2004年9月,COSO在借鉴以往有关内部控制研究报告的基本精神的基础上,结合《萨班斯-奥克斯利法案》在财务报告方面的具体要求,发表了新的研究报告《企业风险管理框架》(Enterprise%Risk%Management%Frame-work,简称ERM框架)。该框架指出,“全面风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。
基于这一认识,COSO提出了战略目标、经营目标、报告目标和合规目标四类目标,并指出风险管理包括八个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。根据COSO的这份研究报告,内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系;同时,对内部控制要素的进一步细分和充实,使内部控制与风险管理日益融合,拓展了内部控制。
相对《内部控制———整合框架》,ERM框架的创新在于:第一,从目标上看,ERM框架不仅涵盖了内部控制整合框架中的经营性、财务报告可靠性和合法性三个目标,而且还提出了一个更具管理意义和管理层次的战略管理目标,同时还扩大了报告的范畴。ERM框架指出,企业风险管理应贯穿于战略目标的制定、分解和执行过程,从而为战略目标的实现提供合理保证。报告范畴的扩大表现在内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的财务报告范围有很大34第四章内部控制的相关理论基础◆◆◆的扩展,覆盖了企业编制的所有报告。