحكم في الخطر التي تؤدي لطرق التحكم في المخاطر ذات الدرجة العالية في التأثير السلبي على المشروع. 

دورة حياة الخطر (Risk Lifecycle):
بهدف الوصول للطريقة الأمثل لإدارة الخطر مهما كانت شدته ومستواه وبهدف تخصيص الموارد المناسبة لإدارته، لا بد من العمل على فهم دورة حياة الخطر (Risk Lifecycle) وتحديد المرحلة التي يقع فيها الخطر ومستوى تطوره.
يمر الخطر عادةً بأربع مراحل متتالية يتطور معها وتزداد شدته واحتمال حدوثه كما تتزايد مع كل مرحلة التكاليف اللازمة لتقليل هذا الخطر أو الوقاية منه، يطلق على هذه المراحل ما يسمى دورة حياة الخطر، حيث يمكن لنا تلخيص هذه المراحل كما يلي:
1.    مرحلة الاحتمال (Potential): في هذه المرحلة يكون الخطر قائماً ومحتملاً.
2.    مرحلة الظهور (Emerging): يبدأ في هذه المرحلة الخطر بالظهور.
3.    مرحلة الحدوث (Current): هي المرحلة التي تظهر فيها أثار الخطر بشكل واضح.
4.    مرحلة الازمة (Crisis): هي المرحلة النهائية والأكثر تقدماً وعندها على الإدارة الانتقال من عملية إدارة الخطر إلى إدارة الأزمة.
لا بد من التنويه بأنه ليس من الضروري أن يمر الخطر بجميع مراحل دورة الحياة، بل من الممكن لبعض الأخطار أن تبدأ مباشرةً من مرحلة الأزمة كما حصل في كارثة التسونامي التي حدثت  في اليابان، ومن الممكن لبعضها البدء بمرحلة معينة والوقوف عندها دون بلوغ المرحلة اللاحقة. 
ما يجب على الإدارة الناجحة فعله هو الحفاظ على الخطر ضمن حدود مرحلة الاحتمال أواتخاذ الإجراءات الضرورية لإعادة الخطر إلى مراحله الأولى.
أخيراً، لم تعد إدارة المخاطر تحتل مراتب متأخرة في اهتمام الشركات بل تقدمت لتصبح في مصاف المراتب الأولى التي تشغل اهتمام رجال الأعمال وأصحاب النشاطات الاقتصادية.
أصبحت إدارة المخاطر خط الإنطلاق والبداية والمسار اللازم لكسب المنافسة والوصول بأمان إلى خط النهاية من خلال تعميم ثقافة إدارة المخاطر والانتقال من الحاجة إلى الإيمان بدورها الفعال.