COSO的ERM框架是个三维立体的框架。这种多维立体的表现形式，有助于全面深入地理解控制和管理对象，分析解决控制中存在的复杂问题。
    第一个维度（上面维度）是是目标体系，包括四类目标：(1) 战略(Stntegic)目标，即高层次目标，与使命相关联并支撑使命；(2) 经营(operations)目标，高效率地利用资源；(3) 报告(reporting)目标，报告的可靠性；(4) 合规(compliance)目标，符合适用的法律和法规。
     第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素,它们源自管理当局的经营方式，并与管理过程整合在一起，具体为：
　　(1)内部环境。管理当局确立关于风险的理念，并确定风险容量。所有企业的核心都是人(他们的个人品性，包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。
　　(2)目标设定。必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。
　　(3)事项识别。必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。
　　(4)风险评估。要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。
　　(5)风险应对。员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。
　　(6)控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。
　　(7)信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。
　　(8)监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
    第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。