واژه COSO سرآیند Committee Of Sponsoring Organizations است.

مکعب کوزو به مدیریت ریسک‌ های راهبردی، عملیاتی، گزارشگری و سازگاری با قوانین تمرکز دارد.

مدیریت ریسک‌های راهبردی اشاره به راهکارهای اتخاذی شرکت ها به منظور ماندن در شرایط رقابتی بازار دارد.

مدیریت ریسک‌های عملیاتی، اداره مخاطرات شرکت است که در نهایت باعث افزایش کارایی و عملکرد سازمان می‌گردد.

هدف از مدیریت ریسک‌های گزارشگری ارائه گزارش های مالی قابل اعتماد است.

مدیریت ریسک‌های سازگاری با قوانین با افزایش انطابق با مقررات بیرونی و باعث افزایش ارزش شرکت خواهد شد.

چارچوب یکپارچه ERM COSO از هشت جزء تشکیل شده است:

1. محیط داخلی: این بخش مدیریت فلسفه ای درباره ریسک را مشخص می کند و ریسک پذیری را ایجاد می کند. محیط داخلی مبنایی را برای روشن شدن و مدیریت ریسک و کنترل‌ ها توسط افراد یک واحد تجاری ارائه می دهد. اهمیت این است که مدیران ارشد ارتباط ERM را در تمام سطوح یک نهاد بیان کنند.

2. تنظیم هدف: این مرحله اطمینان می دهد که اهداف موجودیت قبل از شناسایی رویدادهای بالقوه که بر آن‌ها تأثیر می‌ گذارند، مشخص شده باشند. ERM مطمئن می شود که فرآیندی برای تعیین اهداف وجود دارد که با مأموریت واحد تجاری هماهنگ است و با ریسک پذیری مطابقت دارد.

3. شناسایی رویداد: رویدادهای بالقوه که ممکن است بر موجودیت تأثیر بگذارند باید شناسایی شوند. این شامل شناسایی رویدادهای بالقوه از منابع داخلی و خارجی است که بر دستیابی به اهداف تأثیر می ‌گذارند. این شامل تمایز بین رویدادهای نشان دهنده ریسک، فرصت‌ ها و رویدادهایی است که ممکن است هر دو باشند.

4. ارزیابی ریسک: ریسک‌های شناسایی شده برای تعیین نحوه مدیریت تجزیه و تحلیل می ‌شوند. ریسک‌ها با اهداف مرتبط تحت تأثیر قرار می ‌گیرند و بر اساس ارزیابی احتمال و تأثیر تحلیل می ‌شوند. ارزیابی ریسک باید به طور مداوم و در سراسر یک واحد تجاری انجام شود.

5. پاسخ به ریسک: پرسنل پاسخ ‌های احتمالی به ریسک‌ها را شناسایی و ارزیابی می ‌کنند، که شامل اجتناب، پذیرش، کاهش و به اشتراک گذاشتن ریسک‌ ها می ‌شود. مدیریت مجموعه‌ای از اقدامات را انتخاب می‌کند تا ریسک‌ ها را با میزان تحمل ریسک و ریسک پذیری واحد تجاری هماهنگ کند.

6. فعالیت ‌های کنترلی: سیاست‌ ها و رویه ‌ها ایجاد و اجرا می ‌شوند تا اطمینان حاصل شود که مدیریت پاسخ‌ های ریسک به‌طور مؤثر انجام می ‌شود.

7. اطلاعات و ارتباطات: اطلاعات مربوطه شناسایی، جمع آوری و به اشتراک گذاری می‌شود تا افراد را قادر سازد مسئولیت‌ های خود را انجام دهند. اطلاعات در تمام سطوح یک واحد تجاری برای شناسایی، ارزیابی و پاسخ به ریسک مورد نیاز است.

8. مانیتورینگ: سپس کل ERM نظارت می ‌شود و در صورت لزوم تغییراتی انجام می ‌شود. به این ترتیب، می‌تواند به صورت پویا واکنش نشان دهد و طبق شرایط تغییر کند.