2004年版《企业风险管理一一战略与绩效的结合》文件中认为:
全面风险管理是以下三个维度的立体系统。(A选项不符合题意)
(1)企业目标。包括战略目标、经营目标、报告目标和合规目标等四个目标;
(2)风险管理的要素。包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控八个要素。
(3)企业层级。包括整个企业、各职能部门、各条业务线及下属子公司。(B选项不符合题意)
2017年9月,COSO发布《企业风险管理一一战略与绩效的结合》,修订的内容包括:
(1)重新定义了企业风险管理(D选项符合题意),认为企业风险管理是一种与战略制定及实施相整合的文化、能力和实践,旨在创造、维护和实现价值过程中管理风险;
(2)改用价值创造链条描述风险管理要素与企业使命、愿景和核心价值观的关系(E选项符合题意),以及如何通过战略制定和具体的业务目标影响企业绩效;
(3)整合风险管理基本要素,采用原则为导向的框架帮助董事会和管理层制定和评价风险管理绩效(C选项符合题意)。