Manajemen risiko perusahaan, juga disebut ERM, adalah konsep yang memiliki definisi yang agak sederhana dan implementasi yang jauh lebih kompleks. Ini adalah istilah keuangan bisnis yang menggambarkan metode manajemen risiko — mengidentifikasi risiko dan peluang — di dalam perusahaan. Konsep ini luas dan bisa sangat kompleks untuk perusahaan besar. Sebelum Sarbanes-Oxley Act di Amerika Serikat dan kemudian Standar Internasional untuk Manajemen Risiko (ISO 31000), manajemen risiko perusahaan sebagian besar opsional dan meskipun banyak bisnis menggunakan strategi untuk mengelola risiko, pedomannya jauh lebih kabur. Aspek manajemen risiko perusahaan dapat mencakup mengidentifikasi tujuan bisnis dan membuat rencana strategis untuk mencapainya; menilai seberapa besar kemungkinan rencana, atau bagian dari rencana, akan berhasil; dan membuat rencana penilaian tanggapan dan kemajuan.
Perencanaan strategis dapat didefinisikan sebagai perumusan dan implementasi rencana di seluruh organisasi, yang memungkinkan orang-orang di dalamnya untuk membuat keputusan yang hanya berfokus pada pencapaian tujuan yang ditetapkan oleh organisasi. Dalam bisnis, risiko biasanya harus diambil untuk membantu mencapai pencapaian maksimal dari tujuan yang ditetapkan oleh bisnis. Manajemen risiko perusahaan adalah bagaimana bisnis dan organisasi mengelola risiko ini. Bagian dari mengambil risiko pada suatu peluang adalah mengetahui bahwa itu mungkin tidak membuahkan hasil; semua waktu, uang, dan sumber daya yang diinvestasikan bisa hilang. Sarbanes-Oxley Act, misalnya, memberlakukan undang-undang audit sehingga perusahaan dapat mengingat tingkat risiko yang dapat diterima. Tujuan dari undang-undang audit adalah untuk melindungi pemangku kepentingan dan membantu memastikan bahwa korupsi dalam suatu organisasi dapat dihentikan sebelum menyebabkan kerusakan yang tidak dapat diperbaiki.
Beberapa contoh jenis risiko umum yang mungkin dihadapi bisnis termasuk kredit, asuransi, hukum, akuntansi, audit, kualitas, dan jenis risiko lainnya. Sarbanes-Oxley Act mengharuskan perusahaan AS untuk memiliki sistem manajemen risiko perusahaan, dan dengan demikian sejumlah kerangka kerja dibuat. Dua kerangka kerja utama di Amerika Serikat disatukan oleh Casualty Actuarial Society (CAS) dan Committee of Sponsoring Organizations (COSO). Kerangka kerja COSO lebih umum diadopsi. Ini menyatakan bahwa manajemen risiko perusahaan adalah proses pengendalian internal yang harus dimiliki oleh seluruh perusahaan dan bahwa orang-orang di dalam perusahaan harus mengetahui tingkat risiko yang dapat diterima. Garis besar CAS lebih fokus pada pengelolaan risiko sehingga nilai perusahaan meningkat bagi para pemangku kepentingannya. Melalui banyak peristiwa yang tidak diinginkan yang terjadi dalam dunia bisnis, pembuat undang-undang dan pebisnis telah menyadari bahwa sistem manajemen risiko perusahaan yang mencakup semua departemen organisasi adalah cara terbaik untuk melindungi pemangku kepentingan dan dengan demikian melindungi diri mereka sendiri.