由AICPA、IIA、FEI、IMA、AAA组成的COSO于2003年7月发布了其名为《企业风险管理框架》（征求意见稿）的研究报告。其目的是“开发概念合理框架（conceptually sound framework），提供统一的原则、通用的术语和实际的实施指南，以支持企业发展或评价它们自己的企业风险管理程序的计划。一个相关的目标就是这个结论性的框架要充当管理当局、董事、监管者、学者和其他人更好的理解企业风险管理及其优点和缺点、有效的沟通企业风险管理问题的通用基础。”

报告指出，内部控制是企业风险管理的组成部分，企业风险管理框架包含内部控制，形成一个更健全的管理概念和工具。有效的企业风险管理有助于管理者实现目标，但是企业风险管理无论设计并实施的如何好，都不能完全保证一个企业的成功。政府政策或计划的变化、竞争者的行为或经济形势可以超出管理者的控制。人为决策可能是错误的，而且也会因为简单的错误或过失等人为失败而导致事故发生。企业风险管理不能把本来不好的经理变成一个好的，控制能够被两个或多个人的串通而绕过，管理层也有能力越过包括风险反应和控制在内企业风险管理程序。企业风险管理的设计必须反映资源约束的现实，并且风险管理的收益必须与它们的成本联系起来进行考虑。因此，虽然企业风险管理能帮助管理者实现它的目标，但它不是万能药。(www.daowen.com)