El COSO es un comité de organizaciones patrocinadoras de la comisión Treadway, éste viene de una iniciativa independiente del sector privado que estudia los factores causales que pueden conducir a información financiera fraudulenta. También elaboró recomendaciones para las empresas publicas y sus auditores independientes, para la SEC y otros reguladores, y para las instituciones educativas.

Existen dos versiones de este, la primera de 1992 y la segunda version del 2004, que incorpora las exigencias de la ley Sarbanes-Oxley a su modelo (Ley que pretende evitar fraudes y riesgos de bancarrota con el fin de proteger al inversionista).

COSO I: Buscó facilitar a las empresas la evaluación y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos. 

COSO II o COSO - ERM (Enterprise Risk Management): El cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

CONTROL INTERNO : Proceso realizado por el consejo de directores, administradores y otro personal de una entidad, diseñado para proporcionar seguridad razonable y generar valor al interior de la compañia observando el cumplimiento de los siguientes objetivos:

• Efectividad y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de las leyes y regulaciones aplicables.

COSO I

COMPONENTES:

Ambiente de Control. Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.

Valoración de Riesgos. Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos.

Actividades de Control. Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.

Información y Comunicación: Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades.

Monitoreo: Proceso que valora el desempeño de sistema en el tiempo

COSO II:

COMPONENTES:

Ambiente interno: base fundamental para los otros componentes del ERM, dandole disciplina y estructura.

Establecimientos de objetivos La empresa debe tener una meta clara que se alineen y sustenten con su visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe ser previsto por la empresa. 

Identificación de eventos La empresa debe identificar los eventos que afecten los objetivos de la entidad y diagnosticarlos como oportunidades o riesgos para los mismos.

Actividades de control Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. Tipo de actividades de control: Preventiva, detectivas, manuales, computarizadas o controles gerenciales

Respuesta al riesgo Las respuestas al riesgo pueden ser:

Evitarlo: se discontinúan las actividades que generan riesgo.

Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas

Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.

Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo. 

La gerencia debe evaluar cual es la mejor respuesta al riesgo para que este relacionado con los objetivos de la organizacion 

Información y comunicación La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todos los sentidos.

Monitoreo: Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.