八個框架組件

◇內(nèi)部控制一綜合框架的前五個組成部分，同時擴大模型以滿足不斷增長的風險管理需求

◇內(nèi)部環(huán)境：內(nèi)部環(huán)境包括組織的語氣，為實體的風險管理理念，風險偏好，誠信和道德價值以及經(jīng)營環(huán)境等風險管理理念，解決風險的依據(jù)

◇目標設(shè)定：管理之前必須存在目標，以確定影響其成就的潛在事件。企業(yè)風險管理確保管理層建立了確定目標的過程，所選擇的目標支持并符合實體的使命，并符合其風險偏好

◇事件識別：必須確定影響實體目標實現(xiàn)的內(nèi)部和外部事件，區(qū)分風險和機會。機會轉(zhuǎn)移到管理層的戰(zhàn)略或目標制定流程 ’

◇風險評估：分析風險，考慮可能性和影響，作為確定如何管理風險的基礎(chǔ)。風險是根據(jù)固有和殘余的基礎(chǔ)進行評估的

◇風險回應：管理層選擇風險應對措施（避免，減少、接受或轉(zhuǎn)移）并進行相應的實施，確保組織機構(gòu)的風險與實體的風險承受能力和風險偏好相符合。

◇控制活動：制定和實施政策和程序，以確保有效執(zhí)行風險響應

◇信息溝通：相關(guān)信息以確保人員履行責任的形式和時間框架進行識別，捕獲和傳達。有效的溝通也在更廣泛的意義上發(fā)生，流下來，跨越實體

◇監(jiān)控：對整個企業(yè)風險管理進行監(jiān)控，必要時做出修改。監(jiān)控的方式包括持續(xù)的管理活動及單獨的評估

COSO在報告中承認，企業(yè)風險管理提供重要利益，但存在限制。企業(yè)風險管理依賴于人的判斷，因此易于作出決策。人為失誤（如簡單錯誤或錯誤）可能導致對風險的反應不足。此外，可以通過兩個或更多的人的共同決策來規(guī)避及控制，管理層有禽巨力改變企業(yè)風險管理決策。