محتوای چارچوب COSO برای کنترل های داخلی در قالب یک ساختار سلسله مراتبی سازماندهی شده است. در این ساختار مجموعه ای از مولفه ها، اصول و نقاط تمرکز تعریف شده است. به عبارت دیگر 5 مولفه اصلی در مدل تعریف شده که به ازای هر مولفه چندین اصل و به ازای هر اصل چند نقطه تمرکز تعیین گردیده است. چنین ساختاری باعث می شود تا امکان تمرکز بر هریک از ابعاد نظام کنترل های داخلی در سازمان میسر باشد. به عنوان مثال در صورتی که سازمان در حوزه مدیریت ریسک با مشکل جدی روبرو است می تواند بر اصول و نقاط تمرکز مولفه ارزیابی ریسک متمرکز شده واز راهنمایی های COSO برای بهبود این حوزه بهره مند شود. در ادامه اصول مرتبط با هریک از مولفه های اصلی چارچوب COSO برای استقرار نظام کنترل های داخلی ارائه شده است.
اصول محیط کنترلی
• ابراز تعهد به یکپارچگی و اصول اخلاقی: مدیریت، هیات مدیره یا نهاد نظارتی هم ارز آنها، استانداردها و ساز و کارهایی را در سازمان ایجاد نموده اند تا اقدامات درست در سازمان قابل شناسایی و اجرا بوده و فرآیندها و منابع مورد نیاز برای شناسایی و رسیدگی به انحراف های احتمالی را تعریف و اجرایی نموده اند.
• تمرین فعالیت های نظارتی: هیات مدیره، استقلال خود را از مدیریت ابراز می دارند و فعالیت های نظارتی را براساس حسابرسی داخلی عملیاتی سازی می کنند.
• ایجاد ساختار، اختیارات و مسئولیت پذیری: هیات مدیره، استقلال خود را از مدیریت ابراز می دارند و فعالیت های نظارتی را براساس حسابرسی داخلی عملیاتی سازی می کنند.
• ابراز تعهد به شایستگی: سازمان تعهد خود را به جذب، توسعه و نگهداشت افراد شایسته در راستای اهداف ابراز می کند.
• الزام به پاسخگویی: سازمان افراد را در خصوص مسئولیت های کنترل داخلی در راستای تحقق اهداف پاسخگو می داند.
اصول ارزیابی ریسک
• اهداف مناسب و مشخص: سازمان اهدافش را با شفافیت مناسب مشخص می نماید تا براساس این اهداف بتوان ریسک ها را شناسایی و ارزیابی کرد.
• شناسایی و ارزیابی ریسک ها: سازمان ریسک هایی که در مسیر تحقق اهداف وجود دارند را شناسایی نموده و آنها را برای تعیین روش های مواجهه مناسب ارزیابی می کند.
• ارزیابی ریسک تقلب: سازمان در ارزیابی ریسک های احتمالی در مسیر تحقق اهداف، فرصت بروز تقلب را نیز مورد توجه قرار می دهد.
• شناسایی و ارزیابی تغییرات کلیدی: سازمان تغییراتی که می توانند به صورت اساسی بر نظام کنترل های داخلی تاثیرگذار باشند را شناسایی و ارزیابی می کند.
اصول فعالیت های کنترلی
• انتخاب و اجرای فعالیت های کنترلی: سازمان در راستای تحقق اهداف، مجموعه ای از فعالیت های کنترلی را انتخاب و اجرا می نماید تا ریسک ها را تا سطوح قابل قبولی کاهش دهد.
• انتخاب و اجرای کنترل های عمومی حاکم بر فناوری: سازمان باید کنترل های عمومی حاکم بر فناوری را برای تضمین تحقق اهداف انتخاب و اجرا نماید.
• استقرار کنترل ها از طریق سیاست ها و رویه ها: سازمان فعالیت های کنترلی را از طریق سیاست هایی که انتظارات را مشخص نموده و رویه هایی که سیاست ها را اجرایی می کنند، پیاده سازی می نماید.
اصول اطلاعات و ارتباطات
• استفاده از اطلاعات مرتبط: سازمان منابع اطلاعاتی با کیفیت را تولید یا اکتساب نموده تا کارکردهای مورد نیاز کنترل های داخلی را پشتیبانی نماید.
• برقراری ارتباط در محیط داخلی سازمان: سازمان اطلاعات اهداف و مسئولیت های کنترل های داخلی و سایر اطلاعات مورد نیاز اجرای کنترل های داخلی را به صورت درونی انتشار می دهد.
• برقراری ارتباط با محیط خارجی سازمان: سازمان با نهادهای بیرونی در خصوص موضوعات تاثیرگذار بر کنترل های داخلی تبادل اطلاعات می کند.
اصول فعالیت های نظارتی
• ارزیابی مستمر و مستقل: سازمان مجموعه ای از ارزیابی های مستمر و مستقل را به کار گرفته تا اطمینان حاصل نماید کنترل های داخلی وجود داشته و اجرا می شوند.
• ارزیابی و اطلاع رسانی ضعف ها: سازمان ضعف های کنترل های داخلی را در زمان مناسب به ذینفعان آنها گزارش نموده تا اقدامات اصلاحی مناسب اتخاذ شوند.