La gestione del rischio aziendale, chiamata anche ERM, è un concetto che ha una definizione piuttosto semplice e un’implementazione molto più complessa. È un termine finanziario aziendale che descrive i metodi di gestione del rischio – identificazione dei rischi e delle opportunità – all’interno di un’azienda. Questo concetto è ampio e può essere piuttosto complesso per le grandi aziende. Prima del Sarbanes-Oxley Act negli Stati Uniti e successivamente dello Standard internazionale per la gestione dei rischi (ISO 31000), la gestione dei rischi aziendali era in gran parte facoltativa e sebbene molte aziende avessero adottato strategie per gestire i rischi, le linee guida erano molto più vaghe. Gli aspetti della gestione del rischio aziendale possono includere l’identificazione di obiettivi aziendali e la creazione di un piano strategico per raggiungerli; valutare la probabilità che il piano o parti del piano abbiano successo; e creando un piano di valutazione dei progressi e della risposta.
La pianificazione strategica può essere definita come la formulazione e l’implementazione di un piano a livello di organizzazione, che consente a quelli al suo interno di prendere decisioni che si concentrano esclusivamente sul raggiungimento degli obiettivi stabiliti dall’organizzazione. Nel mondo degli affari, in genere devono essere assunti rischi per aiutare a raggiungere il massimo raggiungimento degli obiettivi stabiliti dall’azienda. La gestione dei rischi aziendali è il modo in cui le aziende e le organizzazioni gestiscono questi rischi. Parte di correre un rischio su un’opportunità è sapere che potrebbe non essere ripagato; tutto il tempo, il denaro e le risorse investiti potrebbero andare persi. Il Sarbanes-Oxley Act, ad esempio, mette in atto leggi di revisione in modo che le aziende possano tenere presente quale sia un livello accettabile di rischio. L’obiettivo delle leggi in materia di revisione contabile è proteggere le parti interessate e garantire che la corruzione all’interno di un’organizzazione possa essere fermata prima di causare danni irreparabili.
Alcuni esempi di tipi comuni di rischi che un’azienda può affrontare comprendono credito, assicurazioni, legali, contabilità, revisione contabile, qualità e altri tipi di rischi. Il Sarbanes-Oxley Act richiede che le società statunitensi dispongano di un sistema di gestione del rischio aziendale e che quindi siano stati creati numerosi quadri. I due quadri principali negli Stati Uniti sono stati messi insieme dalla Casualty Actuarial Society (CAS) e dal Committee of Sponsoring Organizations (COSO). Il quadro COSO è più comunemente adottato. Afferma che la gestione del rischio aziendale è un processo di controlli interni che deve essere condiviso da tutta l’azienda e che le persone all’interno dell’azienda devono conoscere il suo livello di rischio accettabile. Lo schema del CAS è più focalizzato sulla gestione del rischio in modo tale che il valore dell’azienda sia aumentato per i suoi stakeholder. Attraverso molti eventi avversi che si verificano nel mondo degli affari, sia i legislatori che gli uomini d’affari hanno capito che un sistema di gestione del rischio aziendale che comprende tutti i dipartimenti di un’organizzazione è il modo migliore per proteggere le parti interessate e quindi proteggersi.