八個框架組件

◇內部控制一綜合框架的前五個組成部分，同時擴大模型以滿足不斷增長的風險管理需求

◇內部環境：內部環境包括組織的語氣，為實體的風險管理理念，風險偏好，誠信和道德價值以及經營環境等風險管理理念，解決風險的依據

◇目標設定：管理之前必須存在目標，以確定影響其成就的潛在事件。企業風險管理確保管理層建立了確定目標的過程，所選擇的目標支持并符合實體的使命，并符合其風險偏好

◇事件識別：必須確定影響實體目標實現的內部和外部事件，區分風險和機會。機會轉移到管理層的戰略或目標制定流程 ’

◇風險評估：分析風險，考慮可能性和影響，作為確定如何管理風險的基礎。風險是根據固有和殘余的基礎進行評估的

◇風險回應：管理層選擇風險應對措施（避免，減少、接受或轉移）并進行相應的實施，確保組織機構的風險與實體的風險承受能力和風險偏好相符合。

◇控制活動：制定和實施政策和程序，以確保有效執行風險響應

◇信息溝通：相關信息以確保人員履行責任的形式和時間框架進行識別，捕獲和傳達。有效的溝通也在更廣泛的意義上發生，流下來，跨越實體

◇監控：對整個企業風險管理進行監控，必要時做出修改。監控的方式包括持續的管理活動及單獨的評估

COSO在報告中承認，企業風險管理提供重要利益，但存在限制。企業風險管理依賴于人的判斷，因此易于作出決策。人為失誤（如簡單錯誤或錯誤）可能導致對風險的反應不足。此外，可以通過兩個或更多的人的共同決策來規避及控制，管理層有禽巨力改變企業風險管理決策。