在公司内控与风险管理“三层防线”优化方案汇报的讲话

2013年12月4日

【导 读】国际内审协会(IIA)主席兼华为内审副总裁Phil以IIA框架和IBM实践,介绍了公司内控与风险管理“三层防线”以及华为优化方案。任正非在会上提出了自己的理解和要求。

一、加强第一层防线建设的目标绝不动摇,坚持逐步走向流程责任制,逐渐给流程Owner赋权。代表要转身为总经理,承担好综合经营责任的基本要求。

第一层防线,在业务运作中控制风险,是最重要的防线。我们90%以上的精力是要把第一层防线建好,既要有规范性,又要有灵活性,没有灵活性就不能响应不同的客户服务需要。最终目的是要让业务主管承担起内控责任,比如是经营责任人,那也就是内控责任人,层层级级都应该这样。过去的管理者不承担内控责任,现在要逐渐考核承担起内控责任来。

代表要转身为总经理,内控管理是承担好综合经营责任的基本要求。以前代表主要是抢单的销售代表,而成为总经理后,他们是综合经营者,所承担的责任目标转换,自然就重视内控了。从代表成为总经理,首先他要转身,现在为什么转不过来呢?代表提拔回公司,依旧是到片联、到销售组织去,而其他组织的人员也去不了代表处当代表,说明我们的干部选拔上有问题。

将军要学会系统性作战,关键过程行为考核是用于选拔干部,内控管理也是重要的考核指标。我们发奖金的时候,多考虑责任结果,这人会抢粮食,抢了粮食,那叫英雄;但是选拔干部、能不能升官的时候我们还要考察关键过程行为,要知道有哪些责任,将军要学会系统性的作战。

资源池应该有资格管理,他们回到资源池备用时要考试认证,涵盖的类别都要过关,包括内控。考一次,他们就知道要承担起这个责任。资格考试考的好不是要涨工资,也不是发奖金,只是给你一个机会上战场作战。作战回来,关键过程行为用于干部评价和选拔。比如这人工程做得好,管他扭没扭屁股,人家冲锋在前,做出成绩就可以多评奖金。但我们要选拔将军时,从关键事件的过程行为中分析他是不是可以担起责任。这样把两种人分开来,对于不想当将军的人,逼着他“之”字形成长,是浪费成本。如此一调整、一管控,自然有想当将军的人。将军就要学会系统性作战,一次、两次可能做不好,但三次总会做好的。

公司流程要做到既简化又有效,最主要的监管还是在流程中。流程本身就是防线,完善了流程就已经建立良好的防范系统。打通流程,是我们矢志不移的奋斗目标。现在我们有些流程做得很繁琐,而且很多人不看前言后语就签字,不担责,就说明这个流程没有意义。流程部门主管一定要有基层实践经验,没打过仗,如何为作战组织服务?流程有效,不一定是数量多,也不一定要流程长。流程简化,每个环节都要起到有意义的关键作用,最主要的监管是在流程中。

二、第二层防线,针对跨流程跨领域进行高风险拉通管理,要担负起方法论的推广,大量干部接受内控赋能后走向前线。

为第一层防线大量提供方法论,大量补充、循环和培养干部。我们要确认流程责任人的责任,SACA是对责任人的评价,我们要去帮助他们做些试点,建立起流程监管的制度、岗位、角色,并发挥作用。同时,建立金种子计划,通过实践比如iSales、配置打通交付上ERP,一个个国家推,成功了,就一分为二,就从这个地方补充到其他国家打仗去。新的打了胜仗以后,又产生一批人,就这样干部螺旋式洗澡,把优秀的人洗上来了,培养金种子。一大批新的干部提拔,都是有成功实践经验的,为什么不能接管代表处?为什么不能接管华为公司的总部?雄赳赳,气昂昂杀回总部来。谁说二十几岁不能当将军?

第二层防线实际是帮助别人建立起正确的业务组织进行拉通管理,而不是具体事情监管,干预业务太多自己越做越大。我们要让业务火车快速的跑,就拿工程稽查来说,一线有待上岗管理者,代表处采购委员会主任上岗前,大项目交付项目经理在交付项目启动前(有很多老员工在基层干过很多年)。抽到工程稽查参加培训,工作一段时间,就算是赋能了,赋能就上前线,就担负起责任来。工程稽查要担负起培训干部,提供方法,让一线担起责任来。

三、第三层防线通过审计调查,对风险和管控结果进行独立评估和冷威慑。

第一层防线要把绝大部分工作做完,但他们可能有疏漏,由第三层防线监督,通过对疏漏的检查,一个是建立威慑,一个是修补漏洞,还可以请外部机构来检修堤坝,第三层防线永远不会消失。第一道防线建设好后,第三层审计应该没多少事干,而不能是第一层做得一塌糊涂,后面依靠审计。番茄烂就烂了,大家对这个烂番茄没什么反应,那这个番茄完全没有意义,从流程组织建设上,就应该去摘掉它。一旦发现,无论大小案子,审计去查的时候,连一个蚂蚁蛋都不能放过,这样建立起冷威慑,来配合第一层防线的建设。

四、三层防线的组织职能调整循序渐进,在2014年先拿出方案试点,2015年回顾和调整。

当建立了第一层防线后,就把现在第二层的一部分责任转移给第一层,第二层的责任是看沿着流程走的都走好了没有,好了第二层就不需要了,就合并至第一层防线中;发现还要重拳打击某些癌症点的时候,第二层又和第三层结合起来。因此,我们的重心是在第一层防线上,第一层防线过程中既要有规范性,又要有灵活性。

我们在建设思路上,要学习三层防线这种顶层架构的设计方法。上层设计好后,拿出实施方案后再推广,推不动,我就派一群干部接管你这个组织,接管的干部回来参加工程队,上战场边打仗边培训,又产生种子。你们不要急于求成,要经过讨论后再推行,避免出现问题后再回头还有好多漏洞要补,这补漏洞的过程实际上更慢。

你们都看到我在法国答记者问,我不认识韦尔奇,我的老师是IBM,韦尔奇是多元化,我们公司不提倡多元化。IBM教我们爬树,我们爬到树上摘了苹果。谢谢Phil,非常好!

【参考资料】

《2013年华为公司内控管理要点》

一、继续围绕“促经营、防腐败”的内控工作目标,聚焦在重复发生的TOP经营痛点问题上实施流程改进,获取经营管理收益、遏止腐败。

1、各级管理者和流程Owner应基于CT与SACA、审计、稽查等发现的问题,在相应的ST会议上研讨,识别出自身的TOP内控问题;

2、对于每一个TOP问题,须指定明确的业务改进责任人,负责具体改进计划的制定与执行;

3、所有TOP问题的改进应基于流程(本地化)、规则的发布与执行,改进的效果通过内控BC、审计、稽查的结果来验证;

4、内控BC负责协助各级管理者和流程Owner实施TOP问题的改进,并例行对改进进展进行监督和报告,对于已改进的问题在BCIT系统中验收关闭。

二、内控管理的关键是建立内控责任体系,这是内控的核心工作。各级管理者和流程Owner是所负责业务领域的内控第一责任人,必须主动承担起自己的内控责任。

1、全球流程Owner负责建立基于流程的授权、行权、问责的内控责任体系,发布明确的业务问责制度,并层层落实内控考核要求;

2、各级管理者和流程Owner应建立内控奖惩机制,对于内控管理做的好的予以激励,对于需要改进的可以发放红黄牌警示、责其进行内控述职;

3、各级CFO必须协助相关管理者和流程Owner建立内控责任体系。

三、各级管理者和流程Owner需持续提升CT、SACA、PR等内控工作的质量和真实性,实现内控的自我管理。

1、各级流程Owner应月度实施CT并季度报告,内控BC负责对CT工作质量进行例行抽检复核;

2、各级管理者和流程Owner应从主动管理风险的工作需要出发,不定期组织PC/BC实施PR自检工作,以发现问题并及时改进;

3、各级管理者和流程Owner应基于日常内控管理工作,每半年实施SACA并报告,内控BC负责对SACA结果进行复核和质量回溯。

四、要关注存货管理、交付管理、采购管理、合同质量、行政管理、渠道管理、资金税务等高风险业务。各高风险业务相关的流程Owner应加强和持续开展“内控上前线”工作。

1、内控工作应聚焦高风险业务开展建设和改进,高风险业务的管理责任人应建立跨流程的联合内控改进工作组,持续实施内控改进;

2、内控工作应深入到业务中去,跟随服务,在炮火中前进,实现快速运作流程与合理监管,最终让“内控在前线”,以匹配一线的业务场景,建立适用的本地化流程与规则,并将内控责任持续传递、分解到一线的项目、岗位。

五、全面推行和落实KCFR(关键财经控制要素)工作,加强财务支撑和监督,拉通业务与财务流程,确保公司内控的有效性以及财务数据的真实准确、资金资产的安全。

1、KCFR是落实业务和财务流程拉通,支撑资金资产安全、经营结果改进和提升财务报表准确性、完整性的有效保障。

2、在日常的内控工作中,要主动识别、全面执行KCFR的要求(含KCFR方案本地化后的要求)。

3、各级管理者和流程Owner要将业务和财务流程的拉通作为本部门的重点工作之一,通过设立财务或业务指标来衡量KCFR的执行效果,不断改进优化,并通过例行CT/SACA等手段来及时监督、提高KCFR的遵从率。

六、持续加强内控BC/PC组织与能力的建设。

1、对于内控管理较差、风险较高的流程,相关流程Owner应设立专职化的PC团队以快速提升内控管理水平,实现有效监控;

2、各级管理者应加强内控BC组织与能力的建设,以更好的实施内控支持、监督和报告工作。

Copyright© 2013-2020

All Rights Reserved 京ICP备2023019179号-8