“三要素论”把内部控制系统分成三个组成部分。1988年美国注册会计师协会发布的《审计准则公告第55号》首次提出“内部控制结构”以取代传统的“内部控制”概念，将内部控制结构的要素确定为三个：控制环境(Contml Enviroment)、会计制度(Accounting System)、控制程序(Control Procedures)。1999年英国发布的特恩布尔(Tumbull)内部控制报告是针对上市公司的主管，重点强调了在评价内部控制时的目标设定、风险识别和风险评估。英国财务报告理事会(FRC)2005年公布的《内部控制：对董事会的关于联合规则的指南》认为，健全有效的内部控制系统应该包括如下要素：控制活动、信息与沟通过程、监督内部控制系统持续有效性的过程。我国《独立审计具体准则第9号——内部控制和审计风险》指出企业内部控制的内容：控制环境、会计系统和控制程序。

 

        “四要素论”把内部控制系统分成四个组成部分。加拿大CoCo 对内部控制理论的研究提出以下内部控制要素：·目标：有关组织管理的准则。·解释：有关身份和道德标准的准则。·能力：有关能力的准则。·监督和学习：有关组织发展的准则。CoCo 把控制看作是组织的要素(包括组织的资源、系统、流程、结构和任务)，这些要素组合到一起能够支持人们实现组织目标。

 

        “五要素论”把内部控制系统划分成五个组成部分。1992年，美国COSO发布的《内部控制—整合框架》认为内部控制包括五个相互关联的构成要素。它们来自管理层经营企业的方式，并贯穿于管理过程之中。这些构成要素包括：·控制环境(control environment)——所有业务活动的核心都是人员——他们的个人特性，包括诚信、道德价值观和胜任能力——以及他们开展经营所处的环境。他们是推动主体发展的引擎，也是所有事情赖以存在的基础。·风险评估(risk assessment)——企业必须了解和应对它所面临的风险。它必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。它还必须建立识别、分析和管理相关风险的机制。·控制活动（control activities）——必须确立和执行控制政策和程序，以帮助确保那些管理层确定的处置风险以实现主体目标的必要活动得以有效地实施。·信息与沟通(information and communication)——围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换那些执行、管理和控制其经营活动所需的信息。·监控(monitoring)——必须对整个过程进行监控，并在必要时作出修改。这样，该体系才能作出动态反应，随着情况的需要而变化。(Treadway委员会发起组织委员会（COSO）制定，方红星主译.2008.内部控制—整合框架.大连：东北财经大学出版社，25～26) l999年11月，美国审计署（GA0）发布的《联邦政府内部控制准则》采纳了COS0委员会的对内部控制的研究成果，将COS0报告关于内部控制5个要素的划分，变成了内部控制的5个具体准则。我国《证券公司内部控制指引》指出内部控制应充分考虑控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价等要素。《商业银行内部控制指引》指出内部控制应当包括以下要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。《审计机关内部控制测评准则》指出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。《内部审计具体准则第5号——内部控制审计》指出内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。2008年6月28财政部、证监会、审计署、银监会、保监会发布的《企业内部控制基本规范》:企业建立与实施有效的内部控制，应当包括下列要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

 

         “六要素论”把内部控制系统分成六个组成部分。2007年2月15日，日本企业会计审议会审议发布的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》认为 内部控制由控制环境、风险的评估与应对、控制活动、信息与沟通、监控(监督控制活动)以及信息技术的应对等六项基本要素构成。(日本企业会计审议会发布、李玉环.2007.日本内部控制评价与审计准则.大连：东北财经大学出版社，11)

 

        “八要素论”是把内部控制系统分成八个组成部分。2004年，美国COS0在其发布的《企业风险管理框架》(ERM)中将内部控制要素进一步扩展到了八个要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《上海证券交易所上市公司内部控制指引》指出公司建立和实施内控制度时，应考虑以下基本要素：目标设定、内部环境、风险评估、风险管理策略选择、控制活动、信息沟通、检查监督。《深圳证券交易所上市公司内部控制指引》指出公司的内部控制应充分考虑以下要素：内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、检查监督。

 

         从以上简要的叙述看，国外内部控制规范对内部控制要素构成是不完全相同的，是趋同和创新同在的，也是不断变化的，由“三要素”发展为“四要素”、“五要素”、“六要素”，正在向“八要素”发展。当然，趋同不是照抄照搬，是趋同和创新同在的。不论是“三要素”，还是“五要素”、“八要素”，国外内部控制规范中内部控制系统的构成要素也不完全相同，就是同一个要素的内容界定也不完全一样。