娄维维

摘要：在当今竞争激烈的商业环境中，企业共享服务模式日益成为提高效率、优化资源利用和降低成本的关键战略。企业共享服务是一种将特定业务功能集中管理的模式，如财务、人力资源、信息技术等，可以实现资源的最大化利用，降低业务运营的复杂性，并提高效率，它不仅仅是一种组织结构或流程的改变，它还涵盖了内部控制体系的建设，以确保财务数据的准确性、合规性和风险管控。随着共享服务的规模扩大和影响力增加，管理和控制相关风险也就变得至关重要，这正是企业内控体系的重要性的体现。在企业共享服务环境中，内控体系有助于确保共享服务的各个方面运作良好，减轻潜在风险。文章将探讨企业共享服务下的内控体系建设，强调了内控在共享服务模式中的关键作用，以及如何应用内控要素、工具和技术来支持共享服务的有效实施。

关键词：企业；共享服务；内控体系

一、引言

随着全球市场竞争的不断加剧，企业在追求效率、降低成本、提高灵活性和加强核心竞争力等方面面临着更大的压力。在这一背景下，企业共享服务模式逐渐崭露头角。企业共享服务，通常简称为SSC（Shared Service Center），是一种将特定业务功能（如财务、人力资源、采购等）集中管理和运营的模式。这种模式通过将类似的业务流程集中处理，实现了资源和成本的优化，提高了服务质量和一致性，同时也有助于提高核心业务的集中化管理和创新。

二、企业共享服务的兴起和重要性

近年来，企业共享服务模式迅速兴起，成为许多组织的战略选择。这种模式涵盖了一系列支持性业务功能，如财务会计、人力资源、采购、客户服务等。企业将这些功能集中到共享服务中心，通过标准化流程和自动化工具来提供支持。这一模式的兴起源于对效率、成本降低和服务质量提高的追求，以及对核心业务集中的需求，共享服务模式带来了显著的益处。通过合并重复的业务活动，企业可以降低运营成本，减少冗余和浪费；标准化流程和自动化工具的应用可以提高任务执行的速度和准确性，提高了效率；共享服务模式有助于提高服务质量和一致性；通过确保所有业务活动都按照相同的标准执行，企业可以减少差错，提高了客户和合作伙伴的满意度；通过将支持性业务功能外包给共享服务中心，企业可以将更多的精力和资源投入核心业务活动中，增强了核心竞争力。这使得企业能够更专注于创新、产品开发和市场扩展。共享服务中心通常配备强大的信息技术基础设施，有助于更好地管理和分析财务和业务数据。这为企业提供了更好的数据支持，有助于决策制定、战略规划和风险管理。

三、内控体系在企业管理中的作用和必要性

内控体系有助于企业识别、评估和管理风险。通过明确的内部控制程序，企业可以更好地预防和应对潜在的风险，减少损失和不确定性，还有助于发现风险并采取纠正措施，以确保企业持续稳健地经营。内控体系是确保财务数据准确性的关键因素，它包括财务报告、账目核对、预防欺诈等程序，以确保财务信息的真实性和可靠性。这对于投资者、股东和监管机构来说至关重要，因为准确的财务数据是决策和评估企业价值的基础。内控体系有助于保护企业的资产和资源，它包括控制措施，以确保资产不会被盗窃、浪费或滥用，这涉及资产清单、物理安全措施和信息技术安全等方面的管理，以减少潜在的损失。内控体系有助于确保企业遵守适用的法规和法律要求，包括税务法规、会计准则、劳动法规等，通过内部控制，可以监测并确保其活动符合法律要求，避免违法违规。内控体系有助于提高企业的效率和效益，通过自动化流程、标准化操作和最佳实践的应用，优化业务流程，减少资源浪费，提高生产力。内控体系为管理层提供了可靠的数据和信息，用于决策制定，管理层可以依赖内部控制的数据来评估业务绩效、制定战略计划和调整运营方向。一个健全的内控体系有助于维护企业的声誉和信誉，通过确保企业在道德和法规方面的合规性，企业可以建立信任，吸引客户和合作伙伴。

四、企业共享服务中的内控要素

（一）控制环境和文化

1. 内控文化在共享服务中的建立和维护

企业需要明确定义内控文化的核心价值和原则，包括强调财务透明度、诚实和合规性，以及强调员工的责任和义务。内控文化的定义应该在整个组织中广泛传播，确保所有员工都了解其重要性，高层领导必须以身作则，树立内控文化的榜样。他们应该积极参与内控活动，强调合规性和透明度，并在决策中考虑风险管理因素。领导的支持和参与对于建立内控文化至关重要，为员工提供内控方面的培训和教育是建立内控文化的关键。培训可以包括内部控制流程的详细解释、合规性要求的培训及道德和诚实行为的强调。员工应该了解他们在内控体系中的角色和责任，持续的内控文化需要良好的沟通和意识推广，企业可以通过内部通信渠道、会议和培训来不断提醒员工内控文化的重要性。分享成功案例和强调内部控制的积极影响也可以激发员工的积极参与。建立内控文化需要持续监督和评估机制，可以通过内部审计、自查和外部审计等手段来确保内部控制的有效性，发现问题后，必须采取纠正措施并追踪进展。奖励和认可对于维护内控文化至关重要。企业可以设立奖励机制，以表彰积极参与内部控制的员工，并将内控成就纳入绩效评估体系。内控文化应该是一个不断改进的过程，企业应该定期回顾内部控制流程，识别潜在的改进机会，并及时采取措施加强内部控制。

2. 高级管理层对内控的承诺和示范作用

高级管理层应该制定和传达内控标准，明确组织对内控的期望。这包括确定财务透明度、合规性、诚实和道德行为的标准，这些标准将指导整個组织的内控实践。高级管理层应该承诺遵守所有适用的法规和法律要求，并将合规性视为首要任务，他们的承诺将在整个组织中强调合规性的重要性，并鼓励员工积极参与内部控制。高级管理层应该以身作则，成为内控文化的榜样，积极参与内部控制流程，积极支持内部控制的实施，并展示诚实和合规的行为，这将激励员工模仿他们的行为。高级管理层应该主动参与风险管理和内部控制决策，识别关键风险，并采取适当的措施来降低这些风险，这表明他们对组织的稳健性和可持续性负有责任。高级管理层应该定期审查内部控制的有效性，并向董事会和利益相关者报告内控的状态，确保内部控制的报告是准确和透明的，以便各方能够了解组织的风险状况。高级管理层应该提供必要的资源和支持，以确保内部控制的有效实施，这包括人力资源、技术工具和培训等方面的支持。高级管理层可以设立奖励机制，以表彰在内部控制方面取得积极成就的员工，这将鼓励员工积极参与内部控制。

（二）风险评估和识别

1. 共享服务中的风险评估方法和工具

风险矩阵是一种常见的风险评估工具，用于将风险按照其潜在影响和发生概率进行分类，组织确定哪些风险需要优先关注和管理。SWOT分析是一种系统性的方法，用于评估组织的内部优势和劣势，以及外部机会和威胁，可以帮助组织识别潜在的风险因素，并制定应对策略。风险工作坊是一种集体讨论的方法，通常包括来自不同部门和层级的员工，在工作坊中，参与者可以识别和评估风险，共享他们的观点和经验，以更全面地理解潜在的风险。风险评分卡是一种标准化的评估工具，用于为不同风险分配分数，这些分数可以帮助组织确定哪些风险需要优先处理。场景分析涉及设定不同的未来情景，以评估不同风险情况下的影响，这可以帮助组织制订应对多种风险情况的计划。确定和跟踪关键绩效指标是一种重要的风险评估方法，通过监测KPIs，组织可以及时识别潜在的问题和风险。有许多专门设计用于风险管理的软件工具，这些工具可以帮助组织识别、评估和监测风险。这些软件通常包括风险注册、报告和跟踪功能。定期进行风险调查和报告是风险评估的一部分。这可以包括员工意见调查、客户反馈和供应商评估等。

2. 与共享服务相关的常见风险的识别

操作风险涉及共享服务的日常运营，包括流程中断、系统故障、员工错误或失误等，这些风险导致服务交付延迟、数据不准确或客戶不满。共享服务涉及大量敏感财务数据的处理和存储，因此，数据安全风险非常重要，数据泄露、未经授权的数据访问、网络攻击和数据丢失都导致严重的安全问题。企业在共享服务中必须遵守各种法规和行业标准，包括隐私法、金融监管法规等，不符合合规性要求导致罚款、法律诉讼和声誉损失。如果企业依赖外部供应商提供共享服务，那么供应商的不稳定性、服务中断或合同违规对企业造成影响。供应商风险需要严格管理。员工离职、人员不足、培训不足或不当行为都对共享服务的有效性和安全性产生负面影响，必须确保员工在共享服务中具备必要的技能和培训。技术变化、软件更新或系统集成问题会对共享服务产生影响，企业需要确保技术基础设施的稳定性和安全性。不当的管理和领导层决策导致共享服务的低效率或不合规，领导层需要积极参与风险管理和决策制定。如果共享服务不能满足内部客户的需求和期望，会导致客户不满，甚至客户流失。政治、经济、环境和社会因素等对共享服务产生影响，企业需要监测并应对这些因素的变化。

（三）内部控制政策和程序

1. 制定和实施适用于共享服务的内部控制政策和程序

企业需要明确定义共享服务的内部控制目标，这些目标应该与服务的性质、目的和业务需求一致。例如，目标包括确保数据安全、提高操作效率、保持合规性等。进行详细的风险评估，识别与共享服务相关的潜在风险，这包括操作风险、数据安全风险、合规性风险等。了解潜在风险是确定内部控制政策和程序的基础。制定内部控制政策，明确各个方面的要求，如数据访问权限、流程控制、合规性要求等。政策应该明确、简明，并与风险评估一致，根据内部控制政策，设计实际的操作程序。这些程序应该涵盖共享服务的各个方面，包括数据输入、处理、存储、报告等，确保程序能够有效地识别和管理风险。将所有相关的流程文档化，包括操作手册、流程图、工作指南等。员工理解和遵守内部控制政策和程序，为员工提供培训，以确保他们了解内部控制政策和程序，并正确执行，员工的参与是内部控制的关键。建立监测机制，定期审计共享服务的内部控制效果，包括内部审计、风险评估和性能指标的追踪。监测和审计有助于识别问题并采取纠正措施。基于定期的风险评估和审计结果，制定风险管理策略，这包括制订风险防范计划，以降低潜在的风险。内部控制政策和程序应该是灵活的，并根据变化的需求和风险进行调整和改进，不断学习和改进是保持内部控制有效性的关键。

2. 确保政策和程序的一致性和有效性

在内部控制政策中明确定义责任和权限，确保每个员工知道自己的职责，包括访问数据的权限、流程审批权限和风险管理职责等，确保这些责任和权限与内部控制政策的一致性。提供全员培训，培训应该包括政策解读、操作指南和风险教育，培训计划的定期更新是确保一致性的关键。建立内部审计程序，定期监测共享服务的内部控制效果，审计团队应该检查政策和程序的实施情况，并识别潜在的问题，监测和审计结果应及时报告给高级管理层，以便采取纠正措施。进行定期的合规性检查，以确保内部控制政策和程序符合适用的法规和标准，合规性检查可以包括内部合规团队的审查和外部合规机构的评估。确保流程的标准化，以减少操作变异性，共享服务中的流程应该一致，避免不规范的操作。这可以通过制定标准操作程序来实现，利用自动化和数字化工具来确保政策和程序执行的一致性。自动化可以帮助减少人为错误，提高操作的一致性，建立内部沟通机制，以确保政策和程序的变更和更新被及时传达给所有员工，内部沟通可以通过内部通知、会议和在线平台来实现。建立绩效评估和奖励机制，以鼓励员工遵守政策和程序，奖励可以包括绩效奖金、奖项和晋升机会等。鼓励员工提供反馈意见，并根据反馈不断改进政策和程序，员工的经验和意见是改进的宝贵资源。高级管理层应该以身作则，积极示范，遵守政策和程序，他们的行为和决策对员工产生重大影响，可以树立一致性的榜样，促进有效性执行。

（四）内部控制措施的实施

1. 在共享服务中实施内部控制措施，包括审计和监督活动

创建专门的内部审计团队，负责对共享服务的运作进行审计和监督，内部审计团队应该由具有财务和内部控制经验的专业人员组成。开发年度审计计划，确定需要审计的共享服务流程和领域，计划应包括审计的范围、目标、时间表和资源分配。进行风险评估，确定共享服务中的关键风险和薄弱环节，确定审计的重点和优先级。制定审计程序，包括文件审查、流程分析、内部控制测试和数据分析等，审计团队应根据审计计划执行这些程序，以评估内部控制的有效性。建立监测机制，定期监测共享服务的内部控制，包括实时审计、数据分析和异常报警系统，监测活动有助于及时发现问题并采取纠正措施。完成审计后，内部审计团队应向高级管理层和利益相关者提供审计报告，报告应包括发现的问题、风险评估、建议的改进措施和时间表。管理层应采取纠正措施，解决审计报告中的问题和建议，这包括修改流程、提供培训、改进系统或增加资源，确保纠正措施的有效性，跟踪改进的进展，并定期复审共享服务的内部控制，确保问题得到根本解决。不断改进审计和监督活动，以适应变化的风险和需求。内部审计团队应持续学习和改进审计方法和工具，进行合规性审计，以确保共享服务遵守适用的法规和法律要求，合规性审计可以降低法律风险。

2. 内控措施的持续改进和优化

定期审查和评估已实施的内控措施，以确认其有效性，这包括审计、监测、风险评估和政策执行等方面的措施。比较企业的内控措施与行业最佳实践和标准，了解其他成功企业的经驗和方法，以寻找改进的机会。监测共享服务的运作，识别问题、瓶颈和潜在的风险，可以通过员工反馈、内部审计、监测系统和持续的风险评估来实现。基于问题和瓶颈的识别，制订具体的改进计划，这些计划应包括明确的目标、时间表和资源分配。培训员工，增强他们对内控的认识和意识，员工应了解内控措施的重要性，以及如何有效地实施这些措施。考虑引入新的技术工具和自动化流程来改善内控，自动化可以提高效率，减少错误和风险。定期复审内控改进计划的进展，确保按计划执行，这包括跟踪改进的结果和效果。建立持续监测机制，在实时或定期基础上监测共享服务的内部控制，这可以包括实时报警系统和数据分析。与员工和利益相关者进行沟通，接受反馈和建议。员工应被鼓励反应问题和提供改进建议，确保所有内控措施和改进计划都被记录。跟踪历史数据和改进历程，考虑进行外部审计和认证，以验证内部控制的有效性，这可以增加外部信任和透明度。

（五）信息和沟通

1. 制定信息共享和沟通策略，确保财务数据的准确传递

要建立明确的财务数据共享渠道，所有相关方应知道在何时、何地及如何共享财务数据。这可以通过内部网站、电子邮件、内部社交平台等方式来实现。要确保共享的财务数据采用标准化的格式和模板，减少错误，确保数据的一致性。在数据共享前，必须进行验证和校验，这一步骤的目的是确保数据的准确性和完整性，以防止错误数据进入系统。需要确保共享的财务数据是最新的，建立定期更新的计划，以确保数据的时效性。为了维护数据的安全性，要确保只有授权人员能够访问和共享财务数据，使用权限管理工具和加密技术来保护数据的安全性。为了加强员工对信息安全的认识，可以提供信息安全培训，教育员工如何正确处理和共享敏感的财务数据。为了确保数据的传递和接收是有序的，需要明确沟通协议和流程，包括通知、确认收据和反馈机制。在共享财务数据时，提供数据的背景和目的是至关重要的，接收方能更好地理解数据的重要性和用途。要建立数据质量监控系统，以定期检查和评估共享数据的质量，发现问题时，立即采取纠正措施。促进跨部门合作和沟通，以确保共享的财务数据满足不同部门的需求。建立协作文化和机制。提供适当的技术支持和工具，以简化数据共享流程，包括数据共享平台、协作工具和数据可视化工具。要定期审查和改进数据共享和沟通策略，根据用户反馈和数据质量监控的结果，不断优化策略，以确保财务数据准确传递，减少错误、降低风险，促进有效的信息共享和沟通，提高共享服务的效率和可靠性，同时确保财务数据的完整性和安全性。

2. 内部控制信息的报告和监测

需要建立明确的内部控制信息报告流程。这包括指定负责收集、整理和汇报内部控制信息的团队或个人，确保这些人具备适当的技能和知识来执行这项任务。制定内部控制信息的报告标准和指标，以衡量控制措施的有效性，这些标准和指标应与组织的战略目标和风险关联，并能够反映出内部控制的整体健康状况。确保内部控制信息定期报告给高级管理层和利益相关者，报告的频率可以根据需要而定，但通常应包括月度、季度和年度报告，报告应具有透明度，清晰地传达内部控制信息的核心结果和趋势。有助于高级管理层和利益相关者更好地了解控制情况。在报告中，要包括关于已识别的风险和潜在风险的信息，包括风险的性质、影响程度和应对措施。

五、结语

共享服务模式的成功实施需要充分考虑内部控制体系的建设。在共享服务环境中，内部控制的作用至关重要，如果缺乏有效的内部控制，共享服务面临潜在的风险，包括数据错误、合规性问题、信息安全威胁等。因此，企业共享服务的成功实施需要建立健全的内部控制体系，以确保财务数据的准确性、风险的管理和合规性的维护，这就引发了对于企业共享服务下的内部控制体系建设的研究和关注。这个研究领域涵盖了内部控制要素、工具和技术的应用，以及内控培训和持续改进的实践，旨在确保共享服务的顺利运营和风险的有效管控。

参考文献：

[1]赵晟未.业财融合背景下企业财务共享服务中心建设研究[J].洛阳理工学院学报（社会科学版），2023，38（04）：56-60.

[2]杨自玲.财务共享模式下的企业财务管理分析[J].环渤海经济瞭望，2023（08）：103-105.

[3]陶卉.关于发电企业财务共享服务中心管理的优化策略探讨[J].电气技术与经济，2023（06）：240-241+244.

[4]周伟滔.医药企业财务共享系统的风险管控方法研究[J].中国市场，2023（23）：174-177.

[5]董文博.财务共享模式下中兴集团内控问题思考[J].合作经济与科技，2023（19）：136-137.

（作者单位：中铁十九局集团有限公司）