Sistem internih kontrola subjekta se posmatra kroz pet komponenti, a to su:
1) kontrolno okruženje (Vidjeti: Kontrolno okruženje),
2) upravljanje rizicima (Vidjeti: Upravljanje rizicima kao dio SIK),
3) kontrolne aktivnosti (Vidjeti: Kontrolne aktivnosti),
4) informacije i komunikacija i
5) praćenje i procjena sistema.
Ovih pet komponenti interne kontrole podijeljeno je u dvije vrste (direktne i indirektne kontrole) koje su usklađene s prirodom kontrola unutar svake komponente i mogu uticati na revizorovu identifikaciju i procjenu rizika značajnog pogrešnog prikazivanja, kao i na odgovor na procijenjene rizike. U okviru komponenti: kontrolno okruženje, proces procjene rizika i subjektov proces za praćenje sistema interne kontrole, kontrole su prvenstveno indirektne (iako mogu postojati neke od direktnih kontrola). U komponentama kontrolne aktivnosti i informacija i komunikacija, kontrole su prvenstveno direktne.