Enterprise Risk Management, auch ERM genannt, ist ein Konzept, das eine eher einfache Definition und eine viel komplexere Implementierung hat. Es ist ein Finanzbegriff, der die Methoden des Risikomanagements – das Erkennen von Risiken und Chancen – innerhalb eines Unternehmens beschreibt. Dieses Konzept ist weit gefasst und kann für große Unternehmen recht komplex sein. Vor dem Sarbanes-Oxley Act in den Vereinigten Staaten und später dem Internationalen Standard für Risikomanagement (ISO 31000) war das betriebliche Risikomanagement weitgehend optional und obwohl viele Unternehmen Strategien zum Risikomanagement verwendeten, waren die Richtlinien viel vage. Zu den Aspekten des Unternehmensrisikomanagements können die Identifizierung von Geschäftszielen und die Erstellung eines strategischen Plans zu deren Erreichung gehören; Abschätzen, wie wahrscheinlich es ist, dass der Plan oder Teile des Plans erfolgreich sein werden; und Erstellen eines Reaktions- und Fortschrittsbewertungsplans.
Strategische Planung kann als die Formulierung und Umsetzung eines organisationsweiten Plans definiert werden, der es seinen Mitarbeitern ermöglicht, Entscheidungen zu treffen, die sich ausschließlich auf das Erreichen der von der Organisation festgelegten Ziele konzentrieren. Im Geschäftsleben müssen normalerweise Risiken eingegangen werden, um die vom Unternehmen festgelegten Ziele maximal zu erreichen. Enterprise Risk Management ist die Art und Weise, wie Unternehmen und Organisationen diese Risiken managen. Ein Teil des Risikos einer Gelegenheit besteht darin, zu wissen, dass sie sich möglicherweise nicht auszahlt; die gesamte investierte Zeit, Geld und Ressourcen könnten verloren gehen. Der Sarbanes-Oxley Act zum Beispiel legt Revisionsgesetze fest, damit Unternehmen im Auge behalten können, was ein akzeptables Risikoniveau ist. Das Ziel der Revisionsgesetze ist es, Interessengruppen zu schützen und sicherzustellen, dass Korruption innerhalb einer Organisation gestoppt werden kann, bevor sie irreparablen Schaden anrichtet.
Einige Beispiele für gängige Arten von Risiken, denen ein Unternehmen ausgesetzt sein kann, umfassen Kredit-, Versicherungs-, Rechts-, Buchhaltungs-, Wirtschaftsprüfungs-, Qualitäts- und andere Arten von Risiken. Der Sarbanes-Oxley Act verlangt von US-Unternehmen ein Enterprise Risk Management System, und so wurden eine Reihe von Rahmenbedingungen geschaffen. Die beiden Hauptrahmen in den Vereinigten Staaten wurden von der Casualty Actuarial Society (CAS) und dem Committee of Sponsoring Organizations (COSO) zusammengestellt. Der Rahmen des COSO wird häufiger übernommen. Darin heißt es, dass das Unternehmensrisikomanagement ein Prozess interner Kontrollen ist, der vom gesamten Unternehmen geteilt werden muss und dass die Mitarbeiter im Unternehmen sein akzeptables Risikoniveau kennen müssen. Die Gliederung des CAS ist stärker auf das Risikomanagement fokussiert, um den Wert des Unternehmens für seine Stakeholder zu steigern. Durch viele widersprüchliche Ereignisse in der Geschäftswelt haben Gesetzgeber und Geschäftsleute gleichermaßen erkannt, dass ein Unternehmensrisikomanagementsystem, das alle Abteilungen einer Organisation einbezieht, der beste Weg ist, um Interessengruppen und damit sich selbst zu schützen.