内部控制审计是对内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露。财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。

虽然内部控制审计和财务报表审计存在多方面的共同点，但财务报表审计是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计，重在审计“过程”。发表审计意见的对象不同，使得两者存在区别。

1.对内部控制进行了解和测试的目的不同

在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效性，但两者的目的不同。注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见。注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效性发表审计意见。

2.测试内部控制运行有效性的范围要求不同

在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案，注册会计师可以不测试内部控制的运行有效性。如果采用综合性方案，注册会计师综合运用控制测试和实质性程序，因此需要测试内部控制的运行有效性。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效性，获取充分、适当的审计证据：

（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）。

（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。

也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效性。

在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。

3.内部控制测试的期间要求不同

在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效性获取审计证据。

尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下采用的与基准相比较策略除外）。

4.对控制缺陷的评价不同

在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。

5.沟通要求不同

在财务报表审计中，注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行监督责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。

6.审计报告的形式和内容以及所包括的意见类型不同

内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见。如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。