Yritysten riskienhallinta, jota kutsutaan myös ERM: ksi, on käsite, jolla on melko yksinkertainen määritelmä ja paljon monimutkaisempi toteutus. Se on liiketoiminnan taloudellinen termi, joka kuvaa riskienhallintamenetelmiä – riskien ja mahdollisuuksien tunnistamista – yrityksen sisällä. Tämä käsite on laaja ja voi olla melko monimutkainen suurille yrityksille. Ennen Yhdysvalloissa Sarbanes-Oxley -lakia ja myöhemmin kansainvälistä riskienhallintastandardia (ISO 31000) yrityksen riskienhallinta oli suurelta osin vapaaehtoista, ja vaikka monet yritykset käyttivät strategioita riskienhallintaan, ohjeet olivat paljon epämääräisempiä. Yrityksen riskienhallinnan näkökohtia voivat olla liiketoimintatavoitteiden tunnistaminen ja strategisen suunnitelman luominen niiden saavuttamiseksi; arvioida, kuinka todennäköisesti suunnitelma tai sen osat onnistuvat; ja vastaus- ja edistymissuunnitelman laatiminen.
Strateginen suunnittelu voidaan määritellä koko organisaation laajuisen suunnitelman laatimiseksi ja toteuttamiseksi, jolloin sen sisällä olevat voivat tehdä päätöksiä, jotka keskittyvät yksinomaan organisaation asettamien tavoitteiden saavuttamiseen. Liiketoiminnassa riskejä on tyypillisesti otettava, jotta ne voivat saavuttaa maksimaalisesti yrityksen asettamat tavoitteet. Yritysten riskienhallinta on tapa, jolla yritykset ja organisaatiot hallitsevat näitä riskejä. Osa riskin ottamisesta mahdollisuuteen on tieto siitä, että se ei ehkä kannata; kaikki sijoitettu aika, raha ja resurssit voivat kadota. Esimerkiksi Sarbanes-Oxley-laki asettaa tilintarkastuslainsäädännön, jotta yritykset voivat pitää mielessä, mikä on hyväksyttävä riskitaso. Tilintarkastuslakien tavoitteena on suojella sidosryhmiä ja auttaa varmistamaan, että korruptio organisaatiossa voidaan lopettaa ennen kuin se aiheuttaa korjaamatonta haittaa.
Joitakin esimerkkejä tavallisista riskeistä, joita yritys voi kohdata, ovat luottotiedot, vakuutukset, lakiasiat, kirjanpito, tilintarkastus, laatu ja muut riskit. Sarbanes-Oxley-laki edellyttää, että yhdysvaltalaisilla yrityksillä on oltava yrityksen riskienhallintajärjestelmä, ja näin luotiin useita puitteita. Kaksi Yhdysvaltojen pääkehystä ovat Casualty Actuarial Society (CAS) ja sponsoroivien järjestöjen komitea (COSO). COSOn puitteet hyväksytään yleisemmin. Siinä todetaan, että yrityksen riskienhallinta on sisäisen valvonnan prosessi, joka on jaettava koko yritykselle ja että yrityksen henkilöstön on tiedettävä sen hyväksyttävä riskitaso. CAS: n pääpiirteissä keskitytään enemmän riskienhallintaan siten, että yrityksen arvo kasvaa sidosryhmien kannalta. Monien liike -elämässä esiintyvien vastenmielisten tapahtumien kautta lainsäätäjät ja liikemiehet ovat ymmärtäneet, että yrityksen riskienhallintajärjestelmä, joka sisältää kaikki organisaation yksiköt, on paras tapa suojata sidosryhmiä ja siten suojella itseään.