论文部分内容阅读
[摘要] IT审计的出现为财务共享中心的广泛应用带来了新优势。以L企业为例,从大数据角度出发,针对财务共享中心产生的各类数据,根据相关要求,设计了财务共享IT审计模型,分析了L企业财务共享中心的财务现状与IT审计需求,构建了IT审计模型,并结合案例基于Hadoop Hive数据仓库的HQL语言实施了IT审计流程,为企业财务共享中心的实施保驾护航。
[关键词]财务共享 大数据 IT审计
本文系国家社会科学基金项目(16CGL070)
一、引言
进入数字化时代,财务共享中心对支持企业集团战略发展、强化财务管控、减少财务成本、完善财务体系发挥着重要作用。财务共享中心是基于大数据、云计算等技术的全新管理模式,包括企业总账核算、各类财务信息管理等多类型业务,实现了统一管理和高效决策的目标。风险管理在企业经营管理中扮演着不可或缺的角色,尤其是在企业资金运用方面,良好的风险管控对企业资金的平稳运行以及盈利大有裨益,基于此,在企业经济业务愈发复杂化、资金分配使用愈发分散化的背景之下,建立更加完备的现代审计系统尤为重要。IT审计作为现代审计系统中的重要环节,依托强大的数据计算能力,充分利用互联网庞大的数据资源,进行数据挖掘、数据处理,以提高审计结果的准确性和可靠性。IT审计与财务系统各司其职,两者独立存在,IT审计是由第三方审计师根据公司制定的标准,对企业整体信息系统,从最开始策划到最后系统使用的过程进行审核,主要包括三大审计程序:一般控制、应用控制和项目管理。无论是一般控制审计还是应用控制审计,在审计过程中都会产生大量、各种类型的数据。L企业利用大数据和信息化集成处理技术创建财务共享中心,这个过程中会因为公司内部人员频繁变动、用户权限不断使用、系统不断更新升级而出现数据安全、访问安全、基础设施设备更新和网络安全等方面的问题。另外,L企业各类分公司和子公司的ERP、OA、HR等其他业务与财务共享中心实现数据对接时,对接的整个过程都存在诸多风险。实施IT审计可以最大可能地减少L企业财务共享信息系统在整个数据传输过程中可能发生的未知风险。基于此,IT审计的重要性不言而喻。
财务共享中心IT审计的研究一直受到诸多学者的重视。目前学者主要是从财务共享中心IT审计的概念、內容、设计指标和实施方法方面进行了多维度研究。对于理论方面的研究,张瑞丽(2019)通过对财务共享中心IT审计的特点、流程框架、过程等进行详细的分析,提供理论上的启示和支持。程平和白沂(2016)对财务共享中心业务执行模式进行分析,提出了初步的IT审计流程,对财务共享中心进行实际业务操作提供了理论借鉴基础。在财务共享中心IT审计框架构建方面,程平和范柯(2016)通过分析云会计面临的挑战及对IT审计造成的影响,选取COBIT5.0作为构建IT审计的理论基础,进行业务流程框架的制定,并结合IT审计的业务流程对云会计应用的重点方面进行了研究,推动了云会计与IT审计的发展。程平和崔娜牟倩(2018)对IT审计已有的研究成果进行总结,结合当前企业财务大数据管理的广泛应用,对财务共享中心开展IT审计进行了方法论研究,并在前人已提出的IT审计框架基础上进行更新完善。基于此实现的会计平台IT审计原型系统为财务共享中心审计工作的开展提供了助力。夏磊(2019)结合COBIT5.0模型,采用层次分析法和“熵权理论”建立IT审计风险评估模型,对具体案例的IT审计风险进行评估,并根据案例存在的潜在风险提出具有参考意义的建议。
通过对上述文献的研究分析可以得出结论,现有的相关文献绝大多数是以传统的信息系统为参考,而且研究的角度存在明显的同质化取向,缺乏创新性。在企业规模扩大及业务拓展过程中,必然面临财务数据剧增的现象,尤其是对于广泛采取多元化经营业务的集团企业,应用财务共享服务将对提升财务分析能力、提供更为准确的财务决策产生显著影响,基于此,在对财务共享中心进行建设的过程中,应不可避免地考虑集团企业的业务需求,审计人员在IT审计过程中,将更多地通过数字化技术,从数据角度出发,发现工作过程中的难点、疑点,根据所发现的问题提出合理的针对性策略。鉴于此,本文从大数据角度出发,以L企业的财务共享中心为例,首先,分析了L企业现状及财务共享发展历程,构建L企业财务共享中心IT审计模型;其次,从IT审计的一般控制审计和应用控制审计两方面对L企业财务共享中心实施审计;最后,说明框架实施时需关注的关键点。
二、L企业财务共享中心建设现状
(一)L企业简介
L企业以百货、超市、电器三大产业为主,旗下拥有全资及控股子公司10家,员工9万余人,网点452个,经营面积253万平方米,涉及酒店、食品、电子器材、劳保等经营领域。目前电器和超市已实现人员集中,百货场店仍是分散模式。L企业进行了财务共享中心平台建设,分为总部财务共享中心、事业部共享中心、总部财务管理中心和业务财务,如图1所示。
(二)L企业财务共享中心建设现状
目前,L企业基本实现了业财一体化,其财务共享中心IT系统主要包括资金管理、资产管理、费用报销管理、发票管理等子系统,如图2所示。
(三)L企业财务共享中心系统审计需求分析
在L企业对财务共享中心的构想中,该中心将负责企业全方位的财务信息收集、处理工作。实现了业务处理和数据存储,但同时也增加了IT风险,而在日常的管理过程中,财务共享中心IT架构的设计是否可靠并没有经过较为专业的审核,所以信息系统是否存在漏洞、信息是否安全,都需要进行核查,但是由于目前尚未建立对这些信息进行专业审计的部门,所以增加了对这些信息的管理难度。IT审计主要是对财务共享IT架构的设计和可行性进行详细检查,IT审计的核心任务就是对相关事务进行科学有效的管理控制。在L企业财务共享中心系统审计需求分析中,将业务数据、财务数据的安全性放到了首要位置,其数据的收集、处理都将以标准化信息系统审计为依托,以最大限度地保证财务共享中心的数据安全性。因此,对L企业实施IT审计显得十分必要。由于IT审计内容广、范围大,为了更有针对性地对L企业财务共享中心的信息系统进行IT审计,本文重点对以下两方面的审计进行分析。 1.一般控制审计。L企业对于一般控制审计主要从组织架构、岗位职责、数据安全、访问安全和网络安全五个方面进行重点审计。其中组织架构控制审计的内容主要涉及企业是否设置了合适的CIO职位,是否组织了信息化建设,是否设立了外部监督机制,是否明确了IT部门的合理定位,是否设立了与IT部门相适应的岗位,是否建立人才招聘机制,是否对企业员工进行定期培训等。岗位职责控制审计主要包括是否建立了各类岗位职责考核机制、不相容岗位是否分离、是否明确相关人员的职责与权限、是否遵循单位内部轮岗制度要求等。对于L企业数据安全审计,主要通过访谈与调查法从数据是否丢失、是否无法恢复、有无备份等情况进行审计,访问安全主要围绕是否明确了访问权限、操作过程中是否有日志记录等进行审计,网络安全控制主要从L企业是否提供《网络管理员主要工作关键及设备管理制度》及《操作手册》等资料进行审计。
2.应用控制审计。L企业应用控制审计主要对财务共享中心的发票管理、资金管理、资产管理、费用报销管理板块的业务流程,数据输入、处理、输出控制进行审计。比如,在发票管理中,核对发票所有信息是否完整、正确,在资金管理过程中,审核赊销是否根据合同进行结算;在资产管理过程中,公司场店及事业部所有资产采购事务,是否满足固定资产、低值易耗品及物料的购买要求;在费用报销管理中,公司场店和事业部的费用报销,是否满足主要日常开支和临时性费用的要求等。其中,输入控制审计主要关注系统登录过程中输入授权是否经过管理层授权批准;输入处理时,是否使用错误、重复的数据等。处理控制审计主要检查输入的数据格式和数值是否正确;在处理控制时,授权是否有效等。输出控制审计主要对输出结果的完整性和正确性进行检查。
三、L企业财务共享中心IT审计框架构建
(一)构建思路
基于大数据技术,通过数据采集、数据清洗、数据存储对数据进行处理,推进联网审计、实时审计,实现事前控制、事中预警和事后监督。
针对性方面,应与L企业共享中心工作特点和业务特点、工作性质相匹配。由于L企业业务具有广泛分散、集中管理的特点,要关注系统运行的稳定性、业务数据的安全性及运行效率,也需要关注L企业的业务需求能否得到满足。從L企业的业务流程来看,对于一些环节的设计存在的风险点,需要重点关注。
前瞻性方面,对于L企业的管理人员来说,成功构建财务共享中心对企业的未来发展大有帮助,这是一种位于时代前沿的全新管理模式,很多潜在的功能尚未开发。因此,对于财务共享中心要加大探索力度,其IT审计的构建应具有前瞻性,应面向未来L企业的发展趋势。
(二)模型构建
1.设计思路。企业财务数据运行过程中,大量的历史数据容易出现乱序、丢失等情况,这种残缺的数据会影响最终的分析。所以,当务之急就是设计出可以完美解决上述问题的集合模型,财务共享中心IT审计正好符合上述要求,它可以系统地将大量复杂数据进行合理地整合、汇编,并最终转化成可为企业管理人员提供参考的有效数据,从而提升公司效益。以L企业为例,旗下的子公司数量较多,因此产生的数据十分复杂,在将所有分店数据汇总到总部的过程中,财务信息存在巨大的安全隐患。
《审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知》明确了IT审计的范围。设计思路是对企业中各部门及员工权限等重要信息进行采集输入,并将其进行转化;然后将整理的信息保存到数据库,再按照圆形模型或方形模型对已保存的大量数据进行整理,构建单位层面的IT审计模型;最后用专业的工具读取已整合的数据,并对这些数据进行智能化分析,从而形成L企业财务共享中心IT审计模型。
2.设计过程。构建IT审计模型的最终目的是对数据的产生、传输、输出进行监督,按照数据的整体流动方向对原本复杂分散的历史数据进行整合,将其转化成为集中的结构化信息,管理者可以借助IT审计模型生成的数据,对企业各类业务进行科学、有效、快速、合理的评价与分析。财务共享IT审计模型体系的构建是将整理后的有效信息加载至模型中,整理后的有效信息将借助Hadoop分布文件系统进行储存,以便后续数据分析工作的快速进行。财务共享中心IT审计模型如图3所示。
图3中,IT审计数据源主要来自SAP核算系统DBMS、富基业务系统DBMS、Excel文件等。IT审计仓库由应用控制审计数据集市和一般控制审计数据集市组成。其中,应用控制审计数据集市包括资金管理、发票管理、结算管理、费用报销管理,一般控制审计数据集市包括岗位轮岗规范性、岗位设置完整性、授权审批控制合规性、不相容岗位分离合规性组成,由此形成IT审计数据仓库(Hive)的初步构架。财务共享中心设计的第三个模块为IT审计数据分析及处理,其综合了财务共享中心IT审计的架构特征,从管理控制审计、一般控制审计和应用控制审计三个方面有针对性地展开,并运用OLAP工具实现对数据仓库历史数据的上钻、下探等多维度分析。数据分析通过提供各类统计图进行单位可视化展示和风险预警,最终形成多粒度、多维度的IT审计报告。
四、审计实施流程
(一)审计准备
1.IT审计数据源的获取。数据源主要包括内部数据和外部数据。当前L企业数据由于线上线下未完全打通、电器返利仍存在手工操作的情况,业财一体化还需完善,数据存在分散情况。另外,已有系统存在大量数据堆积情况,造成集成工作量大、实施复杂难度高,影响了实施进度,数据标准不统一,数据的质量较低,直接影响了审计的准确性。因此,在所有的关键点处,采集数据的清洗和质量把关至关重要。长期以来,L企业投入了OA系统、运行管理系统等多个系统,覆盖多项业务,涉及数据范围广。主要涉及SAP核算系统数据、富基业务系统数据的内部数据及html网页数据、日志、文本图像等外部数据,包含了L企业的所有数据。因此,为实现单位层面的管理控制审计,需要集合单位业务系统和外部来源数据进行全面采集。
[关键词]财务共享 大数据 IT审计
本文系国家社会科学基金项目(16CGL070)
一、引言
进入数字化时代,财务共享中心对支持企业集团战略发展、强化财务管控、减少财务成本、完善财务体系发挥着重要作用。财务共享中心是基于大数据、云计算等技术的全新管理模式,包括企业总账核算、各类财务信息管理等多类型业务,实现了统一管理和高效决策的目标。风险管理在企业经营管理中扮演着不可或缺的角色,尤其是在企业资金运用方面,良好的风险管控对企业资金的平稳运行以及盈利大有裨益,基于此,在企业经济业务愈发复杂化、资金分配使用愈发分散化的背景之下,建立更加完备的现代审计系统尤为重要。IT审计作为现代审计系统中的重要环节,依托强大的数据计算能力,充分利用互联网庞大的数据资源,进行数据挖掘、数据处理,以提高审计结果的准确性和可靠性。IT审计与财务系统各司其职,两者独立存在,IT审计是由第三方审计师根据公司制定的标准,对企业整体信息系统,从最开始策划到最后系统使用的过程进行审核,主要包括三大审计程序:一般控制、应用控制和项目管理。无论是一般控制审计还是应用控制审计,在审计过程中都会产生大量、各种类型的数据。L企业利用大数据和信息化集成处理技术创建财务共享中心,这个过程中会因为公司内部人员频繁变动、用户权限不断使用、系统不断更新升级而出现数据安全、访问安全、基础设施设备更新和网络安全等方面的问题。另外,L企业各类分公司和子公司的ERP、OA、HR等其他业务与财务共享中心实现数据对接时,对接的整个过程都存在诸多风险。实施IT审计可以最大可能地减少L企业财务共享信息系统在整个数据传输过程中可能发生的未知风险。基于此,IT审计的重要性不言而喻。
财务共享中心IT审计的研究一直受到诸多学者的重视。目前学者主要是从财务共享中心IT审计的概念、內容、设计指标和实施方法方面进行了多维度研究。对于理论方面的研究,张瑞丽(2019)通过对财务共享中心IT审计的特点、流程框架、过程等进行详细的分析,提供理论上的启示和支持。程平和白沂(2016)对财务共享中心业务执行模式进行分析,提出了初步的IT审计流程,对财务共享中心进行实际业务操作提供了理论借鉴基础。在财务共享中心IT审计框架构建方面,程平和范柯(2016)通过分析云会计面临的挑战及对IT审计造成的影响,选取COBIT5.0作为构建IT审计的理论基础,进行业务流程框架的制定,并结合IT审计的业务流程对云会计应用的重点方面进行了研究,推动了云会计与IT审计的发展。程平和崔娜牟倩(2018)对IT审计已有的研究成果进行总结,结合当前企业财务大数据管理的广泛应用,对财务共享中心开展IT审计进行了方法论研究,并在前人已提出的IT审计框架基础上进行更新完善。基于此实现的会计平台IT审计原型系统为财务共享中心审计工作的开展提供了助力。夏磊(2019)结合COBIT5.0模型,采用层次分析法和“熵权理论”建立IT审计风险评估模型,对具体案例的IT审计风险进行评估,并根据案例存在的潜在风险提出具有参考意义的建议。
通过对上述文献的研究分析可以得出结论,现有的相关文献绝大多数是以传统的信息系统为参考,而且研究的角度存在明显的同质化取向,缺乏创新性。在企业规模扩大及业务拓展过程中,必然面临财务数据剧增的现象,尤其是对于广泛采取多元化经营业务的集团企业,应用财务共享服务将对提升财务分析能力、提供更为准确的财务决策产生显著影响,基于此,在对财务共享中心进行建设的过程中,应不可避免地考虑集团企业的业务需求,审计人员在IT审计过程中,将更多地通过数字化技术,从数据角度出发,发现工作过程中的难点、疑点,根据所发现的问题提出合理的针对性策略。鉴于此,本文从大数据角度出发,以L企业的财务共享中心为例,首先,分析了L企业现状及财务共享发展历程,构建L企业财务共享中心IT审计模型;其次,从IT审计的一般控制审计和应用控制审计两方面对L企业财务共享中心实施审计;最后,说明框架实施时需关注的关键点。
二、L企业财务共享中心建设现状
(一)L企业简介
L企业以百货、超市、电器三大产业为主,旗下拥有全资及控股子公司10家,员工9万余人,网点452个,经营面积253万平方米,涉及酒店、食品、电子器材、劳保等经营领域。目前电器和超市已实现人员集中,百货场店仍是分散模式。L企业进行了财务共享中心平台建设,分为总部财务共享中心、事业部共享中心、总部财务管理中心和业务财务,如图1所示。
(二)L企业财务共享中心建设现状
目前,L企业基本实现了业财一体化,其财务共享中心IT系统主要包括资金管理、资产管理、费用报销管理、发票管理等子系统,如图2所示。
(三)L企业财务共享中心系统审计需求分析
在L企业对财务共享中心的构想中,该中心将负责企业全方位的财务信息收集、处理工作。实现了业务处理和数据存储,但同时也增加了IT风险,而在日常的管理过程中,财务共享中心IT架构的设计是否可靠并没有经过较为专业的审核,所以信息系统是否存在漏洞、信息是否安全,都需要进行核查,但是由于目前尚未建立对这些信息进行专业审计的部门,所以增加了对这些信息的管理难度。IT审计主要是对财务共享IT架构的设计和可行性进行详细检查,IT审计的核心任务就是对相关事务进行科学有效的管理控制。在L企业财务共享中心系统审计需求分析中,将业务数据、财务数据的安全性放到了首要位置,其数据的收集、处理都将以标准化信息系统审计为依托,以最大限度地保证财务共享中心的数据安全性。因此,对L企业实施IT审计显得十分必要。由于IT审计内容广、范围大,为了更有针对性地对L企业财务共享中心的信息系统进行IT审计,本文重点对以下两方面的审计进行分析。 1.一般控制审计。L企业对于一般控制审计主要从组织架构、岗位职责、数据安全、访问安全和网络安全五个方面进行重点审计。其中组织架构控制审计的内容主要涉及企业是否设置了合适的CIO职位,是否组织了信息化建设,是否设立了外部监督机制,是否明确了IT部门的合理定位,是否设立了与IT部门相适应的岗位,是否建立人才招聘机制,是否对企业员工进行定期培训等。岗位职责控制审计主要包括是否建立了各类岗位职责考核机制、不相容岗位是否分离、是否明确相关人员的职责与权限、是否遵循单位内部轮岗制度要求等。对于L企业数据安全审计,主要通过访谈与调查法从数据是否丢失、是否无法恢复、有无备份等情况进行审计,访问安全主要围绕是否明确了访问权限、操作过程中是否有日志记录等进行审计,网络安全控制主要从L企业是否提供《网络管理员主要工作关键及设备管理制度》及《操作手册》等资料进行审计。
2.应用控制审计。L企业应用控制审计主要对财务共享中心的发票管理、资金管理、资产管理、费用报销管理板块的业务流程,数据输入、处理、输出控制进行审计。比如,在发票管理中,核对发票所有信息是否完整、正确,在资金管理过程中,审核赊销是否根据合同进行结算;在资产管理过程中,公司场店及事业部所有资产采购事务,是否满足固定资产、低值易耗品及物料的购买要求;在费用报销管理中,公司场店和事业部的费用报销,是否满足主要日常开支和临时性费用的要求等。其中,输入控制审计主要关注系统登录过程中输入授权是否经过管理层授权批准;输入处理时,是否使用错误、重复的数据等。处理控制审计主要检查输入的数据格式和数值是否正确;在处理控制时,授权是否有效等。输出控制审计主要对输出结果的完整性和正确性进行检查。
三、L企业财务共享中心IT审计框架构建
(一)构建思路
基于大数据技术,通过数据采集、数据清洗、数据存储对数据进行处理,推进联网审计、实时审计,实现事前控制、事中预警和事后监督。
针对性方面,应与L企业共享中心工作特点和业务特点、工作性质相匹配。由于L企业业务具有广泛分散、集中管理的特点,要关注系统运行的稳定性、业务数据的安全性及运行效率,也需要关注L企业的业务需求能否得到满足。從L企业的业务流程来看,对于一些环节的设计存在的风险点,需要重点关注。
前瞻性方面,对于L企业的管理人员来说,成功构建财务共享中心对企业的未来发展大有帮助,这是一种位于时代前沿的全新管理模式,很多潜在的功能尚未开发。因此,对于财务共享中心要加大探索力度,其IT审计的构建应具有前瞻性,应面向未来L企业的发展趋势。
(二)模型构建
1.设计思路。企业财务数据运行过程中,大量的历史数据容易出现乱序、丢失等情况,这种残缺的数据会影响最终的分析。所以,当务之急就是设计出可以完美解决上述问题的集合模型,财务共享中心IT审计正好符合上述要求,它可以系统地将大量复杂数据进行合理地整合、汇编,并最终转化成可为企业管理人员提供参考的有效数据,从而提升公司效益。以L企业为例,旗下的子公司数量较多,因此产生的数据十分复杂,在将所有分店数据汇总到总部的过程中,财务信息存在巨大的安全隐患。
《审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知》明确了IT审计的范围。设计思路是对企业中各部门及员工权限等重要信息进行采集输入,并将其进行转化;然后将整理的信息保存到数据库,再按照圆形模型或方形模型对已保存的大量数据进行整理,构建单位层面的IT审计模型;最后用专业的工具读取已整合的数据,并对这些数据进行智能化分析,从而形成L企业财务共享中心IT审计模型。
2.设计过程。构建IT审计模型的最终目的是对数据的产生、传输、输出进行监督,按照数据的整体流动方向对原本复杂分散的历史数据进行整合,将其转化成为集中的结构化信息,管理者可以借助IT审计模型生成的数据,对企业各类业务进行科学、有效、快速、合理的评价与分析。财务共享IT审计模型体系的构建是将整理后的有效信息加载至模型中,整理后的有效信息将借助Hadoop分布文件系统进行储存,以便后续数据分析工作的快速进行。财务共享中心IT审计模型如图3所示。
图3中,IT审计数据源主要来自SAP核算系统DBMS、富基业务系统DBMS、Excel文件等。IT审计仓库由应用控制审计数据集市和一般控制审计数据集市组成。其中,应用控制审计数据集市包括资金管理、发票管理、结算管理、费用报销管理,一般控制审计数据集市包括岗位轮岗规范性、岗位设置完整性、授权审批控制合规性、不相容岗位分离合规性组成,由此形成IT审计数据仓库(Hive)的初步构架。财务共享中心设计的第三个模块为IT审计数据分析及处理,其综合了财务共享中心IT审计的架构特征,从管理控制审计、一般控制审计和应用控制审计三个方面有针对性地展开,并运用OLAP工具实现对数据仓库历史数据的上钻、下探等多维度分析。数据分析通过提供各类统计图进行单位可视化展示和风险预警,最终形成多粒度、多维度的IT审计报告。
四、审计实施流程
(一)审计准备
1.IT审计数据源的获取。数据源主要包括内部数据和外部数据。当前L企业数据由于线上线下未完全打通、电器返利仍存在手工操作的情况,业财一体化还需完善,数据存在分散情况。另外,已有系统存在大量数据堆积情况,造成集成工作量大、实施复杂难度高,影响了实施进度,数据标准不统一,数据的质量较低,直接影响了审计的准确性。因此,在所有的关键点处,采集数据的清洗和质量把关至关重要。长期以来,L企业投入了OA系统、运行管理系统等多个系统,覆盖多项业务,涉及数据范围广。主要涉及SAP核算系统数据、富基业务系统数据的内部数据及html网页数据、日志、文本图像等外部数据,包含了L企业的所有数据。因此,为实现单位层面的管理控制审计,需要集合单位业务系统和外部来源数据进行全面采集。