Le plus populaire des modèles de contrôle interne aujourd'hui, le modèle COSO est basée sur un modèle publié par le Committee of Sponsoring Organizations de la Treadway Commission en 1992. Ce rapport a défini les contrôles internes que, selon un article d'affaires sur eNotes.com, "un processus mis en œuvre par le conseil d'administration d'une entité d'administration, de gestion et autres membres du personnel, conçu pour fournir une assurance raisonnable quant à la réalisation des objectifs dans le ... efficacité et l'efficience des opérations, la fiabilité de l'information financière, et la conformité aux lois et règlements applicables."
Le modèle COSO définit cinq composants d'un système de contrôle interne: l'environnement de contrôle, évaluation des risques, les activités de contrôle, d'information et de communication, et surveillance.
Le modèle COSO est souvent décrite comme une pyramide, avec "l'environnement de contrôle" formant la base. "L'environnement de contrôle" est liée à l'environnement formé par tous les niveaux de salariés de la société, en particulier concernant la compétence, l'intégrité, le style de fonctionnement, etc. Les quatre composants restants sont plutôt interdépendants.
"L'évaluation des risques" désigne les méthodes par lesquelles les risques sont identifiés et surveillés et si les risques ont été identifiés avec précision. Relatif à "évaluation des risques," "les activités de contrôle" sont les politiques et procédures actuelles en place pour atténuer les risques.
"Information et des communications" peut être définie comme la façon dont les informations concernant l'intégrité des données est en fait capturé, la rapidité de cette capture, etc. similaire mais différent, "surveillance" se réfère plus à la qualité du contrôle interne et les méthodes qui contribuent à cette qualité.