审计师和治理层沟通的流程

审计师应当从以下方面了解被审计单位整体层面内部控制:

审计意见类型分为标准无保留意见、带强调事项段的无保留意见、保留意见、无法表示意见和否定意见这五种，其中后四种均属于非标准审计意见类型，即非标意见。第一种，标准无保留意见，即“标准意见”。顾名思义，这种意见不会随着各个公司行业的不同或自身特点的变化而变化。对于投资者而言，在五种审计意见类型中，标准意见对于财务报告的可信赖度给予了最高评分。第二种，带强调事项段的无保留意见对于财务报告的可信赖度仍然是正面的肯定。但相较标准意见而言，投资者在看到这类信息时，应考虑强调事项段中所描述的不确定性（俗称“风险”），并考虑是否契合自身的投资风险偏好。比较常见的强调事项包括但不限于：可持续经营存在重大不确定性。第三种，保留意见对于财务报告的可信赖度给出了一定的负面评分。但审计师认为该负面事项对于财务报表的影响是可以量化的。所以，如果审计师发现财务报表存在重大错报，但经与管理层和治理层沟通后，最终管理层未对财务报表进行更正，那么，审计师会选择出具保留意见，并对相关事项做出定性以及定量的描述。这类意见不仅反映了财务报表所存在的问题和影响程度，从某程度上也可以反映出管理层和治理层对于这类问题的处理态度与解决问题方式。投资者在遇到这类审计意见时，需要谨慎再谨慎。第四种和第五种，即无法表示意见和否定意见，通常对于财务报表的可信赖度亮了红灯。无法表示意见对于财务报表的可信赖度投出了“弃权票”，而否定意见则是给出了“反对票”。投资者遇到这类审计意见的时候通常都会“绕路而行”。但如果投资者对于相关公司的投资意愿非常强烈，同时这类审计意见存在于被投资公司的过去年度，当年年度的审计意见类型已经得以“净化”，那么，应当从时间轴上多看看过去几年审计意见类型的变化过程，同时观察其历史上是否存在将市场声誉较好的审计师替换的现象，可以给投资者带来一定的启发。

步骤方法

审计准备阶段

1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括：审计师决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足，来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。

3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。

4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。

6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。

7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如，标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。

审计实施阶段

1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。

2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的;以及控制不能有效实施的风险。

3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

4.形成关于内部控制是否有效的'意见。在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。

审计报告形成阶段

1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。

2.报告的修订。如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来，发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。

3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

第十五条 注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。第十六条 在了解与审计相关的控制时，注册会计师应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。第十七条 注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：（一）管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化；（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削4弱。第十八条 注册会计师应当了解被审计单位是否已建立风险评估过程，包括：（一）识别与财务报告目标相关的经营风险；（二）估计风险的重要性；（三）评估风险发生的可能性；（四）决定应对这些风险的措施。第十九条 如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。第二十条 如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。第二十一条 注册会计师应当从下列方面了解与财务报告相关的信息系统（包括相关业务流程）：（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；（二）在信息技术和人工系统中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持性信息和财务报表中的特定账户；（四）被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况；（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；（六）与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。第二十二条 注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角色和职责以及与财务报告相关的重大事项。这种沟通包括：（一）管理层与治理层之间的沟通；（二）外部沟通，如与监管机构的沟通。第二十三条 注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。第二十四条 在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。第二十五条 注册会计师应当了解被审计单位用于监督与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的监督，以及被审计单位如何对控制缺陷采取补救措施。第二十六条 如果被审计单位具有内部审计职能，注册会计师应当了解下列事项，以确定内部审计职能是否可能与审计相关：（一）内部审计职能责任的性质以及内部审计职能如何适合被审计单位的组织结构；（二）内部审计职能已实施或拟实施的活动。第二十七条 注册会计师应当了解被审计单位监督活动所使用信息的来源，以及管理层认为信息对于实现目的足够可靠的依据。