美国执业会计师协会审计标准委员会在1988年颁布的《审计标准文告》第55号中，从财务报表审计考虑，认为内部控制结构由控制环境、会计制度和控制程序组成。根据美国COSO组织的研究成果《内部控制——整体架构》，内部控制包括五个相互有关联的组成要素，它们源自管理层经营企业的方式，且与管理的过程相结合。

1.控制环境

控制环境是内部控制组成要素的基础，是所有控制方式与方法赖以存在与运行的环境。它对塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。影响控制环境的因素有四个方面：企业人员的操守、价值观及能力；管理阶层的管理哲学与经营风格；管理阶层的授权方式及组织人事管理制度；最高管理当局及董事会对单位管理关注的焦点及指引的方向，如他们对内部控制是否持肯定和支持态度等。

2.风险评估

每个单位均应评估来自内部和外部的不同风险。风险评估是指辨认并分析影响目标达成的各种不确定因素。风险评估是决定风险应如何管理的基础。由于经济、业务、主管机关和营运环境不断变化，风险也因变化而来，因此，辨认并处理这些风险自然就有必要。

3.控制活动

控制活动是指确保管理阶层指令实现的各种政策和程序。它是指针对影响单位目标实现的各种风险而采取的各种措施和手段。单位各阶层和各种职能均渗透有不同的控制活动，如核准、授权、调节、审核营业绩效、保障资产安全以及职务分工等。由于单位性质、规模、组织方式等不同，其控制活动也有所不同。

4.资讯与沟通

每个单位必须按照一定的方式和时间规定辨识和取得适当的信息并加以沟通，以便于员工更好地履行其职责。单位资讯系统能产生各种报告，包括与营运、财务及遵循法令有关的资料和信息，这些资讯反映了单位业务运行状况，便于管理者采取控制措施。资讯系统不仅处理单位内部所产生的资讯，同时也处理与外部事项、活动及环境等有关的资讯，这些资讯同样是单位制定决策及对外报告所必不可少的。有效沟通的含义包括组织内部上下沟通及横向沟通，也包括与外界沟通。单位所有员工必须自最高管理阶层开始清楚获取须谨慎承担控制责任的各种信息；必须了解自己在内部控制制度中所扮演的角色以及个体的活动对他人工作的影响，单位必须有向上沟通重要资讯的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。(www.daowen.com)

5.监督

监督是一种随着时间的推移而评估内部控制制度执行质量的过程。监督的方式有持续监督、个别评估及综合监督等。持续监督是指在营运过程中的监督，包括例行管理和监督活动以及职工为履行职务所采取的行为。个别评估的范围及频率应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行，称为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报，严重者，则须向最高管理层及董事会呈报。

根据我国《企业内部控制基本规范》的规定，内部控制分为内部环境、风险评估、控制活动、信息与沟通和内部监督等五个要素。

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

风险评估是企业内部控制的重要环节，主要是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险并合理制定风险应对策略。

控制活动是企业内部控制的重要手段，是指企业根据风险评估结果，采用相应的控制措施，将风险控制在承受度之内。

信息与沟通是企业内部控制的重要条件，是指企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

内部监督是企业内部控制的重要保证，是指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。