王贺 （中国石油集团共享运营有限公司大庆中心 黑龙江大庆 163000）

一、引言

信息传递是企业各项经营活动顺利开展的关键，对贯彻落实发展战略、执行全面预算、识别经营活动中的内外部风险具有重要作用。财政部等五部委于2011年发布的《企业内部控制应用指引第17号——内部信息传递》要求企业通过内部报告形式传递生产经营管理信息，促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用。此外，内部信息传递还要求企业重视内部报告信息缺失、流通不及时、商业信息泄露等风险，建立科学的信息传递机制，明确信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限。数字时代的到来改变了企业的业务流程、商业模式，也对企业的内部控制提出了新的挑战。财务共享服务能够实现传统财务向财务数字化转型，促使财务人员角色发生转化，对其能力提出更多要求，传统内部控制体系已经难以有效发挥作用，急需建立大数据型内控体系结构，通过建立基于大数据的内控环境，在组织中嵌入大数据治理框架，引入智能化“流内控”模式。由此可见，在财务共享模式下，传统的内部控制对企业信息传递已经难以发挥原有作用，需要进一步优化调整，使内部控制的五大要素适应数字时代企业业务流程的变化。

二、财务共享模式下信息传递内部控制现状

在信息技术和管理会计快速发展的背景下，财务共享取得了极大进步，得到了广泛应用。在财务共享模式下诸多关键点潜在风险，尤其是财务共享系统涉及企业的财务数据，任何关键节点的小失误都可能会导致重大差错，多个关键节点的失误叠加极易引发严重的整体风险。因此，在财务共享模式下内部控制的关键是对信息传递进行评价和控制。下面简要分析在财务共享模式下我国企业的信息传递在内部控制五项要素中的现状。

（一）内部环境

企业一般以运营区域或分公司为单位设置多个财务共享系统并隶属于集团总部管理。财务共享系统主要对负责区域的会计基础业务进行处理并实时上传集团总部，导致企业的会计基础工作和财务管理工作分离。在财务共享模式下，会计基础业务由系统自动化处理，可以有效降低财务成本、提升业务处理效率并减少因人为操作而出现的失误。此外，各区域会计信息能够实时传递到集团总部，为企业的信息传递创造良好的基础环境。在财务共享模式下企业信息的集中处理也使得人员职位发生了变化，一方面缩减了会计基础业务人员，由信息技术人员运用系统软件开展基础会计工作，另一方面需要对重要岗位实行轮岗制以保证信息安全。

（二）风险评估

财务共享系统的风险评估需要对信息传递的流程开展穿行测试，并根据营运管理人员的评价确定具体的风险点，进而制定相应的控制措施。目前，企业针对财务共享系统制定的风险评估集中在以下三个业务流程：第一，应收账款业务流程，主要包含销售合同信息核查和录入、开票信息的核查、收款信息的核查和客户对账。第二，应付账款业务流程，主要包含发票信息核查和录入、应付账款支付申请的核查以及付款信息复核、支付凭证信息录入以及供应商核对。第三，费用报销业务流程，主要包含电子报销单据以及原始凭证审核、负责人员线上审批、会计人员财务审核以及制单、报销款项支付及信息录入。

（三）控制活动

在财务共享模式下信息传递的控制活动是根据风险评估的结果制定的，一般包含系统指标监控、信息记录追踪、授权审批监管。系统指标监控是对财务共享系统设置安全参数，当信息数据的传递超出安全范围后财务共享系统会自动停止信息传递并发出警报，在工作人员核实处理存在问题后方能继续开展信息传递业务；信息记录追踪是对所有信息的传递过程进行记录，在传递过程中信息数据的修改、使用等操作均需要进行记录；授权审批监管是对财务共享系统相关人员的权限进行严格控制，超过自身权限的任何操作均需要在上级授权的情况下开展。

（四）信息与沟通

内部控制的信息与沟通元素分为内部和外部两部分，内部沟通是指系统内部员工之间的信息沟通，外部沟通是指系统与企业各部门、供应链企业之间的信息沟通。在内部沟通方面，系统所有操作员工应定期开展研讨会，对财务共享系统运营过程中出现的问题进行交流，并根据管理者的需求调整业务程序。在外部沟通方面，系统应与企业各部门、集团总部以及供应链企业实现连接，一方面开展高效的信息数据传递，另一方面及时针对业务信息问题进行沟通。

（五）内部监督

财务共享系统的监督方式一般包含两种：一种是对系统所有环节的信息传递效率和质量进行评估，进而寻找信息传递的薄弱环节并进行相关流程的改进；另外一种是由内部审计部门对系统开展审计，内部审计部门定期审查内部控制在系统中的执行状况，重点对信息传递过程中的完整性、安全性以及失真性等风险进行评估，并根据评估结果制定优化方案上传至管理层，进而开展有效的风险控制。

三、信息传递内部控制框架分析

在构建信息传递内部控制框架时需要根据财务共享系统运营模式的特点控制各项风险点，遵循完整性、安全性以及高效性等原则，在内部控制五大要素的基础上优化信息传递内部控制。本文基于传统内部控制的五大要素对信息传递内部控制框架开展分析。

（一）内部环境优化分析

企业的内部环境是开展内部控制的重要保障，需要优质的企业文化作为软环境、合理的组织结构作为运行基础、专业的技术团队作为核心力量，共同为内部控制的顺利开展营造良好的环境、奠定坚实的基础。

1.创建优质的企业文化。在激烈的市场竞争中，企业得以稳定运营和持续发展需要优质的企业文化作为动力，此外，企业文化能够使员工了解企业的经营目标和理念，明确自身的责任和义务。在优质企业文化的引导下，企业的凝聚力和员工的团队精神均会得到显著提升，为信息传递奠定良好基础。企业文化不能仅体现在纸面上，而是需要进一步细化深入到企业各部门以及各项业务，对员工的日常工作产生潜移默化的影响。

2.优化组织结构。在财务共享模式下，企业的大部分业务需要通过信息技术进行处理，传统的组织结构下企业难以及时了解各项业务运营和财务共享系统中的风险，因此，首先需要明确财务共享系统和企业各部门的职责，通过优化组织结构划分各参与主体的职责并明确信息传递的流程，构建合理的信息传递机制以避免信息传递出现紊乱。信息采集的工作应由各业务部门负责，财务部门进行信息数据的审核，财务共享系统负责信息录入、处理以及共享。针对与经济活动密切相关的信息数据，各业务部门可以选择直接在财务共享系统中处理，简化信息传递的流程。

3.打造核心团队。财务共享系统的运行需要专业人员操作和维护，企业首先应当打造一支具有专业能力的运营团队，保证财务共享系统的稳定运营并运用信息安全软件对信息数据进行加密处理，以避免黑客的窃取篡改以及内部人员的泄露。此外，对于各业务部门的员工需要定期开展信息传递相关工作的培训，保证采集信息数据的完整性和及时性。在系统专业团队和业务团队的相互沟通合作下才能保证信息传递的高效开展。

（二）风险评估优化分析

在财务共享模式下，信息传递的风险评估有别于传统内部控制，需要更加重视网络风险和系统风险，因此，风险评估机制需要重新确定评估目标并调整评估指标，针对财务共享系统的关键风险点进行控制。

1.明确风险评估目标。在财务共享模式下，信息传递的大部分潜在风险转移到了财务共享系统中，因此首先应确定财务共享系统中的风险评估目标。在信息录入方面应保证录入信息的准确性、及时性以及完整性，为了简化信息传递流程，避免在传递过程中出现操作失误，企业应当将不需要进行处理或可以简单计算的基础信息数据直接导入财务共享系统，由系统进行归类或处理。在信息提取方面，系统应对所有的信息数据进行全程跟踪并生成操作日志，操作日志包含系统自身对信息数据的处理传递以及任何权限人员的所有信息提取和修改操作，以保证信息数据的安全性。在信息采集方面，企业应当明确业务部门和财务共享系统之间的职责，由业务部门负责信息采集工作并通过制定信息采集模板确定各项业务需要采集的数据，保证信息数据的完整性和及时性。

2.完善风险评估机制。传统内部控制下对信息传递的风险评估机制仅限于线下，随着财务共享系统的广泛应用，大部分信息的传递在线上进行，需要对信息数据在财务共享系统中的传递流程进行分析，并在此基础上梳理信息传递过程中潜在的风险。在确定信息传递的各项风险后评估各项风险的影响程度和发生频率综合评定风险等级，并根据风险等级制定风险评估指标体系。风险评估指标体系应采用定量描述和定性描述两种方式：定量描述主要通过压力测试对各项风险指标进行数字化的准确描述，判断风险指标是否超出可控范围；定性描述则需要具体操作人员在信息传递各风险点的操作工作中根据经验判断风险变化情况，并实时将风险指标的判断结果上传系统。

（三）控制活动优化分析

在财务共享模式下，各分公司、子公司与集团总部的信息传递效率得到显著提升，但各主体之间的分离导致信息数据的真实性无法立即确认，需要对信息采集和录入开展严格的管控，方能保证信息传递的完整性和准确性。

1.信息传递流程控制。为了实现绩效指标的提升以及成本的缩减，财务共享系统一般会对财务作业流程进行再造，形成多种结构化的作业流程，通过设定程序对部分或者全部财务数据开展自动处理和分析。对于财务共享系统不完善的企业仅能实现部分财务数据的信息化处理，一方面需要定期对信息数据处理的设定程序进行功能测试和考核实验，保证数据处理的准确性和高效性，另一方面需要定期对财务工作进行审计。信息传递流程的关键风险点在于采集、处理以及提取：对于信息采集的风险控制可以通过完善信息采集模板、责任划分以及财务部门初审等措施来实现；信息处理风险则需要对财务共享系统的数据处理功能进行测试实验并对会计人员的操作进行监督审查；信息提取风险需要制定严格的信息访问权限，并对任何信息访问和提取的事项进行详细的记录和日志生成，一旦出现信息篡改或者泄露的风险可以追溯至具体的访问人。

2.增加财务审核流程。信息数据的采集主要依靠业务部门，各业务部门对自身的业务信息较为熟悉，而对于财务数据的采集并不专业，需要财务部门进一步开展审核，尤其是工程类企业的项目可能远离企业，仅靠业务部门难以保证采集信息的完整性和准确性。因此，企业应当在财务部门设置信息数据的初审岗位，对各业务部门采集的信息数据进行初审，而远离企业的工程项目需要派遣财务人员负责信息数据的采集和初步审核，通过增加财务审核流程来保证信息数据在采集阶段的完整性和准确性。

（四）信息与沟通优化分析

财务共享系统与企业各部门、集团总部以及供应链企业之间的有效沟通是保证信息传递效率和质量的重要保障。目前大部分企业的财务共享系统并未与各参与方形成有效的信息沟通。

1.信息数据电子化。企业所有的信息数据均应当实现电子化，尤其是合同、发票等原始凭证需要通过影像技术进行扫描，在电子化后统一进行管理和共享。在编制财务信息和非财务信息时，企业可以应用可扩展商业报告语言（XBRL）技术，通过对信息数据的标准化定义和标记，财务部门的初步审核可以快速在数据库中搜寻到信息的原始数据或凭证，财务共享系统运营人员在录入或处理信息时，一旦发现问题可以追溯至原始凭证。由此，信息传递各参与主体之间的沟通需求降低，通过数据库的共享功能和信息数据的电子化可以有效解决需要沟通的问题。

2.建立多方沟通机制。业务信息主要是由各业务部门负责收集，在缺乏沟通的情况下，双方难以对存在争议的信息数据进行查证，业务信息数据的完整性和准确性可能存在缺失。由此，业务部门应借助影像技术将业务信息数据相关原始凭证和票据进行电子化处理，并上传至财务共享系统，以保证信息录入和信息处理能够实时查询原始信息数据。此外，在信息传递各参与主体间应借助信息技术实现有效沟通，企业应当引入办公自动化系统，利用现代化设备和信息化技术，代替办公人员传统的部分手动或重复性业务活动，通过特定流程或特定环节将各部门的日常事务联系在一起增强沟通能力，使信息数据在流转、审批、发布等方面提高效率。

（五）内部监督优化分析

财务共享系统改变了信息传递的方式和流程，传统的内部监督仅能对操作人员进行监督，而且在信息传递网络化的情况下，传统的考核方法也不再适用。此外，传统的内部审计部门无法对信息传递开展有效的监督，需要增强内部审计部门对系统和网络的审计监督或设立独立的财务共享中心审计部门。

1.完善考核机制。在信息传递网络化的影响下，企业应当对员工考核机制进行改进，根据财务共享系统的运营特点和业务流程制定员工绩效考核机制，对信息传递进行监督。绩效考核指标的设计应当引导员工遵守岗位职责并增强风险防范意识，具体见表1。

表1 信息传递绩效考核指标

2.增强内部审计部门职能。对于信息传递的内部监督仅采用事后考核的方式无法控制风险，需要增强内部审计部门的职能，开展事前、事中及事后全程监督，对于贸易型企业还需要制定跟踪监督的方式，保证信息传递风险的有效控制。从事前监督审计来看，内部审计部门需要对信息传递的各项流程进行评估，提前挖掘各项流程中潜在的风险。从事中监督审计来看，内部审计部门应当根据挖掘的风险点定期对信息流程开展风险测试，并对各种类型的财务报告和原始凭证开展审计工作。从事后监督审计来看，内部审计部门应对员工开展绩效考核，并通过奖惩制度促使员工规范操作规避风险。从跟踪监督审计来看，内部审计部门应要求对重要信息数据进行标记，可以实时查询信息数据的传递状态，及时对可能出现的风险开展防范措施。

四、信息传递内部控制运行的保障措施

在数字时代下信息传递方式发生了重大改变，内部控制五大要素的重心已转移到财务共享系统和互联网方面，而且传统内部控制下对业务流程和人员的控制方式也不再适用，信息传递的内部控制框架需要重新构建。为了保证信息传递内部控制框架的稳定运行，企业应从以下几个方面制定保障措施。

（一）优化财务共享系统

企业应当定期优化财务共享系统，并根据业务需求增强数据交互能力。具体来看，企业一般每个季度都需要公布财务报表，管理层在制定重大决策时也需要专门的财务报告，因此企业应当对财务共享系统设置固定和临时维护更新制度，在季度财务报告和专门财务报告信息收集前对财务共享系统开展维护和升级，保证高效的信息传递。此外，企业应当增强财务共享系统信息数据的传递能力和交互能力，在满足现有业务量信息传递的基础上预留部分传递和交互能力，避免业务量突增时财务共享系统难以负载信息传递。与此同时，企业应当进一步扩展各部门业务领域的信息连接端口和信息处理功能，避免企业业务类型发生变化时财务共享系统无法快速实现新业务的信息录入和处理。

（二）增强信息数据的复核水平

企业应当在财务共享系统中设置信息数据复核小组，进一步保证信息数据的完整性和准确性。信息数据复核小组不仅需要具备专业的财务共享系统操作能力和财务知识，还要熟识企业的各项业务。因此，信息数据复核小组的成员可以从各部门抽调并制定岗位轮换制，一方面保证复核小组的综合能力，另一方面通过信息数据的复核可以挖掘信息传递过程中容易出现的问题，进而反馈到具体的部门和信息传递流程。通过信息数据复核小组可以实现各部门之间的有效沟通，并对信息传递各项流程存在的问题进行改善，保证信息数据的完整性和准确性。

（三）完善风险管理程序

为了保证信息传递的高效开展，企业应从多个层面制定风险管理程序并进行风险预警，及时开展对应的防范预案。从公司层面风险来看，企业需要通过信息收集、风险评估以及风险地图等方式对各种风险进行控制，根据风险等级和类别制定应对预案和预警指标。从流程层面风险来看，需要对企业业务管理流程和财务管理流程进行风险管理，对各项流程的关键风险点制定动态预警机制，一旦出现违规操作或流程缺陷则立即发出警报并执行应对预案，保证各项业务的顺利开展，为信息传递奠定良好的基础。从突发性风险来看，企业需要针对黑客入侵、自然灾害等突发性风险制定应急方案，在出现突发性风险时能够有效保存企业的信息数据，同时防止信息数据的泄露。