进入20世纪90年代后，对企业内部控制的研究进入一个新的阶段。COSO发布了《内部控制——整合框架》，提出了企业内部控制由五个相互联系的要素组成并构成了一个系统，这五个组成要素是：控制环境、风险评估、控制活动、信息与沟通、监控。因此这一阶段也被称为内部控制五要素阶段。

以下是内部控制五要素所包含的具体内容。

（一）控制环境

控制环境构成一个组织的氛围，是其他企业内部控制要素的基础，主要指企业主体内部的文化、价值观、组织结构、管理理念和经营风格等。这些因素将对企业内部控制的运行和效果产生广泛而深远的影响。具体来说，包括员工的诚信和道德价值观、胜任能力，管理层的理念和经营风格，董事会及审计委员会，组织机构，权责划分，人力资源政策与实务等。

（二）风险评估

风险评估是指识别和分析与实现目标相关的风险，并采取相应的措施加以控制。这一过程包括风险识别和风险分析两个部分。通常，企业的风险主要来自外部环境和内部条件的变化。其中，风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行梳理和辨识。风险分析则涉及估计风险的重大程度、风险发生的可能性、如何控制风险等。

（三）控制活动

控制活动是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。一般来说，与企业内部控制相关的控制活动包括职责分离、授权审批、实物控制、信息处理控制、业绩评价等。其中，职责分离是指为了防止单个员工舞弊或隐藏不正当行为而进行的职责划分。一般来说，应该分离的不相容职责有业务授权与业务执行、业务执行与业务记录、业务记录与业务复核等。授权审批指企业各项决策和业务必须由具备适当权限的人员办理，这一权限通过公司章程约定或其他适当方式授予，相应事项必须经过有权限的人审批通过才能继续或完成其流程。实物控制指对企业的具体实物所进行的控制行为，如针对现金、存货、固定资产、有价证券等所进行的控制。信息处理控制可分为两类：一般控制和应用控制。一般控制通常与信息系统的设计和管理有关；应用控制则与个别数据在信息系统中处理的方式有关。业绩评价是指将实际业绩与业绩标准进行比较，以便确定业绩的完成程度和质量。

（四）信息与沟通

信息与沟通是指为了使管理层和员工能执行其职责，企业各个部门及员工之间必须沟通与交流相关的信息。这些信息既有外部的信息，也有内部的信息。通常而言，信息与沟通包括确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当披露。沟通的目的主要是让员工了解其职责，了解其在工作中如何与他人相联系，如何向上级报告例外情况。沟通的方式一般有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。

（五）监控

监控是指评价企业内部控制的设计与执行情况，包括日常的监控活动和专项评价等。监控活动通常是由内部审计、财务会计、人力资源等部门执行。通过定期或不定期地对企业内部控制的设计与执行情况进行检查和评估，与有关人员就企业内部控制的有效与否进行交流，并提出改进意见，以保证企业内部控制随着环境的变化而不断改进。

COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，因此在业内备受推崇，已经成为世界通行的内部控制权威标准，被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。1995 年 12 月，美国注册会计师协会审计准则委员会（ASB）发布SAS78《财务报表审计中对内部控制的考虑：对SAS55 的修正》，全面采纳COSO的内部控制框架。2002 年美国国会通过的《萨班斯-奥克斯利法案》第 404 条款（SOX 404）及相关规则采用的也是这个框架，具体如下：管理层必须每年对与该公司财务报告相关内部控制的有效性出具书面意见，书面意见必须根据相关的控制测试结果得出；审计师必须对被审计单位财务报告相关内部控制的有效性出具审计意见。