華爲的内控體系,跟國内很多企業的構建方式不同。其基于組織架構和運作模式,設計并實施了内控體系,其發布的内控管理制度及内控框架适用于公司所有流程(包括業務和财務)、子公司以及業務單元。該内控體系向 IBM 學習,基于美國 COSO 模型而設計,華爲将内控體系的建設稱之爲:穿美國鞋,不打補丁。
華爲在《關于 IBM 内部控制實踐介紹及 EMT 對華爲内控建設的指導意見》中對 IBM 内控實踐做了如下分析:
01
IBM 爲什麽需要内控
IBM 領導層早就意識到,要實施有效的内控絕對不是件很容易的事情,在設計和執行内控過程中需要付出高昂的成本。如果可以選擇,IBM 可能不會花費那麽多資金和高級管理層的精力去關注控制。但随着企業業務規模及業務複雜度不斷地增加,尤其是全球業務的增長,内外部風險也在逐步增加。如果沒有内控支持,企業将不能做大,利潤也不會增加,還可能由于效率低下和舞弊而增加損失。按照 IBM 顧問個人的理解,内控就像企業的 " 紅綠燈 ",沒有人希望受到它的限制,但沒有 " 紅綠燈 ",整個企業将可能陷入一片混亂。
02
IBM 内控是否有效
IBM 許多内控的觀念及方法與華爲有很大不同,但 IBM 運行多年經驗證明,IBM 内控是非常有效的:
1、建立良好的内控環境是高級管理層的重要職責之一。
IBM 各級管理層一緻認爲良好的内控環境是有效實施内控的基礎,并且經過多年努力目前已經形成了良好的内控氛圍。在 IBM,高級管理層(包括審計委員會)是建立内控環境的首要責任人。内控環境包括多方面的内容,其中包括:通過 " 高管基調 " 等方式強調内控的重要性,明确業務管理層 / 流程 Owner 是内控的第一責任人,并将内控設計和執行的有效性納入各級管理者的 PBC 指标中進行考核等。
2、IBM 實施全球流程負責制(Global Process Ownership),确保流程在全球的一緻性。
IBM 引入全球流程(Global Process)的理念,這些流程在全球任何國家或地區都是相同的。每個全球流程都有一個向總部彙報的全球流程 Owner,這些全球流程 Owner 都是公司的高級管理人員,由公司正式任命。流程 Owner 與業務管理層共同對流程設計、推行和過程記錄的有效性負責,及時更新和優化相關流程,并通過遵從性測試(Compliance Testing)監督流程的執行狀況。每個國家都明确相應的國家級流程 Owner,并通過全球流程 Owner 批準。某些特殊情況下,有些國家可能要執行自己特有的流程或需要對全球流程進行調整,IBM 要求對其中任何與全球流程中關鍵控制不同而造成的更改,都必須得到全球流程 Owner 的批準。
3、各流程 / 業務都有自己的内控組織或角色,協助流程 OWNER/ 業務管理者承擔起内控職責。
IBM 除了 IA(Internal Audit,内部審計)之外,還有 BC(Business Controls,業務控制)及 Line Controls(運作控制)兩種内控角色。
BC 組織主要負責公司的内控體系框架的建立和維護,協助管理者建立和維護良好的内控環境,及進行關鍵控制點(KCP)和内控工具方法等知識的培訓。BC 人員隻有少部分留在總部(CHQ BC),而大部分配置在全球的流程線、業務 / 區域線(Line BC)以便于協助各級管理層建立并完善内控系統。
Line Controls 是由業務運作人員專職或兼職擔任,幫助本領域的業務管理層 / 流程 Owner 實施日常内控管理,主要的職能包括記錄及維護流程運作,實施遵從性測試等。
IBM 的 IA 組織獨立于業務及流程之外,行使對公司内控體系進行獨立評估的職責。IA 部門雖然設置在 CFO 下面,但業務上直接向審計委員會彙報,非常獨立。
4、有效的内控測評及問責機制,保證内控設計及執行的有效性。
IBM 内控測評機制主要包括 SACA(Semi-Annual Control Assessment,半年控制評估)和打分審計(Rated Audit)。SACA 報告結論分爲 " 滿意 "、" 尚可 " 及 " 不滿意 " 的評級。打分審計報告的結論分爲 " 滿意 " 和 " 不滿意 "。
SACA 是一種内控自評機制,在各級 BC 組織的協助下由業務管理層 / 流程 Owner 負責實施,目的是各級管理者通過這種方式主動自我暴露所轄領域的内控問題。如果某領域的 SACA 結論是 " 不滿意 ",通常會給予 12 個月的改進期,期間不會安排對該領域的審計,直到其 SACA 的評分結果爲 " 尚可 " 或 " 滿意 "。
打分審計由 IA 組織執行,以獨立評價内控的有效性。通常,不好的審計結論意味着相應管理者考評成績的降級及問責。比如,如果某領域在 12 個月内兩次審計結論是 " 不滿意 ",那麽該領域最高管理者(通常包括業務線和流程線的最高管理者)将被邀請到審計委員會做出解釋,但這種情況一般不會超過兩次。
03
華爲内控指導意見
2007 年,華爲 EMT 對内控建設做出了如下指導意見:
1、EMT 很欣賞 IBM 這套内控體系,華爲内控體系建設就是要穿美國鞋 ,在内控系統建設上不打補丁,要從頭做起。在組織與流程不一緻時,以改組組織以适應流程。在任的所有幹部,理解這套系統的人就上崗,不理解的人就下崗,不講資格、資曆,要用一些明白人向 IBM 學習把這套體系建立起來。
2、華爲的内控審計系統可以推翻重來,不要在現有的内控基礎上作。需要完全按照 IBM 的内控實踐,重新起草華爲的《内控管理制度》,并作爲内控建設的綱領性文件推行,制度起草不必受制于華爲已簽發的原有相關文件。
3、成立公司級的内控制度文件起草及推行小組,并進行任命。該小組的組長是任正非,副組長爲 Dennis Haywood(IBM 顧問),組長全權授權副組長起草文件。另指定一名 EMT 成員擔任組長助理,負責調配資源和配套支持,其他所有人隻能當組員。IBM 顧問不要太顧忌組員的面子,哪個組員不聽話,就把他開除出去。
4、爲保證内控管理變革的有效推行,首先要建立一個良好的内控環境,要從公司各級管理層做起。要選用理解 IBM 内控管理系統的幹部上崗,不理解的幹部要予以替換。各級幹部要加強對 IBM 内控管理流程、方法、經驗等知識的學習。要按照 IBM 内控的标準通過網上、學習班等各種方式對各級幹部進行内控應知應會考試。對未通過考試的幹部,将凍結調薪,不能升職,并限期通過,限期内仍不能通過考試的,将予以替換。
5、爲了不斷傳播和強化各業務管理者的内控意識,要建立相關的幹部職業發展通道和幹部輪換制度。讓有業務經驗的人到審計監控體系工作,并不斷輸送有内控經驗且績效好的審計監控人員到業務部門擔任管理職位。
公司重視基本的流程制度,但最重視的是内控體系。公司除了要設立基本的流程制度,還要制定相應的問責機制。比如:什麽做了,會有什麽相應的問責措施等,且問責及處分不隻限于下面的責任人,還要處分主管這項業務的高級負責人。
04
華爲内控 " 三層防線 " 實踐
基于 IBM 的管理實踐及顧問導入,華爲以 IIA 框架爲基礎,建立了華爲自己的内控與風險管理 " 三層防線 " 及優化方案。
任正非親自在内部會上對此做了如下解讀:
一、加強第一層防線建設的目标絕不動搖,堅持逐步走向流程責任制,逐漸給流程 Owner 賦權。代表要轉身爲總經理,承擔好綜合經營責任的基本要求。
第一層防線,在業務運作中控制風險,是最重要的防線。我們 90% 以上的精力是要把第一層防線建好,既要有規範性,又要有靈活性,沒有靈活性就不能響應不同的客戶服務需要。最終目的是要讓業務主管承擔起内控責任,比如是經營責任人,那也就是内控責任人,層層級級都應該這樣。過去的管理者不承擔内控責任,現在要逐漸考核承擔起内控責任來。
代表要轉身爲總經理,内控管理是承擔好綜合經營責任的基本要求。以前代表主要是搶單的銷售代表,而成爲總經理後,他們是綜合經營者,所承擔的責任目标轉換,自然就重視内控了。從代表成爲總經理,首先他要轉身,現在爲什麽轉不過來呢?代表提拔回公司,依舊是到片聯、到銷售組織去,而其他組織的人員也去不了代表處當代表,說明我們的幹部選拔上有問題。
将軍要學會系統性作戰,關鍵過程行爲考核是用于選拔幹部,内控管理也是重要的考核指标。我們發獎金的時候,多考慮責任結果,這人會搶糧食,搶了糧食,那叫英雄;但是選拔幹部、能不能升官的時候我們還要考察關鍵過程行爲,要知道有哪些責任,将軍要學會系統性的作戰。
資源池應該有資格管理,他們回到資源池備用時要考試認證,涵蓋的類别都要過關,包括内控。考一次,他們就知道要承擔起這個責任。資格考試考的好不是要漲工資,也不是發獎金,隻是給你一個機會上戰場作戰。作戰回來,關鍵過程行爲用于幹部評價和選拔。比如這人工程做得好,管他扭沒扭屁股,人家沖鋒在前,做出成績就可以多評獎金。但我們要選拔将軍時,從關鍵事件的過程行爲中分析他是不是可以擔起責任。這樣把兩種人分開來,對于不想當将軍的人,逼着他 " 之 " 字形成長,是浪費成本。如此一調整、一管控,自然有想當将軍的人。将軍就要學會系統性作戰,一次、兩次可能做不好,但三次總會做好的。
公司流程要做到既簡化又有效,最主要的監管還是在流程中。流程本身就是防線,完善了流程就已經建立良好的防範系統。打通流程,是我們矢志不移的奮鬥目标。現在我們有些流程做得很繁瑣,而且很多人不看前言後語就簽字,不擔責,就說明這個流程沒有意義。流程部門主管一定要有基層實踐經驗,沒打過仗,如何爲作戰組織服務?流程有效,不一定是數量多,也不一定要流程長。流程簡化,每個環節都要起到有意義的關鍵作用,最主要的監管是在流程中。
二、第二層防線,針對跨流程跨領域進行高風險拉通管理,要擔負起方法論的推廣,大量幹部接受内控賦能後走向前線。
爲第一層防線大量提供方法論,大量補充、循環和培養幹部。我們要确認流程責任人的責任,SACA 是對責任人的評價,我們要去幫助他們做些試點,建立起流程監管的制度、崗位、角色,并發揮作用。同時,建立金種子計劃,通過實踐比如 iSales、配置打通交付上 ERP,一個個國家推,成功了,就一分爲二,就從這個地方補充到其他國家打仗去。新的打了勝仗以後,又産生一批人,就這樣幹部螺旋式洗澡,把優秀的人洗上來了,培養金種子。一大批新的幹部提拔,都是有成功實踐經驗的,爲什麽不能接管代表處?爲什麽不能接管華爲公司的總部?雄赳赳,氣昂昂殺回總部來。誰說二十幾歲不能當将軍?
第二層防線實際是幫助别人建立起正确的業務組織進行拉通管理,而不是具體事情監管,幹預業務太多自己越做越大。我們要讓業務火車快速的跑,就拿工程稽查來說,一線有待上崗管理者,代表處采購委員會主任上崗前,大項目交付項目經理在交付項目啓動前(有很多老員工在基層幹過很多年)。抽到工程稽查參加培訓,工作一段時間,就算是賦能了,賦能就上前線,就擔負起責任來。工程稽查要擔負起培訓幹部,提供方法,讓一線擔起責任來。
三、第三層防線通過審計調查,對風險和管控結果進行獨立評估和冷威懾。
第一層防線要把絕大部分工作做完,但他們可能有疏漏,由第三層防線監督,通過對疏漏的檢查,一個是建立威懾,一個是修補漏洞,還可以請外部機構來檢修堤壩,第三層防線永遠不會消失。第一道防線建設好後,第三層審計應該沒多少事幹,而不能是第一層做得一塌糊塗,後面依靠審計。番茄爛就爛了,大家對這個爛番茄沒什麽反應,那這個番茄完全沒有意義,從流程組織建設上,就應該去摘掉它。一旦發現,無論大小案子,審計去查的時候,連一個螞蟻蛋都不能放過,這樣建立起冷威懾,來配合第一層防線的建設。
四、三層防線的組織職能調整循序漸進,在 2014 年先拿出方案試點,2015 年回顧和調整。
當建立了第一層防線後,就把現在第二層的一部分責任轉移給第一層,第二層的責任是看沿着流程走的都走好了沒有,好了第二層就不需要了,就合并至第一層防線中;發現還要重拳打擊某些癌症點的時候,第二層又和第三層結合起來。因此,我們的重心是在第一層防線上,第一層防線過程中既要有規範性,又要有靈活性。
我們在建設思路上,要學習三層防線這種頂層架構的設計方法。上層設計好後,拿出實施方案後再推廣,推不動,我就派一群幹部接管你這個組織,接管的幹部回來參加工程隊,上戰場邊打仗邊培訓,又産生種子。你們不要急于求成,要經過讨論後再推行,避免出現問題後再回頭還有好多漏洞要補,這補漏洞的過程實際上更慢。
你們都看到我在法國答記者問,我不認識韋爾奇,我的老師是 IBM,韋爾奇是多元化,我們公司不提倡多元化。IBM 教我們爬樹,我們爬到樹上摘了蘋果。謝謝 Phil,非常好!
05
2013 年華爲内控管理要點
華爲在以上指導意見和内控方案的基礎上,發布了《2013 年華爲内控管理要點》,至此,華爲内控體系基本構建完成。
要點如下:
一、繼續圍繞 " 促經營、防腐敗 " 的内控工作目标,聚焦在重複發生的 TOP 經營痛點問題上實施流程改進,獲取經營管理收益、遏止腐敗。
1、各級管理者和流程 Owner 應基于 CT 與 SACA、審計、稽查等發現的問題,在相應的 ST 會議上研讨,識别出自身的 TOP 内控問題;
2、對于每一個 TOP 問題,須指定明确的業務改進責任人,負責具體改進計劃的制定與執行;
3、所有 TOP 問題的改進應基于流程(本地化)、規則的發布與執行,改進的效果通過内控 BC、審計、稽查的結果來驗證;
4、内控 BC 負責協助各級管理者和流程 Owner 實施 TOP 問題的改進,并例行對改進進展進行監督和報告,對于已改進的問題在 BCIT 系統中驗收關閉。
二、内控管理的關鍵是建立内控責任體系,這是内控的核心工作。各級管理者和流程 Owner 是所負責業務領域的内控第一責任人,必須主動承擔起自己的内控責任。
1、全球流程 Owner 負責建立基于流程的授權、行權、問責的内控責任體系,發布明确的業務問責制度,并層層落實内控考核要求;
2、各級管理者和流程 Owner 應建立内控獎懲機制,對于内控管理做的好的予以激勵,對于需要改進的可以發放紅黃牌警示、責其進行内控述職;
3、各級 CFO 必須協助相關管理者和流程 Owner 建立内控責任體系。
三、各級管理者和流程 Owner 需持續提升 CT、SACA、PR 等内控工作的質量和真實性,實現内控的自我管理。
1、各級流程 Owner 應月度實施 CT 并季度報告,内控 BC 負責對 CT 工作質量進行例行抽檢複核;
2、各級管理者和流程 Owner 應從主動管理風險的工作需要出發,不定期組織 PC/BC 實施 PR 自檢工作,以發現問題并及時改進;
3、各級管理者和流程 Owner 應基于日常内控管理工作,每半年實施 SACA 并報告,内控 BC 負責對 SACA 結果進行複核和質量回溯。
四、要關注存貨管理、交付管理、采購管理、合同質量、行政管理、渠道管理、資金稅務等高風險業務。各高風險業務相關的流程 Owner 應加強和持續開展 " 内控上前線 " 工作。
1、内控工作應聚焦高風險業務開展建設和改進,高風險業務的管理責任人應建立跨流程的聯合内控改進工作組,持續實施内控改進;
2、内控工作應深入到業務中去,跟随服務,在炮火中前進,實現快速運作流程與合理監管,最終讓 " 内控在前線 ",以匹配一線的業務場景,建立适用的本地化流程與規則,并将内控責任持續傳遞、分解到一線的項目、崗位。
五、全面推行和落實 KCFR ( 關鍵财經控制要素 ) 工作,加強财務支撐和監督,拉通業務與财務流程,确保公司内控的有效性以及财務數據的真實準确、資金資産的安全。
1、KCFR 是落實業務和财務流程拉通,支撐資金資産安全、經營結果改進和提升财務報表準确性、完整性的有效保障。
2、在日常的内控工作中,要主動識别、全面執行 KCFR 的要求(含 KCFR 方案本地化後的要求)。
3、各級管理者和流程 Owner 要将業務和财務流程的拉通作爲本部門的重點工作之一,通過設立财務或業務指标來衡量 KCFR 的執行效果,不斷改進優化,并通過例行 CT/SACA 等手段來及時監督、提高 KCFR 的遵從率。
六、持續加強内控 BC/PC 組織與能力的建設。
1、對于内控管理較差、風險較高的流程,相關流程 Owner 應設立專職化的 PC 團隊以快速提升内控管理水平,實現有效監控;
2、各級管理者應加強内控 BC 組織與能力的建設,以更好的實施内控支持、監督和報告工作。
