COSO är en förkortning för Committee of Sponsoring Organizations of the Treadway Commission.

COSO är ett ramverk för att utvärdera ett företags interna kontroll över den finansiella rapporteringen.

COSO utvecklades under första hälften av 1990-talet men fick 2002 förnyad aktualitet då den amerikanska lagstiftningen Sarbanes Oxley Act (SOX) blev ett krav för företag som är noterade på en amerikansk börs att följa.

Man brukar ofta ställa upp det som en kub där de fem huvudkomponenterna är:

  • Control Activities
  • Control Environment
  • Monitoring
  • Information & Communication
  • Risk Assessment

COSO-kuben finns även i en utvecklad version för Enterprise Risk Assessment (ERM), det vill säga för att utvärdera den risk ett företag är exponerat mot.

Relaterat till detta är COBIT vilket är ett ramverk för att etablera och utvärdera interna kontroller för IT-styrning, ofta använts ur ett revisionsperspektiv.