Hvad er enterprise risk management?
Enterprise risk management, også kaldet ERM, er et koncept, der har en temmelig enkel definition og en meget mere kompleks implementering. Det er en forretningsøkonomisk sigt, der beskriver metoderne til risikostyring - identificering af risici og muligheder - i en virksomhed. Dette koncept er bredt og kan være ret komplekst for store virksomheder. Før Sarbanes-Oxley Act i USA og senere den internationale standard for risikostyring (ISO 31000) var virksomhedsrisikostyring stort set valgfri, og skønt mange virksomheder anvendte strategier til styring af risici, var retningslinjerne meget mere vage. Aspekter af virksomhedsrisikostyring kan omfatte identificering af forretningsmæssige mål og oprettelse af en strategisk plan for at nå dem; at vurdere, hvor sandsynligt det er, at planen eller dele af planen vil lykkes; og oprette en respons- og fremskridtsvurderingsplan.
Strategisk planlægning kan defineres som formulering og implementering af en organisationsdækkende plan, der gør det muligt for dem inden for den at træffe beslutninger, der udelukkende fokuserer på at nå de mål, organisationen opstiller. I erhvervslivet skal der typisk tages risici for at hjælpe med at nå den maksimale opfyldelse af de mål, virksomheden har angivet. Enterprise risk management er, hvordan virksomheder og organisationer håndterer disse risici. En del af at tage en risiko ved en lejlighed er at vide, at det muligvis ikke lønner sig; al den investerede tid, penge og ressourcer kunne gå tabt. Sarbanes-Oxley Act sætter for eksempel revisionslover på plads, så virksomheder kan huske, hvad et acceptabelt risikoniveau er. Målet med revisionslovgivningen er at beskytte interessenter og at hjælpe med at sikre, at korruption inden for en organisation kunne stoppes, før den forårsager uoprettelig skade.
Nogle eksempler på almindelige typer risici, som en virksomhed kan have, inkluderer kredit, forsikring, juridisk, regnskabsmæssig, revision, kvalitet og andre typer risici. Sarbanes-Oxley Act kræver, at amerikanske virksomheder har et virksomhedsrisikostyringssystem på plads, og dermed blev der oprettet et antal rammer. De to hovedrammer i De Forenede Stater blev sammensat af Casualty Actuarial Society (CAS) og Komitéen for sponsororganisationer (COSO). COSO's rammer er mere almindeligt vedtaget. Det hedder, at virksomhedsrisikostyring er en proces med intern kontrol, der skal deles af hele virksomheden, og at folk i virksomheden skal kende dets acceptable risikoniveau. Konturen af CAS er mere fokuseret på styring af risiko, således at virksomhedens værdi øges for dens interessenter. Gennem mange averse begivenheder, der forekommer i erhvervslivet, har både lovgivere og forretningsfolk indset, at et virksomhedsrisikostyringssystem, der inkluderer alle afdelinger i en organisation, er den bedste måde at beskytte interessenter og dermed beskytte sig selv.