2004年9月，COSO结合《萨班斯—奥克斯利法案》的具体要求，提出了一个全新的COSO报告——《企业风险管理——整合框架》（ Enterprise Risk Management-Integrated Framework ，简称ERM框架），使内部控制进入一个新的阶段。由于这一阶段把内部控制的内容概括为八要素，因此这一阶段也称内部控制八要素阶段。

自COSO报告于1992年发布以后，《内部控制——整合框架》已经被世界上许多企业所采用，但理论界和实务界也纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。

2002年7月美国总统小布什签署出台了《2002年公众公司会计改革和投资者保护法案》，该法案是由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Comittee on Financial Services）主席奥克斯利（Michael Oxley）联合提出，又被称作《萨班斯-奥克斯利法案》（ Sarbanes-Oxley Act ，简称SOX法案）。该法案是继美国《1933年证券法》《1934年证券交易法》以来又一部具有里程碑意义的法律。《萨班斯—奥克斯利法案》强调了公司内部控制的重要性，从管理层、内部审计及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。

2004年9月，COSO发布了《企业风险管理——整合框架》。该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。

基于这一认识，COSO提出了战略目标、运营目标、报告目标和合规目标四类目标，并指出风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系；同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。

相对于《内部控制——整合框架》，ERM框架的创新在于以下几点：

第一，从目标上看，ERM框架不仅涵盖了内部控制框架中的运营、财务报告和合规三个目标，还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴。ERM框架指出，企业风险管理应贯穿战略目标的制定、分解和执行过程，从而为战略目标的实现提供合理保证。报告范畴的扩大表现在内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的财务报告范围有很大的扩展，覆盖了企业编制的所有报告。

第二，从内容上看，ERM框架除了包括内部控制整合框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素。目标制定、风险识别、风险评估与风险应对四个要素环环相扣，共同构成了风险管理的完整过程。此外，对原有要素也进行了深化和拓展，如引入了风险偏好和风险文化，将原有的“控制环境”改为“内部环境”。

第三，从概念上看，ERM框架提出了两个新概念——风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理层风险偏好结合起来。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。

第四，从观念上看，ERM框架提出了一个新的观念——风险组合观。企业风险管理要求企业管理层以风险组合的观念看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业整体的角度评估风险。

需要特别说明的是，《企业风险管理——整合框架》虽然晚于《内部控制——整合框架》产生，但是它并不是要完全替代后者。