Enterprise risk management, även kallat ERM, är ett koncept som har en ganska enkel definition och en mycket mer komplex implementering. Det är en affärsekonomisk term som beskriver metoderna för riskhantering – identifiera risker och möjligheter – inom ett företag. Detta koncept är brett och kan vara ganska komplext för stora företag. Före Sarbanes-Oxley Act i USA och senare International Standard for Risk Management (ISO 31000), var företagsriskhantering till stor del valfri och även om många företag använde strategier för att hantera risker, var riktlinjerna mycket mer vaga. Aspekter av företagsriskhantering kan inkludera att identifiera affärsmål och skapa en strategisk plan för att nå dem; bedöma hur troligt det är att planen, eller delar av planen, kommer att lyckas; och skapa en respons- och framstegsbedömningsplan.
Strategisk planering kan definieras som utformningen och genomförandet av en organisationsövergripande plan, som gör det möjligt för dem inom den att fatta beslut som enbart fokuserar på att uppnå de mål som organisationen ställt upp. I affärer måste risker vanligtvis tas för att hjälpa till att uppnå maximalt uppnående av de mål som ställts upp av verksamheten. Företagsriskhantering är hur företag och organisationer hanterar dessa risker. En del av att ta en risk med en möjlighet är att veta att det kanske inte lönar sig; all investerad tid, pengar och resurser kan gå förlorade. Sarbanes-Oxley Act, till exempel, sätter revisionslagar på plats så att företag kan tänka på vad en acceptabel risknivå är. Målet med revisionslagarna är att skydda intressenter och att hjälpa till att säkerställa att korruption inom en organisation kan stoppas innan den orsakar irreparabel skada.
Några exempel på vanliga typer av risker som ett företag kan möta inkluderar kredit-, försäkrings-, juridiska, redovisnings-, revisions-, kvalitets- och andra typer av risker. Sarbanes-Oxley Act kräver att amerikanska företag har ett system för företagsriskhantering på plats, och därmed skapades ett antal ramverk. De två huvudsakliga ramverken i USA sattes samman av Casualty Actuarial Society (CAS) och Committee of Sponsoring Organisations (COSO). COSO:s ramverk är mer vanligt förekommande. Den säger att företagsriskhantering är en process av interna kontroller som måste delas av hela företaget och att människorna inom företaget måste känna till dess acceptabla risknivå. Konturen av CAS är mer fokuserad på riskhantering så att företagets värde ökar för dess intressenter. Genom många motvilliga händelser som inträffar inom affärsvärlden har både lagstiftare och affärsmän insett att ett riskhanteringssystem för företag som omfattar alla avdelningar i en organisation är det bästa sättet att skydda intressenter och därmed skydda sig själva.