内部控制概念的演变大致可分为四个阶段：上世纪40年代前；40年代末至70年代；80年代至90年代；90年代以后。 

　　上世纪40年代前 
　　
　　在上世纪40年代前，人们习惯用内部牵制这一概念。根据《柯氏会计辞典》的解释，内部牵制是指：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。” 

　　一般来说，内部牵制机能的执行大致可分为以下四类：1实物牵制。例如把保险柜的钥匙交给二个以上的工作人员持有。非同时使用这二把以上的钥匙，保险柜就打不开。2机械牵制。例如保险柜的大门若非按正确程序操作就打不开。3体制牵制。采用双重控制预防错误和舞弊的发生。4簿记牵制。定期将明细账与总账进行核对。 

　　内部牵制是基于以下两个基本设想：1、二个或以上的人或部门无意识地犯同样错误的机会是很小的；2、二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制确实有效地减少了错误和舞弊行为，因此在现代内部控制理论中，内部牵制仍占有重要的地位，成为有关组织机构控制、职务分离控制的基础。 

　　40年代末至70年代 
　　
　　1949年，美国会计师协会的审计程序委员会在《内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 

　　此范围广泛的定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念的重大贡献，因为在此之前内部控制概念从未受到如此的重视。 

　　1958年10月该委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述，将内部控制划分为会计控制和管理控制。内部会计控制包括组织规划的所有方法和程序，这些方法和程序与财产安全和财物记录可靠性有直接的联系。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。 

　　内部管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效率和贯彻管理方针有关，通常只与财务记录有间接关系。这些控制一般包括统计分析、时动研究即工作节奏研究、业绩报告、员工培训计划和质量控制。 

　　80年代至90年代 
　　
　　80年代以后，西方会计审计界研究的重点逐步从一般涵义向具体内容深化。1988年美国注册会计师协会发布《审计准则公告第55号》(SAS 55)，从1990年1月起取代1972年发布的《审计准则公告第1号》。该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。 

　　内部控制结构具体包括三个要素，它们是：控制环境、会计制度、控制程序。 
　　
　　(1)控制环境，反映董事会、管理者、业主和其他人员对控制的态度和行为。具体包括：管理哲学和经营作风、组织机构、董事会及审计委员会的职能、人事政策和程序、确定职权和责任的方法、管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计等。 

　　(2)会计系统，规定各项经济业务的确认、归集、分类、分析、登记和编报方法。一个有效的会计制度包括以下内容：鉴定和登记一切合法的经济业务；对各项经济业务适当进行分类，作为编制报表的依据；计量经济业务的价值以使其货币价值能在财务报表中记录；确定经济业务发生的时间，以确保它记录在适当的会计期间；在财务报表中恰当地表述经济业务及有关的揭示内容。 

　　(3)控制程序，指管理当局制定的政策和程序，以保证达到一定的目的。它包括：经济业务和活动的批准权；明确各员工的职责分工；充分的凭证、账单设置和记录；资产和记录的接触控制；业务的独立审核等。 

　　上述内部控制结构的内容正式将控制环境纳入内部控制范畴。刚开始人们只是将控制环境作为内部控制的外部因素来看待，但渐渐地人们认识到控制环境是内部控制的一个组成部分，它是由企业全体职工，主要是企业的管理者所造就的，是充分有效的内部控制体系得以建立和运行的基础及保证，因而是在企业的控制范围内的。二是不再区分会计控制与管理控制，而统一以要素表述内部控制，这是因为西方学术界在对会计控制与管理控制进行研究时，逐步发现这两者往往是不可分割的，是相互关系的。 

　　90年代之后 
　　
　　进入90年代后，对于内部控制的研究进入了一个新阶段。1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会(COSO)发布报告“内部控制——整体框架”，即“COSO报告”，该报告具有广泛的适用性。 

　　1996年美国注册会计师协会发布《审计准则公告第78号》(SAS 78)，全面接受COSO报告的内容，并从1997年1月起取代1988年发布的《审计准则公告第55号》(SAS 55)。新准则将内部控制的定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：1财务报告的可靠性；2经营的效果和效率；3符合适用的法律和法规”。该准则将内部控制划分为五种成份，它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。 

　　(1)控制环境，构成一个单位的氛围，影响内部人员控制其它成份的基础。包括： 
　　
　　·员工的诚实性和道德观。如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则； 
　　
　　·员工的胜任能力。如雇员是否能胜任质量管理要求； 
　　
　　·董事会或审计委员会。如董事会是否独立于管理层； 
　　
　　·管理哲学和经营方式。如管理层对人为操纵的或错误的记录的态度； 
　　
　　·组织结构。如信息是否到达合适的管理阶层； 
　　
　　·授予权利和责任的方式。关键部门的经理的职责是否有充分规定； 
　　
　　·人力资源政策和实施。如是否有关于雇佣、培训、提升和奖励雇员的政策。 

　　(2)风险评估，指管理层识别并采取相应行动来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。 

　　(3)控制活动，指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。实践中，控制活动形式多样，可将其归结为以下几类： 
　　
　　·业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。 
　　
　　·信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。 
　　
　　·实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。 
　　
　　·职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)、对业绩的独立检查(监督职能)。理想状态的职责分离是，没有一个职员负责超过一个的职能。 

　　(4)信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：1包括可以确认所有有效业务的方法和记录；2序时详细记录业务以便于归类，提供财务报告；3采用恰当的货币价值来计量业务；4确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。 

　　沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。 

　　(5)监控，指评价内部控制质量的进程，即对内部控制改革、运行及改进活动评价。包括内部审计和与单位外部人员、团体进行交流。 

　　上述五种成份实际上内容广泛，相互关联。控制环境是其他控制成份的基础，在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效的沟通；最后，实施有效的监控以保障内部控制的实施质量。