与1992年版《内部控制——整合框架》相比，2013年版《内部控制——整合框架》主要有三大亮点，即更实、更活、更稳。
（1）更实：提供了内部控制体系建设的原则、要素和工具。
2013年版《内部控制——整合框架》提供了17条具体的原则，这是比较“实”的地方，因为1992年版《内部控制——整合框架》只有5个要素，更像是一个学术模型，具体要怎么做，并没有明确的答案。而这次COSO 提到的17条原则都是相对来说更明确的内容，这为企业的内部控制提供了一套路线图，为企业评价内部控制提供了一张打分表。此外，2013年版《内部控制——整合框架》细化了董事会及其下设专业委员会的描述，还提到了很多案例，以增进从业者对内部控制体系建设的理解。
（2）更活：强调企业可以有自己的判断。
在内部控制建设和评价中，2013年版《内部控制——整合框架》强调依赖管理层自身的判断，而不是像原来一样要求严格基于证据，2013年版《内部控制——整合框架》强调董事会、管理层和内审人员拥有判断力，这是新框架比较“活”的地方。
2013年版《内部控制——整合框架》认为，内部控制如何实施，如何评价，如何认定有效性，企业可以有自己的判断。这本质上是在为内部控制解套，是新框架的灵魂。
2013年版《内部控制——整合框架》强调在内部控制建设过程中应注重与效率的结合，建议管理层通过判断，去除那些失效、冗余乃至完全无效的控制，提升控制的效率和效果，而非单纯地为了控制而控制。
（3）更稳：强调内部控制有效性的认定。
2013年版《内部控制——整合框架》对于如何确保内部控制体系的有效性做了进一步澄清，指出有效的内部控制应满足以下几个条件：第一，每个要素及相关的原则存在且有效运行；第二，各要素整合地运行，即内部控制五要素中的每一项都会受到其他要素的影响，应视为一个整体。
2013年版《内部控制——整合框架》在指出内部控制的局限性方面比1992年版更加明确，指出了内部控制在决策和应对外部事件中的局限性。
旧整合框架发布于1992年，在当时体现了一种前沿的、先进的思路。尤其在我国，随着内部控制规范体系的实施，内部控制变成了对上市公司的最低要求。这种从“前沿”到“最低要求”的变化，集中体现在上市公司必须披露自己内部控制的有效性，并接受审计。那么，是不是审计通过了，上市公司就没风险、没有问题了呢？实际情况并不是这样，一些风险事件还是发生了。所以，新框架强调了内部控制对天灾（外部事件）和人祸（人为失误）的无能为力。