大数据时代基于财务共享服务模式的IT审计

程平+白沂

【摘 要】 财务共享服务模式受到了许多大型集团企业的重视，并得到了广泛运用。有效的IT审计可以帮助集团企业预防和规避财务共享服务模式带来的IT风险。在分析大数据时代财务共享服务模式下IT审计特征的基础上，构建了基于财务共享服务模式的IT审计流程框架，并分析了具体的审计流程，以期为财务共享服务模式下的IT审计提供理论指导。

【关键词】 IT审计； 财务共享服务模式； 大数据； 云会计

【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937（2016）24-0128-04

一、引言

财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式，目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值，其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下，集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来，统一交给财务共享中心进行处理[1]，实现了业务处理、数据存储的集中，同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”，包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险，依托大数据、云计算等信息新技术，通过对大数据进行采集、处理、分析以发现问题。

IT审计一直受到诸多学者的重视，曹立明[3]分析了IT审计本质、目标与方法，认为IT审计是会计信息化的内在要求，并对会计信息化IT审计的目标、内容和实施条件进行分析，最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例，在分析了广州地铁信息系统审计现状的基础上，构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手，对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险，并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。

综观上述文献，大多数文献都基于传统信息系统，并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代，财务共享服务模式成为大型集团企业的首要选择，其IT架构更多地运用到云计算技术，并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计，从数据的角度发现疑点，以减轻审计工作量，提高审计工作效率。有鉴于此，本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析，梳理其数据流程，在此基础上构建IT审计框架模型，并对其实施流程进行阐述。

二、大数据时代基于财务共享服务模式的IT审计框架

（一）财务共享服务模式下IT审计的特征分析

一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6]，审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征，其IT审计范围如图1所示。同时，三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。

1.组织层面的IT审计

组织层面的IT审计主要检查财务共享IT架构的设计是否合理，以及是否得到有效实施，其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰，即降低财务核算成本，其IT战略规划应当以实现该目标为前提，并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查，并对其实施的有效性进行审计。

2.一般控制层面的IT审计

一般控制层面的IT审计是为了确保IT系统运行的可持续性，能够为应用控制提供支撑，审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中，借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储，其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。

3.应用控制层面的IT审计

应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性，以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享，为财务核算系统提供数据支撑，其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。

（二）IT审计程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系统和技术控制目标，是一种用于“IT审计”的知识体系，由美国信息系统审计与控制协会（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性，因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别，在构建IT审计流程框架时应当充分考虑到这一点。

财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准，在IT审计过程中起着指导作用，包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程，如图2所示。

（三）IT审计数据流程框架

在财务共享服务模式的IT审计中，审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率，审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心，并建立IT审计知识库，帮助审计人员进行高效的IT审计。在审计过程中，审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注，通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后，可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库，形成IT审计的数据闭环，如图3所示。

三、大数据时代基于财务共享服务模式的IT审计流程

大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统，在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。

（一）制定审计目标

审计人员在进行财务共享服务模式下的IT审计时，应当充分考虑该模式下的特点，结合财务共享的IT战略规划，明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本，为了实现该目标，其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求，也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中，审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中，审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施；社会审计中，审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。

（二）风险评估

财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术，因此财务共享服务模式下IT审计的审计风险与以往所有差别，例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解，可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告，即IT审计指南中的IT技术可信评估。除了IT技术风险外，审计人员还应当充分考虑财务共享服务模式下独特的审计环境，结合财务共享服务模式下的业务流程再造，对财务共享中心内部控制制度建设情况进行评估，得出可能的其他审计风险以及风险发生的可能性，通过建立二维风险矩阵的方式对风险进行定性和定量的评估。

（三）制定审计计划

根据风险评估的结果，在考虑企业IT管理框架、人力资源配置等因素的基础上，审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点，分别制定总体审计计划和具体审计计划，包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是，财务共享服务模式下运用了大数据技术，传统审计手段很难进行有效的IT审计，应当在审计计划中明确使用大数据审计等审计手段。

（四）设计审计程序

财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用，审计人员可以通过大数据爬虫获取互联网数据，从财务共享数据中心获取集团大数据，然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析，实施审计程序。同时，审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目，辅助确定IT审计中的主要风险点。

1.IT管理层控制

审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷，向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈，以评价集团企业在财务共享服务模式下IT管理层控制的有效性。

2.IT一般控制

审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式，也可以直接通过第三方IT咨询机构获取企业IT技术评估报告，以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内，不需要整改。

3.IT应用控制

审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据，例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点，或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外，穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。

（五）执行审计程序

按照设计好的审计程序进行下一步工作，审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试，根据实际需求实施实质性程序，通过大数据审计、穿行测试等审计手段得出审计证据，并将从中得出的主要控制风险告之相关人员，记录测试和交流沟通的结果。

（六）形成审计意见，出具管理层建议

按照得到的审计证据，结合最初制定的审计目标得出最后的审计结果，并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议，在与管理层进行沟通后取得其对管理建议的相关回复。

出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识，完成审计大数据闭环。

四、结语

财务共享服务模式的建设需要大数据、云计算等技术支撑，但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析，以期对财务共享服务模式下的IT审计提供理论指导，帮助集团企业降低或规避其财务共享服务模式下的IT风险。

【参考文献】

[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学，2015（5）：160-163.

[2] 周常兰.IT风险控制整合框架的构建——风险控制四维整合框架的引入与扩展[J].经济体制改革，2014（2）：102-106.

[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师，2012（12）：108-113.

[4] 覃宪姬，陈瑜，佟柱.信息系统审计的透视与思考——基于广州地铁审计案例的分析[J].中国内部审计，2014（8）：62-69.

[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计，2013（12）：67-69.

[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计，2013（10）：63-65.

[7] 程平，白沂，贺灏璁.云会计环境下基于COBIT标准的大数据审计研究[J].会计之友，2016（4）：125-128.

[8] 程平，温艳好.基于云会计的AIS可信性层次结构模型[J].重庆理工大学学报（社会科学版），2014（2）：24-31.