Le COSO 2 ou COSO-ERM (ERM= Enterprise Risk Management), publié par la commission COSO en 2004 est aujourd'hui le cadre de référence du management des risques.
Pour commencer, le risque est un danger potentiel qu'il est nécessaire d'identifier de manière très précise.
Sa définition est intrinsèquement liée à la potentialité qu'il se produise, à sa probabilité, ce qui fait qu'il est redouté.