COSO-ERM的主要内容是什么？

ERM报告分两卷。第一卷包括“内容概要”和“基本框架”。

“内容概要”是面向首席执行官、其他高级管理人员、董事会成员和监管者的概要介绍。“基本框架”给企业风险管理下定义，并讲述原则和概念，为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性的指导。基本框架包括八个相互管理的构成要素，它们源于管理当局经营企业的方式，并与管理过程整合在一起。这些要素联系起来，成为确定企业风险管理是否有效的标准。这些要素是：

内部环境——管理当局确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人—他们的个人品性，包括诚信、道德价值观和胜任能力—以及经营所处的环境；

 目标设定——必须先有目标，管理当局才能识别影响它们实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，确保所选定的目标支持和符合该主体的使命，并且与它的风险容量相一致；

 事项识别——必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项。机会被反馈到管理当局的战略或目标制订过程中；

 风险评估——要对识别的风险进行分析，以便形成应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响；

风险应对——员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相协调；

控制活动——制订和实施政策与程序以帮助确保管理者所选择的风险应对得以有效实施；

 信息与沟通——相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通；

监控——对企业风险管理进行全面监控，必要时加以修正。通过这种方式，它能够动态反映，根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。

第二卷《应用技术》(Application Techniques)，讲解说明应用ERM框架的具体要素要用到的多种技术。尽管《应用技术》声明不是ERM框架的组成部分，里面例示的技术也不一定要应用，也不是最佳实践，但是毋庸置疑，其中例示的技术依然为有效地实施企业风险管理提供了非常有价值的借鉴和指导。
该报告打破了传统的内部控制内容，将公司治理与内部控制结合的更加紧密，要求审计人员不能只关注财务报表本身，而应将注意力更多地放在企业可能出现的经营风险上。