信息系统审计为企业财务共享中心建设保驾护航

康侨麟　吴花平　罗艳

[摘要] IT审计的出现为财务共享中心的广泛应用带来了新优势。以L企业为例，从大数据角度出发，针对财务共享中心产生的各类数据，根据相关要求，设计了财务共享IT审计模型，分析了L企业财务共享中心的财务现状与IT审计需求，构建了IT审计模型，并结合案例基于Hadoop Hive数据仓库的HQL语言实施了IT审计流程，为企业财务共享中心的实施保驾护航。

[关键词]财务共享   大数据   IT审计

本文系国家社会科学基金项目（16CGL070）

一、引言

进入数字化时代，财务共享中心对支持企业集团战略发展、强化财务管控、减少财务成本、完善财务体系发挥着重要作用。财务共享中心是基于大数据、云计算等技术的全新管理模式，包括企业总账核算、各类财务信息管理等多类型业务，实现了统一管理和高效决策的目标。风险管理在企业经营管理中扮演着不可或缺的角色，尤其是在企业资金运用方面，良好的风险管控对企业资金的平稳运行以及盈利大有裨益，基于此，在企业经济业务愈发复杂化、资金分配使用愈发分散化的背景之下，建立更加完备的现代审计系统尤为重要。IT审计作为现代审计系统中的重要环节，依托强大的数据计算能力，充分利用互联网庞大的数据资源，进行数据挖掘、数据处理，以提高审计结果的准确性和可靠性。IT审计与财务系统各司其职，两者独立存在，IT审计是由第三方审计师根据公司制定的标准，对企业整体信息系统，从最开始策划到最后系统使用的过程进行审核，主要包括三大审计程序：一般控制、应用控制和项目管理。无论是一般控制审计还是应用控制审计，在审计过程中都会产生大量、各种类型的数据。L企业利用大数据和信息化集成处理技术创建财务共享中心，这个过程中会因为公司内部人员频繁变动、用户权限不断使用、系统不断更新升级而出现数据安全、访问安全、基础设施设备更新和网络安全等方面的问题。另外，L企业各类分公司和子公司的ERP、OA、HR等其他业务与财务共享中心实现数据对接时，对接的整个过程都存在诸多风险。实施IT审计可以最大可能地减少L企业财务共享信息系统在整个数据传输过程中可能发生的未知风险。基于此，IT审计的重要性不言而喻。

财务共享中心IT审计的研究一直受到诸多学者的重视。目前学者主要是从财务共享中心IT审计的概念、內容、设计指标和实施方法方面进行了多维度研究。对于理论方面的研究，张瑞丽（2019）通过对财务共享中心IT审计的特点、流程框架、过程等进行详细的分析，提供理论上的启示和支持。程平和白沂（2016）对财务共享中心业务执行模式进行分析，提出了初步的IT审计流程，对财务共享中心进行实际业务操作提供了理论借鉴基础。在财务共享中心IT审计框架构建方面，程平和范柯（2016）通过分析云会计面临的挑战及对IT审计造成的影响，选取COBIT5.0作为构建IT审计的理论基础，进行业务流程框架的制定，并结合IT审计的业务流程对云会计应用的重点方面进行了研究，推动了云会计与IT审计的发展。程平和崔娜牟倩（2018）对IT审计已有的研究成果进行总结，结合当前企业财务大数据管理的广泛应用，对财务共享中心开展IT审计进行了方法论研究，并在前人已提出的IT审计框架基础上进行更新完善。基于此实现的会计平台IT审计原型系统为财务共享中心审计工作的开展提供了助力。夏磊（2019）结合COBIT5.0模型，采用层次分析法和“熵权理论”建立IT审计风险评估模型，对具体案例的IT审计风险进行评估，并根据案例存在的潜在风险提出具有参考意义的建议。

通过对上述文献的研究分析可以得出结论，现有的相关文献绝大多数是以传统的信息系统为参考，而且研究的角度存在明显的同质化取向，缺乏创新性。在企业规模扩大及业务拓展过程中，必然面临财务数据剧增的现象，尤其是对于广泛采取多元化经营业务的集团企业，应用财务共享服务将对提升财务分析能力、提供更为准确的财务决策产生显著影响，基于此，在对财务共享中心进行建设的过程中，应不可避免地考虑集团企业的业务需求，审计人员在IT审计过程中，将更多地通过数字化技术，从数据角度出发，发现工作过程中的难点、疑点，根据所发现的问题提出合理的针对性策略。鉴于此，本文从大数据角度出发，以L企业的财务共享中心为例，首先，分析了L企业现状及财务共享发展历程，构建L企业财务共享中心IT审计模型;其次，从IT审计的一般控制审计和应用控制审计两方面对L企业财务共享中心实施审计;最后，说明框架实施时需关注的关键点。

二、L企业财务共享中心建设现状

（一）L企业简介

L企业以百货、超市、电器三大产业为主，旗下拥有全资及控股子公司10家，员工9万余人，网点452个，经营面积253万平方米，涉及酒店、食品、电子器材、劳保等经营领域。目前电器和超市已实现人员集中，百货场店仍是分散模式。L企业进行了财务共享中心平台建设，分为总部财务共享中心、事业部共享中心、总部财务管理中心和业务财务，如图1所示。

（二）L企业财务共享中心建设现状

目前，L企业基本实现了业财一体化，其财务共享中心IT系统主要包括资金管理、资产管理、费用报销管理、发票管理等子系统，如图2所示。

（三）L企业财务共享中心系统审计需求分析

在L企业对财务共享中心的构想中，该中心将负责企业全方位的财务信息收集、处理工作。实现了业务处理和数据存储，但同时也增加了IT风险，而在日常的管理过程中，财务共享中心IT架构的设计是否可靠并没有经过较为专业的审核，所以信息系统是否存在漏洞、信息是否安全，都需要进行核查，但是由于目前尚未建立对这些信息进行专业审计的部门，所以增加了对这些信息的管理难度。IT审计主要是对财务共享IT架构的设计和可行性进行详细检查，IT审计的核心任务就是对相关事务进行科学有效的管理控制。在L企业财务共享中心系统审计需求分析中，将业务数据、财务数据的安全性放到了首要位置，其数据的收集、处理都将以标准化信息系统审计为依托，以最大限度地保证财务共享中心的数据安全性。因此，对L企业实施IT审计显得十分必要。由于IT审计内容广、范围大，为了更有针对性地对L企业财务共享中心的信息系统进行IT审计，本文重点对以下两方面的审计进行分析。

1.一般控制审计。L企业对于一般控制审计主要从组织架构、岗位职责、数据安全、访问安全和网络安全五个方面进行重点审计。其中组织架构控制审计的内容主要涉及企业是否设置了合适的CIO职位，是否组织了信息化建设，是否设立了外部监督机制，是否明确了IT部门的合理定位，是否设立了与IT部门相适应的岗位，是否建立人才招聘机制，是否对企业员工进行定期培训等。岗位职责控制审计主要包括是否建立了各类岗位职责考核机制、不相容岗位是否分离、是否明确相关人员的职责与权限、是否遵循单位内部轮岗制度要求等。对于L企业数据安全审计，主要通过访谈与调查法从数据是否丢失、是否无法恢复、有无备份等情况进行审计，访问安全主要围绕是否明确了访问权限、操作过程中是否有日志记录等进行审计，网络安全控制主要从L企业是否提供《网络管理员主要工作关键及设备管理制度》及《操作手册》等资料进行审计。

2.应用控制审计。L企业应用控制审计主要对财务共享中心的发票管理、资金管理、资产管理、费用报销管理板块的业务流程，数据输入、处理、输出控制进行审计。比如，在发票管理中，核对发票所有信息是否完整、正确，在资金管理过程中，审核赊销是否根据合同进行结算;在资产管理过程中，公司场店及事业部所有资产采购事务，是否满足固定资产、低值易耗品及物料的购买要求;在费用报销管理中，公司场店和事业部的费用报销，是否满足主要日常开支和临时性费用的要求等。其中，输入控制审计主要关注系统登录过程中输入授权是否经过管理层授权批准;输入处理时，是否使用错误、重复的数据等。处理控制审计主要检查输入的数据格式和数值是否正确;在处理控制时，授权是否有效等。输出控制审计主要对输出结果的完整性和正确性进行检查。

三、L企业财务共享中心IT审计框架构建

（一）构建思路

基于大数据技术，通过数据采集、数据清洗、数据存储对数据进行处理，推进联网审计、实时审计，实现事前控制、事中预警和事后监督。

针对性方面，应与L企业共享中心工作特点和业务特点、工作性质相匹配。由于L企业业务具有广泛分散、集中管理的特点，要关注系统运行的稳定性、业务数据的安全性及运行效率，也需要关注L企业的业务需求能否得到满足。從L企业的业务流程来看，对于一些环节的设计存在的风险点，需要重点关注。

前瞻性方面，对于L企业的管理人员来说，成功构建财务共享中心对企业的未来发展大有帮助，这是一种位于时代前沿的全新管理模式，很多潜在的功能尚未开发。因此，对于财务共享中心要加大探索力度，其IT审计的构建应具有前瞻性，应面向未来L企业的发展趋势。

（二）模型构建

1.设计思路。企业财务数据运行过程中，大量的历史数据容易出现乱序、丢失等情况，这种残缺的数据会影响最终的分析。所以，当务之急就是设计出可以完美解决上述问题的集合模型，财务共享中心IT审计正好符合上述要求，它可以系统地将大量复杂数据进行合理地整合、汇编，并最终转化成可为企业管理人员提供参考的有效数据，从而提升公司效益。以L企业为例，旗下的子公司数量较多，因此产生的数据十分复杂，在将所有分店数据汇总到总部的过程中，财务信息存在巨大的安全隐患。

《审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知》明确了IT审计的范围。设计思路是对企业中各部门及员工权限等重要信息进行采集输入，并将其进行转化;然后将整理的信息保存到数据库，再按照圆形模型或方形模型对已保存的大量数据进行整理，构建单位层面的IT审计模型;最后用专业的工具读取已整合的数据，并对这些数据进行智能化分析，从而形成L企业财务共享中心IT审计模型。

2.设计过程。构建IT审计模型的最终目的是对数据的产生、传输、输出进行监督，按照数据的整体流动方向对原本复杂分散的历史数据进行整合，将其转化成为集中的结构化信息，管理者可以借助IT审计模型生成的数据，对企业各类业务进行科学、有效、快速、合理的评价与分析。财务共享IT审计模型体系的构建是将整理后的有效信息加载至模型中，整理后的有效信息将借助Hadoop分布文件系统进行储存，以便后续数据分析工作的快速进行。财务共享中心IT审计模型如图3所示。

图3中，IT审计数据源主要来自SAP核算系统DBMS、富基业务系统DBMS、Excel文件等。IT审计仓库由应用控制审计数据集市和一般控制审计数据集市组成。其中，应用控制审计数据集市包括资金管理、发票管理、结算管理、费用报销管理，一般控制审计数据集市包括岗位轮岗规范性、岗位设置完整性、授权审批控制合规性、不相容岗位分离合规性组成，由此形成IT审计数据仓库（Hive）的初步构架。财务共享中心设计的第三个模块为IT审计数据分析及处理，其综合了财务共享中心IT审计的架构特征，从管理控制审计、一般控制审计和应用控制审计三个方面有针对性地展开，并运用OLAP工具实现对数据仓库历史数据的上钻、下探等多维度分析。数据分析通过提供各类统计图进行单位可视化展示和风险预警，最终形成多粒度、多维度的IT审计报告。

四、审计实施流程

（一）审计准备

1.IT审计数据源的获取。数据源主要包括内部数据和外部数据。当前L企业数据由于线上线下未完全打通、电器返利仍存在手工操作的情况，业财一体化还需完善，数据存在分散情况。另外，已有系统存在大量数据堆积情况，造成集成工作量大、实施复杂难度高，影响了实施进度，数据标准不统一，数据的质量较低，直接影响了审计的准确性。因此，在所有的关键点处，采集数据的清洗和质量把关至关重要。长期以来，L企业投入了OA系统、运行管理系统等多个系统，覆盖多项业务，涉及数据范围广。主要涉及SAP核算系统数据、富基业务系统数据的内部数据及html网页数据、日志、文本图像等外部数据，包含了L企业的所有数据。因此，为实现单位层面的管理控制审计，需要集合单位业务系统和外部来源数据进行全面采集。

2.数据清洗。L企业对企业运营的数据记录相对完备，除基本的财务信息外，还包含组织信息，主要對企业各职能部门的业务范围、历史经营信息等内容进行了记录;职员信息主要对在岗人员的基本信息、工作年限及业绩成果等进行记录;岗位信息主要对岗位所负责的业务内容进行记录等。L企业要求对关键岗位进行一定的控制，在权力分配的基础上对涉及的所有岗位严格要求。部门岗位信息数据库表中涵盖了公司大部分表格类型，此外，为避免出现系统的重复管理，对信息系统实行责任到人的管理办法。L企业SPA数据库表包含以下内容：信息系统的审批流程、业务的代办流程等。为使员工达到培训要求，对拟评价对象的业务能力、岗位履历等相关信息进行统计分析。数据采集完成后，由于企业最基本的经济业务存在信息录入标准不统一问题，所以这类数据的可用性不强。

3.IT审计数据仓库的构建。（1）确定主题域。L企业按照企业内部控制的相关要求，在IT审计数据仓库的构建过程中，确定了费用报销系统、资金管理系统、资产管理系统、发票管理系统、岗位设置完整性、授权审批控制合规性、不相容岗位分离合规性、关键岗位轮岗规范性八大主题域，如表1所示。（2）分析粒度。数据粒度主要指对依托HDFS分布文件系统进行保存的有效信息的综合利用程度。数据仓库中的历史数据表采用哪种粒度进行保存，将直接影响需求人员的满意程度。根据L企业实际业务量，提高访问与存储数据量的效率，查询权限越大，查询的信息越细致。（3）维度表设计。维度建立在数据统计与分析的基础上，可以从这个角度进行分析，将所研究事物作为分析对象，将所有与分析对象相关的事情进行放大并独立建模。以人员培养全面性为例，可通过多种不同维度表检测员工所进行的培训或道德教育是否达到目标效果。（4）数据仓库模型设计。IT审计模型各审计指标均具有一定的特性，多维性就是其中一个重要特征。多维性顾名思义就是包含多个事实表，事实表之间共享多个维度表，不同的主题具有不一样的特性，如相关性或一定的共享性。基于常见的星型模型等三维模型，对某个事件进行逻辑建模，具体分析如表2所示。

在进行穿行测试时，可对多个表进行关联查询。比如，对系统中人员、岗位及权限等信息的采集，对不相容岗位分离的有效性进行评价。连接操作员信息表（Sysm_User）、员工信息表（Sysm_EP）、用户分组信息表（Sysm_GU）、角色信息表（Sysm_RI）、角色权限表（Sysm_RA）、页面功能表（SYSM_Function）、部门表（Sysm_Department），可查询单位每个员工的岗位、权限信息及不相容岗位标准表（DS_DW_WD_RoleST）中的信息，并进行比对，检查是否出现同一员工同时从事不相容岗位或拥有不相容权限。具体实现命令如下：

Hive>

Select m. RoleDC， n.ID， n.VC_XM， b.VC_Number，

g. VC_MCDY ，m.VC_ ZYMC， f. xsmc， f.wljd from Sysm_User a

Join Sysm_EP n on n.ID = a. I_ZY

Join Sysm_GU c on c.I_USERID = a.userid

Join Sysm_RI m on m.ID = c. I_ROLEID

Join Sysm_RA e on e.RoleID = m.ID

Join SYSM_Function f on f.nodeID= e.nodeID

Join Sysm_Department g on g.ID = d. I_DEPOT

Order by m. RoleDC

（二）实施审计程序

在IT审计的整个流程中，依据相关规定对审计全过程进行有效的监督。IT审计主要包括以下部分：制定整体审计目标、对各类信息进行风险评估、根据所评估风险制订合理的解决方案、设计审计程序、实施并执行审计程序，最后出示审计结果，根据IT审核步骤，审计人员需要结合IT审计数据仓库模型及其数据组织结果查找IT审计风险。只有经过一系列测试后才能得到所需的证据，并且需要与相关人员进行沟通交流，提出有益的意见。

（三）审计报告

在测试、查询过程中，结合IT审计数据仓库数据的输入、输出、处理汇总，通过IT审计实施程序得到审计结果，并结合业务背景和制定的一系列目标得出最后的审计意见，然后根据审计的最终结果向企业管理层提出合理的解决方案和措施，根据与相关人员沟通后得到的建议，最后得到符合要求的目标报告。

五、结束语

目前为止，财务共享中心IT审计研究在我国仍然处于不成熟阶段，IT审计体系框架的成功构建不仅可以促进财务共享系统的进一步发展，而且对未来IT审计体系本身在国内的发展具有举足轻重的意义。本文利用财务共享中心IT审计需求，根据相关要求，设计了财务共享中心IT审计模型，用于指导IT审计实施程序，以初步获取审计目标、风险评估及目标业务背景，依托HDFS分布文件系统保存的有效信息，实施审计程序。基于此，可以通过IT审计使财务共享中心安全性得到进一步保障。

主要参考文献

[1]程平，白沂.大数据时代基于财务共享服务模式的IT审计[J].会计之友， 2016（24）：128-131

[2]李俊霞.大数据时代基于财务共享服务模式的IT审计[J].现代商业， 2017（15）：144-145

[3]王会金，刘国城.COBIT模型及其在中观经济主体信息系统审计中的运用[J].审计研究， 2009（1）：64-68

[4]夏磊.财务共享服务模式下IT审计风险评价与控制研究[D].武汉：武汉科技大学， 2019

[5]张瑞丽.大数据时代下基于财务共享服务模式的IT审计[J].网络安全技术与应用， 2019（1）：51+53