财务共享模式的内部审计研究

2022.09.17

丁淑芹李姿含

【摘要】财务共享模式在实务界的应用日益广泛、深入，财务共享模式下的内部审计问题也受到了越来越多的关注。文章立足信息技术风险分析了财务共享模式内部审计的独特性——源于信息技术的风险增加、对底层业务数据的真实安全要求更高。然后从信息技术风险识别角度提出信息技术风险识别的三个基本步骤：确定信息技术的风险识别点，基于风险识别点进行风险识别，在风险识别的基础上进行风险评估。从信息技术应用视角提出基于区块链的财务共享模式内部审计策略：确定基本思路，明确目标;建立以业务流程为基本链条的区块链;所有的参与者统一制定规则，并实时进行全链条发布;内部审计人员利用区块链上的实时信息实施内部审计策略。

【关键词】财务共享; 内部审计; 风险识别; 区块链

【中图分类号】 F234.3? 【文献标识码】 A? 【文章编号】 1004-5937（2020）20-0015-06

一、引言

内部审计不仅是内生性的组织内部控制机制的重要环节，而且可以对其他内部控制措施的运行是否有效进行监督和评价，是组织风险管理的核心环节[1]。随着数据经济时代的到来，风险的内涵与外延发生了变化，内部审计的基础性作业也日益凸显。2018年1月，审计署出台了《关于内部审计工作的规定》与《关于加强内部审计工作业务指导和监督的意见》，习近平总书记在同年5月召开的中央审计委员会第一次会议上指出，要加强对内部审计工作的指导和监督。可见，内部审计的作用越来越被重视。实践中，随着信息技术的不断成熟与广泛应用以及集团公司业务发展的需求，财务共享服务模式得到了越来越多集团公司的青睐，许多集团公司逐渐从传统的经营管理模式转向了建立财务共享服务中心，实施财务共享模式。财务共享模式下，集团公司依托信息技术平台，将公司的各级附属部门或组织发生的重复率高、有律可循的事务性业务集中到一个系统平台进行处理，从而降低运营成本，提高效率，最终实现公司的管控目标。财务共享模式的建立是企业内部审计领域的一次重大革新[2]，为内部审计提供了机遇与挑战。一方面，财务共享模式数据处理的集中化加强了数据传递的准确性与及时性，为内部审计减少了一些复杂的数据收集工作。另一方面，财务共享服务模式的技术特性也向内部审计提出了新的挑战。区别于传统的现场审计方式，财务共享模式下采用的是非现场审计[3]，利用信息平台为内部审计提供相应的数据收集、数据分析等数据服务。如此一来，信息平台所依赖的信息技术的安全风险，以及信息平台采集的初始数据的准确安全就成为影响整个财务共享服务中心内部审计的重中之重，也是财务共享模式内部审计必须解决的问题之一。信息技术风险是财务共享模式下内部审计需要考虑的首要问题，同时借助恰当的信息技术思维实施财务共享模式的内部审计，改进内部审计方法也是财务共享模式内部审计亟待解决的问题。区块链为集团化企业联网内部审计提供了新的机遇，可以解决集团的内部审计面临的风险，改进联网内部审计数据记录和存储方式，提高内部审计工作的效率[4]。因此，本文将對源于信息技术的风险进行识别，借助区块链技术思维探索财务共享模式的内部审计策略。

二、技术风险视角下的财务共享模式独特性分析

（一）源于信息技术的风险增加

财务共享模式与传统的财务管理模式存在较大差异，其中之一便是信息技术的应用程度。信息技术既为财务共享的实施提供了技术支持，同时又增加了财务共享服务的信息技术风险。信息技术风险是集团公司在运用云计算、互联网等信息技术进行信息处理的过程中产生的各种不确定风险因素，而这些风险因素极有可能对集团公司的战略规划、业务发展等方面产生负面的影响。因此，财务共享模式下源自信息技术的风险问题是内部审计转变思维重点关注的内容。虽然云计算、互联网等技术不断成熟，但是由技术本身带来的网络安全、系统漏洞、数据安全等风险仍然是用户首要考虑的问题。从工信部披露的网络安全威胁报告中可以看到，用户数据泄露事件多有发生，云计算平台相继发生故障，网络安全漏洞仍然是网站和系统面临主要的安全威胁之一[5]。财务共享服务中心依托财务共享平台将整个集团公司的业务财务信息集中存储在服务中心，有利于集团公司进行相应的财务分析、资金管理等集中管理，但是同时也存在着数据安全隐患，一旦出现问题（如数据外泄），就会造成严重影响。财务共享模式下的内部审计不能忽视信息技术应用带来的风险隐患，需要对其依托的信息技术进行风险识别。

与此同时，传统的审计形式难以适应新兴的财务共享服务模式，企业对内部审计提出了更高的要求[2]。财务共享模式从组织架构、业务流程等多个方面都有别于传统的财务管理模式，信息技术的应用使得财务人员仅仅具备专业知识已然不能满足财务共享模式下的内部审计要求，缺乏具备信息技术知识、适应信息技术平台审计思维的新型专业内部审计人才，难以有效处理大规模的数据，降低了财务共享模式的优势，同时使得信息技术应用的风险上升。

（二）对底层业务数据的真实安全要求更高

财务共享服务中心将集团内部组织结构分散、重复率高的核算业务统一集中到共享中心进行集中处理。这一模式的应用使得整个共享中心对底层数据依赖性更强，对底层数据的真实安全要求更高。一旦各分支机构的底层业务数据的真实性存在问题，那么传递到财务共享中心后财务确认以及后期的财务分析等所依赖的基础数据就是错误的，据此做出的最终决策也难以指导公司战略甚至会出现严重的负面结果。尤其是当前移动互联网的广泛应用，催生了众包等分散性极强的虚拟岗位，而越来越多的财务共享服务中心将底层的简单重复的识别、核对等工作分包给移动终端的个人（包括集团公司内外部），并按件计费。这种模式的应用使得财务共享服务中心对于底层数据的控制提出了更高的要求，同时也增大了数据安全的风险隐患。传统内部审计在现场收集的多为纸质数据，真实性有一定的保障，数据不容易被修改，财务共享模式下的内部审计需要处理的几乎均为电子数据，并且后期的电子数据都是系统依据底端的业务单据自动处理得出的，其真实性、准确性需关联底层数据加以验证;同时，被存储在共享平台的电子数据容易被复制、篡改、删除，数据的安全性与可信任性也存在极大的风险隐患。可见，从技术风险角度来看，财务共享模式下的内部审计必须重视底层数据的真实与安全。

综上所述，财务共享模式的实施在给企业管理带来降低成本、提高效率等好处的同时，也带来了信息技术风险隐患。作为企业风险管理体系中第三道防线的内部审计就必须对此进行调整[6]。

三、财务共享模式的内部审计策略

本文将以信息技术风险的识别与控制、信息技术的应用作为切入点，针对源自信息技术的风险因素与源自底层数据真实安全的风险因素两个方面分析讨论财务共享模式下的内部审计策略。

（一）基于信息技术风险的风险识别

财务共享模式依托的信息技术以及会计核算模式都发生了很大的变化，由此产生的风险在辨认和可控性上都变得更复杂。因此，财务共享模式下的内部审计实施需要首先了解集团公司的信息技术整体环境，了解信息技术整体环境是对企业信息系统整体管理体系中的相关风险点的识别及应对[7]。信息技术导致的风险是集团公司实施财务共享内部审计的背景和大环境，是财务共享内部审计实施需关注和解决的首要问题。因此，实施财务共享内部审计必须将信息技术风险的识别作为首要任务。对于信息技术风险的识别，本文认为应首先确定信息技术的风险识别点，然后基于这些风险识别点进行风险识别，最后在风险识别的基础上进行风险评估。

1.确定信息技术风险识别点

每一项信息技术都是基于某一个问题的解决思路，归根到底是一种思维，因此都有其自身的技术特点。不同的信息技术其优势、风险点都不尽相同。首先，需要确定财务共享模式应用了哪些信息技术，以此作为信息技术风险识别的总范围。其次，针对每一项信息技术的特点确定其风险点。

一般来讲，财务共享模式主要依托了ERP系统、互联网、云计算等信息技术，因此信息技术风险识别范围的第一层次便是ERP系统、互联网、云计算等。然后是针对单一的信息技术分析其风险识别点。如图1所示。

2.基于信息技术风险的风险识別

由图1可以看出，不同的信息技术风险点虽然不尽相同，但是也有共同点，比如数据安全风险。因此，在实施风险识别时可以以不同信息技术为分类标准进行识别，也可以按照风险点作为分类标准进行识别，因为不同信息技术的风险点有重叠，所以本文尝试采取第二种方式进行风险识别。

（1）基于云服务应用方案的风险识别

该风险点主要是针对云计算技术的。在识别云服务应用方案风险时，首先应根据被审计单位的云服务方案，结合被审计单位的软硬件环境分析云服务方案的相关风险。根据云计算的服务类型可以将云计算服务方案分为三种，即基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）。由于每一种服务的技术架构不同，其产生的风险也不尽相同。基础设施即服务（IaaS）主要是为云技术的用户提供软件开发的数据中心、基础设施等硬件资源。由此，其风险主要来源于云技术用户或企业员工非法强占服务项目。平台即服务（PaaS）是将软件研发的平台作为服务提供给用户，其风险来源于平台应用中的数据加密技术。由于软件即服务（SaaS）的实现是通过云端传输应用程序的，因此主要风险来源于在云端打开这些应用程序的多个不同密码。

（2）基于云服务提供商的风险识别

该风险点主要是针对云计算技术应用过程中涉及的人为因素导致的风险。在使用云计算技术的过程中，所有的服务都由云服务提供商提供，因此云技术用户在一定程度上与云服务提供商关联在一起，存在源于云服务提供商的风险因素。本文认为这些风险因素主要包括云服务提供商经营管理等带来的连带风险，更换云服务提供商的风险。

（二）数据安全、真实的风险因素识别

1.基于数据安全的风险识别

该风险点是云计算技术、互联网技术以及ERP系统共同的风险点，即每一项信息技术都会面临着数据安全的风险隐患。数据安全的风险隐患可以分为客观因素导致的和主观因素导致的。其中，客观因素主要是指的由外界不可抗力等非主观造成的数据安全风险，对于云计算技术而言，不管用户采取的是哪种应用服务模式，云技术用户的数据都存储在云端，面临着云中心因为技术不稳定、外部黑客攻击等而导致的潜在数据安全风险。对于互联网而言，同样面临着黑客、病毒、网络钓鱼等影响数据安全的潜在风险。ERP系统作为一个计算机系统虽然外部显现程度不如云中心、互联网，但是同样面临着软件系统所必须面对的突然断电、病毒侵入、服务器存储故障等影响数据安全的风险。而主观因素主要是指人为故意造成的数据安全风险，这里的人为主要包括集团公司内部或与集团公司共享中心有关联关系的人员。如此说来，主观方面的数据安全风险主要包括云服务提供商内部员工的未授权非法操作、云技术用户内部员工（互联网用户、ERP系统用户）的未授权非法操作等引起的数据安全。

2.基于基础数据真实的风险识别

该风险点主要产生于ERP等信息系统。当前的信息系统基于业务发生时产生的业务单据，通过系统定义的业务财务关联关系基本可以实现公司基本业务的业财一体化，即财务核算由系统自动实现。后续流程中的账簿、报表等也是根据信息系统自带的程序或系统功能设置自动获取系统中的相关数据实时生成的。可见，账簿、报表甚至记账凭证信息的真实性都源于业务单据中信息的真实性。由此，需要识别基础数据真实的潜在风险因素。基础数据真实的潜在风险主要包括基础业务信息的隐匿、虚增以及信息系统后台程序的准确性。

（三）基于风险识别的风险评估

第一，编制风险评估表，将识别的风险项目一一列示在风险评估表中，如表1所示。

第二，参照各项信息技术以往应用过程中或其他公司应用过程中各风险项目发生风险的经验数据，以及风险项目本身风险发生的可能性估计各风险项目风险发生的概率，同时结合风险项目风险发生概率的大小以及风险发生对公司产生的影响进行综合评估，确定各个风险项目的权重，最后将权重与概率进行综合并计算，得出每一项的评估风险以及总的评估风险。

第三，因为不同的风险项目产生的后果不同，可控程度也不同，因此本文建议同时设置单个风险项目的可接受水平和总体的可接受水平。首先，评估每个风险项目的可控程度、控制风险的成本等，根据以往的经验或对风险接受的情况为每一个风险项目设定单独的风险可接受水平;其次，将所有的风险项目的可接受水平进行综合，设定一个总体的基于信息技术风险的可接受水平;最后，将单项风险项目、总体风险项目的风险可接受水平与风险评估表中最终计算得出的评估风险进行比较，如果单项风险项目与总体风险项目评估风险均低于可接受水平，可以继续实施内部审计。如果单项风险项目与总体风险项目中的任何一项评估风险超出可接受水平，就需要针对超出可接受水平的风险项目进行深入分析，找出其风险高的原因，以及该风险能否通过采取相应措施进行控制，该控制措施的实施是否符合成本效益原则。如果风险是可控的，也可以采取相应的措施控制，且控制措施的实施符合成本效益原则，那么可进行相应控制措施的实施，实施完成后对风险进行重新的评估与比较，直至评估风险降至可接受水平之下。

（四）基于信息技术风险识别的内部审计策略

传统的内部审计工作大都是发生在经济活动结束之后，即事后审计，且往往采用现场审计的方式，无法实现审计的及时性，导致审计效果大打折扣[8]。财务共享模式深入地应用了信息技术，对信息技术服务有着极强的依赖性，同时集团业务日益复杂、瞬息万变，业务流程以及数据的加工处理、在系统中的传递都要求审计思维和基本理念的转变，在信息技术风险评估的基础上应用现代审计技术与方法便是一个基本的转变[9]。

1.基于云服务应用方案风险的内部审计策略

首先，了解被审计单位选用的云服务应用方案;其次，查阅方案选用之前被审计单位对方案进行调研、评估的相关资料以确定被审计单位是否在选用方案时对方案有足够的认识并进行了足够的调研、风险评估工作;最后，结合被审计单位选用的方案对其进行风险评估，包括被审计单位选用该方案的可行性、方案本身的风险点、同行或同规模企业方案的选择情况，并将被审计单位选用方案时的相關措施以及实际情况与审计人员的评估结果进行比较。根据比较结果确定下一步审计重点与策略：如果比较结果在可接受范围内，则直接进入下一步审计程序;否则，需要就超过可接受范围的风险点与被审计单位进行商谈，并建议其实施有效的风险控制。

2.基于云服务提供商风险的内部审计策略

云计算技术涉及的人为风险主要源于两个方面，即云服务提供商与被审计单位。对于云服务提供商，审计人员应对云服务提供商的经营管理情况，尤其是各种风险的控制情况进行基本的了解与评估，对其经营稳定性、云平台安全控制有效性做出评估。对于被审计单位，即云服务使用者，需要了解被审计单位对于更换云服务提供商有没有提前的备用方案，或是应急处理方案，并进一步评估方案的有效性;针对云平台相关操作人员的职责设置、安全控制等有没有有效的控制制度。如果发现存在不可控的且不能接受的风险隐患，需要与被审计单位沟通，并建议结合内部控制制度进行合理的调整直至达到风险可控。

3.基于底层业务数据真实安全的内部审计策略

（1）区块链技术应用于底层业务数据控制的可行性

底层业务数据的真实完整是财务共享服务中心的财务分析、价值管理等一系列流程是否有意义的根本所在。也就是说，财务共享服务中心要实现其降低成本、提高管控水平等目标首先要保证底层业务数据的真实完整。从财务角度理解，区块链技术就是一种通过互联网技术实现分布式的账簿记录系统，分布式的技术不是单一地将数据储存在同一服务器，而是由各个终端的参与者同时进行存储，可以对账簿副本进行自动备份，实现数据共享与追踪。通过这种方式也可以有效避免数据被修改。可见，区块链技术为保证底层业务信息的真实性、完整性提供了技术可能性。

第一，区块链技术可以提高审计信息的真实性与完整性，降低审计过程中源自数据的风险隐患。区块链技术运用加密式及分布式的存储方式存储各个交易节点的信息，保证了数据的安全性，同时对各分布节点的数据进行备份，使得数据的存储对于中央服务系统的依赖程度大大减少，降低了风险，保证了业务数据的真实性和完整性。

第二，区块链技术在每个区块节点上都保存了完整的数据信息，从空间维度上说，有助于降低信息不对称的风险，被授权的审计人员可以摆脱地理位置约束获取所需的审计数据;从时间维度上说，根据区块链技术的基本原理区块链条上每10分钟会建立一个区块，并盖好时间戳，内部审计人员可以摆脱时间限制对链条上的信息实时审计。从密码学来说，一旦盖好时间戳，理论上这个区块几乎没有被篡改的可能性，内部审计人员可以摆脱信息不对称的限制实时利用链条上的信息进行相应的审计业务。

第三，内部审计人员和财务共享服务中心的相关管理者可以自行拟定在区块链条上所要发布和分享的信息，保证了数据的安全性和可获得性，同时内部审计人员可以根据区块链提供的信息随时了解财务共享服务中心的业务情况，并实时地对其实施内部审计，或提出内部控制建议。

第四，财务共享模式下，内部审计工作中的数据传输环节过多，可能会对内部审计数据的真实性、完整性还有及时性造成不利影响。而在区块链技术下，每个节点都保存了一套真实完整的账簿副本，内部审计人员可以在任意节点获取所需审计数据，并根据时间戳追溯历史业务信息或向后延伸后续业务信息，验证前后关联的逻辑关系，提高内部审计的效果与效率。

（2）区块链思维的财务共享内部审计

区块链的不可篡改、分布式账本、时间戳、网络共识以及可编程等特征与会计和审计对信息质量的要求不谋而合，其必将对会计和审计产生深远的影响，区块链对审计的影响必将导致区块链与审计的融合[10]。从区块链技术的基本原理可知，区块链的信任来自于底层技术，即用历史信息换得现行的信任。因此，本文认为可以将区块链技术与财务共享模式的内部审计相融合，用以控制底层业务数据的真实安全，同时提高内部审计的效率。财务共享中心的信息输入起点来源于具体的业务，因此它不是孤立的。而实施内部审计时必须要以基础业务作为审计的重要内容，因此，财务共享的内部审计实施不能仅限于财务共享中心，而是需要将与财务共享存在内在联系的基础业务等融入其中。基于上述分析，本文认为基于区块链的财务共享内部审计的基本思路是以财务共享业务流程为主线构建基于流程的区块链条用以控制底层业务基础数据的真实安全，关键点在于区块链条的构建以及规则的制定，具体的实现过程如图2所示。

第一，确定基本思路，明确目标。根据集团公司的战略管理目标以及财务共享服务中心的管控目标制定内部审计的目标。集团各分公司的业务信息、财务信息均存储在共享服务中心，并且基本业务信息以区块链的方式进行分布式账本存储，保证了底层基本业务信息的真实完整，因此内部审计目标的重点应是业务流程合理增值。

第二，基于区块链思维，在财务共享内部审计的基本实现思路下，建立以财务共享服务中心为审计对象、以财务共享模式下的集团公司以及集团各分公司的基本业务流程为基本链条的区块链，财务共享中心中的分支机构以及内部审计机构或人员作为区块链中的参与者。首先根据公司的业务情况以及财务共享平台的技术实现，梳理出财务共享模式下的基本流程：底层业务发生→业务单据审核→财务共享结算→实施财务确认……然后在梳理财务共享模式基本业务流程的基础上构建基于流程交易信息的区块链条，并理顺区块链分链条与业务流程的对应关系。同时根据集团管控目标设计内部审计人员以及集团各个分支机构在财务共享模式下区块链条上的权限。

第三，在财务共享的整个链条上，所有的参与者统一制定链条上信息共享规则，并按照发布信息的规则实时进行全链条发布。如图2所示，任一分公司在发生底层业务时建立创世区块，发布初始业务的交易信息，并签名。此时，链条上的参与者均可看到该交易信息的内容，当参与者认可同意之后，该区块被封存，不可篡改。接着，该业务进入下一个流程，即审核流程，由该流程的执行者在上一流程区块的基础上继续建立区块1，发布审核业务的交易信息，并签名。链条上的参与者对该业务信息进行认证，无异议后区块被封存。然后，该业务进入共享结算流程，以此类推……需要说明的是，实际交易时，底层业务对应的区块可能会由几个分公司同时发生，而后续财务共享服务中心的业务流程对应的区块也可能会同时进行。

第四，区块链联盟中（即财务共享中心）的参与者（包括内部审计人员）均可以发布和分享信息（信息分享程度可以由集团公司财务共享中心的所有分公司共同商量拟定），而区块链联盟以外的无法获得信息。内部审计人员可以利用区块链上的实时信息（区块链上的信息每10分钟会生成一个区块）随时了解各分公司的业务情况，更多地实施以下内部审计策略：（1）将区块链技术与大数据技术结合，基于区块链上的业务信息进行数据综合分析，通过数据分析将数据与业务结合，解析深层原因;（2）关注业务发生的合理性、业务流程的运行是否合理或者相关的业务流程能不能产生价值增值;（3）从底层初始业务开始业务信息是如何传递的以及如何加工的、业务与财务的融合程度如何以及效果如何;（4）整个业务流程的运行以及区块的建立存储过程中有没有相应的风险以及风险可控不可控等方面。最终根据实时内部审计的具体情况，结合集团公司的内部规章制度提出业务流程再造、内部控制等方面的建议。值得注意的是，如果各分公司希望对集团公司其他分公司和内部审计人员分享不同的信息，那么需要结合具体的技术考虑建立不同的链条，或是针对不同的参与者进行身份识别从而获取不同的信息内容。

综上，一方面基于财务共享中心的区块链实时内部审计可以有效地解决底层业务数据真实性完整性的问题，有利于解决集团公司内部各分公司之间信息不对称导致的不信任问题，也可以提高财务共享中心上各分公司的信息发布与获取速度，这在数据瞬息万变的大数据时代更有利于提高整个集团公司的运行效率。另一方面，也是尤为重要的是内部审计人员审计思维与审计方法的转变。传统的内部审计会将精力更多地放在对发票、记账凭证等基本业务信息、财务信息的真实性和完整性的验证上，而实施了基于区块链的财务共享模式内部审计，内部审计人员可以实时地了解集团各分公司的业务情况，将更多的精力投入到实时地发现业务流程、内部控制等方面的问题、识别各种风险，并提出有效的建议，从而更好地提高内部审计的效率，实现财务共享的管控目标。

四、结论

信息技术广泛深入应用的大数据环境下，传统的内部审计模式已经捉襟见肘，不能适应信息化的发展趋势。财务共享模式的推广应用尤其是信息技术应用带来的潜在风险为内部审计提出了新的挑战，但同时也为内部审计的转型带来了新的机遇。本文从信息技术风险因素的角度分析了財务共享模式的两个特点：源于信息技术的风险增加、对底层业务数据的真实性和安全性要求更高。然后针对两个方面的问题提出了相应的审计策略：通过确定信息技术的风险识别点、基于这些风险识别点进行风险识别、在风险识别的基础上进行风险评估三个步骤实施基于信息技术风险的风险识别;将区块链技术应用于财务共享模式的内部审计，提出基于区块链的财务共享内部审计策略。

【参考文献】

[1] 张静，庞文群.内部审计在审计监督体系中的基础性作用[J].财会月刊，2019（5）：114-118.

[2] 冯洁霏，韩婀娜，朱正根.财务共享服务模式下的内部审计研究[J].天津农学院学报，2018，25（2）：89-92.

[3] 张庆龙.财务共享服务中心视野中的内部审计职能[J].中国注册会计师，2012（9）：51-55.

[4] 陈元媛.区块链改进集团化企业联网内部审计研究[J].工业经济论坛，2017（4）：67-71.

[5] 2018年第三季度网络安全威胁态势分析与工作综述[EB/OL].工业和信息化部，2018-12-03.

[6] 崔松，张宏.基于财务共享服务的内部审计探析[J].财会通讯，2019（4）：125-126.

[7] 了解信息技术导致的风险以及被审计单位的风险应对体系[J].中国注册会计师，2018（3）：20-22.

[8] 程平，崔纳牟倩.大数据时代基于财务共享服务模式的内部审计[J].会计之友，2016（16）：122-125.

[9] 陈国珍，赵婧.信息化环境下内部审计技术方法研究[J].会计之友，2013（22）：98-100.

[10] 刘杰，汪川琳，韩洪灵，等.“区块链+审计”作业模式的理想与现实[J].财会月刊，2019（8）：3-10.