Committee of Sponsoring Organizations of the Treadway Commission

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern.

COSO wurde 1985 als Plattform für die National Commission on Fraudulent Financial Reporting (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US-Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt: Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Management Accountants (IMA) und American Accounting Association (AAA).

COSO hat 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen, das COSO-Modell,^[1] publiziert. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems (IKS), es gliedert sich in die drei Zielkategorien:

• operationelle Risiken
• Finanzberichterstattung
• Compliance

Besondere Bekanntheit hat das COSO IKS-Modell durch die US-amerikanischen Vorschriften gefunden, nach denen börsennotierte Unternehmen ihr rechnungslegungsbezogenes IKS jährlich überprüfen und hierüber berichten müssen sowie ab einer bestimmten Größenordnung das System durch den Abschlussprüfer prüfen lassen müssen (Sarbanes-Oxley Act).

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

• Kontrollumfeld
• Risikobeurteilung
• Kontrollaktivitäten
• Information und Kommunikation
• Überwachung

Im Jahr 2004 veröffentlichte COSO eine Weiterentwicklung seines ursprünglichen Modells, das COSO ERM – Enterprise Risk Management Framework. Damit sollte es Unternehmen ermöglicht werden, ihr eigenes Risikomanagementsystem zu entwickeln oder zu verbessern.^[2]

Der COSO-Würfel veranschaulicht die drei Dimensionen des Modells.

• Komponenten des unternehmensweiten Risikomanagements
  • Internes Unternehmensumfeld (Internal Environment)
  • Zielsetzungsprozess (Objective Setting)
  • Ereignisidentifikation (Event Identification)
  • Risikobeurteilung (Risk Assessment)
  • Risikoreaktion (Risk Response)
  • Kontroll- und Steuerungsaktivitäten (Control Activities)
  • Information und Kommunikation (Information and Communication)
  • Überwachung (Monitoring)

• Zielkategorien
  • Strategische Ziele (Strategic)
  • Operative Ziele (Operations)
  • Berichterstattungsziele (Reporting)
  • Compliance-Ziele (Compliance)

• Organisationseinheiten
  • Gesamtunternehmen (Entity-Level)
  • Division (Division)
  • Geschäftseinheit (Business Unit)
  • Tochtergesellschaft, Zweigstelle (Subsidiary)

Im Jahr 2017 wurde eine modernisierte und erweiterte Version des COSO ERM-Rahmenwerks publiziert.^[3]

Der im Juli 2006 erschienene Leitfaden ergänzt das COSO-Rahmenmodell zur Internen Kontrolle von 1994, um dessen Anwendung insbesondere für kleinere und mittlere Unternehmen zu erleichtern.^[4]

Der Leitfaden beschreibt 20 grundlegende Prinzipien und einen Prozess, der sich aus den Komponenten des COSO-Kontrollmodells zusammensetzt.

• Kontrollumfeld
  • Integrität und ethische Werte
  • Unternehmensleitung
  • Managementphilosophie und -stil
  • Organisationsstruktur
  • Befähigung zur Finanzberichterstattung
  • Entscheidungskompetenz und Verantwortlichkeit
  • Personalausstattung
• Risikobeurteilung
  • Ziele der Finanzberichterstattung
  • Risiken der Finanzberichterstattung
  • Risiko doloser Handlungen
• Kontrollaktivitäten
  • Integration mit dem Risikomanagement
  • Auswahl und Umsetzung von Kontrollaktivitäten
  • Vorschriften und Verfahren
  • Informationstechnologie
• Information und Kommunikation
  • Information für die Finanzberichterstattung
  • Information über Interne Kontrollen
  • Interne Kommunikation
  • Externe Kommunikation
• Überwachung
  • Laufende und gezielte Beurteilungen
  • Schwächen der Berichterstattung

CoCo wurde 1995 von der CICA als mehr managementorientiertes, allgemeines Kontrollmodell veröffentlicht.

COBIT ist ein ebenfalls erstmals 1995 veröffentlichtes Kontrollmodell für IT-Management, in das die Grundgedanken der COSO-Kontrollkonzepte eingeflossen sind.

• Corporate Governance
• Richtlinie 2006/43/EG (Abschlussprüfungsrichtlinie)
• ICoFR – Interne Kontrolle über die Finanzberichterstattung
• Kontrollmodell

• Christian Brünger: Erfolgreiches Risikomanagement mit COSO ERM. Empfehlungen für die Gestaltung und Umsetzung in der Praxis. Berlin 2009, ISBN 978-3-503-11439-9. 
• Julia C. Helbeck: Internal Control System in der Praxis. Ein Umsetzungsleitfaden zur Steuerung operationeller Risiken in Geschäftsprozessen. Saarbrücken 2008, ISBN 978-3-8364-6881-7 (Ein Praxisbeispiel zur Umsetzung des COSO-Modells). 

• The Committee of Sponsoring Organizations of the Treadway Commission – COSO
• Canadian Institute of Chartered Accountants – CICA
• COBIT – ISACA

1. ↑ Committee of Sponsoring Organizations of the Treadway Commission (COSO) (Hrsg.): Internal Control – Integrated Framework. AICPA, Jersey NY 1992.
2. ↑ Christian Brünger: Erfolgreiches Risikomanagement mit COSO ERM. Erich Schmidt Verlag Berlin, 2009. ISBN 978-3-503-11439-9.
3. ↑ COSO: Enterprise Risk Management Integrating with Strategy and Performance. Archiviert vom Original (nicht mehr online verfügbar) am 29. August 2018; abgerufen am 5. September 2018 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.coso.org 
4. ↑ COSO: Interne Überwachung der Finanzberichterstattung – Leitfaden für kleinere Aktiengesellschaften. Band I: Zusammenfassung. (Memento vom 4. März 2016 im Internet Archive) PDF-Datei (376 kB). Juni 2006.