赞哥前言：财务共享服务的价值体系是立体的，宏观是战略，中观是内控，微观是业务。前面分享的《财务共享服务的价值体系》主要是以效率为核心导向的价值观。本身，内控也是一个自成学科的体系，那么内控与财务共享的关系到底是什么？带着这个疑问，我也想用一个新的角度去理解和解读财务共享服务与内控的关系。

内控的本质

首先，内控是企业风险管理的一部分，是通过对风险的管理创造价值。这从COSO ERM与COSO IC体系的关系就可以看出（图1）。

内控是风险管理的子集，它也理应继承企业风险管理的原则，也就是内控也是为了构建一个增加正向价值创造和减少负向价值流失的机制。

同时，内控也是企业的管理过程，会涉及到各个组织和业务的方方面面。“内控”这个词因为名称的原因，也很容易导致企业在实际执行中过分强调“控制”，而忽略了内控目标的本质，即价值。如果忽略内控的目标是为了“价值”，内控就有可能演化成“内耗”。

图1

财务共享与内控的关系

财务共享是一个加强财务部门控制权的过程。内控是“内部控制”的简称，内部控制依赖的是“权力”（这里写的权力绝不是提倡内部政治）。衡量权力主要有三个方面，一是信息流，二是利益链，三是调动资源的能力。

财务共享的过程，其实是一个“集权”的过程，例如分子公司的经营信息的集中，企业核心资源“资金”管理职能的集中等。

但这种行政上的集权仅仅是第一步，“权力”表面看是信息流、利益链和调动资源的能力，而本质上是能够不断地做出正确决策的能力和影响力，并且长此以往形成的信任。

这也指引了财务共享服务中心在内控之路上的权力路径，那就是让财务共享服务中心成为一个值得信任的决策机构——这是最终的出路。

其实，我们的政府也意识到了服务能力和数字化水平是发展方向，浙江的“最多跑一次”到“数字化变革”，让政府看上去越来越不像“行政权力”主导。然而，当政府开始远离原始的以“暴力”构建的行政型权力体系，转向被依赖的服务型权力体系，人民赋予的“权力”才得民心。

图2

信息与沟通：内控的核心要素

信息与沟通渐渐发展成为内控的5要素里的核心（图3）。内部控制表现为“信息上行，决策下行”，这两条通路都能提高效率，减少信息衰减。

一个企业的信息流，从上到下的信息和认知衰减得非常厉害，这个过程体现为执行侧变形。从下到上的信息衰减也非常厉害，例如个体有意识的“选择性汇报”和无意识的“选择性遗漏”等。

如果决策者长期处在一个信息不完全或者信息失真的信息环境里，那么是很难持续做出正确的决策的。所以，构建以信息为中心的内控体系，可以对内控体系进行持续迭代优化。

图3

➤信息促进内控环境优化

组织和企业文化是内控的基础。内控的运行需要通过组织来落地。通过信息和沟通可以发现内控存在的结构性缺陷，引导内控环境的优化。

随着企业的发展，企业的组织架构会不断演变，组织的文化也可能受到冲击。通过数字化构建的信息体系，可以帮助我们洞见组织里出现的新的风险和问题。这样，企业就可以通过不断地宣导企业文化来强调一些内控原则。

同时，企业也可以不断加大内控组织规模和提升一些核心控制节点能力来对组织的控制能力进行结构性升级。内控组织也可以通过数字化提升对风险和问题的洞见能力。

数字化带来的信息透明化也可以减少员工的舞弊意愿，让企业的内控环境趋向健康。例如，每刻报销可以记录员工打车、航班、酒店住宿的详细信息，透明化和信息的精细化会大幅降低员工的造假意愿，让浑水摸鱼变得越来越困难。

➤信息提升风险评估能力

风险评估是执行控制活动的指引，企业应当对风险价值高的经营活动投入适当管理资源，因此对于什么业务应用什么样的内控活动是基于风险评估的。数字化体系的构建，可以方便企业精细化地评估企业经营的风险结构（例如，企业费用支出的结构）。

同时，随着业务的不断变化，企业的支出结构可能随时产生巨大变化。数字化可以帮助企业提升对业务风险的敏锐度，及时增加有意义的风险评估或减少低价值的风控工作（或调低优化级）。例如，每刻报销里的费用支出结构报表可以指引企业费用管控的重点。

图4

风险评估不一定是做不做哪些业务动作，更要评估业务动作所需要具备的产出条件（例如，组织能力），也就是企业应该在合适的时间点做合适的事情。例如，如果没有构建起强大的广告投放能力就投入大量的资金，不但可能颗粒无收，而且可能导致企业陷入经营现金流困难。

➤信息支撑内控活动

内控活动的执行越来越依赖数字化系统的建设。内控活动落地于业务，表现为流程，控制在于节点。一个企业如果不依赖信息系统来落地流程，那么注定是低效的。同时，企业也很容易陷入“越强调内控，内耗越严重”的现象。

当内控活动的投入大于潜在价值，那么就进入了“内耗”状态。执行相关控制活动的组织和个人很容易变成大家讨厌的对象。常见的财务部门、销管部门等可能要给业务端踩刹车的部门经常是业务部门吐槽的对象。

因此，企业要能通过数字化，提升控制活动的效率。同时，优秀的内控体系，也应该将风险明细化、价值化，让业务部门与风控部门的利益一致化（当然，这个点的管理设计有点困难）。

例如，每刻报销里的审批效率报表可以帮助我们识别费用管控中的一些低效节点，通过报表我们可以发现财务经常被抱怨报销审批慢，实则很多情况下是被误伤。我们可以通过分析，减少一些不必要的控制节点来提升流程效率。

风险是偶发的，但是投入是常态化的，所以设置管控节点要坚持价值导向，避免企业得“过管控”的大企业病，导致内耗严重。通过人工智能技术等新技术也可以自动地执行一些内控动作（例如发票的查重验真、费用标准的检查、预算的控制）等，提升企业执行内控的效率。

➤信息是持续风险监控的基础

监控和内控活动的执行都是发现业务风险的有效手段。如果说内控活动是微观的、具体的、业务相关的。那么监控则可以更偏宏观的、统计的、业务抽象的。内控活动通常是基于业务上下文的风险控制，监控则是通过各种分析工具进行比较分析，两者可以进行互补。

对于单业务风险价值大的业务，应该重视事中的控制活动，结果长期监控；而对于单业务风险价值低的业务，应该重监控分析，事中的控制活动可以采样执行，以平衡内控的投入产出价值。

数字化是风险监控的基础，通过对业务数据进行大数据分析，可以持续有效地对目标业务形成有效监控，同时，也可以敏捷地发现一些新风险。

没有数字化的支持，就很难做到实时的风险监控。同时，应用数字化的技术，也可以设置一些风险阈值进行自动化报警机制，让监控更轻松。 

图5

财务共享的过程，是一次组织架构升级的过程，是在内控环境上的一次增强。同时，信息的集中，也便于提升企业的风险认知。财务共享带来的标准化的过程，可以将具体的控制活动融入到业务流程中，也是对内控的一次加强。

而财务共享服务的未来方向则是数字化支持下的“数据共享与系统共享”，让财务服务触手可及，同时让数字产生的新价值，提升财务服务价值。数字化的到来，又是一次内控的全面提升机会。

前几天，与一些上市公司财务总监交流，我们也谈到，财务其实是内控思维最强的一个岗位，很容易也陷入到“管控过度”的状态。如何避免，我们讨论达成的一致意见也是要有“价值”意识。

多做高风险、高价值的管控活动，尽量避免低风险、低价值的管控活动，才能成为老板爱、同事不嫌的内控高手。