內(nèi)部控制發(fā)展的最早階段為內(nèi)部牽制階段。據(jù)史料記載，古埃及、古希臘、古羅馬時期，內(nèi)部牽制就廣泛應用于國家治理。管理者主要通過人員配備、職責劃分、業(yè)務流程和簿記系統(tǒng)等來實現(xiàn)內(nèi)部牽制，這樣可以有效地防止錯誤和舞弊，并保護組織的財產(chǎn)安全，從而保障組織的有效運轉(zhuǎn)。

　　20世紀40年代至70年代，內(nèi)部牽制思想與古典管理理論相融合，內(nèi)部控制的發(fā)展進入內(nèi)部控制制度階段。之后，隨著資本主義經(jīng)濟的發(fā)展和會計體系的成熟，內(nèi)部控制的管理思想和實踐應用逐步制度化。1949年，美國注冊會計師協(xié)會所屬的審計程序委員會發(fā)表了一份題為《內(nèi)部控制：系統(tǒng)協(xié)調(diào)的要素及其對管理部門和獨立公共會計師的重要性》的特別報告，首次正式提出了內(nèi)部控制的定義：內(nèi)部控制包括一個企業(yè)內(nèi)部為保護資產(chǎn)、審核會計數(shù)據(jù)的正確性和可靠性、提高經(jīng)營效率、堅持既定管理方針而采用的組織計劃，以及各種協(xié)調(diào)方法和措施。之后，美國國會、財務執(zhí)行官協(xié)會和美國證券交易委員會等在其相關(guān)規(guī)范與研究報告中均對內(nèi)部控制進行了更加詳盡的規(guī)定。

　　20世紀80年代至90年代初，內(nèi)部控制發(fā)展到內(nèi)部控制結(jié)構(gòu)階段。美國注冊會計師協(xié)會1988年5月發(fā)布了《審計準則公共第5號》，提出了“內(nèi)部控制結(jié)構(gòu)”的概念，并指出：“企業(yè)內(nèi)部控制結(jié)構(gòu)包括提供為取得企業(yè)特定目標的合理保證而建立的各種政策和程序�！惫�告中還具體提出了內(nèi)部控制結(jié)構(gòu)構(gòu)成的三個要素,它們分別是控制環(huán)境、會計制度和控制程序。在這一階段，人們開始認識到控制環(huán)境的重要性，注重管理者對內(nèi)部制度的認識、態(tài)度的重要作用，并首次將控制環(huán)境納入到內(nèi)部控制結(jié)構(gòu)的構(gòu)成要素中。

　　內(nèi)部控制發(fā)展的第四個階段是內(nèi)部控制整合框架階段。在這一階段，人們深化對控制機制的研究，并將它內(nèi)化、整合為一個有機的框架。1985年，美國注冊會計師協(xié)會與美國會計協(xié)會、國際內(nèi)部審計協(xié)會、全美會計師協(xié)會和財務經(jīng)理人協(xié)會等會計職業(yè)團體發(fā)起成立全美反對舞弊財務報告委員會（National on Fraudulent Financial Reporting,NFFR,又稱Treadway委員會），該委員會呼吁所有公眾公司的董事會、最高管理層、學術(shù)界、美國證券交易委員會和其他監(jiān)管機構(gòu)以及相關(guān)立法機構(gòu)共同致力于財務報告過程的重塑。在Treadway委員會倡議下，又成立了研究內(nèi)部控制問題的COSO委員會。1992年，COSO委員會發(fā)布了指導內(nèi)部控制實踐的綱領(lǐng)性文件——《內(nèi)部控制——整合框架》的研究報告（以下簡稱為COSO報告），經(jīng)過兩年的修改，1994年，該委員會提出了對外報告的修改篇。COSO報告指出：“內(nèi)部控制是受機構(gòu)的董事會、管理當局和其他人員的影響，旨在取得運營的效果與效率；確保財務報告的可靠性；遵循適用的法律法規(guī)等目標而提供合理保證的一個過程�！眱�(nèi)部控制的三個目標是：“經(jīng)營的有效性和效率、財務報告的可靠性和法律法規(guī)的貫徹實施�！眱�(nèi)部控制整體框架主要由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控五個相互關(guān)聯(lián)的組成要素構(gòu)成，這些要素從管理當局運營的業(yè)務中衍生出來，并整合在管理過程中。其中，控制環(huán)境是影響內(nèi)部控制其他要素的基礎(chǔ)，其包括的內(nèi)容有治理結(jié)構(gòu)、內(nèi)部組織機構(gòu)設(shè)置、組織內(nèi)部的權(quán)責分配、領(lǐng)導的管理哲學和經(jīng)營作風、員工的職業(yè)道德和勝任工作的能力等。風險評估指在既定的目標下，評估控制目標實現(xiàn)過程中的不確定性因素。風險評估包括目標設(shè)定、風險確認、風險分析和風險應對�？刂苹顒又附M織為有效開展必要的活動，對經(jīng)濟業(yè)務確立和執(zhí)行的控制政策與程序�？刂苹顒拥木唧w內(nèi)容包括有職務相互分離、關(guān)鍵崗位和關(guān)鍵人員控制、實物資產(chǎn)控制、會計系統(tǒng)控制和信息處理控制等。信息與溝通指圍繞內(nèi)部控制其他構(gòu)成要素而建立的信息與溝通系統(tǒng)，包括在經(jīng)濟業(yè)務發(fā)生后要進行確認和記錄、采用科學的價值計量方法進行計量和在財務報告中合理反映。監(jiān)控是指對整個過程的監(jiān)督、評價以及必要時采取的修正措施。監(jiān)控包括單位的日常管理監(jiān)督活動，還包括單位與外部組織和團體進行信息交流的監(jiān)控。

　　2000年，安然公司和世通公司會計舞弊案的發(fā)生暴露了部分公司內(nèi)部控制存在重大缺陷，2002年7月，美國國會通過了《薩班斯——奧克斯利法案》。2004年9月，COSO發(fā)布《企業(yè)風險管理——整體框架》（即ERM框架）。該框架將全面風險管理定義為：“全面風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程�！备鶕�(jù)ERM框架，內(nèi)部控制包括三個維度：第一個維度是企業(yè)的目標，包括戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二個維度是全面風險管理要素，與COSO的《內(nèi)部控制——整合框架》相比較，增加了三個新的要素，分別是目標設(shè)定、事項識別和風險應對。目標設(shè)定是指組織的管理者要采取恰當?shù)某绦騺碓O(shè)定風險管理的目標，以此為基礎(chǔ)，才能識別影響目標實現(xiàn)的潛在事項并采取措施來應對風險。事項識別是指組織要識別可能產(chǎn)生影響的潛在事項，這些潛在事項既包括給組織帶來風險的事項，也包括給組織帶來機會的事項，還包括給組織同時帶來機會和風險的事項。風險應對是指管理當局選擇一系列措施使風險與企業(yè)的風險容忍度相適應，風險應對的措施包括風險回避、風險承擔、風險降低和風險分擔等。第三個維度是主體層次，包括集團、部門、業(yè)務單元和分支機構(gòu)四個層面。

　　從ERM的三個維度的分析來看，內(nèi)部控制首先是公司層面的內(nèi)部控制，即所有者要建立完善的治理結(jié)構(gòu)，理順組織內(nèi)部的責權(quán)利關(guān)系，并建立科學的組織架構(gòu)，通過各項規(guī)章制度，在組織內(nèi)部達到權(quán)力的制衡。為實現(xiàn)組織目標，所有者對經(jīng)營管理者要通過多種方法進行激勵和約束，促使他們科學決策和努力工作。其次是業(yè)務層面的內(nèi)部控制，即經(jīng)營者通過對各項具體業(yè)務過程的管理和控制，提高組織的管理效益和效果。