华为EMT 2007年8月24日
关于IBM内部控制实践介绍及EMT对华为内控建设的指导意见
“如果没有内控支持,企业将不能做大,利润也不会增加。”
竞逐
总 裁 办 电 子 邮 件
电邮文号【2007】32号 签发人: 任正非
一、IBM内部控制(以下简称内控)实践主要内容如下:……
1、IBM为什么需要内部控制?
IBM领导层早就意识到,要实施有效的内控绝对不是件很容易的事情,在设计和执行内控过程中需要付出高昂的成本。如果可以选择,IBM可能不会花费那么多资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加,尤其是全球业务的增长,内外部风险也在逐步增加。如果没有内控支持,企业将不能做大,利润也不会增加,还可能由于效率低下和舞弊而增加损失。
按照IBM顾问个人的理解,内控就像企业的“红绿灯”,没有人希望受到它的限制,但没有“红绿灯”,整个企业将可能陷入一片混乱。
2、IBM许多内控的观念及方法与华为有很大不同,但IBM运行多年经验证明,IBM内控是非常有效的:
(1) 建立良好的内控环境是高级管理层的重要职责之一。
IBM各级管理层一致认为良好的内控环境是有效实施内控的基础,并且经过多年努力目前已经形成了良好的内控氛围。在IBM,高级管理层(包括审计委员会)是建立内控环境的首要责任人。
内控环境包括多方面的内容,其中包括:通过“高管基调”等方式强调内控的重要性,明确业务管理层/流程Owner是内控的第一责任人,并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核等。
(2) IBM实施全球流程负责制(Global Process Ownership),确保流程在全球的一致性。
IBM引入全球流程(Global Process)的理念,这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程Owner,这些全球流程Owner都是公司的高级管理人员,由公司正式任命。
流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责,及时更新和优化相关流程,并通过遵从性测试(Compliance Testing)监督流程的执行状况。
每个国家都明确相应的国家级流程Owner,并通过全球流程Owner批准。某些特殊情况下,有些国家可能要执行自己特有的流程或需要对全球流程进行调整,IBM要求对其中任何与全球流程中关键控制不同而造成的更改,都必须得到全球流程Owner的批准。
(3) 各流程/业务都有自己的内控组织或角色,协助流程OWNER/业务管理者承担起内控职责。
IBM除了IA(Internal Audit,内部审计)之外,还有BC(Business Controls,业务控制)及Line Controls(运作控制)两种内控角色。
BC组织主要负责公司的内控体系框架的建立和维护,协助管理者建立和维护良好的内控环境,及进行关键控制点(KCP)和内控工具方法等知识的培训。BC人员只有少部分留在总部(CHQ BC),而大部分配置在全球的流程线、业务/区域线(Line BC)以便于协助各级管理层建立并完善内控系统。
Line Controls是由业务运作人员专职或兼职担任,帮助本领域的业务管理层/流程Owner实施日常内控管理,主要的职能包括记录及维护流程运作,实施遵从性测试等。
IBM的IA组织独立于业务及流程之外,行使对公司内控体系进行独立评估的职责。IA部门虽然设置在CFO下面,但业务上直接向审计委员会汇报,非常独立。
(4) 有效的内控测评及问责机制,保证内控设计及执行的有效性。
IBM内控测评机制主要包括SACA(Semi-Annual ControlAssessment,半年控制评估)和打分审计(Rated Audit)。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计报告的结论分为“满意”和“不满意”。
SACA是一种内控自评机制,在各级BC组织的协助下由业务管理层/流程Owner负责实施,目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”,通常会给予12个月的改进期,期间不会安排对该领域的审计,直到其SACA的评分结果为“尚可”或“满意”。
打分审计由IA组织执行,以独立评价内控的有效性。通常,不好的审计结论意味着相应管理者考评成绩的降级及问责。
比如,如果某领域在12个月内两次审计结论是“不满意”,那么该领域最高管理者(通常包括业务线和流程线的最高管理者)将被邀请到审计委员会做出解释,但这种情况一般不会超过两次。
网友评论