自从1992年COSO委员会发布了《COSO内部控制整合框架》,这一框架在全球范围内获得了广泛的接纳和实施。然而,学术界和实践者们持续对它提出了改进的建议,强调内部控制框架应与企业风险管理更为紧密地结合。2002年的萨班斯法案要求上市公司全面关注风险,强化风险管理,这在一定程度上推动了内部控制框架的深化发展。COSO委员会也意识到《内部控制整合框架》存在局限,如过于关注财务报告,忽视了从企业整体战略视角看待风险的重要性。因此,适应新的发展需求,新的框架被提出。
2003年7月,COSO委员根据萨班斯法案的要求,发布了“企业风险管理整合框架”的讨论稿,这一框架是在原有《内部控制整合框架》的基础上扩展和深化的。2004年9月,《企业风险管理整合框架》(COSO-ERM)正式发布,标志着COSO委员会在内部控制研究上的最新成果呈现。
COSO企业风险管理被定义为一个全面的过程,它由企业的董事会、管理层以及全体员工共同参与,旨在确保经营效率、财务报告的准确性和法规遵循。COSO-ERM框架作为一个指导性理论框架,为董事会提供了识别关键风险和管理风险的重要信息。它不仅适用于企业战略制定,也涵盖企业内部各个层次和部门,通过多层面、流程化的风险管理,确保企业目标的实现,提供合理保障。
COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。 1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》,简称COSO报告,1994年进行了增补。