财务共享模式的内部审计探究.docx

1、财务共享模式的内部审计探究财务共享模式的内部审计探究一、引言 内部审计不仅是内生性的组织内部把握机制的重要环节，而且可以对其他内部把握措施的运行是否有效进行监督和评价，是组织风险管理的核心环节1。随着数据经济时代的到来，风险的内涵与外延发生了变化，内部审计的基础性作业也日益凸显。2021年1月，审计署出台了关于内部审计工作的规定与关于加强内部审计工作业务指导和监督的意见，总书记在同年5月召开的中心审计委员会第一次会议上指出，要加强对内部审计工作的指导和监督。可见，内部审计的作用越来越被重视。实践中，随着信息技术的不断成熟与广泛应用以及集团公司业务进展的需求，财务共享服务模式得到了越来越多集团公

2、司的青睐，很多集团公司渐渐从传统的经营管理模式转向了建立财务共享服务中心，实施财务共享模式。财务共享模式下，集团公司依托信息技术平台，将公司的各级附属部门或组织发生的重复率高、有律可循的事务性业务集中到一个系统平台进行处理，从而降低运营成本，提高效率，最终实现公司的管控目标。财务共享模式的建立是企业内部审计领域的一次重大革新2，为内部审计供应了机遇与挑战。一方面，财务共享模式数据处理的集中化加强了数据传递的精确性与准时性，为内部审计削减了一些简单的数据收集工作。另一方面，财务共享服务模式的技术特性也向内部审计提出了新的挑战。区分于传统的现场审计方式，财务共享模式下接受的是非现场审计3，利用信息

3、平台为内部审计供应相应的数据收集、数据分析等数据服务。如此一来，信息平台所依靠的信息技术的平安风险，以及信息平台采集的初始数据的精确平安就成为影响整个财务共享服务中心内部审计的重中之重，也是财务共享模式内部审计必需解决的问题之一。信息技术风险是财务共享模式下内部审计需要考虑的首要问题，同时借助恰当的信息技术思维实施财务共享模式的内部审计，改进内部审计方法也是财务共享模式内部审计亟待解决的问题。区块链为集团化企业联网内部审计供应了新的机遇，可以解决集团的内部审计面临的风险，改进联网内部审计数据记录和存储方式，提高内部审计工作的效率4。因此，本文将对源于信息技术的风险进行识别，借助区块链技术思维探

4、究财务共享模式的内部审计策略。 二、技术风险视角下的财务共享模式独特性分析 （一）源于信息技术的风险增加。财务共享模式与传统的财务管理模式存在较大差异，其中之一便是信息技术的应用程度。信息技术既为财务共享的实施供应了技术支持，同时又增加了财务共享服务的信息技术风险。信息技术风险是集团公司在运用云计算、互联网等信息技术进行信息处理的过程中产生的各种不确定风险因素，而这些风险因素极有可能对集团公司的战略规划、业务进展等方面产生负面的影响。因此，财务共享模式下源自信息技术的风险问题是内部审计转变思维重点关注的内容。虽然云计算、互联网等技术不断成熟，但是由技术本身带来的网络平安、系统漏洞、数据平安等风

5、险仍旧是用户首要考虑的问题。从工信部披露的网络平安威逼报告中可以看到，用户数据泄露大事多有发生，云计算平台相继发生故障，网络平安漏洞仍旧是网站和系统面临主要的平安威逼之一5。财务共享服务中心依托财务共享平台将整个集团公司的业务财务信息集中存储在服务中心，有利于集团公司进行相应的财务分析、资金管理等集中管理，但是同时也存在着数据平安隐患，一旦消灭问题（如数据外泄），就会造成严峻影响。财务共享模式下的内部审计不能忽视信息技术应用带来的风险隐患，需要对其依托的信息技术进行风险识别。与此同时，传统的审计形式难以适应新兴的财务共享服务模式，企业对内部审计提出了更高的要求2。财务共享模式从组织架构、业务流

6、程等多个方面都有别于传统的财务管理模式，信息技术的应用使得财务人员仅仅具备专业学问已然不能满足财务共享模式下的内部审计要求，缺乏具备信息技术学问、适应信息技术平台审计思维的新型专业内部审计人才，难以有效处理大规模的数据，降低了财务共享模式的优势，同时使得信息技术应用的风险上升。（二）对底层业务数据的真实平安要求更高。财务共享服务中心将集团内部组织结构分散、重复率高的核算业务统一集中到共享中心进行集中处理。这一模式的应用使得整个共享中心对底层数据依靠性更强，对底层数据的真实平安要求更高。一旦各分支机构的底层业务数据的真实性存在问题，那么传递到财务共享中心后财务确认以及后期的财务分析等所依靠的基础

7、数据就是错误的，据此做出的最终决策也难以指导公司战略甚至会消灭严峻的负面结果。尤其是当前移动互联网的广泛应用，催生了众包等分散性极强的虚拟岗位，而越来越多的财务共享服务中心将底层的简洁重复的识别、核对等工作分包给移动终端的个人（包括集团公司内外部），并按件计费。这种模式的应用使得财务共享服务中心对于底层数据的把握提出了更高的要求，同时也增大了数据平安的风险隐患。传统内部审计在现场收集的多为纸质数据，真实性有肯定的保障，数据不简洁被修改，财务共享模式下的内部审计需要处理的几乎均为电子数据，并且后期的电子数据都是系统依据底端的业务单据自动处理得出的，其真实性、精确性需关联底层数据加以验证；同时，被

8、存储在共享平台的电子数据简洁被复制、篡改、删除，数据的平安性与可信任性也存在极大的风险隐患。可见，从技术风险角度来看，财务共享模式下的内部审计必需重视底层数据的真实与平安。综上所述，财务共享模式的实施在给企业管理带来降低成本、提高效率等好处的同时，也带来了信息技术风险隐患。作为企业风险管理体系中第三道防线的内部审计就必需对此进行调整6。 三、财务共享模式的内部审计策略 本文将以信息技术风险的识别与把握、信息技术的应用作为切入点，针对源自信息技术的风险因素与源自底层数据真实平安的风险因素两个方面分析争辩财务共享模式下的内部审计策略。（一）基于信息技术风险的风险识别。财务共享模式依托的信息技术以及

9、会计核算模式都发生了很大的变化，由此产生的风险在辨认和可控性上都变得更简单。因此，财务共享模式下的内部审计实施需要首先了解集团公司的信息技术整体环境，了解信息技术整体环境是对企业信息系统整体管理体系中的相关风险点的识别及应对7。信息技术导致的风险是集团公司实施财务共享内部审计的背景和大环境，是财务共享内部审计实施需关注和解决的首要问题。因此，实施财务共享内部审计必需将信息技术风险的识别作为首要任务。对于信息技术风险的识别，本文认为应首先确定信息技术的风险识别点，然后基于这些风险识别点进行风险识别，最终在风险识别的基础上进行风险评估。1.确定信息技术风险识别点。每一项信息技术都是基于某一个问题的

10、解决思路，归根到底是一种思维，因此都有其自身的技术特点。不同的信息技术其优势、风险点都不尽相同。首先，需要确定财务共享模式应用了哪些信息技术，以此作为信息技术风险识别的总范围。其次，针对每一项信息技术的特点确定其风险点。一般来讲，财务共享模式主要依托了ERP系统、互联网、云计算等信息技术，因此信息技术风险识别范围的第一层次便是ERP系统、互联网、云计算等。然后是针对单一的信息技术分析其风险识别点。如图1所示。2.基于信息技术风险的风险识别。由图1可以看出，不同的信息技术风险点虽然不尽相同，但是也有共同点，比如数据平安风险。因此，在实施风险识别时可以以不同信息技术为分类标准进行识别，也可以依据风

11、险点作为分类标准进行识别，由于不同信息技术的风险点有重叠，所以本文尝试实行其次种方式进行风险识别。（1）基于云服务应用方案的风险识别该风险点主要是针对云计算技术的。在识别云服务应用方案风险时，首先应依据被审计单位的云服务方案，结合被审计单位的软硬件环境分析云服务方案的相关风险。依据云计算的服务类型可以将云计算服务方案分为三种，即基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）。由于每一种服务的技术架构不同，其产生的风险也不尽相同。基础设施即服务（IaaS）主要是为云技术的用户供应软件开发的数据中心、基础设施等硬件资源。由此，其风险主要来源于云技术用户或企业员工非法强占

12、服务项目。平台即服务（PaaS）是将软件研发的平台作为服务供应应用户，其风险来源于平台应用中的数据加密技术。由于软件即服务（SaaS）的实现是通过云端传输应用程序的，因此主要风险来源于在云端打开这些应用程序的多个不同密码。（2）基于云服务供应商的风险识别该风险点主要是针对云计算技术应用过程中涉及的人为因素导致的风险。在使用云计算技术的过程中，全部的服务都由云服务供应商供应，因此云技术用户在肯定程度上与云服务供应商关联在一起，存在源于云服务供应商的风险因素。本文认为这些风险因素主要包括云服务供应商经营管理等带来的连带风险，更换云服务供应商的风险。（二）数据平安、真实的风险因素识别。1.基于数据平

13、安的风险识别。该风险点是云计算技术、互联网技术以及ERP系统共同的风险点，即每一项信息技术都会面临着数据平安的风险隐患。数据平安的风险隐患可以分为客观因素导致的和主观因素导致的。其中，客观因素主要是指的由外界不行抗力等非主观造成的数据平安风险，对于云计算技术而言，不管用户实行的是哪种应用服务模式，云技术用户的数据都存储在云端，面临着云中心由于技术不稳定、外部黑客攻击等而导致的潜在数据平安风险。对于互联网而言，同样面临着黑客、病毒、网络钓鱼等影响数据平安的潜在风险。ERP系统作为一个计算机系统虽然外部显现程度不如云中心、互联网，但是同样面临着软件系统所必需面对的突然断电、病毒侵入、服务器存储故障

14、等影响数据平安的风险。而主观因素主要是指人为有意造成的数据平安风险，这里的人为主要包括集团公司内部或与集团公司共享中心有关联关系的人员。如此说来，主观方面的数据平安风险主要包括云服务供应商内部员工的未授权非法操作、云技术用户内部员工（互联网用户、ERP系统用户）的未授权非法操作等引起的数据平安。2.基于基础数据真实的风险识别。该风险点主要产生于ERP等信息系统。当前的信息系统基于业务发生时产生的业务单据，通过系统定义的业务财务关联关系基本可以实现公司基本业务的业财一体化，即财务核算由系统自动实现。后续流程中的账簿、报表等也是依据信息系统自带的程序或系统功能设置自动猎取系统中的相关数据实时生成的

15、。可见，账簿、报表甚至记账凭证信息的真实性都源于业务单据中信息的真实性。由此，需要识别基础数据真实的潜在风险因素。基础数据真实的潜在风险主要包括基础业务信息的隐匿、虚增以及信息系统后台程序的精确性。（三）基于风险识别的风险评估。第一，编制风险评估表，将识别的风险项目一一列示在风险评估表中，如表1所示。其次，参照各项信息技术以往应用过程中或其他公司应用过程中各风险项目发生风险的阅历数据，以及风险项目本身风险发生的可能性估量各风险项目风险发生的概率，同时结合风险项目风险发生概率的大小以及风险发生对公司产生的影响进行综合评估，确定各个风险项目的权重，最终将权重与概率进行综合并计算，得出每一项的评估风

16、险以及总的评估风险。第三，由于不同的风险项目产生的后果不同，可控程度也不同，因此本文建议同时设置单个风险项目的可接受水平和总体的可接受水平。首先，评估每个风险项目的可控程度、把握风险的成本等，依据以往的阅历或对风险接受的状况为每一个风险项目设定单独的风险可接受水平；其次，将全部的风险项目的可接受水平进行综合，设定一个总体的基于信息技术风险的可接受水平；最终，将单项风险项目、总体风险项目的风险可接受水平与风险评估表中最终计算得出的评估风险进行比较，假如单项风险项目与总体风险项目评估风险均低于可接受水平，可以连续实施内部审计。假如单项风险项目与总体风险项目中的任何一项评估风险超出可接受水平，就需要

17、针对超出可接受水平的风险项目进行深化分析，找出其风险高的缘由，以及该风险能否通过实行相应措施进行把握，该把握措施的实施是否符合成本效益原则。假如风险是可控的，也可以实行相应的措施把握，且把握措施的实施符合成本效益原则，那么可进行相应把握措施的实施，实施完成后对风险进行重新的评估与比较，直至评估风险降至可接受水平之下。（四）基于信息技术风险识别的内部审计策略。传统的内部审计工作大都是发生在经济活动结束之后，即事后审计，且往往接受现场审计的方式，无法实现审计的准时性，导致审计效果大打折扣8。财务共享模式深化地应用了信息技术，对信息技术服务有着极强的依靠性，同时集团业务日益简单、瞬息万变，业务流程以

18、及数据的加工处理、在系统中的传递都要求审计思维和基本理念的转变，在信息技术风险评估的基础上应用现代审计技术与方法便是一个基本的转变9。1.基于云服务应用方案风险的内部审计策略。首先，了解被审计单位选用的云服务应用方案；其次，查阅方案选用之前被审计单位对方案进行调研、评估的相关资料以确定被审计单位是否在选用方案时对方案有足够的生疏并进行了足够的调研、风险评估工作；最终，结合被审计单位选用的方案对其进行风险评估，包括被审计单位选用该方案的可行性、方案本身的风险点、同行或同规模企业方案的选择状况，并将被审计单位选用方案时的相关措施以及实际状况与审计人员的评估结果进行比较。依据比较结果确定下一步审计重

19、点与策略：假如比较结果在可接受范围内，则直接进入下一步审计程序；否则，需要就超过可接受范围的风险点与被审计单位进行商谈，并建议其实施有效的风险把握。2.基于云服务供应商风险的内部审计策略。云计算技术涉及的人为风险主要源于两个方面，即云服务供应商与被审计单位。对于云服务供应商，审计人员应对云服务供应商的经营管理状况，尤其是各种风险的把握状况进行基本的了解与评估，对其经营稳定性、云平台平安把握有效性做出评估。对于被审计单位，即云服务使用者，需要了解被审计单位对于更换云服务供应商有没有提前的备用方案，或是应急处理方案，并进一步评估方案的有效性；针对云平台相关操作人员的职责设置、平安把握等有没有有效的

20、把握制度。假如发觉存在不行控的且不能接受的风险隐患，需要与被审计单位沟通，并建议结合内部把握制度进行合理的调整直至达到风险可控。3.基于底层业务数据真实平安的内部审计策略（1）区块链技术应用于底层业务数据把握的可行性底层业务数据的真实完整是财务共享服务中心的财务分析、价值管理等一系列流程是否有意义的根本所在。也就是说，财务共享服务中心要实现其降低成本、提高管控水公平目标首先要保证底层业务数据的真实完整。从财务角度理解，区块链技术就是一种通过互联网技术实现分布式的账簿记录系统，分布式的技术不是单一地将数据储存在同一服务器，而是由各个终端的参与者同时进行存储，可以对账簿副本进行自动备份，实现数据共

21、享与追踪。通过这种方式也可以有效避开数据被修改。可见，区块链技术为保证底层业务信息的真实性、完整性供应了技术可能性。第一，区块链技术可以提高审计信息的真实性与完整性，降低审计过程中源自数据的风险隐患。区块链技术运用加密式及分布式的存储方式存储各个交易节点的信息，保证了数据的平安性，同时对各分布节点的数据进行备份，使得数据的存储对于中心服务系统的依靠程度大大削减，降低了风险，保证了业务数据的真实性和完整性。其次，区块链技术在每个区块节点上都保存了完整的数据信息，从空间维度上说，有助于降低信息不对称的风险，被授权的审计人员可以摆脱地理位置约束猎取所需的审计数据；从时间维度上说，依据区块链技术的基本

22、原理区块链条上每10分钟会建立一个区块，并盖好时间戳，内部审计人员可以摆脱时间限制对链条上的信息实时审计。从密码学来说，一旦盖好时间戳，理论上这个区块几乎没有被篡改的可能性，内部审计人员可以摆脱信息不对称的限制实时利用链条上的信息进行相应的审计业务。第三，内部审计人员和财务共享服务中心的相关管理者可以自行拟定在区块链条上所要发布和共享的信息，保证了数据的平安性和可获得性，同时内部审计人员可以依据区块链供应的信息随时了解财务共享服务中心的业务状况，并实时地对其实施内部审计，或提出内部把握建议。第四，财务共享模式下，内部审计工作中的数据传输环节过多，可能会对内部审计数据的真实性、完整性还有准时性造

23、成不利影响。而在区块链技术下，每个节点都保存了一套真实完整的账簿副本，内部审计人员可以在任意节点猎取所需审计数据，并依据时间戳追溯历史业务信息或向后延长后续业务信息，验证前后关联的规律关系，提高内部审计的效果与效率。（2）区块链思维的财务共享内部审计区块链的不行篡改、分布式账本、时间戳、网络共识以及可编程等特征与会计和审计对信息质量的要求不谋而合，其必将对会计和审计产生深远的影响，区块链对审计的影响必将导致区块链与审计的融合10。从区块链技术的基本原理可知，区块链的信任来自于底层技术，即用历史信息换得现行的信任。因此，本文认为可以将区块链技术与财务共享模式的内部审计相融合，用以把握底层业务数据

24、的真实平安，同时提高内部审计的效率。财务共享中心的信息输入起点来源于具体的业务，因此它不是孤立的。而实施内部审计时必需要以基础业务作为审计的重要内容，因此，财务共享的内部审计实施不能仅限于财务共享中心，而是需要将与财务共享存在内在联系的基础业务等融入其中。基于上述分析，本文认为基于区块链的财务共享内部审计的基本思路是以财务共享业务流程为主线构建基于流程的区块链条用以把握底层业务基础数据的真实平安，关键点在于区块链条的构建以及规章的制定，具体的实现过程如图2所示。第一，确定基本思路，明确目标。依据集团公司的战略管理目标以及财务共享服务中心的管控目标制定内部审计的目标。集团各分公司的业务信息、财务

25、信息均存储在共享服务中心，并且基本业务信息以区块链的方式进行分布式账本存储，保证了底层基本业务信息的真实完整，因此内部审计目标的重点应是业务流程合理增值。其次，基于区块链思维，在财务共享内部审计的基本实现思路下，建立以财务共享服务中心为审计对象、以财务共享模式下的集团公司以及集团各分公司的基本业务流程为基本链条的区块链，财务共享中心中的分支机构以及内部审计机构或人员作为区块链中的参与者。首先依据公司的业务状况以及财务共享平台的技术实现，梳理出财务共享模式下的基本流程：底层业务发生业务单据审核财务共享结算实施财务确认然后在梳理财务共享模式基本业务流程的基础上构建基于流程交易信息的区块链条，并理顺

26、区块链分链条与业务流程的对应关系。同时依据集团管控目标设计内部审计人员以及集团各个分支机构在财务共享模式下区块链条上的权限。第三，在财务共享的整个链条上，全部的参与者统一制定链条上信息共享规章，并依据发布信息的规章实时进行全链条发布。如图2所示，任一分公司在发生底层业务时建立创世区块，发布初始业务的交易信息，并签名。此时，链条上的参与者均可看到该交易信息的内容，当参与者认可同意之后，该区块被封存，不行篡改。接着，该业务进入下一个流程，即审核流程，由该流程的执行者在上一流程区块的基础上连续建立区块1，发布审核业务的交易信息，并签名。链条上的参与者对该业务信息进行认证，无异议后区块被封存。然后，该

27、业务进入共享结算流程，以此类推需要说明的是，实际交易时，底层业务对应的区块可能会由几个分公司同时发生，而后续财务共享服务中心的业务流程对应的区块也可能会同时进行。第四，区块链联盟中（即财务共享中心）的参与者（包括内部审计人员）均可以发布和共享信息（信息共享程度可以由集团公司财务共享中心的全部分公司共同商量拟定），而区块链联盟以外的无法获得信息。内部审计人员可以利用区块链上的实时信息（区块链上的信息每10分钟会生成一个区块）随时了解各分公司的业务状况，更多地实施以下内部审计策略：（1）将区块链技术与大数据技术结合，基于区块链上的业务信息进行数据综合分析，通过数据分析将数据与业务结合，解析深层缘由

28、；（2）关注业务发生的合理性、业务流程的运行是否合理或者相关的业务流程能不能产生价值增值；（3）从底层初始业务开头业务信息是如何传递的以及如何加工的、业务与财务的融合程度如何以及效果如何；（4）整个业务流程的运行以及区块的建立存储过程中有没有相应的风险以及风险可控不行控等方面。最终依据实时内部审计的具体状况，结合集团公司的内部规章制度提出业务流程再造、内部把握等方面的建议。值得留意的是，假如各分公司期望对集团公司其他分公司和内部审计人员共享不同的信息，那么需要结合具体的技术考虑建立不同的链条，或是针对不同的参与者进行身份识别从而猎取不同的信息内容。综上，一方面基于财务共享中心的区块链实时内部审

29、计可以有效地解决底层业务数据真实性完整性的问题，有利于解决集团公司内部各分公司之间信息不对称导致的不信任问题，也可以提高财务共享中心上各分公司的信息发布与猎取速度，这在数据瞬息万变的大数据时代更有利于提高整个集团公司的运行效率。另一方面，也是尤为重要的是内部审计人员审计思维与审计方法的转变。传统的内部审计会将精力更多地放在对发票、记账凭证等基本业务信息、财务信息的真实性和完整性的验证上，而实施了基于区块链的财务共享模式内部审计，内部审计人员可以实时地了解集团各分公司的业务状况，将更多的精力投入到实时地发觉业务流程、内部把握等方面的问题、识别各种风险，并提出有效的建议，从而更好地提高内部审计的效

30、率，实现财务共享的管控目标。 四、结论 信息技术广泛深化应用的大数据环境下，传统的内部审计模式已经捉襟见肘，不能适应信息化的进展趋势。财务共享模式的推广应用尤其是信息技术应用带来的潜在风险为内部审计提出了新的挑战，但同时也为内部审计的转型带来了新的机遇。本文从信息技术风险因素的角度分析了财务共享模式的两个特点：源于信息技术的风险增加、对底层业务数据的真实性和平安性要求更高。然后针对两个方面的问题提出了相应的审计策略：通过确定信息技术的风险识别点、基于这些风险识别点进行风险识别、在风险识别的基础上进行风险评估三个步骤实施基于信息技术风险的风险识别；将区块链技术应用于财务共享模式的内部审计，提出基于区块链的财务共享内部审计策略。 【