La gestión de riesgos empresariales (ERM o E.R.M. Enterprise Risk Management) en los negocios incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. ERM[1] proporciona un marco para la gestión de riesgos, que generalmente implica identificar eventos o circunstancias particulares relevantes para los objetivos de la organización (riesgos y oportunidades), evaluarlos en términos de probabilidad y magnitud de impacto, determinar una estrategia de respuesta y monitorear el progreso. Al identificar y abordar de manera proactiva los riesgos y oportunidades, las empresas comerciales protegen y crean valor para sus grupos de interés, incluidos los propietarios, empleados, clientes, reguladores y la sociedad en general.
ERM está evolucionando para abordar las necesidades de diversos interesados, que desean comprender el amplio espectro de riesgos que enfrentan las organizaciones para garantizar que se gestionen de manera adecuada. Los reguladores, los inversionistas, las agencias de calificación de la deuda, entre otros stakeholders, han incrementado su escrutinio sobre los procesos de gestión de riesgos de las empresas.
Según Thomas Stanton,[2] de la Universidad Johns Hopkins, el objetivo de la gestión del riesgo empresarial no es crear más burocracia, sino facilitar la discusión sobre cuáles son los riesgos realmente grandes.