Managementul riscului întreprinderii, numit și ERM, este un concept care are o definiție destul de simplă și o implementare mult mai complexă. Este un termen financiar de afaceri care descrie metodele de management al riscului — identificarea riscurilor și oportunităților — în cadrul unei companii. Acest concept este larg și poate fi destul de complex pentru companiile mari. Înainte de Legea Sarbanes-Oxley din Statele Unite și mai târziu de Standardul Internațional pentru Managementul Riscurilor (ISO 31000), managementul riscului întreprinderii era în mare parte opțional și, deși multe companii foloseau strategii de gestionare a riscurilor, liniile directoare erau mult mai vagi. Aspectele managementului riscului întreprinderii pot include identificarea obiectivelor de afaceri și crearea unui plan strategic pentru a le atinge; evaluarea cât de probabil este ca planul sau părți ale planului să reușească; și crearea unui plan de răspuns și evaluare a progresului.
Planificarea strategică poate fi definită ca formularea și implementarea unui plan la nivelul întregii organizații, care permite celor din cadrul acestuia să ia decizii care se concentrează exclusiv pe atingerea obiectivelor stabilite de organizație. În afaceri, riscurile trebuie de obicei luate pentru a ajuta la atingerea maximă a obiectivelor stabilite de afacere. Managementul riscurilor întreprinderii este modul în care întreprinderile și organizațiile gestionează aceste riscuri. O parte din asumarea unui risc cu privire la o oportunitate este să știi că s-ar putea să nu plătească; tot timpul, banii și resursele investite ar putea fi pierdute. Legea Sarbanes-Oxley, de exemplu, pune în aplicare legi de audit, astfel încât companiile să poată ține cont de nivelul acceptabil de risc. Scopul legilor de audit este de a proteja părțile interesate și de a contribui la asigurarea faptului că corupția din cadrul unei organizații poate fi oprită înainte de a provoca un prejudiciu ireparabil.
Câteva exemple de tipuri comune de riscuri cu care se poate confrunta o afacere includ riscuri de credit, asigurări, juridice, contabile, de audit, de calitate și alte tipuri de riscuri. Legea Sarbanes-Oxley impune companiilor din SUA să aibă un sistem de management al riscurilor la nivel de întreprindere și astfel au fost create o serie de cadre. Cele două cadre principale din Statele Unite au fost elaborate de către Casualty Actuarial Society (CAS) și Committee of Sponsoring Organizations (COSO). Cadrul COSO este mai frecvent adoptat. Acesta afirmă că managementul riscului întreprinderii este un proces de controale interne care trebuie împărtășit de întreaga companie și că oamenii din cadrul companiei trebuie să cunoască nivelul de risc acceptabil al acestuia. Schița CAS este mai axată pe managementul riscului, astfel încât valoarea companiei să crească pentru părțile interesate. Prin multe evenimente adverse care au loc în lumea afacerilor, legislatorii și oamenii de afaceri deopotrivă au ajuns să realizeze că un sistem de management al riscului de întreprindere care include toate departamentele unei organizații este cea mai bună modalitate de a proteja părțile interesate și, astfel, de a se proteja.