Upravljanje rizikom poduzeća, također nazvano ERM, koncept je koji ima prilično jednostavnu definiciju i puno složeniju implementaciju. To je poslovni financijski izraz koji opisuje metode upravljanja rizicima — identificiranje rizika i prilika — unutar poduzeća. Ovaj koncept je širok i može biti prilično složen za velike tvrtke. Prije Sarbanes-Oxley zakona u Sjedinjenim Državama i kasnije Međunarodnog standarda za upravljanje rizicima (ISO 31000), upravljanje rizikom poduzeća je uglavnom bilo izborno i iako su mnoge tvrtke koristile strategije za upravljanje rizicima, smjernice su bile mnogo nejasnije. Aspekti upravljanja rizicima poduzeća mogu uključivati identificiranje poslovnih ciljeva i stvaranje strateškog plana za njihovo postizanje; procjenu vjerojatnosti da će plan ili dijelovi plana uspjeti; i kreiranje plana odgovora i procjene napretka.
Strateško planiranje može se definirati kao formuliranje i provedba plana za cijelu organizaciju, koji omogućuje onima unutar njega da donose odluke koje su usmjerene isključivo na postizanje ciljeva koje je postavila organizacija. U poslovanju se obično moraju poduzeti rizici kako bi se postiglo maksimalno postizanje ciljeva koje je postavilo poslovanje. Upravljanje rizicima poduzeća je način na koji poduzeća i organizacije upravljaju tim rizicima. Dio preuzimanja rizika u pogledu prilike je i svjesnost da se ona možda neće isplatiti; svo uloženo vrijeme, novac i resursi mogli bi biti izgubljeni. Sarbanes-Oxleyjev zakon, na primjer, postavlja zakone o reviziji kako bi tvrtke mogle imati na umu koja je prihvatljiva razina rizika. Cilj zakona o reviziji je zaštititi dionike i pomoći osigurati da se korupcija unutar organizacije može zaustaviti prije nanošenja nepopravljive štete.
Neki primjeri uobičajenih vrsta rizika s kojima se poduzeće može suočiti uključuju kreditne, osiguravajuće, pravne, računovodstvene, revizijske, rizike kvalitete i druge vrste rizika. Sarbanes-Oxleyjev zakon zahtijeva od američkih tvrtki da imaju uspostavljen sustav upravljanja rizicima u poduzeću, te je stoga stvoren niz a okvira. Dva glavna okvira u Sjedinjenim Državama spojili su Actuarial Society (CAS) i Odbor sponzorskih organizacija (COSO). COSO-ov okvir se češće prihvaća. U njemu se navodi da je upravljanje rizicima poduzeća proces internih kontrola koje mora dijeliti cijela tvrtka i da ljudi unutar poduzeća moraju znati njegovu prihvatljivu razinu rizika. Nacrt CAS-a više je usredotočen na upravljanje rizikom tako da se vrijednost poduzeća povećava za njegove dionike. Kroz mnoge negativne događaje koji se događaju u poslovnom svijetu, zakonodavci i poslovni ljudi podjednako su shvatili da je sustav upravljanja rizikom poduzeća koji uključuje sve odjele organizacije najbolji način da se zaštite dionici, a time i oni sami.