Zarządzanie ryzykiem korporacyjnym, zwane też ERM, to pojęcie, które ma dość prostą definicję io wiele bardziej złożoną implementację. Jest to biznesowy termin finansowy, który opisuje metody zarządzania ryzykiem — identyfikowania ryzyka i szans — w firmie. Ta koncepcja jest szeroka i może być dość złożona dla dużych firm. Przed ustawą Sarbanesa-Oxleya w Stanach Zjednoczonych, a później Międzynarodowym Standardem Zarządzania Ryzykiem (ISO 31000), zarządzanie ryzykiem korporacyjnym było w dużej mierze opcjonalne i chociaż wiele firm stosowało strategie zarządzania ryzykiem, wytyczne były znacznie bardziej niejasne. Aspekty zarządzania ryzykiem korporacyjnym mogą obejmować identyfikację celów biznesowych i stworzenie strategicznego planu ich osiągnięcia; ocena, jak prawdopodobne jest, że plan lub jego części odniosą sukces; oraz tworzenie planu reakcji i oceny postępów.
Planowanie strategiczne można zdefiniować jako formułowanie i wdrażanie planu dla całej organizacji, który umożliwia osobom w nim zawartym podejmowanie decyzji, które koncentrują się wyłącznie na osiągnięciu celów wyznaczonych przez organizację. W biznesie zazwyczaj należy podejmować ryzyko, aby pomóc osiągnąć maksymalne osiągnięcie celów wyznaczonych przez firmę. Zarządzanie ryzykiem korporacyjnym to sposób, w jaki firmy i organizacje zarządzają tym ryzykiem. Częścią podejmowania ryzyka przy okazji jest świadomość, że może się to nie opłacać; cały zainwestowany czas, pieniądze i zasoby mogą zostać utracone. Na przykład ustawa Sarbanes-Oxley wprowadza przepisy dotyczące audytu, aby firmy mogły pamiętać, jaki jest akceptowalny poziom ryzyka. Celem przepisów dotyczących audytu jest ochrona interesariuszy i pomoc w zapewnieniu, że korupcja w organizacji może zostać powstrzymana przed wyrządzeniem nieodwracalnej szkody.
Niektóre przykłady typowych rodzajów ryzyka, z jakimi może spotkać się firma, obejmują ryzyko kredytowe, ubezpieczeniowe, prawne, księgowe, audytowe, jakościowe i inne rodzaje. Ustawa Sarbanes-Oxley wymaga od amerykańskich firm posiadania systemu zarządzania ryzykiem korporacyjnym, w związku z czym stworzono szereg ram. Dwie główne struktury w Stanach Zjednoczonych zostały opracowane przez Towarzystwo Aktuarialne ds. Wypadków (CAS) i Komitet Organizacji Sponsorujących (COSO). Ramy COSO są częściej przyjmowane. Stwierdza, że zarządzanie ryzykiem korporacyjnym jest procesem kontroli wewnętrznej, który musi być wspólny dla całej firmy, a ludzie w firmie muszą znać akceptowalny poziom ryzyka. Zarys CAS jest bardziej skoncentrowany na zarządzaniu ryzykiem, tak aby zwiększyć wartość firmy dla jej interesariuszy. Dzięki wielu niepożądanym zdarzeniom zachodzącym w świecie biznesu, zarówno ustawodawcy, jak i ludzie biznesu zdali sobie sprawę, że system zarządzania ryzykiem korporacyjnym, który obejmuje wszystkie działy organizacji, jest najlepszym sposobem ochrony interesariuszy, a tym samym ochrony samych siebie.