丁淑芹 李姿含

【摘 要】 財(cái)務(wù)共享模式在實(shí)務(wù)界的應(yīng)用日益廣泛、深入，財(cái)務(wù)共享模式下的內(nèi)部審計(jì)問題也受到了越來越多的關(guān)注。文章立足信息技術(shù)風(fēng)險分析了財(cái)務(wù)共享模式內(nèi)部審計(jì)的獨(dú)特性——源于信息技術(shù)的風(fēng)險增加、對底層業(yè)務(wù)數(shù)據(jù)的真實(shí)安全要求更高。然后從信息技術(shù)風(fēng)險識別角度提出信息技術(shù)風(fēng)險識別的三個基本步驟：確定信息技術(shù)的風(fēng)險識別點(diǎn)，基于風(fēng)險識別點(diǎn)進(jìn)行風(fēng)險識別，在風(fēng)險識別的基礎(chǔ)上進(jìn)行風(fēng)險評估。從信息技術(shù)應(yīng)用視角提出基于區(qū)塊鏈的財(cái)務(wù)共享模式內(nèi)部審計(jì)策略：確定基本思路，明確目標(biāo);建立以業(yè)務(wù)流程為基本鏈條的區(qū)塊鏈;所有的參與者統(tǒng)一制定規(guī)則，并實(shí)時進(jìn)行全鏈條發(fā)布;內(nèi)部審計(jì)人員利用區(qū)塊鏈上的實(shí)時信息實(shí)施內(nèi)部審計(jì)策略。

【關(guān)鍵詞】 財(cái)務(wù)共享; 內(nèi)部審計(jì); 風(fēng)險識別; 區(qū)塊鏈

【中圖分類號】 F234.3? 【文獻(xiàn)標(biāo)識碼】 A? 【文章編號】 1004-5937（2020）20-0015-06

一、引言

內(nèi)部審計(jì)不僅是內(nèi)生性的組織內(nèi)部控制機(jī)制的重要環(huán)節(jié)，而且可以對其他內(nèi)部控制措施的運(yùn)行是否有效進(jìn)行監(jiān)督和評價，是組織風(fēng)險管理的核心環(huán)節(jié)[1]。隨著數(shù)據(jù)經(jīng)濟(jì)時代的到來，風(fēng)險的內(nèi)涵與外延發(fā)生了變化，內(nèi)部審計(jì)的基礎(chǔ)性作業(yè)也日益凸顯。2018年1月，審計(jì)署出臺了《關(guān)于內(nèi)部審計(jì)工作的規(guī)定》與《關(guān)于加強(qiáng)內(nèi)部審計(jì)工作業(yè)務(wù)指導(dǎo)和監(jiān)督的意見》，習(xí)近平總書記在同年5月召開的中央審計(jì)委員會第一次會議上指出，要加強(qiáng)對內(nèi)部審計(jì)工作的指導(dǎo)和監(jiān)督。可見，內(nèi)部審計(jì)的作用越來越被重視。實(shí)踐中，隨著信息技術(shù)的不斷成熟與廣泛應(yīng)用以及集團(tuán)公司業(yè)務(wù)發(fā)展的需求，財(cái)務(wù)共享服務(wù)模式得到了越來越多集團(tuán)公司的青睞，許多集團(tuán)公司逐漸從傳統(tǒng)的經(jīng)營管理模式轉(zhuǎn)向了建立財(cái)務(wù)共享服務(wù)中心，實(shí)施財(cái)務(wù)共享模式。財(cái)務(wù)共享模式下，集團(tuán)公司依托信息技術(shù)平臺，將公司的各級附屬部門或組織發(fā)生的重復(fù)率高、有律可循的事務(wù)性業(yè)務(wù)集中到一個系統(tǒng)平臺進(jìn)行處理，從而降低運(yùn)營成本，提高效率，最終實(shí)現(xiàn)公司的管控目標(biāo)。財(cái)務(wù)共享模式的建立是企業(yè)內(nèi)部審計(jì)領(lǐng)域的一次重大革新[2]，為內(nèi)部審計(jì)提供了機(jī)遇與挑戰(zhàn)。一方面，財(cái)務(wù)共享模式數(shù)據(jù)處理的集中化加強(qiáng)了數(shù)據(jù)傳遞的準(zhǔn)確性與及時性，為內(nèi)部審計(jì)減少了一些復(fù)雜的數(shù)據(jù)收集工作。另一方面，財(cái)務(wù)共享服務(wù)模式的技術(shù)特性也向內(nèi)部審計(jì)提出了新的挑戰(zhàn)。區(qū)別于傳統(tǒng)的現(xiàn)場審計(jì)方式，財(cái)務(wù)共享模式下采用的是非現(xiàn)場審計(jì)[3]，利用信息平臺為內(nèi)部審計(jì)提供相應(yīng)的數(shù)據(jù)收集、數(shù)據(jù)分析等數(shù)據(jù)服務(wù)。如此一來，信息平臺所依賴的信息技術(shù)的安全風(fēng)險，以及信息平臺采集的初始數(shù)據(jù)的準(zhǔn)確安全就成為影響整個財(cái)務(wù)共享服務(wù)中心內(nèi)部審計(jì)的重中之重，也是財(cái)務(wù)共享模式內(nèi)部審計(jì)必須解決的問題之一。信息技術(shù)風(fēng)險是財(cái)務(wù)共享模式下內(nèi)部審計(jì)需要考慮的首要問題，同時借助恰當(dāng)?shù)男畔⒓夹g(shù)思維實(shí)施財(cái)務(wù)共享模式的內(nèi)部審計(jì)，改進(jìn)內(nèi)部審計(jì)方法也是財(cái)務(wù)共享模式內(nèi)部審計(jì)亟待解決的問題。區(qū)塊鏈為集團(tuán)化企業(yè)聯(lián)網(wǎng)內(nèi)部審計(jì)提供了新的機(jī)遇，可以解決集團(tuán)的內(nèi)部審計(jì)面臨的風(fēng)險，改進(jìn)聯(lián)網(wǎng)內(nèi)部審計(jì)數(shù)據(jù)記錄和存儲方式，提高內(nèi)部審計(jì)工作的效率[4]。因此，本文將對源于信息技術(shù)的風(fēng)險進(jìn)行識別，借助區(qū)塊鏈技術(shù)思維探索財(cái)務(wù)共享模式的內(nèi)部審計(jì)策略。

二、技術(shù)風(fēng)險視角下的財(cái)務(wù)共享模式獨(dú)特性分析

（一）源于信息技術(shù)的風(fēng)險增加

財(cái)務(wù)共享模式與傳統(tǒng)的財(cái)務(wù)管理模式存在較大差異，其中之一便是信息技術(shù)的應(yīng)用程度。信息技術(shù)既為財(cái)務(wù)共享的實(shí)施提供了技術(shù)支持，同時又增加了財(cái)務(wù)共享服務(wù)的信息技術(shù)風(fēng)險。信息技術(shù)風(fēng)險是集團(tuán)公司在運(yùn)用云計(jì)算、互聯(lián)網(wǎng)等信息技術(shù)進(jìn)行信息處理的過程中產(chǎn)生的各種不確定風(fēng)險因素，而這些風(fēng)險因素極有可能對集團(tuán)公司的戰(zhàn)略規(guī)劃、業(yè)務(wù)發(fā)展等方面產(chǎn)生負(fù)面的影響。因此，財(cái)務(wù)共享模式下源自信息技術(shù)的風(fēng)險問題是內(nèi)部審計(jì)轉(zhuǎn)變思維重點(diǎn)關(guān)注的內(nèi)容。雖然云計(jì)算、互聯(lián)網(wǎng)等技術(shù)不斷成熟，但是由技術(shù)本身帶來的網(wǎng)絡(luò)安全、系統(tǒng)漏洞、數(shù)據(jù)安全等風(fēng)險仍然是用戶首要考慮的問題。從工信部披露的網(wǎng)絡(luò)安全威脅報告中可以看到，用戶數(shù)據(jù)泄露事件多有發(fā)生，云計(jì)算平臺相繼發(fā)生故障，網(wǎng)絡(luò)安全漏洞仍然是網(wǎng)站和系統(tǒng)面臨主要的安全威脅之一[5]。財(cái)務(wù)共享服務(wù)中心依托財(cái)務(wù)共享平臺將整個集團(tuán)公司的業(yè)務(wù)財(cái)務(wù)信息集中存儲在服務(wù)中心，有利于集團(tuán)公司進(jìn)行相應(yīng)的財(cái)務(wù)分析、資金管理等集中管理，但是同時也存在著數(shù)據(jù)安全隱患，一旦出現(xiàn)問題（如數(shù)據(jù)外泄），就會造成嚴(yán)重影響。財(cái)務(wù)共享模式下的內(nèi)部審計(jì)不能忽視信息技術(shù)應(yīng)用帶來的風(fēng)險隱患，需要對其依托的信息技術(shù)進(jìn)行風(fēng)險識別。

與此同時，傳統(tǒng)的審計(jì)形式難以適應(yīng)新興的財(cái)務(wù)共享服務(wù)模式，企業(yè)對內(nèi)部審計(jì)提出了更高的要求[2]。財(cái)務(wù)共享模式從組織架構(gòu)、業(yè)務(wù)流程等多個方面都有別于傳統(tǒng)的財(cái)務(wù)管理模式，信息技術(shù)的應(yīng)用使得財(cái)務(wù)人員僅僅具備專業(yè)知識已然不能滿足財(cái)務(wù)共享模式下的內(nèi)部審計(jì)要求，缺乏具備信息技術(shù)知識、適應(yīng)信息技術(shù)平臺審計(jì)思維的新型專業(yè)內(nèi)部審計(jì)人才，難以有效處理大規(guī)模的數(shù)據(jù)，降低了財(cái)務(wù)共享模式的優(yōu)勢，同時使得信息技術(shù)應(yīng)用的風(fēng)險上升。

（二）對底層業(yè)務(wù)數(shù)據(jù)的真實(shí)安全要求更高

財(cái)務(wù)共享服務(wù)中心將集團(tuán)內(nèi)部組織結(jié)構(gòu)分散、重復(fù)率高的核算業(yè)務(wù)統(tǒng)一集中到共享中心進(jìn)行集中處理。這一模式的應(yīng)用使得整個共享中心對底層數(shù)據(jù)依賴性更強(qiáng)，對底層數(shù)據(jù)的真實(shí)安全要求更高。一旦各分支機(jī)構(gòu)的底層業(yè)務(wù)數(shù)據(jù)的真實(shí)性存在問題，那么傳遞到財(cái)務(wù)共享中心后財(cái)務(wù)確認(rèn)以及后期的財(cái)務(wù)分析等所依賴的基礎(chǔ)數(shù)據(jù)就是錯誤的，據(jù)此做出的最終決策也難以指導(dǎo)公司戰(zhàn)略甚至?xí)霈F(xiàn)嚴(yán)重的負(fù)面結(jié)果。尤其是當(dāng)前移動互聯(lián)網(wǎng)的廣泛應(yīng)用，催生了眾包等分散性極強(qiáng)的虛擬崗位，而越來越多的財(cái)務(wù)共享服務(wù)中心將底層的簡單重復(fù)的識別、核對等工作分包給移動終端的個人（包括集團(tuán)公司內(nèi)外部），并按件計(jì)費(fèi)。這種模式的應(yīng)用使得財(cái)務(wù)共享服務(wù)中心對于底層數(shù)據(jù)的控制提出了更高的要求，同時也增大了數(shù)據(jù)安全的風(fēng)險隱患。傳統(tǒng)內(nèi)部審計(jì)在現(xiàn)場收集的多為紙質(zhì)數(shù)據(jù)，真實(shí)性有一定的保障，數(shù)據(jù)不容易被修改，財(cái)務(wù)共享模式下的內(nèi)部審計(jì)需要處理的幾乎均為電子數(shù)據(jù)，并且后期的電子數(shù)據(jù)都是系統(tǒng)依據(jù)底端的業(yè)務(wù)單據(jù)自動處理得出的，其真實(shí)性、準(zhǔn)確性需關(guān)聯(lián)底層數(shù)據(jù)加以驗(yàn)證;同時，被存儲在共享平臺的電子數(shù)據(jù)容易被復(fù)制、篡改、刪除，數(shù)據(jù)的安全性與可信任性也存在極大的風(fēng)險隱患?？梢?，從技術(shù)風(fēng)險角度來看，財(cái)務(wù)共享模式下的內(nèi)部審計(jì)必須重視底層數(shù)據(jù)的真實(shí)與安全。

綜上所述，財(cái)務(wù)共享模式的實(shí)施在給企業(yè)管理帶來降低成本、提高效率等好處的同時，也帶來了信息技術(shù)風(fēng)險隱患。作為企業(yè)風(fēng)險管理體系中第三道防線的內(nèi)部審計(jì)就必須對此進(jìn)行調(diào)整[6]。

三、財(cái)務(wù)共享模式的內(nèi)部審計(jì)策略

本文將以信息技術(shù)風(fēng)險的識別與控制、信息技術(shù)的應(yīng)用作為切入點(diǎn)，針對源自信息技術(shù)的風(fēng)險因素與源自底層數(shù)據(jù)真實(shí)安全的風(fēng)險因素兩個方面分析討論財(cái)務(wù)共享模式下的內(nèi)部審計(jì)策略。

（一）基于信息技術(shù)風(fēng)險的風(fēng)險識別

財(cái)務(wù)共享模式依托的信息技術(shù)以及會計(jì)核算模式都發(fā)生了很大的變化，由此產(chǎn)生的風(fēng)險在辨認(rèn)和可控性上都變得更復(fù)雜。因此，財(cái)務(wù)共享模式下的內(nèi)部審計(jì)實(shí)施需要首先了解集團(tuán)公司的信息技術(shù)整體環(huán)境，了解信息技術(shù)整體環(huán)境是對企業(yè)信息系統(tǒng)整體管理體系中的相關(guān)風(fēng)險點(diǎn)的識別及應(yīng)對[7]。信息技術(shù)導(dǎo)致的風(fēng)險是集團(tuán)公司實(shí)施財(cái)務(wù)共享內(nèi)部審計(jì)的背景和大環(huán)境，是財(cái)務(wù)共享內(nèi)部審計(jì)實(shí)施需關(guān)注和解決的首要問題。因此，實(shí)施財(cái)務(wù)共享內(nèi)部審計(jì)必須將信息技術(shù)風(fēng)險的識別作為首要任務(wù)。對于信息技術(shù)風(fēng)險的識別，本文認(rèn)為應(yīng)首先確定信息技術(shù)的風(fēng)險識別點(diǎn)，然后基于這些風(fēng)險識別點(diǎn)進(jìn)行風(fēng)險識別，最后在風(fēng)險識別的基礎(chǔ)上進(jìn)行風(fēng)險評估。

1.確定信息技術(shù)風(fēng)險識別點(diǎn)

每一項(xiàng)信息技術(shù)都是基于某一個問題的解決思路，歸根到底是一種思維，因此都有其自身的技術(shù)特點(diǎn)。不同的信息技術(shù)其優(yōu)勢、風(fēng)險點(diǎn)都不盡相同。首先，需要確定財(cái)務(wù)共享模式應(yīng)用了哪些信息技術(shù)，以此作為信息技術(shù)風(fēng)險識別的總范圍。其次，針對每一項(xiàng)信息技術(shù)的特點(diǎn)確定其風(fēng)險點(diǎn)。

一般來講，財(cái)務(wù)共享模式主要依托了ERP系統(tǒng)、互聯(lián)網(wǎng)、云計(jì)算等信息技術(shù)，因此信息技術(shù)風(fēng)險識別范圍的第一層次便是ERP系統(tǒng)、互聯(lián)網(wǎng)、云計(jì)算等。然后是針對單一的信息技術(shù)分析其風(fēng)險識別點(diǎn)。如圖1所示。

2.基于信息技術(shù)風(fēng)險的風(fēng)險識別

由圖1可以看出，不同的信息技術(shù)風(fēng)險點(diǎn)雖然不盡相同，但是也有共同點(diǎn)，比如數(shù)據(jù)安全風(fēng)險。因此，在實(shí)施風(fēng)險識別時可以以不同信息技術(shù)為分類標(biāo)準(zhǔn)進(jìn)行識別，也可以按照風(fēng)險點(diǎn)作為分類標(biāo)準(zhǔn)進(jìn)行識別，因?yàn)椴煌畔⒓夹g(shù)的風(fēng)險點(diǎn)有重疊，所以本文嘗試采取第二種方式進(jìn)行風(fēng)險識別。

（1）基于云服務(wù)應(yīng)用方案的風(fēng)險識別

該風(fēng)險點(diǎn)主要是針對云計(jì)算技術(shù)的。在識別云服務(wù)應(yīng)用方案風(fēng)險時，首先應(yīng)根據(jù)被審計(jì)單位的云服務(wù)方案，結(jié)合被審計(jì)單位的軟硬件環(huán)境分析云服務(wù)方案的相關(guān)風(fēng)險。根據(jù)云計(jì)算的服務(wù)類型可以將云計(jì)算服務(wù)方案分為三種，即基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）。由于每一種服務(wù)的技術(shù)架構(gòu)不同，其產(chǎn)生的風(fēng)險也不盡相同?；A(chǔ)設(shè)施即服務(wù)（IaaS）主要是為云技術(shù)的用戶提供軟件開發(fā)的數(shù)據(jù)中心、基礎(chǔ)設(shè)施等硬件資源。由此，其風(fēng)險主要來源于云技術(shù)用戶或企業(yè)員工非法強(qiáng)占服務(wù)項(xiàng)目。平臺即服務(wù)（PaaS）是將軟件研發(fā)的平臺作為服務(wù)提供給用戶，其風(fēng)險來源于平臺應(yīng)用中的數(shù)據(jù)加密技術(shù)。由于軟件即服務(wù)（SaaS）的實(shí)現(xiàn)是通過云端傳輸應(yīng)用程序的，因此主要風(fēng)險來源于在云端打開這些應(yīng)用程序的多個不同密碼。

（2）基于云服務(wù)提供商的風(fēng)險識別

該風(fēng)險點(diǎn)主要是針對云計(jì)算技術(shù)應(yīng)用過程中涉及的人為因素導(dǎo)致的風(fēng)險。在使用云計(jì)算技術(shù)的過程中，所有的服務(wù)都由云服務(wù)提供商提供，因此云技術(shù)用戶在一定程度上與云服務(wù)提供商關(guān)聯(lián)在一起，存在源于云服務(wù)提供商的風(fēng)險因素。本文認(rèn)為這些風(fēng)險因素主要包括云服務(wù)提供商經(jīng)營管理等帶來的連帶風(fēng)險，更換云服務(wù)提供商的風(fēng)險。

（二）數(shù)據(jù)安全、真實(shí)的風(fēng)險因素識別

1.基于數(shù)據(jù)安全的風(fēng)險識別

該風(fēng)險點(diǎn)是云計(jì)算技術(shù)、互聯(lián)網(wǎng)技術(shù)以及ERP系統(tǒng)共同的風(fēng)險點(diǎn)，即每一項(xiàng)信息技術(shù)都會面臨著數(shù)據(jù)安全的風(fēng)險隱患。數(shù)據(jù)安全的風(fēng)險隱患可以分為客觀因素導(dǎo)致的和主觀因素導(dǎo)致的。其中，客觀因素主要是指的由外界不可抗力等非主觀造成的數(shù)據(jù)安全風(fēng)險，對于云計(jì)算技術(shù)而言，不管用戶采取的是哪種應(yīng)用服務(wù)模式，云技術(shù)用戶的數(shù)據(jù)都存儲在云端，面臨著云中心因?yàn)榧夹g(shù)不穩(wěn)定、外部黑客攻擊等而導(dǎo)致的潛在數(shù)據(jù)安全風(fēng)險。對于互聯(lián)網(wǎng)而言，同樣面臨著黑客、病毒、網(wǎng)絡(luò)釣魚等影響數(shù)據(jù)安全的潛在風(fēng)險。ERP系統(tǒng)作為一個計(jì)算機(jī)系統(tǒng)雖然外部顯現(xiàn)程度不如云中心、互聯(lián)網(wǎng)，但是同樣面臨著軟件系統(tǒng)所必須面對的突然斷電、病毒侵入、服務(wù)器存儲故障等影響數(shù)據(jù)安全的風(fēng)險。而主觀因素主要是指人為故意造成的數(shù)據(jù)安全風(fēng)險，這里的人為主要包括集團(tuán)公司內(nèi)部或與集團(tuán)公司共享中心有關(guān)聯(lián)關(guān)系的人員。如此說來，主觀方面的數(shù)據(jù)安全風(fēng)險主要包括云服務(wù)提供商內(nèi)部員工的未授權(quán)非法操作、云技術(shù)用戶內(nèi)部員工（互聯(lián)網(wǎng)用戶、ERP系統(tǒng)用戶）的未授權(quán)非法操作等引起的數(shù)據(jù)安全。

2.基于基礎(chǔ)數(shù)據(jù)真實(shí)的風(fēng)險識別

該風(fēng)險點(diǎn)主要產(chǎn)生于ERP等信息系統(tǒng)。當(dāng)前的信息系統(tǒng)基于業(yè)務(wù)發(fā)生時產(chǎn)生的業(yè)務(wù)單據(jù)，通過系統(tǒng)定義的業(yè)務(wù)財(cái)務(wù)關(guān)聯(lián)關(guān)系基本可以實(shí)現(xiàn)公司基本業(yè)務(wù)的業(yè)財(cái)一體化，即財(cái)務(wù)核算由系統(tǒng)自動實(shí)現(xiàn)。后續(xù)流程中的賬簿、報表等也是根據(jù)信息系統(tǒng)自帶的程序或系統(tǒng)功能設(shè)置自動獲取系統(tǒng)中的相關(guān)數(shù)據(jù)實(shí)時生成的?？梢?，賬簿、報表甚至記賬憑證信息的真實(shí)性都源于業(yè)務(wù)單據(jù)中信息的真實(shí)性。由此，需要識別基礎(chǔ)數(shù)據(jù)真實(shí)的潛在風(fēng)險因素。基礎(chǔ)數(shù)據(jù)真實(shí)的潛在風(fēng)險主要包括基礎(chǔ)業(yè)務(wù)信息的隱匿、虛增以及信息系統(tǒng)后臺程序的準(zhǔn)確性。

（三）基于風(fēng)險識別的風(fēng)險評估

第一，編制風(fēng)險評估表，將識別的風(fēng)險項(xiàng)目一一列示在風(fēng)險評估表中，如表1所示。

第二，參照各項(xiàng)信息技術(shù)以往應(yīng)用過程中或其他公司應(yīng)用過程中各風(fēng)險項(xiàng)目發(fā)生風(fēng)險的經(jīng)驗(yàn)數(shù)據(jù)，以及風(fēng)險項(xiàng)目本身風(fēng)險發(fā)生的可能性估計(jì)各風(fēng)險項(xiàng)目風(fēng)險發(fā)生的概率，同時結(jié)合風(fēng)險項(xiàng)目風(fēng)險發(fā)生概率的大小以及風(fēng)險發(fā)生對公司產(chǎn)生的影響進(jìn)行綜合評估，確定各個風(fēng)險項(xiàng)目的權(quán)重，最后將權(quán)重與概率進(jìn)行綜合并計(jì)算，得出每一項(xiàng)的評估風(fēng)險以及總的評估風(fēng)險。

第三，因?yàn)椴煌娘L(fēng)險項(xiàng)目產(chǎn)生的后果不同，可控程度也不同，因此本文建議同時設(shè)置單個風(fēng)險項(xiàng)目的可接受水平和總體的可接受水平。首先，評估每個風(fēng)險項(xiàng)目的可控程度、控制風(fēng)險的成本等，根據(jù)以往的經(jīng)驗(yàn)或?qū)︼L(fēng)險接受的情況為每一個風(fēng)險項(xiàng)目設(shè)定單獨(dú)的風(fēng)險可接受水平;其次，將所有的風(fēng)險項(xiàng)目的可接受水平進(jìn)行綜合，設(shè)定一個總體的基于信息技術(shù)風(fēng)險的可接受水平;最后，將單項(xiàng)風(fēng)險項(xiàng)目、總體風(fēng)險項(xiàng)目的風(fēng)險可接受水平與風(fēng)險評估表中最終計(jì)算得出的評估風(fēng)險進(jìn)行比較，如果單項(xiàng)風(fēng)險項(xiàng)目與總體風(fēng)險項(xiàng)目評估風(fēng)險均低于可接受水平，可以繼續(xù)實(shí)施內(nèi)部審計(jì)。如果單項(xiàng)風(fēng)險項(xiàng)目與總體風(fēng)險項(xiàng)目中的任何一項(xiàng)評估風(fēng)險超出可接受水平，就需要針對超出可接受水平的風(fēng)險項(xiàng)目進(jìn)行深入分析，找出其風(fēng)險高的原因，以及該風(fēng)險能否通過采取相應(yīng)措施進(jìn)行控制，該控制措施的實(shí)施是否符合成本效益原則。如果風(fēng)險是可控的，也可以采取相應(yīng)的措施控制，且控制措施的實(shí)施符合成本效益原則，那么可進(jìn)行相應(yīng)控制措施的實(shí)施，實(shí)施完成后對風(fēng)險進(jìn)行重新的評估與比較，直至評估風(fēng)險降至可接受水平之下。

（四）基于信息技術(shù)風(fēng)險識別的內(nèi)部審計(jì)策略

傳統(tǒng)的內(nèi)部審計(jì)工作大都是發(fā)生在經(jīng)濟(jì)活動結(jié)束之后，即事后審計(jì)，且往往采用現(xiàn)場審計(jì)的方式，無法實(shí)現(xiàn)審計(jì)的及時性，導(dǎo)致審計(jì)效果大打折扣[8]。財(cái)務(wù)共享模式深入地應(yīng)用了信息技術(shù)，對信息技術(shù)服務(wù)有著極強(qiáng)的依賴性，同時集團(tuán)業(yè)務(wù)日益復(fù)雜、瞬息萬變，業(yè)務(wù)流程以及數(shù)據(jù)的加工處理、在系統(tǒng)中的傳遞都要求審計(jì)思維和基本理念的轉(zhuǎn)變，在信息技術(shù)風(fēng)險評估的基礎(chǔ)上應(yīng)用現(xiàn)代審計(jì)技術(shù)與方法便是一個基本的轉(zhuǎn)變[9]。

1.基于云服務(wù)應(yīng)用方案風(fēng)險的內(nèi)部審計(jì)策略

首先，了解被審計(jì)單位選用的云服務(wù)應(yīng)用方案;其次，查閱方案選用之前被審計(jì)單位對方案進(jìn)行調(diào)研、評估的相關(guān)資料以確定被審計(jì)單位是否在選用方案時對方案有足夠的認(rèn)識并進(jìn)行了足夠的調(diào)研、風(fēng)險評估工作;最后，結(jié)合被審計(jì)單位選用的方案對其進(jìn)行風(fēng)險評估，包括被審計(jì)單位選用該方案的可行性、方案本身的風(fēng)險點(diǎn)、同行或同規(guī)模企業(yè)方案的選擇情況，并將被審計(jì)單位選用方案時的相關(guān)措施以及實(shí)際情況與審計(jì)人員的評估結(jié)果進(jìn)行比較。根據(jù)比較結(jié)果確定下一步審計(jì)重點(diǎn)與策略：如果比較結(jié)果在可接受范圍內(nèi)，則直接進(jìn)入下一步審計(jì)程序;否則，需要就超過可接受范圍的風(fēng)險點(diǎn)與被審計(jì)單位進(jìn)行商談，并建議其實(shí)施有效的風(fēng)險控制。

2.基于云服務(wù)提供商風(fēng)險的內(nèi)部審計(jì)策略

云計(jì)算技術(shù)涉及的人為風(fēng)險主要源于兩個方面，即云服務(wù)提供商與被審計(jì)單位。對于云服務(wù)提供商，審計(jì)人員應(yīng)對云服務(wù)提供商的經(jīng)營管理情況，尤其是各種風(fēng)險的控制情況進(jìn)行基本的了解與評估，對其經(jīng)營穩(wěn)定性、云平臺安全控制有效性做出評估。對于被審計(jì)單位，即云服務(wù)使用者，需要了解被審計(jì)單位對于更換云服務(wù)提供商有沒有提前的備用方案，或是應(yīng)急處理方案，并進(jìn)一步評估方案的有效性;針對云平臺相關(guān)操作人員的職責(zé)設(shè)置、安全控制等有沒有有效的控制制度。如果發(fā)現(xiàn)存在不可控的且不能接受的風(fēng)險隱患，需要與被審計(jì)單位溝通，并建議結(jié)合內(nèi)部控制制度進(jìn)行合理的調(diào)整直至達(dá)到風(fēng)險可控。

3.基于底層業(yè)務(wù)數(shù)據(jù)真實(shí)安全的內(nèi)部審計(jì)策略

（1）區(qū)塊鏈技術(shù)應(yīng)用于底層業(yè)務(wù)數(shù)據(jù)控制的可行性

底層業(yè)務(wù)數(shù)據(jù)的真實(shí)完整是財(cái)務(wù)共享服務(wù)中心的財(cái)務(wù)分析、價值管理等一系列流程是否有意義的根本所在。也就是說，財(cái)務(wù)共享服務(wù)中心要實(shí)現(xiàn)其降低成本、提高管控水平等目標(biāo)首先要保證底層業(yè)務(wù)數(shù)據(jù)的真實(shí)完整。從財(cái)務(wù)角度理解，區(qū)塊鏈技術(shù)就是一種通過互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)分布式的賬簿記錄系統(tǒng)，分布式的技術(shù)不是單一地將數(shù)據(jù)儲存在同一服務(wù)器，而是由各個終端的參與者同時進(jìn)行存儲，可以對賬簿副本進(jìn)行自動備份，實(shí)現(xiàn)數(shù)據(jù)共享與追蹤。通過這種方式也可以有效避免數(shù)據(jù)被修改?？梢?，區(qū)塊鏈技術(shù)為保證底層業(yè)務(wù)信息的真實(shí)性、完整性提供了技術(shù)可能性。

第一，區(qū)塊鏈技術(shù)可以提高審計(jì)信息的真實(shí)性與完整性，降低審計(jì)過程中源自數(shù)據(jù)的風(fēng)險隱患。區(qū)塊鏈技術(shù)運(yùn)用加密式及分布式的存儲方式存儲各個交易節(jié)點(diǎn)的信息，保證了數(shù)據(jù)的安全性，同時對各分布節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行備份，使得數(shù)據(jù)的存儲對于中央服務(wù)系統(tǒng)的依賴程度大大減少，降低了風(fēng)險，保證了業(yè)務(wù)數(shù)據(jù)的真實(shí)性和完整性。

第二，區(qū)塊鏈技術(shù)在每個區(qū)塊節(jié)點(diǎn)上都保存了完整的數(shù)據(jù)信息，從空間維度上說，有助于降低信息不對稱的風(fēng)險，被授權(quán)的審計(jì)人員可以擺脫地理位置約束獲取所需的審計(jì)數(shù)據(jù);從時間維度上說，根據(jù)區(qū)塊鏈技術(shù)的基本原理區(qū)塊鏈條上每10分鐘會建立一個區(qū)塊，并蓋好時間戳，內(nèi)部審計(jì)人員可以擺脫時間限制對鏈條上的信息實(shí)時審計(jì)。從密碼學(xué)來說，一旦蓋好時間戳，理論上這個區(qū)塊幾乎沒有被篡改的可能性，內(nèi)部審計(jì)人員可以擺脫信息不對稱的限制實(shí)時利用鏈條上的信息進(jìn)行相應(yīng)的審計(jì)業(yè)務(wù)。

第三，內(nèi)部審計(jì)人員和財(cái)務(wù)共享服務(wù)中心的相關(guān)管理者可以自行擬定在區(qū)塊鏈條上所要發(fā)布和分享的信息，保證了數(shù)據(jù)的安全性和可獲得性，同時內(nèi)部審計(jì)人員可以根據(jù)區(qū)塊鏈提供的信息隨時了解財(cái)務(wù)共享服務(wù)中心的業(yè)務(wù)情況，并實(shí)時地對其實(shí)施內(nèi)部審計(jì)，或提出內(nèi)部控制建議。

第四，財(cái)務(wù)共享模式下，內(nèi)部審計(jì)工作中的數(shù)據(jù)傳輸環(huán)節(jié)過多，可能會對內(nèi)部審計(jì)數(shù)據(jù)的真實(shí)性、完整性還有及時性造成不利影響。而在區(qū)塊鏈技術(shù)下，每個節(jié)點(diǎn)都保存了一套真實(shí)完整的賬簿副本，內(nèi)部審計(jì)人員可以在任意節(jié)點(diǎn)獲取所需審計(jì)數(shù)據(jù)，并根據(jù)時間戳追溯歷史業(yè)務(wù)信息或向后延伸后續(xù)業(yè)務(wù)信息，驗(yàn)證前后關(guān)聯(lián)的邏輯關(guān)系，提高內(nèi)部審計(jì)的效果與效率。

（2）區(qū)塊鏈思維的財(cái)務(wù)共享內(nèi)部審計(jì)

區(qū)塊鏈的不可篡改、分布式賬本、時間戳、網(wǎng)絡(luò)共識以及可編程等特征與會計(jì)和審計(jì)對信息質(zhì)量的要求不謀而合，其必將對會計(jì)和審計(jì)產(chǎn)生深遠(yuǎn)的影響，區(qū)塊鏈對審計(jì)的影響必將導(dǎo)致區(qū)塊鏈與審計(jì)的融合[10]。從區(qū)塊鏈技術(shù)的基本原理可知，區(qū)塊鏈的信任來自于底層技術(shù)，即用歷史信息換得現(xiàn)行的信任。因此，本文認(rèn)為可以將區(qū)塊鏈技術(shù)與財(cái)務(wù)共享模式的內(nèi)部審計(jì)相融合，用以控制底層業(yè)務(wù)數(shù)據(jù)的真實(shí)安全，同時提高內(nèi)部審計(jì)的效率。財(cái)務(wù)共享中心的信息輸入起點(diǎn)來源于具體的業(yè)務(wù)，因此它不是孤立的。而實(shí)施內(nèi)部審計(jì)時必須要以基礎(chǔ)業(yè)務(wù)作為審計(jì)的重要內(nèi)容，因此，財(cái)務(wù)共享的內(nèi)部審計(jì)實(shí)施不能僅限于財(cái)務(wù)共享中心，而是需要將與財(cái)務(wù)共享存在內(nèi)在聯(lián)系的基礎(chǔ)業(yè)務(wù)等融入其中。基于上述分析，本文認(rèn)為基于區(qū)塊鏈的財(cái)務(wù)共享內(nèi)部審計(jì)的基本思路是以財(cái)務(wù)共享業(yè)務(wù)流程為主線構(gòu)建基于流程的區(qū)塊鏈條用以控制底層業(yè)務(wù)基礎(chǔ)數(shù)據(jù)的真實(shí)安全，關(guān)鍵點(diǎn)在于區(qū)塊鏈條的構(gòu)建以及規(guī)則的制定，具體的實(shí)現(xiàn)過程如圖2所示。

第一，確定基本思路，明確目標(biāo)。根據(jù)集團(tuán)公司的戰(zhàn)略管理目標(biāo)以及財(cái)務(wù)共享服務(wù)中心的管控目標(biāo)制定內(nèi)部審計(jì)的目標(biāo)。集團(tuán)各分公司的業(yè)務(wù)信息、財(cái)務(wù)信息均存儲在共享服務(wù)中心，并且基本業(yè)務(wù)信息以區(qū)塊鏈的方式進(jìn)行分布式賬本存儲，保證了底層基本業(yè)務(wù)信息的真實(shí)完整，因此內(nèi)部審計(jì)目標(biāo)的重點(diǎn)應(yīng)是業(yè)務(wù)流程合理增值。

第二，基于區(qū)塊鏈思維，在財(cái)務(wù)共享內(nèi)部審計(jì)的基本實(shí)現(xiàn)思路下，建立以財(cái)務(wù)共享服務(wù)中心為審計(jì)對象、以財(cái)務(wù)共享模式下的集團(tuán)公司以及集團(tuán)各分公司的基本業(yè)務(wù)流程為基本鏈條的區(qū)塊鏈，財(cái)務(wù)共享中心中的分支機(jī)構(gòu)以及內(nèi)部審計(jì)機(jī)構(gòu)或人員作為區(qū)塊鏈中的參與者。首先根據(jù)公司的業(yè)務(wù)情況以及財(cái)務(wù)共享平臺的技術(shù)實(shí)現(xiàn)，梳理出財(cái)務(wù)共享模式下的基本流程：底層業(yè)務(wù)發(fā)生→業(yè)務(wù)單據(jù)審核→財(cái)務(wù)共享結(jié)算→實(shí)施財(cái)務(wù)確認(rèn)……然后在梳理財(cái)務(wù)共享模式基本業(yè)務(wù)流程的基礎(chǔ)上構(gòu)建基于流程交易信息的區(qū)塊鏈條，并理順區(qū)塊鏈分鏈條與業(yè)務(wù)流程的對應(yīng)關(guān)系。同時根據(jù)集團(tuán)管控目標(biāo)設(shè)計(jì)內(nèi)部審計(jì)人員以及集團(tuán)各個分支機(jī)構(gòu)在財(cái)務(wù)共享模式下區(qū)塊鏈條上的權(quán)限。

第三，在財(cái)務(wù)共享的整個鏈條上，所有的參與者統(tǒng)一制定鏈條上信息共享規(guī)則，并按照發(fā)布信息的規(guī)則實(shí)時進(jìn)行全鏈條發(fā)布。如圖2所示，任一分公司在發(fā)生底層業(yè)務(wù)時建立創(chuàng)世區(qū)塊，發(fā)布初始業(yè)務(wù)的交易信息，并簽名。此時，鏈條上的參與者均可看到該交易信息的內(nèi)容，當(dāng)參與者認(rèn)可同意之后，該區(qū)塊被封存，不可篡改。接著，該業(yè)務(wù)進(jìn)入下一個流程，即審核流程，由該流程的執(zhí)行者在上一流程區(qū)塊的基礎(chǔ)上繼續(xù)建立區(qū)塊1，發(fā)布審核業(yè)務(wù)的交易信息，并簽名。鏈條上的參與者對該業(yè)務(wù)信息進(jìn)行認(rèn)證，無異議后區(qū)塊被封存。然后，該業(yè)務(wù)進(jìn)入共享結(jié)算流程，以此類推……需要說明的是，實(shí)際交易時，底層業(yè)務(wù)對應(yīng)的區(qū)塊可能會由幾個分公司同時發(fā)生，而后續(xù)財(cái)務(wù)共享服務(wù)中心的業(yè)務(wù)流程對應(yīng)的區(qū)塊也可能會同時進(jìn)行。

第四，區(qū)塊鏈聯(lián)盟中（即財(cái)務(wù)共享中心）的參與者（包括內(nèi)部審計(jì)人員）均可以發(fā)布和分享信息（信息分享程度可以由集團(tuán)公司財(cái)務(wù)共享中心的所有分公司共同商量擬定），而區(qū)塊鏈聯(lián)盟以外的無法獲得信息。內(nèi)部審計(jì)人員可以利用區(qū)塊鏈上的實(shí)時信息（區(qū)塊鏈上的信息每10分鐘會生成一個區(qū)塊）隨時了解各分公司的業(yè)務(wù)情況，更多地實(shí)施以下內(nèi)部審計(jì)策略：（1）將區(qū)塊鏈技術(shù)與大數(shù)據(jù)技術(shù)結(jié)合，基于區(qū)塊鏈上的業(yè)務(wù)信息進(jìn)行數(shù)據(jù)綜合分析，通過數(shù)據(jù)分析將數(shù)據(jù)與業(yè)務(wù)結(jié)合，解析深層原因;（2）關(guān)注業(yè)務(wù)發(fā)生的合理性、業(yè)務(wù)流程的運(yùn)行是否合理或者相關(guān)的業(yè)務(wù)流程能不能產(chǎn)生價值增值;（3）從底層初始業(yè)務(wù)開始業(yè)務(wù)信息是如何傳遞的以及如何加工的、業(yè)務(wù)與財(cái)務(wù)的融合程度如何以及效果如何;（4）整個業(yè)務(wù)流程的運(yùn)行以及區(qū)塊的建立存儲過程中有沒有相應(yīng)的風(fēng)險以及風(fēng)險可控不可控等方面。最終根據(jù)實(shí)時內(nèi)部審計(jì)的具體情況，結(jié)合集團(tuán)公司的內(nèi)部規(guī)章制度提出業(yè)務(wù)流程再造、內(nèi)部控制等方面的建議。值得注意的是，如果各分公司希望對集團(tuán)公司其他分公司和內(nèi)部審計(jì)人員分享不同的信息，那么需要結(jié)合具體的技術(shù)考慮建立不同的鏈條，或是針對不同的參與者進(jìn)行身份識別從而獲取不同的信息內(nèi)容。

綜上，一方面基于財(cái)務(wù)共享中心的區(qū)塊鏈實(shí)時內(nèi)部審計(jì)可以有效地解決底層業(yè)務(wù)數(shù)據(jù)真實(shí)性完整性的問題，有利于解決集團(tuán)公司內(nèi)部各分公司之間信息不對稱導(dǎo)致的不信任問題，也可以提高財(cái)務(wù)共享中心上各分公司的信息發(fā)布與獲取速度，這在數(shù)據(jù)瞬息萬變的大數(shù)據(jù)時代更有利于提高整個集團(tuán)公司的運(yùn)行效率。另一方面，也是尤為重要的是內(nèi)部審計(jì)人員審計(jì)思維與審計(jì)方法的轉(zhuǎn)變。傳統(tǒng)的內(nèi)部審計(jì)會將精力更多地放在對發(fā)票、記賬憑證等基本業(yè)務(wù)信息、財(cái)務(wù)信息的真實(shí)性和完整性的驗(yàn)證上，而實(shí)施了基于區(qū)塊鏈的財(cái)務(wù)共享模式內(nèi)部審計(jì)，內(nèi)部審計(jì)人員可以實(shí)時地了解集團(tuán)各分公司的業(yè)務(wù)情況，將更多的精力投入到實(shí)時地發(fā)現(xiàn)業(yè)務(wù)流程、內(nèi)部控制等方面的問題、識別各種風(fēng)險，并提出有效的建議，從而更好地提高內(nèi)部審計(jì)的效率，實(shí)現(xiàn)財(cái)務(wù)共享的管控目標(biāo)。

四、結(jié)論

信息技術(shù)廣泛深入應(yīng)用的大數(shù)據(jù)環(huán)境下，傳統(tǒng)的內(nèi)部審計(jì)模式已經(jīng)捉襟見肘，不能適應(yīng)信息化的發(fā)展趨勢。財(cái)務(wù)共享模式的推廣應(yīng)用尤其是信息技術(shù)應(yīng)用帶來的潛在風(fēng)險為內(nèi)部審計(jì)提出了新的挑戰(zhàn)，但同時也為內(nèi)部審計(jì)的轉(zhuǎn)型帶來了新的機(jī)遇。本文從信息技術(shù)風(fēng)險因素的角度分析了財(cái)務(wù)共享模式的兩個特點(diǎn)：源于信息技術(shù)的風(fēng)險增加、對底層業(yè)務(wù)數(shù)據(jù)的真實(shí)性和安全性要求更高。然后針對兩個方面的問題提出了相應(yīng)的審計(jì)策略：通過確定信息技術(shù)的風(fēng)險識別點(diǎn)、基于這些風(fēng)險識別點(diǎn)進(jìn)行風(fēng)險識別、在風(fēng)險識別的基礎(chǔ)上進(jìn)行風(fēng)險評估三個步驟實(shí)施基于信息技術(shù)風(fēng)險的風(fēng)險識別;將區(qū)塊鏈技術(shù)應(yīng)用于財(cái)務(wù)共享模式的內(nèi)部審計(jì)，提出基于區(qū)塊鏈的財(cái)務(wù)共享內(nèi)部審計(jì)策略。

【參考文獻(xiàn)】

[1] 張靜，龐文群.內(nèi)部審計(jì)在審計(jì)監(jiān)督體系中的基礎(chǔ)性作用[J].財(cái)會月刊，2019（5）：114-118.

[2] 馮潔霏，韓婀娜，朱正根.財(cái)務(wù)共享服務(wù)模式下的內(nèi)部審計(jì)研究[J].天津農(nóng)學(xué)院學(xué)報，2018，25（2）：89-92.

[3] 張慶龍.財(cái)務(wù)共享服務(wù)中心視野中的內(nèi)部審計(jì)職能[J].中國注冊會計(jì)師，2012（9）：51-55.

[4] 陳元媛.區(qū)塊鏈改進(jìn)集團(tuán)化企業(yè)聯(lián)網(wǎng)內(nèi)部審計(jì)研究[J].工業(yè)經(jīng)濟(jì)論壇，2017（4）：67-71.

[5] 2018年第三季度網(wǎng)絡(luò)安全威脅態(tài)勢分析與工作綜述[EB/OL].工業(yè)和信息化部，2018-12-03.

[6] 崔松，張宏.基于財(cái)務(wù)共享服務(wù)的內(nèi)部審計(jì)探析[J].財(cái)會通訊，2019（4）：125-126.

[7] 了解信息技術(shù)導(dǎo)致的風(fēng)險以及被審計(jì)單位的風(fēng)險應(yīng)對體系[J].中國注冊會計(jì)師，2018（3）：20-22.

[8] 程平，崔納牟倩.大數(shù)據(jù)時代基于財(cái)務(wù)共享服務(wù)模式的內(nèi)部審計(jì)[J].會計(jì)之友，2016（16）：122-125.

[9] 陳國珍，趙婧.信息化環(huán)境下內(nèi)部審計(jì)技術(shù)方法研究[J].會計(jì)之友，2013（22）：98-100.

[10] 劉杰，汪川琳，韓洪靈，等.“區(qū)塊鏈+審計(jì)”作業(yè)模式的理想與現(xiàn)實(shí)[J].財(cái)會月刊，2019（8）：3-10.