从1905年到2004年近100年的时间，美国的内部控制理论逐步走向成熟。1905年L.R.Dicksee提出内部牵制这一概念，认为内部牵制包括职责分工、会计记录、人员轮换三要素。后经过蒙哥马利（1912年）、George E.Bennett（1930年）等人的发展完善，内部牵制发展为每项业务都应通过不同的人或不同的部门交叉检查与交叉控制的有效责任组织分工、任何个人或部门都不能单独控制的实物牵制、机械牵制、体制牵制和簿记牵制机制。

内部控制这一概念的出现，是因为审计的需要。1934年开始出现了“内部会计控制”，目的是为了保证合理的会计信息。1936年“内部控制”首次被使用；1947年内部控制成为了审计程序的基础。1949年内部控制才真正被定义。1953年，内部控制被分为会计内部控制和管理内部控制，这就是著名的“制度二分法”——内部控制制度的开端。

1988年，美国注册会计师委员会（AICPA）首次提出内部控制结构，内容包括内部环境、会计制度和控制程序。内部控制理论从“制度二分法”突破到“结构三分法”。

1992年，全美反欺诈委员会发起组织（COSO委员会）发布专题报告，开始了内部控制结构框架的新纪元。1994年，《内部控制——整体框架》又被修改。内部控制框架包括三大目标和五个组成要素，三大目标是运营的效率和效果、财务报告的可靠性、遵循使用的法律和法规，五个组成要素是控制环境、风险评估、控制活动、信息与沟通、监督。

2002年，美国颁布了《萨班斯——奥克斯利法案》（SOX法案），其中404条款要求在美上市公司：管理层出具内部控制自我评价报告；‚外部审计师出具内部控制审计报告。

2004年，COSO在《内部控制——整体框架》的基础上又发布了内部控制专门研究报告《企业风险管理——整合框架》，为了弥补内部框架理论中的缺乏风险性研究的不足。内部控制风险管理整合框架包含四大目标和八个组成要素。四大目标是战略目标、经营目标、报告目标和合法目标，八个组成要素是内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。

图1-1 内部控制理论演变

到2004年为止，美国逐步形成了一个以萨班斯—奥克斯利法案（即SOX法案）为法律监管核心的三层次内部控制体系。首先，以保护投资者为宗旨的SOX法案是建立、评价和审查的法律基础，这是第一个层次；其次，作为企业内部控制标准的全美反欺诈委员会发起组织委员会（即COSO委员会）报告是建立内部控制的框架，这是第二个层次；最后，其他层面的公告、标准、准则和指南等具体内部控制标准，这是第三个层次。

图1-2 美国内部控制体系‚