Control framework adalah struktur data yang mengorganisir dan mengkategorikan internal control dalam sebuah organisasi. Internal control sendiri adalah praktik dan prosedur yang dirancang untuk menciptakan nilai bisnis sekaligus meminimalkan risiko.
Salah satu framework internal control yang paling umum digunakan adalah COSO (Committee of Sponsoring Organizations of the Treadway Commission). Framework ini dirancang sebagai model yang bisa digunakan perusahaan untuk menciptakan lingkungan keuangan yang efisien dan terkontrol dengan baik.
Komponen utama COSO:
- Lingkungan internal kontrol
- Penetapan tujuan
- Identifikasi kejadian
- Penilaian risiko
- Respons terhadap risiko
- Aktivitas kontrol
- Informasi dan komunikasi
- Monitoring
Menurut COSO, komponen-komponen di atas merupakan kerangka kerja yang dapat digunakan untuk menggambarkan dan menganalisis sistem internal control organisasi agar sesuai dengan regulasi compliance keuangan. COSO sendiri pertama kali dibentuk pada tahun 1985 untuk mendukung National Commission on Fraudulent Financial Reporting.
IT control adalah bagian dari internal control yang berfokus pada teknologi informasi (IT). Beberapa framework IT control yang umum digunakan meliputi COBIT (Control Objectives for Information and Related Technology), ISO/IEC 17799: Code of Practice for Information Security Management, serta ITIL (Information Technology Infrastructure Library).
Lihat juga: PCI-DSS, enterprise risk management (ERM), compliance, governance, risk and compliance (GRC), GRC software.