Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation, die helfen soll, Finanzberichterstattung durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. COSO wurde 1985 als Plattform für die "National Commission on Fraudulent Financial Reporting" (Treadway Commission) gegründet.

COSO hat 1992 einen von der SEC anerkannten Standard für interne Kontrollen veröffentlicht. Dieses COSO-Modell bzw. Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

• Kontrollumfeld
• Risikobeurteilung
• Kontrollaktivitäten
• Information und Kommunikation
• Überwachung

"Internal control is broadly defined as a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievements of objectives in the following categories:

• Effectiviness and efficiency of operations
• Reliability of financial reporting
• Compliance with applicable laws and regulations."

"Internal Control" besteht aus folgenden fünf Komponenten:

• Control Environment: Die Control-Umgebung bestimmt das Kontrollebewusstsein in einem Unternehmen. Es ist die Basis für die anderen Komponenten des Internal Control. Die Komponente der Control-Umgebung werden noch in Detail besprochen.
• Risiko-Assessment: Einem Unternehmen ist eine Fülle von Risiken interner und externer Natur ausgesetzt. Die Ziele eines Unternehmens sind die Basis für das Risiko-Assessment. In diesem Risiko-Assessment wird geprüft, in wiefern Änderungen ein Risiko für die Erreichung der Unternehmensziele bilden.
• Control-Aktivitäten: Geschäftsanweisungen und Prozesse die dazu beitragen, dass die Management-Anweisungen umgesetzt werden. Beispielhaft können hier die funktionale Trennung, Abstimmungen, Leistungsrechnung, Befugnisse und Freigabe im Rahmen des Vieraugenprinzip genannt werden.
• Information und Communication: Information soll so identifiziert, erfasst und kommuniziert werden, dass Mitarbeiterinnen und Mitarbeiter in der Lage sind, ihre Verantwortung gerecht zu werden.
• Überwachung: Auch Internal Control Systems müssen überwacht werden. Die Effektivität dieses Systems soll sowohl kontinuierlich als auch im Rahmen von separaten Prüfungen festgestellt werden. Unzulänglichkeiten im Internal Control System sind dem Management zu berichten, ernsthafte Unzulänglichkeiten sollen dem Vorstand berichtet werden.

Im Jahr 2004 hat COSO eine Ergänzung zu seinem ursprünglichen Modell, das COSO ERM Framework (Enterprise Risk Management Framework) veröffentlicht – auch COSO II genannt. Das COSO ERM fügt zusätzliche Elemente ein:

• Internes Kontrollumfeld
• Zielsetzung
• Ereignisidentifikation
• Risikobeurteilung
• Risikoreaktion
• Kontrollaktivitäten
• Information und Kommunikation
• Überwachung

Im Zusammenhang mit COSO wird CobiT als Kontrollmodell für IT-Prozesse und Management eingesetzt.

Weitere Informationen finden Sie unter www.coso.org