20世纪初资本主义经济迅速发展，现代企业制度的主要形式——股份公司规模日益扩大，其特征是所有权与经营权分离。根据股份公司的特征，为防止和揭露错误和舞弊，保证会计信息的质量，保证资产的安全与完整，逐步形成了一些组织、调节、制约和监督企业经营管理活动的方法，进而形成了内部控制。从历史角度看，内部控制是一个不断变迁的动态结构。其中，以美国的内部控制的理论和实务发展最为先进和完整，具有代表性和权威性。因此，本节主要以美国内部控制为发展主线，将内部控制概念的演变大致分为四个阶段：萌芽时期（20世纪40年代前）、奠基时期（20世纪40年代末至70年代初）、发展时期（20世纪70年代至90年代初）、成熟时期（20世纪90年代至今）。

（一）内部控制的萌芽时期——内部牵制

20世纪40年代以前是内部控制的萌芽时期。当时人们习惯用“内部牵制”这一提法。美国著名审计学家蒙哥马利在1912年的著作《审计——理论与实践》中已明确地表述过内部牵制的思想。根据《柯氏会计辞典》的解释，内部牵制是指“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他人或部门的功能进行交叉检查或交叉控制”。该定义隐含的意思是内部牵制是一种制衡，两个和两个以上的个人或部门发生同样的错误的概率很小，串通舞弊的可能性也大大降低。由此可见，这一时期的内部牵制主要以查错防弊为主要目的。^[1]

内部牵制的思想在管理实践中产生并发展，成为现代内部控制理论中有关组织控制、职责分离控制的雏形，在现代内部控制理论中占据了相当重要的地位。内部控制在内部牵制阶段完成了实践塑造的过程。

（二）内部控制的奠基时期——内部控制制度

20世纪40年代末至70年代初，“内部控制”这一术语被正式提出，内部控制分为内部管理控制和内部会计控制。这是内部控制发展的第二阶段，奠定了内部控制的发展基础。

1936年，美国注册会计师协会（AICPA）的前身美国会计师协会（AIA）在其发布的《注册会计师对财务报表的审查》中，首次正式使用了“内部控制”这一专业术语，但它显然将内部控制混同于内部牵制了，即“注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控制……内部牵制和控制这一术语，是指为了保护公司的现金和其他财产、检查簿记事项的准确性而在公司内部采用的手段和方法”。

1949年，美国注册会计师协会发布了一篇题为《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的专题报告，该报告首次对内部控制做了权威性的定义：“内部控制包括组织结构的设计和企业内部采取的所有相互协调的方法和措施，旨在保护企业资产，审核会计数据的准确性和可靠性，提高经营效率，推动企业执行既定的管理政策。”此定义强调内部控制不只局限于会计和财务部门，首次将触角伸入管理领域，从而形成管理控制的雏形。

1953年10月，美国注册会计师协会发布的《审计公告第19号》（SAPNO.19），将内部控制首次划分为内部会计控制和管理控制。公告中指出：“广义地说，内部控制按其特点可以划分为内部控制和管理控制。”1958年该协会又发布了《审计程序公告第29号——独立审计人员评价内部控制的范围》的报告，进一步阐述了内部控制的“制度两分法”，正式界定了内部会计控制和内部管理控制的定义及其包含的内容。

1972年，美国注册会计师协会所属审计准则委员在《审计准则公告第1号》（SASNO.1）中，重新表述了“会计内部控制”和“管理内部控制”的定义，并进行了明确的分类，为企业进行内部控制提供了指导。

在这一时期，推动内部控制发展的主要是审计职业界，所以内部控制就不可避免地打上了审计的烙印。所谓的“两分法”也成为出于审计便利需要之物——注意力仅集中于会计控制的测试，对管理控制鲜有涉及。两分法未能完整地反映内部控制所涵盖的内容，也没有考虑控制环境对内部控制制度设计及其实施效果的影响。尽管如此，这些概念的界定和分类仍为内部控制发展奠定了一定的基础，起到了承上启下的作用。

（三）内部控制的发展时期——内部控制结构(www.daowen.com)

20世纪70年代至90年代初，内部控制概念演变为“内部控制结构”，这个阶段是内部控制概念演变的第三个阶段，即内部控制的发展时期。

继“水门事件”调查之后，1977年美国国会通过《反国外行贿法案》（FCPA）。该法案包括了一些会计和内部控制的条款。自该法案生效以来，内部控制开始在企业得到广泛重视，与此同时内部控制制度不足以指导企业的内部控制实务的局限性也随之暴露出来。

1988年4月，美国注册会计师协会发布了《审计准则公告第55号——财务报表审计对内部控制结构的考虑》（SASNO.55），第一次用“内部控制结构”概念代替“内部控制制度”，规定从1990年1月起以该公告取代1972年发布的《审计准则公告第1号》。

在这份公告中指出：“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并指出了内部控制结构包括控制环境、会计制度和控制程序。内部控制结构与内部控制制度相比有两点差异：首先，内部控制结构将内部控制环境纳入了内部控制的范畴；其次，它不再区分内部会计控制和内部管理控制，而是用控制环境、会计制度和控制程序三要素来代替。这一概念仍由审计职业界提出，强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，有助于企业完成既定目标。虽然审计职业界也考虑到了企业内部控制的实际需要，但审计色彩仍然过于浓厚，无法满足企业应对日益复杂的环境风险的需要。

（四）内部控制的成熟时期——整体框架

自20世纪90年代至今，内部控制研究开始着眼于企业整体及利益相关者，而非完全出于审计便利的需要，逐渐形成了内部控制和风险管理的整体框架，并且逐渐强调内部控制和风险管理框架在实务中的应用。在这一阶段，内部控制逐渐走向成熟和相对稳定。

1985年，由美国注册会计师协会、美国会计学会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）和全国会计师协会（IMA）共同资助成立美国反欺诈财务报告委员会（National Commission on Financial Reporting），即著名的Tread way委员会。该委员会在成立两年后提交的报告中强调控制环境、行为守则、内部稽核功能的重要性，并重新呼吁管理当局对内部控制有效性提出报告，还对公众公司的管理当局及董事会、会计师、证券交易委员会、主管机关、立法机构及学术界提出了建议。

Tread way委员会的赞助机构还成立了COSO委员会来制定内部控制指南。1992年，COSO委员会发布著名的COSO报告，即《内部控制——整体框架》。该报告将内部控制定义为：“由企业董事会、管理当局和其他员工实施的，为达成经营活动的绩效和效果、财务报告的可靠性、相关法律法规的遵循性等目标提供合理保证的过程。”此时的内部控制包括五个要素：控制环境、风险评估、控制活动、信息与沟通、监控。

2002年7月25日，美国国会通过《2002年萨班斯—奥克斯利法案》，对财务报告内部控制的有效性的评价和披露的报告进行了相关规定。

2004年9月29日，COSO委员会颁布了最新报告《企业风险管理——整体框架》，定义了企业风险管理，并引入了风险偏好、风险容忍度、风险组合观等概念。COSO委员会先后提出的《内部控制——整体框架》和《企业风险管理——整体框架》，反映了各利益相关方对内部控制的各种需求，较前期几个概念更为全面、综合和系统，表现为：首次正式提出了内部控制的目标，并在后一框架中把目标扩展到了战略层面；首次专门为企业制定了应用指南；首次糅合了管理和控制的界限，表现为管理和控制职能模糊；首次全面而明确地阐述了内部控制制定和实施的责任问题等。这两份报告使内部控制概念开始向纵深方向发展。