內部控制概念的演變大致可分為四個階段：上世紀40年代前；40年代末至70年代；80年代至90年代；90年代以后。 

　　上世紀40年代前 
　　
　　在上世紀40年代前，人們習慣用內部牽制這一概念。根據《柯氏會計辭典》的解釋，內部牽制是指：“以提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。設計有效的內部牽制以便使各項業務能完整正確地經過規定的處理程序，而在這規定的處理程序中，內部牽制機能永遠是一個不可缺少的組成部分。” 

　　一般來說，內部牽制機能的執行大致可分為以下四類：1實物牽制。例如把保險柜的鑰匙交給二個以上的工作人員持有。非同時使用這二把以上的鑰匙，保險柜就打不開。2機械牽制。例如保險柜的大門若非按正確程序操作就打不開。3體制牽制。采用雙重控制預防錯誤和舞弊的發生。4簿記牽制。定期將明細賬與總賬進行核對。 

　　內部牽制是基于以下兩個基本設想：1、二個或以上的人或部門無意識地犯同樣錯誤的機會是很小的；2、二個或以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。實踐證明這些設想是合理的，內部牽制機制確實有效地減少了錯誤和舞弊行為，因此在現代內部控制理論中，內部牽制仍占有重要的地位，成為有關組織機構控制、職務分離控制的基礎。 

　　40年代末至70年代 
　　
　　1949年，美國會計師協會的審計程序委員會在《內部控制，一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內部控制首次作了權威性定義：“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策。” 

　　此范圍廣泛的定義及其相應的解釋，當時被普遍認為是對認識內部控制這一概念的重大貢獻，因為在此之前內部控制概念從未受到如此的重視。 

　　1958年10月該委員會發布的《審計程序公告第29號》對內部控制定義重新進行表述，將內部控制劃分為會計控制和管理控制。內部會計控制包括組織規劃的所有方法和程序，這些方法和程序與財產安全和財物記錄可靠性有直接的聯系。這個控制包括授權與批準制度、從事財務記錄和審核與從事經營或財產保管職務分離的控制、財產的實物控制和內部審計。 

　　內部管理控制包括組織規劃的所有方法和程序，這些方法和程序主要與經營效率和貫徹管理方針有關，通常只與財務記錄有間接關系。這些控制一般包括統計分析、時動研究即工作節奏研究、業績報告、員工培訓計劃和質量控制。 

　　80年代至90年代 
　　
　　80年代以后，西方會計審計界研究的重點逐步從一般涵義向具體內容深化。1988年美國注冊會計師協會發布《審計準則公告第55號》(SAS 55)，從1990年1月起取代1972年發布的《審計準則公告第1號》。該公告首次以“內部控制結構”代替“內部控制”，指出“企業的內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”。 

　　內部控制結構具體包括三個要素，它們是：控制環境、會計制度、控制程序。 
　　
　　(1)控制環境，反映董事會、管理者、業主和其他人員對控制的態度和行為。具體包括：管理哲學和經營作風、組織機構、董事會及審計委員會的職能、人事政策和程序、確定職權和責任的方法、管理者監控和檢查工作時所用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計等。 

　　(2)會計系統，規定各項經濟業務的確認、歸集、分類、分析、登記和編報方法。一個有效的會計制度包括以下內容：鑒定和登記一切合法的經濟業務；對各項經濟業務適當進行分類，作為編制報表的依據；計量經濟業務的價值以使其貨幣價值能在財務報表中記錄；確定經濟業務發生的時間，以確保它記錄在適當的會計期間；在財務報表中恰當地表述經濟業務及有關的揭示內容。 

　　(3)控制程序，指管理當局制定的政策和程序，以保證達到一定的目的。它包括：經濟業務和活動的批準權；明確各員工的職責分工；充分的憑證、賬單設置和記錄；資產和記錄的接觸控制；業務的獨立審核等。 

　　上述內部控制結構的內容正式將控制環境納入內部控制范疇。剛開始人們只是將控制環境作為內部控制的外部因素來看待，但漸漸地人們認識到控制環境是內部控制的一個組成部分，它是由企業全體職工，主要是企業的管理者所造就的，是充分有效的內部控制體系得以建立和運行的基礎及保證，因而是在企業的控制范圍內的。二是不再區分會計控制與管理控制，而統一以要素表述內部控制，這是因為西方學術界在對會計控制與管理控制進行研究時，逐步發現這兩者往往是不可分割的，是相互關系的。 

　　90年代之后 
　　
　　進入90年代后，對于內部控制的研究進入了一個新階段。1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協會、國際內部審計人員協會、財務經理協會和管理會計學會等組織參與的“發起組織委員會(COSO)發布報告“內部控制——整體框架”，即“COSO報告”，該報告具有廣泛的適用性。 

　　1996年美國注冊會計師協會發布《審計準則公告第78號》(SAS 78)，全面接受COSO報告的內容，并從1997年1月起取代1988年發布的《審計準則公告第55號》(SAS 55)。新準則將內部控制的定義為：“由一個企業的董事長、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：1財務報告的可靠性；2經營的效果和效率；3符合適用的法律和法規”。該準則將內部控制劃分為五種成份，它們分別是控制環境、風險評估、控制活動、信息與溝通、監控。 

　　(1)控制環境，構成一個單位的氛圍，影響內部人員控制其它成份的基礎。包括： 
　　
　　·員工的誠實性和道德觀。如有無描述可接受的商業行為、利益沖突、道德行為標準的行為準則； 
　　
　　·員工的勝任能力。如雇員是否能勝任質量管理要求； 
　　
　　·董事會或審計委員會。如董事會是否獨立于管理層； 
　　
　　·管理哲學和經營方式。如管理層對人為操縱的或錯誤的記錄的態度； 
　　
　　·組織結構。如信息是否到達合適的管理階層； 
　　
　　·授予權利和責任的方式。關鍵部門的經理的職責是否有充分規定； 
　　
　　·人力資源政策和實施。如是否有關于雇傭、培訓、提升和獎勵雇員的政策。 

　　(2)風險評估，指管理層識別并采取相應行動來管理對經營、財務報告、符合性目標有影響的內部或外部風險，包括風險識別和風險分析。風險識別包括對外部因素(如技術發展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發生的可能性、考慮如何管理風險等。 

　　(3)控制活動，指對所確認的風險采取必要的措施，以保證單位目標得以實現的政策和程序。實踐中，控制活動形式多樣，可將其歸結為以下幾類： 
　　
　　·業績評價，是指將實際業績與其他標準，如前期業績、預算和外部基準尺度進行比較；將不同系列的數據相聯系，如經營數據和財務數據，對功能或運行業績進行評價。這些評價活動對實現企業經營的效果和效率非常有用，但一般與財務報告的可靠性和公允性相關度不高。 
　　
　　·信息處理，指保證業務在信息系統中正確、完全和經授權處理的活動。信息處理控制可分為兩類：一般控制和應用控制。一般控制與信息系統設計和管理有關，如保證軟件完整的程序、信息處理時間表、系統文件和數據維護等；應用控制與個別數據在信息系統中處理的方式有關；如保證業務正確性和已授權的程序。 
　　
　　·實物控制，也稱為資產和記錄接近控制，這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。實物控制中防止資產被竊的程序與財務報告的可靠性有關，如在編制財務報告時，管理層僅僅依賴于永續存貨記錄，則存貨的接近控制與審計有關。 
　　
　　·職責分離，指將各種功能性職責分離，以防止單獨作業的雇員從事或隱藏不正常行為。一般來說，下面的職責應被分開：業務授權(管理功能)、業務執行(保管職能)、業務記錄(會計職能)、對業績的獨立檢查(監督職能)。理想狀態的職責分離是，沒有一個職員負責超過一個的職能。 

　　(4)信息與溝通，指為了使職員能執行其職責，企業必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規要求和客戶投訴等信息。內部信息包括會計制度，即由管理當局建立的記錄和報告經濟業務和事項，維護資產、負債和業主權益的方法和記錄。有效的會計制度應是：1包括可以確認所有有效業務的方法和記錄；2序時詳細記錄業務以便于歸類，提供財務報告；3采用恰當的貨幣價值來計量業務；4確定業務發生時期以保證業務記錄于合理的會計期間，在財務報告中恰當披露業務。 

　　溝通是使員工了解其職責，保持對財務報告的控制。它包括使員工了解在會計制度中他們的工作如何與他人相聯系，如何對上級報告例外情況。溝通的方式有政策手冊、財務報告手冊、備查簿，以及口頭交流或管理示例等。 

　　(5)監控，指評價內部控制質量的進程，即對內部控制改革、運行及改進活動評價。包括內部審計和與單位外部人員、團體進行交流。 

　　上述五種成份實際上內容廣泛，相互關聯。控制環境是其他控制成份的基礎，在規劃控制活動時，必須對企業可能面臨的風險有細致的了解和評估；而風險評估和控制活動必須借助企業內部信息有效的溝通；最后，實施有效的監控以保障內部控制的實施質量。