در ادبیات مدیریت ریسک به صورت مستمر با عبارت هایی از جمله ریسک ذاتی و ریسک باقیمانده روبرو می شویم. ممکن است سوالی مطرح شود که هریک از این عبارات چه معنایی داشته و با یکدیگر چه تفاوتی دارند.
ریسک ذاتی مقداری از ریسک است که به صورت طبیعی در محیط وجود داشته و تحقق اهداف یک سازمان را با محدودیت روبرو می سازد. البته منظور از محیط در اینجا محیط درون سازمان و محیط بیرون سازمان است. در صورتی که هیچ اقدامی برای کنترل یا رویارویی با این ریسک انجام نشود، این ریسک می تواند عمل نموده و سازمان را در دستیابی به اهدافش با محدودیت روبرو نماید. به عبارت دیگر این نوع از ریسک، ریسکی است که در غیاب کنترل ها وجود دارد. ریسک ذاتی ورودی نظام کنترل های داخلی سازمان بوده و کنترل های داخلی سعی می کنند مقدار این ریسک را کاهش دهند.
پس از اینکه کنترل های داخلی برای رویارویی با ریسک ذاتی طراحی و پیاده سازی شدند، مقدار ریسک ذاتی درون سازمان کاهش یافته و بخشی از آن به ریسک کنترل شده تبدیل می شود. ریسک کنترل شده، ریسکی است که سازمان در مهار آن موفق عمل نموده است. ابزار رویارویی و مهار این نوع از ریسک، کنترل های داخلی سازمان می باشند. ریسک های کنترل شده باید بخش عمده ای از ریسک ها را با توجه به اشتهای ریسک پذیری سازمان کنترل کنند. به عبارت دیگر ریسک هایی که خارج از محدوده اشتهای ریسک پذیری سازمان قرار دارند باید توسط کنترل های داخلی مهار شوند.
طبیعی است که تمامی ریسک های سازمان مهار یا کنترل نمی شوند. از ابعاد اقتصادی، اجرای کنترل برای تمامی ریسک ها مقرون به صرفه نیست، چرا که سازمان می تواند در محدوده اشتهای ریسک پذیری خود برخی از ریسک ها را بپذیرد. برای چنین ریسک هایی، هزینه کنترل بیش از، منفعت کنترل های داخلی و زیان ناشی از تحقق ریسک می باشند. چنین ریسک هایی تحت عنوان ریسک باقیمانده شناسایی می شوند.