Meus 2 cents:

Para voce ter o que precisa, o software de VPN precisa estar instalado nas duas pontas: na sua casa (o client, que vai fazer a conexao) e de preferencia no servidor de firewall local da empresa (o server, que vai receber a conexao).

1. Por que nas duas pontas ?

   Porque voce fecha a VPN do ponto A para o ponto B

2. O ExpressVPN funcionaria neste caso ?

   O principal objetivo do ExpressVPN eh "mascarar" sua conexao (privacidade) e nao conectar na empresa (apesar dele tambem poder funcionar assim)

   O ExpressVPN eh um client, voce continua precisando de um server onde conectar

3. Voce vai precisar de um servidor de VPN na empresa, p.ex

   OpenVPN: facil de instalar, tem as versoes client e server (gratuito, comunity edition)
   WireGuard: tem se tornado bastante comum em substituicao ao OpenVPN
   ZeroTier: outro que tem se tornado comum
   IPSec: bem manual, mas ajuda em situacoes mais especificas

   Voce nao precisa gastar na contratacao da VPN, mas vai precisar gastar (ou tempo ou dinheiro) na implementacao (mao de obra)

4. No meu ponto de vista: ainda prefiro o OpenVPN por questoes internas, mas estes tambem vao atender.

5. Tem de colocar no firewall da empresa ? E se nao tiver firewall ?

   Tudo bem, se nao tiver firewall, coloque em um servidor ou estacao que esta sempre ligada - assim as pessoas de fora vao conectar nesta estacao com o software de VPN

6. Tem riscos ? Claro, voce esta habilitando um acesso externo para dentro da empresa

Simplifiquei um bocado as coisas, pulei outras opcoes, deixei de lado uma serie de informacoes sobre firewall e roteadores - mas basicamente eh isso.