La gestión de riesgos empresariales, también llamada ERM, es un concepto que tiene una definición bastante simple y una implementación mucho más compleja. Es un término financiero comercial que describe los métodos de gestión de riesgos (identificación de riesgos y oportunidades) dentro de una empresa. Este concepto es amplio y puede ser bastante complejo para grandes empresas. Antes de la Ley Sarbanes-Oxley en los Estados Unidos y más tarde la Norma Internacional para la Gestión del Riesgo (ISO 31000), la gestión del riesgo empresarial era en gran medida opcional y, aunque muchas empresas empleaban estrategias para gestionar los riesgos, las directrices eran mucho más vagas. Los aspectos de la gestión de riesgos empresariales pueden incluir la identificación de objetivos comerciales y la creación de un plan estratégico para alcanzarlos; evaluar qué tan probable es que el plan, o partes del plan, tengan éxito; y creando un plan de respuesta y evaluación de progreso.

La planificación estratégica se puede definir como la formulación e implementación de un plan para toda la organización, que permite a quienes están dentro de él tomar decisiones que se centran únicamente en lograr los objetivos establecidos por la organización. En los negocios, generalmente se deben tomar riesgos para ayudar a alcanzar el máximo logro de los objetivos establecidos por el negocio. La gestión de riesgos empresariales es la forma en que las empresas y organizaciones gestionan estos riesgos. Parte de arriesgarse en una oportunidad es saber que tal vez no valga la pena; todo el tiempo invertido, dinero y recursos podrían perderse. La Ley Sarbanes-Oxley, por ejemplo, establece leyes de auditoría para que las empresas puedan tener en cuenta qué nivel de riesgo es aceptable. El objetivo de las leyes de auditoría es proteger a las partes interesadas y ayudar a garantizar que la corrupción dentro de una organización pueda detenerse antes de causar daños irreparables.

Algunos ejemplos de tipos comunes de riesgos que puede enfrentar una empresa incluyen los riesgos de crédito, seguros, legales, contables, de auditoría, de calidad y otros tipos de riesgos. La Ley Sarbanes-Oxley exige que las empresas estadounidenses tengan un sistema de gestión de riesgos empresariales y, por lo tanto, se crearon varios marcos. Los dos marcos principales en los Estados Unidos fueron elaborados por la Casualty Actuarial Society (CAS) y el Comité de Organizaciones Patrocinadoras (COSO). El marco del COSO se adopta más comúnmente. Establece que la gestión de riesgos empresariales es un proceso de controles internos que debe compartir toda la empresa y que las personas dentro de la empresa deben conocer su nivel de riesgo aceptable. El esquema del CAS se centra más en la gestión del riesgo, de modo que el valor de la empresa se incrementa para sus grupos de interés. A través de muchos eventos adversos que ocurren en el mundo de los negocios, los legisladores y los empresarios se han dado cuenta de que un sistema de gestión de riesgos empresariales que incluye a todos los departamentos de una organización es la mejor manera de proteger a las partes interesadas y, por lo tanto, protegerse a sí mismos.