Bab ini memperkenalkan kerangka ERM COSO dan unsur-unsurnya, namun penekanannya adalah pada COSO ERM mengapa bisa menjadi alat audit internal penting untuk lebih memahami dan mengevaluasi risiko sekitarnya pengendalian internal di semua tingkatan. Resiko adalah kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. Sedangkan Manajemen Risiko yaitu upaya-upaya dalam bentuk aturan maupun tindakan yang ditujukan untuk mengoptimalkan (meminimalisir) risiko atas suatu portfolio sesuai dengan Kebijakan Investasi masingmasing dana kelolaan. Penerapan sistem manajemen risiko mengacu pada peraturan serta ketentuan yang tertuang dalam kebijakan perusahaan dan ISO 9001:2000. Manajemen risiko tidak semata berlaku di sektor bisnis, namun semakin mendesak untuk diapplikasikan di sektor publik. Banyak argumen pendukung, dan tampaknya faktor utama adalah perubahan lingkungan dan sumber daya yang terbatas bagi pencapaian tujaun organisasi. Risiko memiliki berbagai definisi, dan berkaitan dengan kemungkinan kejadian atau keadaan yang dapat mengancam pencapaian tujuan dan sasaran organisasi. Pada sisi lain, penanganan risiko bahkan dapat memuncul-kan peluang bagi organisasi. Risiko tidak dapat dihindari oleh organisasi, dan terdapat pada sumber daya yang dimiliki dan proses operasi termasuk pengendalian. manajemen risiko diperlukan bagi pencapaian tujuan suatu unit dan tujuan organisasi secara keseluruhan. Menurut COSO, proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap), dimulai dari : 1. Komponen Lingkungan Internal Organisasi 2. Penentuan Tujuan 3. Identifikasi Risiko 4. Penilaian Risiko 5. Sikap Atas Risiko 6. Aktifitas Pengendalian 7. Informasi Dan Komunikasi 8. Monitoring Manajemen risiko dan pengendalian internal memiliki kesamaan materi dan komponen, dan saling terkait satu dengan lainnya. Manajemen risiko yang ada perlu dievaluasi keandalannya. Sementara itu, aktifitas pengendalian akan menjadi optimal dengan menggunakan pendekatan risiko.