Perusahaan perlu mengidentifikasi semua risiko bisnis (baik itu risiko keuangan atau
risiko operasional, serta risiko sosial, etika, dan lingkungan), setelah itu mengelola risiko tersebut
untuk dapat diterima atau dikendalikan. Memahami Risiko merupakan komponen utama dari
pencapaian Sarbanes-Oxley (SOx), melalui Auditing Standard No. 5 (AS 5) internal audit, baik
yang berperan sebagai assurance dan konsultan, dapat berkontribusi terhadap management risiko.
Tapi risiko management ini sendiri sangat sulit untuk didefenisikan karna setiap orang memiliki
pemahaman yang berbeda tentang risiko. Dalam mendukung pemahaman kita tentang
pengendalian internal Sox, auditor internal perlu memiliki pemahaman yang lebih baik atas
manajemen risiko dan bagaiman dampak keahlian mereka dalam membangun dan
mengembangkan pengendalian internal yang efektif. Semua pihak harus harus mempu menilai
risiko relative, memahami risiko sekitar perusahaan mereka, dan harus mampu
mendokumentasikan dan membuktikan ada atau tidaknya pengendalian internal masalah
pengecualian, berdasarkan risiko relatif.
Sebelumnya tidak ada defenisi yang pasti tentang resiko manajemen hingga akhirnya
COSO menerbitkan metodologi risiko perusahaan yaitu, COSO Enterprise Risk Manajemen
Format Terpadu (COSO ERM). COSO ERM ini merupakan pendekatan yang memungkinkan
suatu perusahaan dan internal audit menilai risiko untuk mempertimbangkan dan menilai risiko
di semua tingkatan, di daerah masing-masing. Seperti untuk proyek pengembangan teknologi
informasi (IT), atau di risiko global mengenai ekspansi internasional. COSO ERM dibangun oleh
beberapa unsur utama dari kerangka COSO ERM dan melihat bagaiman auditor internal dapat
membangun COSO ERM kedalam proses audit serta langkah-langkah untuk mengaudit
efektivitas proses manajemen risiko suatu perusahaan.