2013

COSO Internal Controls – Integrated Framework

Component: Control Environment 
Principle  Points of Focus
#1 ‐ The organization demonstrates a  • Sets the tone at the top
commitment to integrity and ethical values.   • Establishes standards of conduct 
• Evaluates adherence to standards of conduct 
• Addresses deviations in a timely manner 
#2 ‐ The board of directors demonstrates  • Establishes oversight responsibilities
independence from management and exercises  • Applies relevant expertise 
oversight of the development and performance  • Operates independently 
of internal control.  • Provides oversight on the system of internal control:  control environment, risk 
assessment, control activities, information and communication, and monitoring activities 
#3 ‐ Management establishes, with board  • Considers all structures of the entity
oversight, structures, reporting lines, and  • Establishes reporting lines 
appropriate authorities and responsibilities in  • Defines, assigns, and limits authorities and responsibilities: board of directors, senior 
the pursuit of objectives.  management, management, personnel, and outsourced service providers  
#4 ‐ The organization demonstrates a  • Establishes policies and procedures
commitment to attract, develop, and retain  • Evaluates competence and addresses shortcomings 
competent individuals in alignment with  • Attracts, develops, and retains individuals 
objectives.  • Plans and prepares for succession 
#5 ‐ The organization holds individuals  • Enforces accountability through structures, authorities, and responsibilities
accountable for their internal control  • Establishes performance measures, incentives, and rewards 
responsibilities in the pursuit of objectives.  • Evaluates performance measures, incentives, and rewards for ongoing relevance 
• Considers excessive pressures 
• Evaluates performance and rewards or disciplines individuals 
 

Component: Risk Assessment 
Principle  Points of Focus
#6 ‐ The organization specifies objectives with  Operations Objectives:
sufficient clarity to enable the identification  • Reflects management’s choices 
and assessment of risks relating to objectives.  • Considers tolerances for risk 
• Includes operations and financial performance goals 
• Forms a basis for committing of resources 
External Financial Reporting Objectives: 
• Complies with applicable accounting standards 
• Considers materiality 
• Reflects entity activities 
External Non‐Financial Reporting Objectives: 
• Complies with externally established standards and frameworks 
• Considers the required level of precision 
• Reflects entity activities 
Internal Reporting Objectives: 
• Reflects management’s choices 
• Considers the required level of precision 
• Reflects entity activities 
Compliance Objectives: 
• Reflects external laws and regulations 
• Considers tolerance for risk 
#7 ‐ The organization identifies risks to the  • Includes entity, subsidiary, division, operating unit, and functional levels 
achievement of its objectives across the entity  • Analyzes internal and external factors 
and analyzes risks as a basis for determining  • Involves appropriate levels of management 
how the risks should be managed.  • Estimates significance of risks identified 
• Determines how to respond to risks 
#8 ‐ The organization considers the potential  • Considers various types of fraud
for fraud in assessing risks to the achievement  • Assesses incentive and pressures 
of objectives.  • Assesses opportunities 
• Assesses attitudes and rationalizations 
#9 ‐ The organization identifies and assesses  • Assesses changes in the external environment
changes that could significantly impact the  • Assesses changes in the business model 
system of internal control.  • Assesses changes in leadership 
   

1 
 

2013 COSO Internal Controls – Integrated Framework
Component: Control Activities 
Principle  Points of Focus
#10 ‐ The organization selects and develops  • Integrates with risk assessment
control activities that contribute to the  • Considers entity‐specific factors 
mitigation of risks to the achievement of  • Determines relevant business processes 
objectives to acceptable levels.  • Evaluates a mix of control activity types 
• Considers at what level activities are applied 
• Addresses segregation of duties 
#11 ‐ The organization selects and develops  • Determines dependency between the use of technology in business processes and 
general control activities over technology to  technology general controls 
support the achievement of objectives.  • Establishes relevant technology infrastructure control activities 
• Establishes relevant security management process control activities 
• Establishes relevant technology acquisition, development, and maintenance process 
control activities 
#12 ‐ The organization deploys control  • Establishes policies and procedures to support deployment of management’s directives
activities through policies that establish what is  • Establishes responsibility and accountability for executing policies and procedures 
expected and procedures that put policies into  • Performs in a timely manner 
action.  • Takes corrective action 
• Performs using competent personnel 
• Reassesses policies and procedures 
 

Component: Information and Communication 
Principle  Points of Focus
#13 ‐ The organization obtains or generates and  • Identifies information requirements
uses relevant, quality information to support  • Captures internal and external sources of data 
the functioning of internal control.  • Processes relevant data into information 
• Maintains quality throughout processing 
• Considers costs and benefits 
#14 ‐ The organization internally communicates  • Communicates internal control information
information, including objectives and  • Communicates with the Board of Directors 
responsibilities for internal control, necessary  • Provides separate communication lines 
to support the functioning of internal control.  • Selects relevant method of communication 
 
#15 ‐ The organization communicates with  • Communicates to external parties
external parties regarding matters affecting the  • Enables inbound communications 
functioning of internal control.  • Communicates with Board of Directors 
• Provides separate communication lines 
• Selects relevant method of communication 
 
 

Component: Monitoring Activities 
Principle  Points of Focus
#16 ‐ The organization selects, develops, and  • Considers a mix of ongoing and separate evaluations
performs ongoing and/or separate evaluations  • Considers rate of change 
to ascertain whether the components of  • Establishes baseline understanding 
internal control are present and functioning.  • Uses knowledgeable personnel 
• Integrates with business processes 
• Adjusts scope and frequency 
• Objectively evaluates 
#17 ‐ The organization evaluates and  • Assesses results
communicates internal control deficiencies in a  • Communicates deficiencies 
timely manner to those parties responsible for  • Monitors corrective actions 
taking corrective action, including senior   
management and the Board of Directors, as 
appropriate. 
 

2