Traditioneel risicomanagement, dat een duidelijke financiële focus heeft, evolueert naar bedrijfsrisicomanagement, dat rekening houdt met een breder palet aan risico’s. ERM komt voort uit bedrijfsrisicomanagement. Om de betekenis van ERM goed te kunnen begrijpen is het van belang om een heldere definitie te gebruiken.
The Committee of Sponsoring Organizations of the Treadway-commissie definieert ERM als volgt: ‘Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.’ Uit deze definitie blijkt dat ERM uitgaat van een procesmatige aanpak om gebeurtenissen die effect hebben op de organisatie te identificeren en risico’s te beheersen. Het gebruik van het woord ‘gebeurtenis’ of ‘potential event’ is hierbij opvallend. Doordat gebeurtenissen een gevolg hebben voor de organisatiedoelstellingen, en dit gevolg zowel positief als negatief kan zijn, wordt hiermee het verschil tussen risico’s en kansen benadrukt. Hiermee onderkent ERM het belang van het creëren van ‘waarde’ voor de organisatie. ERM: correlatie tussen risico’s en kansen Aanvullend wordt opgemerkt dat, in tegenstelling tot bedrijfsrisicomanagement, binnen ERM de correlatie tussen risico’s en het (gecumuleerde) effect daarvan onder de aandacht wordt gebracht. Onderlinge effecten kunnen de impact van het risico sterk beïnvloeden en dienen dus meegenomen te worden bij het beheersen van risico’s. De ontwikkeling van het traditionele denken inzake risicomanagement over ERM is schematisch weergegeven in de volgende figuur:
