原创力文档- 0
- 0
- 约1.22万字
- 约 31页
- 2026-02-12 发布于广东
- 举报
财务内部控制评估指南
1.引言
财务内部控制是指为实现财务报告的可靠性、资产的安全与使用、遵守法律法规及公司政策而设立的制度、流程和程序。评估内部控制的目的在于:
识别潜在风险与漏洞
验证控制设计与运行是否符合目标
为控制改进与资源配置提供依据
支持审计、合规和管理决策
2.评估前准备
步骤
内容
关键要点
2.1确定范围
明确本次评估覆盖的业务单元、财务子系统(如应收、应付、资金、固定资产)及时间段
业务线分层、聚焦高风险区域
2.2组建团队
项目经理、内部审计、财务主管、IT、业务部门代表
多学科协作,确保业务视角完整
2.3收集文档
《企业内部控制手册》、流程手册、系统操作SOP、审计报告、法规要求
完整的文档是控制基线的根基
2.4确定评估标准
选取COBIT、COSO、ISOXXXX或行业监管准则作评估基准
标准需与公司业务匹配
2.5安排时间表
评估计划、里程碑、输出交付物
与业务运营保持同步,避免停摆
3.评估方法与步骤
3.1绘制流程图(ProcessMapping)
使用Visio、Flowchart或Markdown绘制关键财务业务流程(如采购付款、费用报销、资金收付)。
标明关键控制点(KCP)、关键账户(KeyAccount)、关键人员(KeyPerson)。
3.2识别控制要素
类型
描述
示例
程序性控制
书面流程、授权、审查
费用报销需经主管审批
技术性控制
系统设置、日志、权限管理
ERP中资金划转限额功能
环境控制
组织结构、岗位分离、培训
财务岗位实行“一人持有一人审批”原则
监控性控制
内部审计、质量检查、报表审阅
月度现金流审计报告
3.3评估控制有效性(Testing)
设计有效性:检查控制是否满足COBIT/COSO中的五大组件(控制环境、风险评估、信息与沟通、控制活动、监控活动)。
运行有效性:抽样执行控制检查(如抽取30笔费用报销,核对审批流程与系统日志)。
缺陷评估:记录缺陷的类型、严重性、重复性,并评估是否为控制缺陷(ControlDeficiency)或重大缺陷(SignificantDeficiency)。
3.4风险评估(RiskAssessment)
依据业务风险、财务报表风险、合规风险为每项控制打分(如1~5分),计算风险暴露值。
采用矩阵法绘制风险图,帮助聚焦高风险控制。
3.5编制评估报告
概览:业务范围、评估方法、主要发现。
控制现状:按业务线、关键流程列出控制要素及有效性评估结果。
风险与缺陷:列出高危风险、缺陷描述、潜在影响。
改进建议:具体的控制强化、流程优化、系统升级方案。
执行计划:时间表、责任人、里程碑、预期效益。
4.常用工具与模板
工具
用途
示例
Excel
抽样测试、风险打分、进度管理
控制测试抽样表
Visio/draw
流程图绘制
采购支付流程图
PowerBI/Tableau
数据可视化、风险趋势监控
费用异常趋势报表
JIRA/Trello
任务跟踪、责任分配
改进项目看板
Markdown
编写报告、知识共享
本指南本身
5.关键控制要素示例(按财务子系统划分)
5.1应收账款管理
授信审批:客户信用额度需经财务主管审批。
发货/服务验证:需与业务部门核对交付/服务报表。
应收账款对账:每月对账一次,异常账款需及时跟进。
5.2应付账款管理
采购审批:采购单需经业务、财务双重审批。
三方匹配:采购订单、收货单、发票三要素匹配后方可付款。
付款限额:单笔付款额度需依据授权矩阵执行。
5.3现金管理
现金收付双人核对:收付现金必须由两名授权人员共同签字。
银行对账:每日银行对账,差异必须在2工作日内解决。
现金使用审批:现金预支需提供使用计划并归口报销。
5.4财务报告与信息披露
期初/期末平衡:所有账务必须在月底前完成账务过账并平衡。
内部审计复核:财务报表需接受内部审计复核,审计报告必须在下月10日前完成。
信息安全:财务系统采用基于角色的访问控制(RBAC),审计日志完整保存5年。
6.常见缺陷及改进对策
缺陷类型
典型表现
改进对策
岗位职责不分离
同一人同时完成付款审批与付款操作
引入双签或审批系统工作流,实现职责分离
系统权限设置不当
低级用户可修改财务凭证
使用最小权限原则,定期审计权限变更
审批流程缺乏电子留痕
纸质审批易伪造或遗失
迁移至电子审批平台,强制日志记录
缺乏定期监控
只在出现异常时才介入
建立月度/季度监控仪表盘,设置阈值报警
风险评估缺乏更新
业务变更后未重新评估控制
每次业务流程重大变更后重新进行风险评估
缺少业务部门参与
财务审计仅内部进行
引入跨部门审计小组,提高透
文档评论(0)