Virksomhedsrisikostyring, også kaldet ERM, er et koncept, der har en temmelig enkel definition og en meget mere kompleks implementering.Det er et forretningsmæssigt økonomisk udtryk, der beskriver metoderne til risikostyring og mdash;identificering af risici og muligheder og mdash;inden for et firma.Dette koncept er bredt og kan være ret kompliceret for store virksomheder.Før Sarbanes-Oxley Act i USA og senere den internationale standard for risikostyring (ISO 31000) var virksomhedsrisikostyring stort set valgfri, og selvom mange virksomheder beskæftigede strategier til at styre risici, var retningslinjerne meget mere vag.Aspekter af virksomhedsrisikostyring kan omfatte identificering af forretningsmæssige mål og skabe en strategisk plan for at nå dem;At vurdere, hvor sandsynligt det er planen eller dele af planen, vil lykkes;og oprettelse af en reaktions- og fremskridtsvurderingsplan.

Strategisk planlægning kan defineres som formulering og implementering af en organisationsdækkende plan, som gør det muligt for dem inden for den at træffe beslutninger, der udelukkende fokuserer på at nå de mål, der er anført af organisationen.I erhvervslivet skal der typisk tages risici for at hjælpe med at nå den maksimale opnåelse af de mål, der er fastlagt af virksomheden.Virksomhedsrisikostyring er, hvordan virksomheder og organisationer styrer disse risici.En del af at tage en risiko for en mulighed er at vide, at det muligvis ikke betaler sig;Al den investerede tid, penge og ressourcer kunne gå tabt.Sarbanes-Oxley Act sætter for eksempel revisionslove på plads, så virksomheder kan huske, hvad et acceptabelt risikoniveau er.Målet med revisionslovene er at beskytte interessenter og at hjælpe med at sikre, at korruption i en organisation kunne stoppes, før de forårsager uoprettelig skade.

Nogle eksempler på almindelige typer risici, som en virksomhed kan have, inkluderer kredit, forsikring, juridisk, regnskabsmæssig, revision, kvalitet og andre typer risici.Sarbanes-Oxley Act kræver, at amerikanske virksomheder har et virksomhedsrisikostyringssystem på plads, og der blev derfor oprettet et antal rammer.De to vigtigste rammer i USA blev sammensat af Cascility Actuarial Society (CAS) og Udvalget for sponsororganisationer (COSO).COSOS -rammen er mere almindeligt vedtaget.Den siger, at virksomhedsrisikostyring er en proces med interne kontroller, der skal deles af hele virksomheden, og at befolkningen inden for virksomheden skal kende dets acceptable risikoniveau.Konturen af CAS er mere fokuseret på styring af risiko, således at selskabets værdi øges for sine interessenter.Gennem mange avers begivenheder, der opstår i erhvervslivet, er både lovgivere og forretningsfolk klar over, at et virksomhedsrisikostyringssystem, der inkluderer alle afdelinger i en organisation, er den bedste måde at beskytte interessenter og dermed beskytte sig selv.