Kiểm soát nội bộ là một khái niệm gắn liền với các doanh nghiệp. Một trong những cơ chế kiểm soát nội bộ được phổ biến và ứng dụng nhiều nhất là Cơ Chế Kiểm Soát Nội Bộ của COSO. Theo COSO, hệ thống kiểm soát nội bộ được xem là một chu trình thuộc quyền hạn của Hội đồng quản trị và Ban Giám đốc doanh nghiệp, được thiết kế nhằm có được đảm bảo hợp lý việc đạt được các mục tiêu sau: Hiệu quả và hiệu suất của các hoạt động; Độ tin cậy của báo cáo tài chính; và Việc tuân thủ pháp luật và tuân thủ các quy định.
Theo Báo cáo của COSO năm 2004 thì quản trị rủi ro doanh nghiệp là một quá trình do hội đồng quản trị, các cấp quản lý và các nhân viên của đơn vị chi phối, được áp dụng trong việc thiết lập các chiến lược liên quan đến toàn đơn vị và áp dụng cho tất cả các cấp độ trong đơn vị, được thiết kế để nhận dạng các sự kiện tiềm tàng có thể ảnh hưởng đến đơn vị và quản trị rủi ro trong phạm vi chấp nhận được của rủi ro nhằm cung cấp một sự đảm bảo hợp lý về việc đạt được các mục tiêu của đơn vị. Các mục tiêu của đơn vị bao gồm: Mục tiêu chiến lược (liên quan đến các mục tiêu tổng thể và phục vụ cho sứ mạng của đơn vị); Mục tiêu hoạt động (liên quan đến việc sử dụng các nguồn lực một cách hữu hiệu và hiệu quả); Mục tiêu báo cáo (liên quan đến sự trung thực và đáng tin cậy của các bao cáo liên quan đến đơn vị); Mục tiêu tuân thủ (đảm bảo hợp lý việc chấp hành luật pháp và các quy định).
Có thể thấy các mục tiêu này hàm chứa một cách trực tiếp các rủi ro đã được đề cập ở phần trên liên quan đến rủi ro hoạt động, rủi ro báo cáo tài chính và rủi ro tuân thủ. Một cách gián tiếp, việc đạt được hoặc không đạt được các mục tiêu này sẽ có ảnh hưởng gián tiếp từ rủi ro chiến lược của doanh nghiệp. Chính vì vậy, theo Cơ Chế Kiểm Soát Nội Bộ của COSO, đánh giá rủi ro được coi là một cấu phần quan trọng trong tổng thể cơ chế kiểm soát nội bộ của một doanh nghiệp. Cơ chế này đòi hỏi một doanh nghiệp phải xây dựng được một chu trình đánh giá các rủi ro tiềm tàng có thể có ảnh hưởng tới việc đạt được các mục tiêu của kiểm soát nội bộ. Chu trình đánh giá rủi ro này cần mang tính chất dự báo, thường được thực hiện cùng việc lên kế hoạch năm và được cập nhật thường xuyên khi có biến động lớn. Việc đánh giá rủi ro, cùng với các cấu phần khác trong kiểm soát nội bộ kể cả các thủ tục kiểm soát, cần được thực hiện tại tất cả các cấp liên quan đến tất các các hoạt động trọng yếu của một doanh nghiệp.
