程平+白沂

【摘 要】 財務共享服務模式受到了許多大型集團企業(yè)的重視，并得到了廣泛運用。有效的IT審計可以幫助集團企業(yè)預防和規(guī)避財務共享服務模式帶來的IT風險。在分析大數(shù)據(jù)時代財務共享服務模式下IT審計特征的基礎上，構建了基于財務共享服務模式的IT審計流程框架，并分析了具體的審計流程，以期為財務共享服務模式下的IT審計提供理論指導。

【關鍵詞】 IT審計； 財務共享服務模式； 大數(shù)據(jù)； 云會計

【中圖分類號】 F232 【文獻標識碼】 A 【文章編號】 1004-5937（2016）24-0128-04

一、引言

財務共享服務模式是依托大數(shù)據(jù)、云計算等信息新技術以財務業(yè)務流程再造為基礎的分布式管理模式，目的是優(yōu)化組織結構、提升核算流程效率、降低財務核算成本以及為企業(yè)創(chuàng)造價值，其站在市場視角為內(nèi)外部客戶提供專業(yè)化財務服務。在財務共享服務模式下，集團企業(yè)將日常的、共同的、分散的、大量的、重復的、可標準化的財務會計流程從下屬分公司剝離出來，統(tǒng)一交給財務共享中心進行處理[1]，實現(xiàn)了業(yè)務處理、數(shù)據(jù)存儲的集中，同時也增加了IT風險。IT風險[2]已經(jīng)成為企業(yè)的“經(jīng)營風險”，包含IT環(huán)境風險、IT管理風險、IT技術風險和IT平臺風險等。大數(shù)據(jù)時代基于財務共享服務模式的IT審計目的是為了找出并解決財務共享的IT風險，依托大數(shù)據(jù)、云計算等信息新技術，通過對大數(shù)據(jù)進行采集、處理、分析以發(fā)現(xiàn)問題。

IT審計一直受到諸多學者的重視，曹立明[3]分析了IT審計本質(zhì)、目標與方法，認為IT審計是會計信息化的內(nèi)在要求，并對會計信息化IT審計的目標、內(nèi)容和實施條件進行分析，最后對會計信息化IT審計面臨的問題進行了闡述。覃憲姬等[4]以廣州地鐵IT審計為例，在分析了廣州地鐵信息系統(tǒng)審計現(xiàn)狀的基礎上，構建了廣州地鐵IT審計框架并對其具體內(nèi)容、實施步驟、審計策略以及審計方法進行了闡述。柳芳[5]從ERP系統(tǒng)安全性風險、業(yè)務流程風險和ERP系統(tǒng)管理風險入手，對ERP固有風險進行了分析并提出了相應的IT審計對策。李有華[6]將企業(yè)IT風險分為IT戰(zhàn)略風險、IT項目風險、IT安全風險、IT服務風險、IT合規(guī)風險，并在此基礎上對IT審計的內(nèi)容、標準、范圍、方法和制度進行了分析。

綜觀上述文獻，大多數(shù)文獻都基于傳統(tǒng)信息系統(tǒng)，并從傳統(tǒng)審計手段的角度出發(fā)對IT審計的框架、發(fā)展與實施進行研究。在大數(shù)據(jù)時代，財務共享服務模式成為大型集團企業(yè)的首要選擇，其IT架構更多地運用到云計算技術，并需要大數(shù)據(jù)進行技術支撐。審計人員在財務共享服務模式下進行IT審計時將更多地運用大數(shù)據(jù)審計[7]手段進行IT審計，從數(shù)據(jù)的角度發(fā)現(xiàn)疑點，以減輕審計工作量，提高審計工作效率。有鑒于此，本文從大數(shù)據(jù)的角度對財務共享服務模式下IT審計的特點進行分析，梳理其數(shù)據(jù)流程，在此基礎上構建IT審計框架模型，并對其實施流程進行闡述。

二、大數(shù)據(jù)時代基于財務共享服務模式的IT審計框架

（一）財務共享服務模式下IT審計的特征分析

一般認為IT內(nèi)部控制包含組織層面的IT控制、一般控制和應用控制三個層面[6]，審計人員通常以此為基礎展開IT審計工作。財務共享服務模式下的IT審計需要充分結合財務共享IT架構特征，其IT審計范圍如圖1所示。同時，三個層面的IT審計在財務共享服務模式下也出現(xiàn)了有別于傳統(tǒng)企業(yè)IT審計的特點。

1.組織層面的IT審計

組織層面的IT審計主要檢查財務共享IT架構的設計是否合理，以及是否得到有效實施，其核心內(nèi)容是管理層控制。集團企業(yè)建立財務共享服務模式的戰(zhàn)略目標清晰，即降低財務核算成本，其IT戰(zhàn)略規(guī)劃應當以實現(xiàn)該目標為前提，并以此為基礎進行IT部門與職能的設置。財務共享服務模式下組織層面IT審計應當對財務共享IT戰(zhàn)略規(guī)劃、IT部門與職能的設置是否符合財務共享戰(zhàn)略目標進行檢查，并對其實施的有效性進行審計。

2.一般控制層面的IT審計

一般控制層面的IT審計是為了確保IT系統(tǒng)運行的可持續(xù)性，能夠為應用控制提供支撐，審計對象包含軟硬件平臺、網(wǎng)絡等。財務共享服務模式下集團企業(yè)將財務核算業(yè)務集中，借助移動互聯(lián)網(wǎng)、云計算等信息新技術實現(xiàn)了財務核算流程再造和數(shù)據(jù)的集中存儲，其IT技術風險應當?shù)玫綄徲嬋藛T的重視。財務共享服務模式下一般控制層面的IT審計應當對數(shù)據(jù)安全、基礎設施更新、訪問安全和網(wǎng)絡安全等主要風險點進行審計。

3.應用控制層面的IT審計

應用控制層面的IT審計主要檢查業(yè)務系統(tǒng)層面所設計、執(zhí)行的IT控制是否能夠確保整個系統(tǒng)具有可信性，以及是否能夠完成相關數(shù)據(jù)的產(chǎn)生、記錄、傳遞、處理、分析和報告等功能。財務共享服務模式下集團公司、各分子公司的ERP、HR、OA等其他業(yè)務系統(tǒng)需要和財務共享中心實現(xiàn)數(shù)據(jù)對接與共享，為財務核算系統(tǒng)提供數(shù)據(jù)支撐，其間數(shù)據(jù)的產(chǎn)生、記錄、傳遞、處理、分析和報告都是IT審計的關鍵風險點。財務共享服務模式下應用控制層面的IT審計應當對財務核算流程的設計與實施、業(yè)務系統(tǒng)與財務共享中心的數(shù)據(jù)對接、登錄權限等內(nèi)容進行重點關注。

（二）IT審計程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系統(tǒng)和技術控制目標，是一種用于“IT審計”的知識體系，由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計劃與組織、采購與實施、服務提供與服務支持、監(jiān)督與控制等進行全面考核與認可的業(yè)界標準。由于COBIT 5.0具有普適性，因此財務共享服務模式下的IT審計可以此為基礎構建IT審計流程框架。在大數(shù)據(jù)技術背景下基于財務共享服務模式的IT架構與傳統(tǒng)IT架構有所區(qū)別，在構建IT審計流程框架時應當充分考慮到這一點。

財務共享服務模式下的IT審計流程框架包含IT審計指南和IT審計流程兩部分。其中IT指南是參考COBIT 5.0得出的IT審計標準，在IT審計過程中起著指導作用，包含關鍵審計因素、流程能力模型、風險控制模型、IT技術可信評估和IT審計知識庫等內(nèi)容。IT審計流程則包含制定審計目標、風險評估、制定審計計劃、設計審計程序、執(zhí)行審計程序和出具審計報告六個流程，如圖2所示。

（三）IT審計數(shù)據(jù)流程框架

在財務共享服務模式的IT審計中，審計大數(shù)據(jù)的產(chǎn)生、傳遞、處理和分析貫穿整個審計過程。為了充分利用大數(shù)據(jù)技術提高審計效率，審計機構可以歷史數(shù)據(jù)、互聯(lián)網(wǎng)數(shù)據(jù)等組成的大數(shù)據(jù)為基礎構建審計數(shù)據(jù)中心，并建立IT審計知識庫，幫助審計人員進行高效的IT審計。在審計過程中，審計人員可以通過IT審計知識庫中的IT審計知識對審計對象的關鍵風險點進行重點關注，通過大數(shù)據(jù)審計方式對審計對象提供的相關大數(shù)據(jù)進行審計。待審計人員出具審計報告后，可將該審計項目的主要風險點、測試方式以及實質(zhì)性程序等相關審計數(shù)據(jù)反饋到審計數(shù)據(jù)中心以完善IT審計知識庫，形成IT審計的數(shù)據(jù)閉環(huán)，如圖3所示。

三、大數(shù)據(jù)時代基于財務共享服務模式的IT審計流程

大數(shù)據(jù)時代基于財務共享服務模式的IT審計應當是一個包含審計大數(shù)據(jù)產(chǎn)生、傳遞、歸集和使用的閉環(huán)系統(tǒng)，在審計過程中應當由IT審計指南對IT審計的計劃、實施進行指導。

（一）制定審計目標

審計人員在進行財務共享服務模式下的IT審計時，應當充分考慮該模式下的特點，結合財務共享的IT戰(zhàn)略規(guī)劃，明確審計的時間、目標和范圍。集團企業(yè)建立財務共享服務模式的戰(zhàn)略目標為降低財務核算成本，為了實現(xiàn)該目標，其IT架構應當滿足技術可信、內(nèi)部控制有效、數(shù)據(jù)平臺安全等基本要求，也是財務共享服務模式下IT審計的主要目標。在不同性質(zhì)的IT審計中，審計人員可以按照實際的審計需求選擇不同的側(cè)重點來制定滿足實際需要的審計目標。例如內(nèi)部審計中，審計人員進行IT審計時更多地關心財務共享服務模式下的應用控制制度建設是否合理、是否得到有效實施；社會審計中，審計人員進行IT審計時則更加在意通過財務共享服務模式是否能夠提供真實可靠的財務信息。

（二）風險評估

財務共享服務模式的IT架構相較于傳統(tǒng)IT更多地使用了大數(shù)據(jù)、云計算等技術，因此財務共享服務模式下IT審計的審計風險與以往所有差別，例如審計人員在IT技術層面可能無法對IT技術風險有足夠的了解，可以通過權威的第三方IT咨詢機構獲取該審計項目中財務共享下IT技術的評估報告，即IT審計指南中的IT技術可信評估。除了IT技術風險外，審計人員還應當充分考慮財務共享服務模式下獨特的審計環(huán)境，結合財務共享服務模式下的業(yè)務流程再造，對財務共享中心內(nèi)部控制制度建設情況進行評估，得出可能的其他審計風險以及風險發(fā)生的可能性，通過建立二維風險矩陣的方式對風險進行定性和定量的評估。

（三）制定審計計劃

根據(jù)風險評估的結果，在考慮企業(yè)IT管理框架、人力資源配置等因素的基礎上，審計人員應當充分結合財務共享服務模式下財務處理流程標準化程度高、業(yè)務量飽和以及財務核算成本低等特點，分別制定總體審計計劃和具體審計計劃，包括確定審計目的、審計范圍、人力調(diào)配以及審計策略等內(nèi)容。需要注意的是，財務共享服務模式下運用了大數(shù)據(jù)技術，傳統(tǒng)審計手段很難進行有效的IT審計，應當在審計計劃中明確使用大數(shù)據(jù)審計等審計手段。

（四）設計審計程序

財務共享服務模式下的IT審計程序包含IT管理層控制、IT一般控制和IT應用控制三部分。大數(shù)據(jù)技術在該步驟得到廣泛運用，審計人員可以通過大數(shù)據(jù)爬蟲獲取互聯(lián)網(wǎng)數(shù)據(jù)，從財務共享數(shù)據(jù)中心獲取集團大數(shù)據(jù)，然后使用數(shù)據(jù)驅(qū)動測試、數(shù)據(jù)挖掘、數(shù)據(jù)多維分析等方法對大數(shù)據(jù)進行分析，實施審計程序。同時，審計人員也可以使用IT審計知識庫比對其他財務共享IT審計項目，輔助確定IT審計中的主要風險點。

1.IT管理層控制

審計人員在進行IT管理層控制時可以結合COSO內(nèi)部控制框架與財務共享實施情況設計調(diào)查問卷，向分子公司總經(jīng)理、集團財務部員工、財務共享中心負責人等發(fā)放。然后可以根據(jù)問卷結果與財務共享負責人或IT管理層進行訪談，以評價集團企業(yè)在財務共享服務模式下IT管理層控制的有效性。

2.IT一般控制

審計人員在進行IT一般控制時可以采取問卷調(diào)查、訪談、穿行測試等方式，也可以直接通過第三方IT咨詢機構獲取企業(yè)IT技術評估報告，以確認該審計項目中財務共享服務模式數(shù)據(jù)安全、基礎設施更新、訪問安全和網(wǎng)絡安全等主要風險處于可接受范圍內(nèi)，不需要整改。

3.IT應用控制

審計人員在進行IT應用控制時可能更多地會運用大數(shù)據(jù)審計的方法獲取審計證據(jù)，例如對采集到的大數(shù)據(jù)進行清洗后通過SQL查詢、大數(shù)據(jù)挖掘和多維分析等方法尋找審計疑點，或通過黑盒測試法進行數(shù)據(jù)驅(qū)動測試以發(fā)現(xiàn)IT系統(tǒng)運行中存在的問題。除了大數(shù)據(jù)審計的方法外，穿行測試與控制測試也能幫助審計人員找出應用控制設計與執(zhí)行中存在的問題。

（五）執(zhí)行審計程序

按照設計好的審計程序進行下一步工作，審計人員需要結合風險評估結果對財務共享服務模式三個層面進行控制測試，根據(jù)實際需求實施實質(zhì)性程序，通過大數(shù)據(jù)審計、穿行測試等審計手段得出審計證據(jù)，并將從中得出的主要控制風險告之相關人員，記錄測試和交流溝通的結果。

（六）形成審計意見，出具管理層建議

按照得到的審計證據(jù)，結合最初制定的審計目標得出最后的審計結果，并根據(jù)審計結果當中的所發(fā)現(xiàn)的問題向管理層出具審計意見和提供建議，在與管理層進行溝通后取得其對管理建議的相關回復。

出具審計結果后審計人員應當將相關數(shù)據(jù)反饋到IT審計知識庫以形成新的IT審計知識，完成審計大數(shù)據(jù)閉環(huán)。

四、結語

財務共享服務模式的建設需要大數(shù)據(jù)、云計算等技術支撐，但同時也改變了其IT審計的審計環(huán)境。本文基于財務共享服務模式的特點構建了該模式下IT審計的審計流程框架并對其具體流程進行了分析，以期對財務共享服務模式下的IT審計提供理論指導，幫助集團企業(yè)降低或規(guī)避其財務共享服務模式下的IT風險。

【參考文獻】

[1] 王德宇.財務共享服務與企業(yè)管理研究[J].山東社會科學，2015（5）：160-163.

[2] 周常蘭.IT風險控制整合框架的構建——風險控制四維整合框架的引入與擴展[J].經(jīng)濟體制改革，2014（2）：102-106.

[3] 曹立明.論IT審計與會計信息化[J].中國注冊會計師，2012（12）：108-113.

[4] 覃憲姬，陳瑜，佟柱.信息系統(tǒng)審計的透視與思考——基于廣州地鐵審計案例的分析[J].中國內(nèi)部審計，2014（8）：62-69.

[5] 柳芳.基于ERP系統(tǒng)固有風險的IT審計對策[J].中國內(nèi)部審計，2013（12）：67-69.

[6] 李有華.企業(yè)IT審計方法研究及應用[J].中國內(nèi)部審計，2013（10）：63-65.

[7] 程平，白沂，賀灝璁.云會計環(huán)境下基于COBIT標準的大數(shù)據(jù)審計研究[J].會計之友，2016（4）：125-128.

[8] 程平，溫艷好.基于云會計的AIS可信性層次結構模型[J].重慶理工大學學報（社會科學版），2014（2）：24-31.