Įmonės rizikos valdymas, dar vadinamas ERM, yra gana paprastas apibrėžimas ir daug sudėtingesnis įgyvendinimas. Tai verslo finansinis terminas, apibūdinantis rizikos valdymo metodus – rizikos ir galimybių nustatymą – įmonėje. Ši sąvoka yra plati ir gali būti gana sudėtinga didelėms įmonėms. Iki Sarbaneso-Oxley akto Jungtinėse Valstijose, o vėliau – Tarptautinio rizikos valdymo standarto (ISO 31000), įmonės rizikos valdymas iš esmės buvo neprivalomas ir, nors daugelis įmonių taikė rizikos valdymo strategijas, gairės buvo daug neaiškesnės. Įmonės rizikos valdymo aspektai gali apimti verslo tikslų nustatymą ir strateginio plano jiems pasiekti sukūrimą; įvertinti, ar planas ar jo dalys bus sėkmingos; ir parengti atsako ir pažangos vertinimo planą.
Strateginis planavimas gali būti apibrėžiamas kaip visos organizacijos plano suformulavimas ir įgyvendinimas, leidžiantis jame esantiems priimti sprendimus, orientuotus tik į organizacijos iškeltų tikslų siekimą. Versle paprastai reikia prisiimti riziką, kad būtų galima maksimaliai pasiekti verslo užsibrėžtus tikslus. Įmonės rizikos valdymas yra tai, kaip įmonės ir organizacijos valdo šią riziką. Dalis rizikos dėl galimybės yra žinojimas, kad ji gali nepasiteisinti; gali būti prarastas visas investuotas laikas, pinigai ir ištekliai. Pavyzdžiui, Sarbanes-Oxley įstatymas nustato audito įstatymus, kad įmonės galėtų nepamiršti, koks yra priimtinas rizikos lygis. Audito įstatymų tikslas – apsaugoti suinteresuotąsias šalis ir padėti užtikrinti, kad korupcija organizacijoje būtų sustabdyta prieš padarant nepataisomą žalą.
Kai kurie įprastų rizikos rūšių pavyzdžiai, su kuriais gali susidurti verslas, yra kredito, draudimo, teisinės, apskaitos, audito, kokybės ir kitos rizikos rūšys. Sarbanes-Oxley įstatymas reikalauja, kad JAV įmonės turėtų įmonės rizikos valdymo sistemą, todėl buvo sukurtos kelios sistemos. Dvi pagrindines sistemas Jungtinėse Amerikos Valstijose sujungė Avarijų aktuarų draugija (Casualty Actuarial Society, CAS) ir Rėmėjų organizacijų komitetas (COSO). COSO sistema yra dažniau naudojama. Jame teigiama, kad įmonės rizikos valdymas yra vidinės kontrolės procesas, kuriuo turi dalytis visa įmonė ir kad įmonės darbuotojai turi žinoti priimtiną rizikos lygį. CAS metmenys yra labiau orientuoti į rizikos valdymą, kad būtų padidinta įmonės vertė suinteresuotosioms šalims. Per daugelį verslo pasaulyje nutinkančių nemalonių įvykių įstatymų leidėjai ir verslo žmonės suprato, kad įmonės rizikos valdymo sistema, apimanti visus organizacijos padalinius, yra geriausias būdas apsaugoti suinteresuotąsias šalis ir taip apsisaugoti.