4.内部控制整体框架阶段
上世纪末期，对于内部控制的研究又上了一个新的台阶。1992年，由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会发布报告内部控制——整体框架”，即“报告”，该报告具有广泛的适用性。
1996年美国注册会计师协会发布《审计准则公告第78号》,全面接受COSO报告的内容，并从1997年1月起取代1988年发布的《审计准则公告第55号》。新准则提出内部控制环境、信息与沟通、控制活动、风险评估、监控五大密切联系的基本要素构成。

5.企业风险管理整体框架阶段
为了解决2001年底安然事件等财务丑闻所暴露出来的问题，并且因此而产生的公众信任危机，稳定公众对会计师行业的信心，2002年7月30日出台了《萨班斯——奥克斯法案》。对财务报告中内部控制有效性的要求在《SOX法案》第一次明确提出。第404条款——管理层内部控制的评价，规定上市公司的每份年度报告必须包括一份“内部控制报告”，内容包括：“管理当局有责任声明与财务报表相关的内部控制制度以及内部控制的有效性进行评估报告。04年，发布了《企业风险管理整合框架》是在1992年COSO报告的基础上，结合《萨班斯奥克斯法案》在财务报告方面的要求，进行了扩展研究。与1992年COS0报告提出的内部控制整体架构相比，新架构增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。这些要素与管理过程整合在一起，可以通过一个三文矩阵以立方体的形式表示出来。
四种类型的目标：战略、经营、报告和合规，用垂直方向的栏表示，八个构成要素用水平方向的行表示，而一个主体内的各个单元则用第三个文度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。 民营中小制造企业内部控制研究(4):http://www.751com.cn/kuaiji/lunwen_40911.html