——关于IBM内部控制实践介绍及EMT对华为内控建设的指导意见
2007年8月24日
【导 读】华为对内控职能的理解:审计是司法部队,关注“点”的问题,通过对个案的处理建立威慑力量(不敢);财务监控无处不在,关注“线”的问题,与业务一同端到端地管理,揭示并改进端到端的风险(不能);道德遵从委员会,关注“面”的问题,持续建立良好的道德遵从环境,是建立一个“场”的监管(不想)。
一、IBM内部控制(以下简称内控)实践主要内容如下:
1、IBM为什么需要内部控制?
IBM领导层早就意识到,要实施有效的内控绝对不是件很容易的事情,在设计和执行内控过程中需要付出高昂的成本。如果可以选择,IBM可能不会花费那么多资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加,尤其是全球业务的增长,内外部风险也在逐步增加。如果没有内控支持,企业将不能做大,利润也不会增加,还可能由于效率低下和舞弊而增加损失。按照IBM顾问个人的理解,内控就像企业的“红绿灯”,没有人希望受到它的限制,但没有“红绿灯”,整个企业将可能陷入一片混乱。
2、IBM许多内控的观念及方法与华为有很大不同,但IBM运行多年经验证明,IBM内控是非常有效的:
(1)建立良好的内控环境是高级管理层的重要职责之一。
IBM各级管理层一致认为良好的内控环境是有效实施内控的基础,并且经过多年努力目前已经形成了良好的内控氛围。在IBM,高级管理层(包括审计委员会)是建立内控环境的首要责任人。内控环境包括多方面的内容,其中包括:通过“高管基调”等方式强调内控的重要性,明确业务管理层/流程Owner是内控的第一责任人,并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核等。
(2)IBM实施全球流程负责制(Global Process Ownership),确保流程在全球的一致性。
IBM引入全球流程(Global Process)的理念,这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程Owner,这些全球流程Owner都是公司的高级管理人员,由公司正式任命。流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责,及时更新和优化相关流程,并通过遵从性测试(Compliance Testing)监督流程的执行状况。每个国家都明确相应的国家级流程Owner,并通过全球流程Owner批准。某些特殊情况下,有些国家可能要执行自己特有的流程或需要对全球流程进行调整,IBM要求对其中任何与全球流程中关键控制不同而造成的更改,都必须得到全球流程Owner的批准。
(3)各流程/业务都有自己的内控组织或角色,协助流程OWNER/业务管理者承担起内控职责。
IBM除了IA(Internal Audit,内部审计)之外,还有BC(Business Controls,业务控制)及Line Controls(运作控制)两种内控角色。
BC组织主要负责公司的内控体系框架的建立和维护,协助管理者建立和维护良好的内控环境,及进行关键控制点(KCP)和内控工具方法等知识的培训。BC人员只有少部分留在总部(CHQ BC),而大部分配置在全球的流程线、业务/区域线(Line BC)以便于协助各级管理层建立并完善内控系统。
Line Controls是由业务运作人员专职或兼职担任,帮助本领域的业务管理层/流程Owner实施日常内控管理,主要的职能包括记录及维护流程运作,实施遵从性测试等。
IBM的IA组织独立于业务及流程之外,行使对公司内控体系进行独立评估的职责。IA部门虽然设置在CFO下面,但业务上直接向审计委员会汇报,非常独立。
(4)有效的内控测评及问责机制,保证内控设计及执行的有效性。
IBM内控测评机制主要包括SACA(Semi-Annual Control Assessment,半年控制评估)和打分审计(Rated Audit)。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计报告的结论分为“满意”和“不满意”。
SACA是一种内控自评机制,在各级BC组织的协助下由业务管理层/流程Owner负责实施,目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”,通常会给予12个月的改进期,期间不会安排对该领域的审计,直到其SACA的评分结果为“尚可”或“满意”。
打分审计由IA组织执行,以独立评价内控的有效性。通常,不好的审计结论意味着相应管理者考评成绩的降级及问责。比如,如果某领域在12个月内两次审计结论是“不满意”,那么该领域最高管理者(通常包括业务线和流程线的最高管理者)将被邀请到审计委员会做出解释,但这种情况一般不会超过两次。
二、EMT对华为内控建设做出了如下指导意见:
1、EMT很欣赏IBM这套内控体系,华为内控体系建设就是要穿美国鞋[1],在内控系统建设上不打补丁,要重头做起。在组织与流程不一致时,我们以改组组织以适应流程。现在任职的所有干部,理解这套系统的人就上岗,不理解的人就下岗,不讲资格、资历,要用一些明白人向IBM学习把这套体系建立起来。
2、公司的内控审计系统可以推翻重来,不要在我们现有的内控基础上作。需要完全按照IBM的内控实践,重新起草华为的《内控管理制度》,并作为内控建设的纲领性文件推行,制度起草不必受制于华为已签发的原有相关文件。公司在监控及审计上以前做了很多工作,保证了公司过去二十年的安全运行。尽管公司先前已经签发了一套内控制度,也充分征求了IBM顾问的建议,但朝向未来二十年,这个制度是不能支撑的。新制度的起草不会抹掉老员工的光辉,只要他们不成为阻碍者,并积极参与到新制度的起草中来,他们也是很光荣的。
3、成立公司级的内控制度文件起草及推行小组,并进行任命。该小组的组长是任总,副组长为Dennis Haywood(IBM顾问),组长全权授权副组长起草文件。另指定一名EMT成员担任组长助理,负责调配资源和配套支持,其他所有人只能当组员。IBM顾问不要太顾忌组员的面子,哪个组员不听话,就把他开除出去。
4、为保证内控管理变革的有效推行,首先要建立一个良好的内控环境,要从公司各级管理层做起。要选用理解IBM内控管理系统的干部上岗,不理解的干部要予以替换。各级干部要加强对IBM内控管理流程、方法、经验等知识的学习。要按照IBM内控的标准通过网上、学习班等各种方式对各级干部进行内控应知应会考试。对未通过考试的干部,将冻结调薪,不能升职,并限期通过,限期内仍不能通过考试的,将予以替换。
5、为了不断传播和强化各业务管理者的内控意识,要建立相关的干部职业发展通道和干部轮换制度。让有业务经验的人到审计监控体系工作,并不断输送有内控经验且绩效好的审计监控人员到业务部门担任管理职位。
公司重视基本的流程制度,但最重视的是内控体系。公司除了要设立基本的流程制度,还要制定相应的问责机制。比如:什么做了,会有什么相应的问责措施等,且问责及处分不只限于下面的责任人,还要处分主管这项业务的高级负责人。