Enterprise Risk Management, også kalt ERM, er et konsept som har en ganske enkel definisjon og en mye mer kompleks implementering.Det er en finansiell begrep som beskriver metodene for risikostyring og mdash;identifisere risikoer og muligheter mdash;i et selskap.Dette konseptet er bredt og kan være ganske sammensatt for store selskaper.Før Sarbanes-Oxley Act i USA og senere den internasjonale standarden for risikostyring (ISO 31000), var bedriftsrisikostyring stort sett valgfrie, og selv om mange virksomheter benyttet strategier for å håndtere risiko, var retningslinjene mye mer vage.Aspekter ved bedriftsrisikostyring kan omfatte å identifisere forretningsmessige mål og lage en strategisk plan for å nå dem;Å vurdere hvor sannsynlig det er planen, eller deler av planen, vil lykkes;og lage en respons- og fremdriftsvurderingsplan.

Strategisk planlegging kan defineres som formulering og implementering av en organisasjonsomfattende plan, som gjør at de i den kan ta beslutninger som kun fokuserer på å oppnå målene som er fastsatt av organisasjonen.I virksomheten må det vanligvis tas risikoer for å bidra til å oppnå maksimal oppnåelse av målene som er satt av virksomheten.Enterprise risikostyring er hvordan bedrifter og organisasjoner administrerer disse risikoene.En del av å ta en risiko for en mulighet er å vite at det kanskje ikke lønner seg;All investert tid, penger og ressurser kan gå tapt.Sarbanes-Oxley Act, for eksempel, setter revisjonslover på plass slik at selskaper kan huske på hva et akseptabelt risikonivå er.Målet med revisjonslovene er å beskytte interessenter og å bidra til å sikre at korrupsjon i en organisasjon kan stoppes før du forårsaker uopprettelig skade.

Noen eksempler på vanlige typer risikoer en virksomhet kan møte inkluderer kreditt, forsikring, juridisk, regnskap, revisjon, kvalitet og andre typer risikoer.Sarbanes-Oxley Act krever at amerikanske selskaper har et bedriftsrisikostyringssystem på plass, og dermed ble det opprettet et antall A-rammer.De to viktigste rammene i USA ble satt sammen av Casualty Actuarial Society (CAS) og Committee of Sponsoring Organisations (COSO).COSOS -rammeverket er mer ofte vedtatt.Den opplyser at virksomhetsrisikostyring er en prosess med interne kontroller som må deles av hele selskapet, og at menneskene i selskapet må kjenne dets akseptable risikonivå.Oversikt til CAS er mer fokusert på styring av risiko slik at selskapets verdi økes for interessentene.Gjennom mange averske hendelser som forekommer i næringslivet, har både lovgivere og forretningsfolk innser at et bedriftsrisikostyringssystem som inkluderer alle avdelinger i en organisasjon er den beste måten å beskytte interessenter og dermed beskytte seg selv.