司库内部审计流程:控制评估与合规检查指南
介绍司库内部审计的完整流程,涵盖审计范围设定、关键控制测试、常见审计发现及整改跟踪的操作规范,帮助企业建立健全的司库内控体系。
司库审计的目的与范围
审计目标
司库内部审计(Treasury Internal Audit)旨在评估:
- 内部控制有效性:关键控制是否按设计运行,是否能有效防范风险
- 政策合规性:司库操作是否遵循集团司库政策和限额
- 操作规范性:日常操作是否符合标准流程,职责分离是否到位
- 报告准确性:司库管理报告数据是否准确、完整
典型审计范围
| 审计领域 | 关键审查内容 |
|---|---|
| 现金管理 | 授权矩阵、银行账户管理、对账流程 |
| 外汇风险管理 | 套保政策执行、限额遵守、工具合规性 |
| 投资管理 | 投资政策合规、限额遵守、收益报告 |
| 融资管理 | 贷款合规性、契约监控、审批流程 |
| 金融风险管理 | VaR计算、对手方限额、风险报告 |
| IT系统控制 | TMS访问控制、数据安全、系统审计日志 |
审计执行流程
计划阶段
- 确定审计范围和目标
- 风险评估:识别高风险控制领域,优先安排资源
- 审计程序设计:确定测试方法(访谈、抽样、数据分析)
- 发送审计通知:提前2-4周通知司库部门
现场执行阶段
文件审核:
- 司库政策、程序手册
- 授权矩阵(最新版本)
- 套期指定文件、限额报告
- 银行账户清单
交易测试(抽样测试):
| 控制 | 测试方法 | 样本量 |
|---|---|---|
| 付款审批控制 | 抽取付款记录,核查审批文件 | 50-100笔 |
| 白名单管理 | 核对付款对手方是否在白名单 | 全量自动比对 |
| 套保限额遵守 | 核查每笔套保交易是否在限额内 | 全量 |
| 银行对账单 | 核查是否按月完成银行余额对账 | 12个月全量 |
| 职责分离 | 核查付款发起人≠审批人 | 全量 |
常见司库审计发现
高风险发现
- 职责分离不足:同一人可发起并审批付款
- 白名单未维护:已离职供应商仍在白名单;白名单修改无审批
- 银行账户未定期清理:存在长期未使用账户
- 套保超限:实际套保头寸超出政策规定限额
中风险发现
- 银行对账延迟:部分账户未按月对账
- 内部利率未定期市场化审核
- 衍生工具台账不完整:交易信息缺失
- 风险限额报告未定期提交
低风险发现
- 操作流程文档过期:程序手册未及时更新
- 系统用户权限过期:离职员工TMS账号未及时注销
- 审计日志审查不足:未定期审查系统操作日志
审计报告与整改
审计报告结构
- 执行摘要:主要发现和总体评价
- 发现详情:每项发现的描述、风险级别、根本原因、建议
- 管理层回复:被审计部门的整改承诺和时间表
- 综合评级:满意/需改善/不满意
整改跟踪机制
| 风险级别 | 整改期限 | 跟踪方式 |
|---|---|---|
| 高风险 | 30天内 | 实施完成即跟踪验证 |
| 中风险 | 90天内 | 季度跟踪 |
| 低风险 | 180天内 | 半年度跟踪 |
持续改进
审计结果应纳入司库改进计划:
- 高频发现的控制环节须优化流程或系统
- 年度审计发现趋势分析,持续提升控制成熟度
- 将审计KPI纳入司库团队绩效考核