ERM es un término financiero empresarial que describe los métodos de gestión de riesgos (identificación de riesgos y oportunidades) dentro de una empresa.

La empresa de gestión de riesgos, también llamado ERM, es un concepto que tiene una definición bastante simple y una implementación mucho más compleja. Es un término financiero empresarial que describe los métodos de gestión de riesgos, identificando riesgos y oportunidades, dentro de una empresa. Este concepto es amplio y puede resultar bastante complejo para las grandes empresas. Antes de la Ley Sarbanes-Oxley en los Estados Unidos y más tarde del Estándar Internacional para la Gestión de Riesgos (ISO 31000), la gestión de riesgos empresariales era en gran medida opcional y, aunque muchas empresas empleaban estrategias para gestionar los riesgos, las pautas eran mucho más vagas. Los aspectos de la gestión de riesgos empresariales pueden incluir la identificación de objetivos comerciales y la creación de un plan estratégico para alcanzarlos; evaluar la probabilidad de que el plan, o partes del plan, tengan éxito; y la creación de un plan de evaluación de la respuesta y el progreso.

Planificación estratégicase puede definir como la formulación e implementación de un plan a nivel de toda la organización, que permite a sus integrantes tomar decisiones que se enfocan únicamente en el logro de los objetivos establecidos por la organización. En los negocios, por lo general, se deben tomar riesgos para ayudar a alcanzar el máximo logro de los objetivos establecidos por el negocio. La gestión de riesgos empresariales es la forma en que las empresas y las organizaciones gestionan estos riesgos. Parte de tomar un riesgo en una oportunidad es saber que puede no dar sus frutos; todo el tiempo, el dinero y los recursos invertidos podrían perderse. La Ley Sarbanes-Oxley, por ejemplo, establece leyes de auditoría para que las empresas puedan tener en cuenta cuál es un nivel aceptable de riesgo. El objetivo de las leyes de auditoría es proteger a las partes interesadas y ayudar a garantizar que la corrupción dentro de una organización pueda detenerse antes de causar un daño irreparable.

Algunos ejemplos de tipos comunes de riesgos que puede enfrentar una empresa incluyen crédito, seguros, legal, contable, auditoría, calidad y otros tipos de riesgos. La Ley Sarbanes-Oxley exige que las empresas estadounidenses cuenten con un sistema de gestión de riesgos empresariales y, por lo tanto, se crearon varios marcos. Los dos marcos principales en los Estados Unidos fueron elaborados por la Casualty Actuarial Society (CAS) y el Comité de Organizaciones Patrocinadoras (COSO). El marco de COSO se adopta más comúnmente. Establece que la gestión del riesgo empresarial es un proceso de controles internos.que debe ser compartido por toda la empresa y que las personas dentro de la empresa deben conocer su nivel de riesgo aceptable. El esquema de la EAP se centra más en la gestión del riesgo, de modo que el valor de la empresa aumenta para sus grupos de interés. A través de muchos eventos adversos que ocurren dentro del mundo empresarial, tanto los legisladores como los empresarios se han dado cuenta de que un sistema de gestión de riesgos empresariales que incluya a todos los departamentos de una organización es la mejor manera de proteger a las partes interesadas y, por lo tanto, protegerse a sí mismos.