第三，从概念上看，ERM框架提出了两个新概念———风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。风险容忍度是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。
第四，从观念上看，ERM框架提出了一个新的观念———风险组合观念。企业风险管理要求企业管理者以风险组合的观念看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业整体的角度评估风险。
需要说明的是，ERM框架虽然较晚于《内部控制———整合框架》产生，但是它并不是要完全替代《内部控制———整合框架》。
在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话而已。