“内部控制审计的范围” 和 “审计意见涵盖的范围” 是完全不同的概念。内部控制审计的范围严格限定为财务报告内部控制审计。审计意见涵盖的范围针对的是特定基准日（时间范围）的财务报告内部控制（空间范围）设计与运行的有效性，言外之意，注册会计师不对非财务报告内部控制的有效性发表审计意见。但是，针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加 “非财务报告内部控制重大缺陷描述段” 予以披露。

财务报告内部控制分为企业层面的内部控制和业务流程、应用系统或交易层面的内部控制。

（1）企业层面的内部控制

①与控制环境相关的控制。

②针对管理层和治理层驾于内部控制之上的风险而设计的内部控制。

③被审计单位的风险评估过程。

④对内部信息传递和期末财务报告流程的控制。

⑤对控制有效性的内部监督和内部控制评价。

⑥集中化的处理和控制、监控经营成果的控制，以及重大经营控制和风险管理实务的政策。

（2）业务流程、应用系统或交易层面的内部控制

①授权与审批。

②信息技术应用控制。

③实物控制。

④复核和调节。