Este marco toma gran importancia dentro del tópico de control interno, el cual es un proceso que se lleva a cabo por los miembros de la administración, la alta gerencia y todos los demás miembros de la organización.
Componentes:
Ambiente de control: Se refiere al entorno y la filosofía interna de la organización, es decir, el modo en que llegan a sus objetivos.
Valoración del riesgo: Es el proceso de identificación y análisis de riesgos que afecten la consecución de los objetivos de la empresa. Estos riesgos pueden ser internos o externos.
Actividades de control: Son actividades que pretenden mitigar o eliminar los riesgos que afectan los objetivos de la organización.
Información y comunicación: La información relevante debe identificada, capturada y comunicada a lo largo de toda la organización, de tal manera que la información sea entendida y unificada para los miembros de la empresa.
Monitoreo: Es necesario vigilar que el control interno está funcionando efectivamente y si se llegasen a encontrar falencias se podrán corregir oportunamente. El monitoreo debe ser una actividad constante mediante evaluaciones periódicas de los riesgos y de la eficacia de la supervisión.
Ley Sarbanes-Oxley:
Luego de los grandes escándalos financieros, se aprobó el acta de Sarbanes Oxley, dando lugar a la sección 404 que promueve el control interno y la administración de riesgos, por lo cual se amplió el alcance de COSO y se añadieron los componentes de Identificación de eventos, Respuesta al riesgo y Establecimiento de objetivos, que componen al COSO ERM. Además se añadió el objetivo estratégico y los diferentes niveles de la entidad, como se puede apreciar en la siguiente imagen.
