Hva er Enterprise Risk Management?
Enterprise risk management, også kalt ERM, er et konsept som har en ganske enkel definisjon og en mye mer kompleks implementering. Det er et forretningsøkonomisk begrep som beskriver metodene for risikostyring - identifisering av risikoer og muligheter - i et selskap. Dette konseptet er bredt og kan være ganske sammensatt for store selskaper. Før Sarbanes-Oxley Act i USA og senere den internasjonale standarden for risikostyring (ISO 31000), var risikostyring i bedriften stort sett valgfri, og selv om mange virksomheter benyttet strategier for å styre risiko, var retningslinjene mye mer vage. Aspekter ved bedriftsrisikostyring kan omfatte identifisering av forretningsmessige mål og lage en strategisk plan for å nå dem; vurdere hvor sannsynlig det er at planen, eller deler av planen, vil lykkes; og lage en respons- og fremdriftsvurderingsplan.
Strategisk planlegging kan defineres som formulering og implementering av en organisasjonsomfattende plan, som gjør det mulig for dem i den å ta beslutninger som fokuserer utelukkende på å oppnå de mål som er organisert. I virksomheten må det vanligvis tas risikoer for å oppnå maksimal oppnåelse av målene som er satt av virksomheten. Bedriftsrisikostyring er hvordan bedrifter og organisasjoner håndterer disse risikoene. En del av å ta en risiko ved en mulighet er å vite at det ikke lønner seg; all den investerte tiden, pengene og ressursene kan gå tapt. Sarbanes-Oxley Act, for eksempel, setter revisjonslover på plass slik at selskaper kan huske hva et akseptabelt risikonivå er. Målet med revisjonslovene er å beskytte interessenter og å bidra til at korrupsjon i en organisasjon kan stoppes før det forårsakes uopprettelig skade.
Noen eksempler på vanlige typer risikoer en virksomhet kan møte er kreditt, forsikring, juridisk, regnskap, revisjon, kvalitet og andre typer risikoer. Sarbanes-Oxley Act krever at amerikanske selskaper skal ha et virksomhetsrisikostyringssystem på plass, og dermed ble det laget et antall rammer. De to viktigste rammene i USA ble satt sammen av Casualty Actuarial Society (CAS) og Committee of Sponsoring Organisations (COSO). COSOs rammeverk er mer vanlig vedtatt. Den slår fast at risikostyring i virksomheten er en prosess med internkontroll som må deles av hele selskapet, og at menneskene i selskapet må kjenne det akseptable risikonivået. Konturen av CAS er mer fokusert på styring av risiko slik at selskapets verdi økes for interessentene. Gjennom mange motsatte hendelser som skjer i næringslivet, har både lovgivere og forretningsfolk innsett at et risikostyringssystem som inkluderer alle avdelinger i en organisasjon, er den beste måten å beskytte interessenter og dermed beskytte seg selv.