4 2004年9月美國國會COSO委員會（The COSO of the Treadway Commission）提出「企業風險管理－整合架構」（Enterprise Risk Management-Integrated Framework），將內部控制架構之三大目標及五個構成要素，擴增為（甲）大目標、（乙）個構成要素及二個概念。

(A)甲：4，乙：6

(B)甲：4，乙：8

(C)甲：5，乙：8

(D)甲：6，乙：6

四大目標：

l策略性(strategic )---係高層次之目的(high-level goals)，其追隨企業之使命，並支援其達成。

l營運(operations)---資源之使用有效果及有效率。

l報導(reporting)----報導之可靠。

l遵循(compliance)---相關法令之遵循。

八個構成要素

l內部環境---內部環境包含組織的基調，並建立企業之人員如何看待與如何處理風險之基礎，包括風險管理哲學與風險偏好、操守與倫理價值觀，以及營運所處之環境。

l目標設定---必須先有目標，管理階層才能辨認影響目標達成的潛在事項。企業風險管理保證管理階層訂有制訂目標之過程，以及所選中之目標能支持企業之使命，追隨該使命，並與企業之風險偏好一致。

l事項辨認---企業須辨認會影響目標能否達成之內部事項及外部事項，這些事項可區分風險與機會二類，管理階層應把機會導回設定策略或目標之流程中。

l風險評估---企業分析風險、考量其發生之可能性及影響，並藉以決定風險應如何加以管理。風險之評估應基於固有風險及剩餘(residual)風險。

l風險因應---管理階層選擇風險因應(規避、承受、抑減及分擔)之方式，並進行一連串行動使風險能與企業之風險容忍度(risk tolerance)及風險偏好(risk appetite)相配合。

l控制活動---所訂定用來協助保證風險因應能有效執行之政策與程序。

l資訊與溝通---攸關之資訊在一定的形式和期限內，予以辨認、蒐集並溝通，以確保相關人員能夠履行其職責。有效溝通之觀念比較廣泛，包括企業由上而下，由下而上，以及相互之間橫向的溝通。

l監控---對企業風險管理進行全面監控，必要時加以修正。監控可以藉由持續的管理活動、個別評價或者兩者結合來完成。

二個概念

l風險偏好

l風險容忍度