COSO在其1992年的报告《内部控制-整合框架》中指出，内部控制是由董事、管理当局和其他职员实施的一个过程，旨在为下列各类目标的实现提供合理保证：经营效果和效率；财务报告的可靠性；遵循使用的法律和法规。COSO内部控制框架是在考虑管理层和其他方面的需求和期望的基础上“将对内部控制的不同概念整合到一个框架中，从而达到对内部控制的共识，确定控制的构成要素”，试图“建立一个适用于各方面需求的通用的定义；提供一个标准，无论规模大小、公众的还是私人的、盈利性的还是非盈利性的业务和企业，都可以参照该标准评估他们的控制系统并决定如何改进”，从而“帮助公司和企业管理层更好地控制组织的活动”。内部控制包括五个相互关联的构成要素：控制环境、风险评估、控制活动、信息与沟通、监控。 COSO在2004年发布的报告《企业风险管理-整合框架》中明确指出，企业风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响企业的潜在事项。管理风险以使其在该企业的风险容量之内，为企业目标的实现提供合理保证。企业风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理主要包括：衔接风险容量与战略、增进风险应对决策、抑减经营意外和损失、识别和管理贯穿于企业的多重风险、抓住机会、改善资本配置。COSO认为，在主体既定的使命或愿景范围内，管理当局应当制定战略目标、选择战略，并将目标在企业内自上而下进行分解、挂钩。风险管理框架力求实现四类目标即战略目标、经营目标、报告目标及合规目标。其中战略目标是内部控制框架所没有的一类目标，它源于企业的使命或愿景，位于最高层次。 与内部控制框架相比，企业风险管理框架的报告目标也进行了拓展。内部控制框架中，报告主要指的是对外公布的财务报告，报告目标主要关注的是公布的财务报表的可靠性。在企业风险管理框架中，报告包括由企业编制、向内部和外部散发的所有报告。这些报告包括管理层内部使用的报告和那些用于监管备案和向其他利益相关者在内的外部各方发布的报告。而且，范围也从财务报表的财务信息扩展到了更广泛的非财务信息。