COSO 1992 nhìn nhận triết lý về quản lý của người điều hành là yếu tố hợp thành của mơi trường kiểm sốt. COSO 2004 thì nhìn nhận quan điểm của nhà quản lý về rủi ro là yếu tố hợp thành của môi trường nội bộ. Điều này cho thấy COSO 2004 nhìn nhận rủi ro là tất yếu và khơng thể xố bỏ, đơn vị phải tính ln đến trong q trình hoạt động của mình. Trên quan điểm cho rằng khơng thể xóa bỏ được rủi ro, đơn vị xác định mức rủi ro có thể chấp nhận cho toàn bộ đơn vị và cho từng cấp độ cụ thể để xây dựng các ngưỡng chịu đựng đối với rủi ro trong quá trình hoạt động của mình.
Việc xác định triết lý về rủi ro và xác định mức độ rủi ro có thể chấp nhận cũng giúp đơn vị xác định phương hướng chung trong việc ứng phó với rủi ro chứ khơng chỉ là tập trung xử lý những rủi ro cụ thể và ngắn hạn. Những nội dung này trong COSO 2004 cụ thể như sau:
- Triết lý của nhà quản lý về quản trị rủi ro: triết lý về quản trị rủi ro là quan
điểm, nhận thức và thái độ của nhà quản lý đối với rủi ro, điều này tạo nên cách thức mà đơn vị tiếp cận với rủi ro trong tất cả các hoạt động, từ phát triển chiến lược đến các hoạt động hàng ngày. Triết lý quản lý phản ánh những giá trị mà đơn vị theo đuổi, tác động đến văn hoá và cách thức đơn vị hoạt động, và ảnh hưởng đến việc áp dụng các yếu tố khác của COSO 2004 bao gồm cách thức nhận dạng rủi ro, các loại rủi ro được chấp nhận và cách thức quản lý chúng.
- Rủi ro có thể chấp nhận: là mức độ rủi ro mà xét trên bình diện tổng thể, đơn
vị sẵn lịng chấp nhận để theo đuổi giá trị. Nó phản ánh triết lý về quản trị rủi ro của nhà quản lý cấp cao, và ảnh hưởng đến văn hoá, cách thức hoạt động của đơn vị.
Rủi ro có thể chấp nhận được xem xét khi đơn vị xác định các chiến lược, ở đó lợi ích kỳ vọng của một chiến lược phải phù hợp với mức rủi ro có thể chấp nhận đã đề ra. Các chiến lược khác nhau sẽ dẫn đến những mức độ rủi ro khác nhau đối với đơn vị, một khi mức rủi ro có thể chấp nhận được xác lập sẽ giúp ích cho nhà quản lý lựa chọn chiến lược nằm trong giới hạn chịu đựng đối với các loại rủi ro.