华为的内控体系，跟国内很多企业的构建方式不同。其基于组织架构和运作模式，设计并实施了内控体系，其发布的内控管理制度及内控框架适用于公司所有流程（包括业务和财务）、子公司以及业务单元。该内控体系向IBM学习，基于美国COSO 模型而设计，华为将内控体系的建设称之为：穿美国鞋，不打补丁。

华为在《关于IBM内部控制实践介绍及EMT对华为内控建设的指导意见》中对IBM内控实践做了如下分析：

01

IBM为什么需要内控

IBM领导层早就意识到，要实施有效的内控绝对不是件很容易的事情，在设计和执行内控过程中需要付出高昂的成本。如果可以选择，IBM可能不会花费那么多资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加，尤其是全球业务的增长，内外部风险也在逐步增加。如果没有内控支持，企业将不能做大，利润也不会增加，还可能由于效率低下和舞弊而增加损失。按照IBM顾问个人的理解，内控就像企业的“红绿灯”，没有人希望受到它的限制，但没有“红绿灯”，整个企业将可能陷入一片混乱。

02

IBM内控是否有效

IBM许多内控的观念及方法与华为有很大不同，但IBM运行多年经验证明，IBM内控是非常有效的：

1、建立良好的内控环境是高级管理层的重要职责之一。

IBM各级管理层一致认为良好的内控环境是有效实施内控的基础，并且经过多年努力目前已经形成了良好的内控氛围。在IBM，高级管理层（包括审计委员会）是建立内控环境的首要责任人。内控环境包括多方面的内容，其中包括：通过“高管基调”等方式强调内控的重要性，明确业务管理层/流程Owner是内控的第一责任人，并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核等。

2、IBM实施全球流程负责制（Global Process Ownership），确保流程在全球的一致性。

IBM引入全球流程（Global Process）的理念，这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程Owner，这些全球流程Owner都是公司的高级管理人员，由公司正式任命。流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责，及时更新和优化相关流程，并通过遵从性测试（Compliance Testing）监督流程的执行状况。每个国家都明确相应的国家级流程Owner，并通过全球流程Owner批准。某些特殊情况下，有些国家可能要执行自己特有的流程或需要对全球流程进行调整，IBM要求对其中任何与全球流程中关键控制不同而造成的更改，都必须得到全球流程Owner的批准。

3、各流程/业务都有自己的内控组织或角色，协助流程OWNER/业务管理者承担起内控职责。

IBM除了IA（Internal Audit，内部审计）之外，还有BC（Business Controls，业务控制）及Line Controls（运作控制）两种内控角色。

BC组织主要负责公司的内控体系框架的建立和维护，协助管理者建立和维护良好的内控环境，及进行关键控制点（KCP）和内控工具方法等知识的培训。BC人员只有少部分留在总部（CHQ BC），而大部分配置在全球的流程线、业务/区域线（Line BC）以便于协助各级管理层建立并完善内控系统。

Line Controls是由业务运作人员专职或兼职担任，帮助本领域的业务管理层/流程Owner实施日常内控管理，主要的职能包括记录及维护流程运作，实施遵从性测试等。

IBM的IA组织独立于业务及流程之外，行使对公司内控体系进行独立评估的职责。IA部门虽然设置在CFO下面，但业务上直接向审计委员会汇报，非常独立。

4、有效的内控测评及问责机制，保证内控设计及执行的有效性。

IBM内控测评机制主要包括SACA（Semi-Annual Control Assessment，半年控制评估）和打分审计（Rated Audit）。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计报告的结论分为“满意”和“不满意”。

SACA是一种内控自评机制，在各级BC组织的协助下由业务管理层/流程Owner负责实施，目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”，通常会给予12个月的改进期，期间不会安排对该领域的审计，直到其SACA的评分结果为“尚可”或“满意”。

打分审计由IA组织执行，以独立评价内控的有效性。通常，不好的审计结论意味着相应管理者考评成绩的降级及问责。比如，如果某领域在12个月内两次审计结论是“不满意”，那么该领域最高管理者（通常包括业务线和流程线的最高管理者）将被邀请到审计委员会做出解释，但这种情况一般不会超过两次。

03

华为内控指导意见

2007年，华为EMT对内控建设做出了如下指导意见：

1、EMT很欣赏IBM这套内控体系，华为内控体系建设就是要穿美国鞋 ，在内控系统建设上不打补丁，要从头做起。在组织与流程不一致时，以改组组织以适应流程。在任的所有干部，理解这套系统的人就上岗，不理解的人就下岗，不讲资格、资历，要用一些明白人向IBM学习把这套体系建立起来。

2、华为的内控审计系统可以推翻重来，不要在现有的内控基础上作。需要完全按照IBM的内控实践，重新起草华为的《内控管理制度》，并作为内控建设的纲领性文件推行，制度起草不必受制于华为已签发的原有相关文件。

3、成立公司级的内控制度文件起草及推行小组，并进行任命。该小组的组长是任正非，副组长为Dennis Haywood（IBM顾问），组长全权授权副组长起草文件。另指定一名EMT成员担任组长助理，负责调配资源和配套支持，其他所有人只能当组员。IBM顾问不要太顾忌组员的面子，哪个组员不听话，就把他开除出去。

4、为保证内控管理变革的有效推行，首先要建立一个良好的内控环境，要从公司各级管理层做起。要选用理解IBM内控管理系统的干部上岗，不理解的干部要予以替换。各级干部要加强对IBM内控管理流程、方法、经验等知识的学习。要按照IBM内控的标准通过网上、学习班等各种方式对各级干部进行内控应知应会考试。对未通过考试的干部，将冻结调薪，不能升职，并限期通过，限期内仍不能通过考试的，将予以替换。

5、为了不断传播和强化各业务管理者的内控意识，要建立相关的干部职业发展通道和干部轮换制度。让有业务经验的人到审计监控体系工作，并不断输送有内控经验且绩效好的审计监控人员到业务部门担任管理职位。

公司重视基本的流程制度，但最重视的是内控体系。公司除了要设立基本的流程制度，还要制定相应的问责机制。比如：什么做了，会有什么相应的问责措施等，且问责及处分不只限于下面的责任人，还要处分主管这项业务的高级负责人。

04

华为内控“三层防线”实践

基于IBM的管理实践及顾问导入，华为以IIA框架为基础，建立了华为自己的内控与风险管理“三层防线”及优化方案。

任正非亲自在内部会上对此做了如下解读：

一、加强第一层防线建设的目标绝不动摇，坚持逐步走向流程责任制，逐渐给流程Owner赋权。代表要转身为总经理，承担好综合经营责任的基本要求。

第一层防线，在业务运作中控制风险，是最重要的防线。我们90%以上的精力是要把第一层防线建好，既要有规范性，又要有灵活性，没有灵活性就不能响应不同的客户服务需要。最终目的是要让业务主管承担起内控责任，比如是经营责任人，那也就是内控责任人，层层级级都应该这样。过去的管理者不承担内控责任，现在要逐渐考核承担起内控责任来。

代表要转身为总经理，内控管理是承担好综合经营责任的基本要求。以前代表主要是抢单的销售代表，而成为总经理后，他们是综合经营者，所承担的责任目标转换，自然就重视内控了。从代表成为总经理，首先他要转身，现在为什么转不过来呢？代表提拔回公司，依旧是到片联、到销售组织去，而其他组织的人员也去不了代表处当代表，说明我们的干部选拔上有问题。

将军要学会系统性作战，关键过程行为考核是用于选拔干部，内控管理也是重要的考核指标。我们发奖金的时候，多考虑责任结果，这人会抢粮食，抢了粮食，那叫英雄；但是选拔干部、能不能升官的时候我们还要考察关键过程行为，要知道有哪些责任，将军要学会系统性的作战。

资源池应该有资格管理，他们回到资源池备用时要考试认证，涵盖的类别都要过关，包括内控。考一次，他们就知道要承担起这个责任。资格考试考的好不是要涨工资，也不是发奖金，只是给你一个机会上战场作战。作战回来，关键过程行为用于干部评价和选拔。比如这人工程做得好，管他扭没扭屁股，人家冲锋在前，做出成绩就可以多评奖金。但我们要选拔将军时，从关键事件的过程行为中分析他是不是可以担起责任。这样把两种人分开来，对于不想当将军的人，逼着他“之”字形成长，是浪费成本。如此一调整、一管控，自然有想当将军的人。将军就要学会系统性作战，一次、两次可能做不好，但三次总会做好的。

公司流程要做到既简化又有效，最主要的监管还是在流程中。流程本身就是防线，完善了流程就已经建立良好的防范系统。打通流程，是我们矢志不移的奋斗目标。现在我们有些流程做得很繁琐，而且很多人不看前言后语就签字，不担责，就说明这个流程没有意义。流程部门主管一定要有基层实践经验，没打过仗，如何为作战组织服务？流程有效，不一定是数量多，也不一定要流程长。流程简化，每个环节都要起到有意义的关键作用，最主要的监管是在流程中。

二、第二层防线，针对跨流程跨领域进行高风险拉通管理，要担负起方法论的推广，大量干部接受内控赋能后走向前线。

为第一层防线大量提供方法论，大量补充、循环和培养干部。我们要确认流程责任人的责任，SACA是对责任人的评价，我们要去帮助他们做些试点，建立起流程监管的制度、岗位、角色，并发挥作用。同时，建立金种子计划，通过实践比如iSales、配置打通交付上ERP，一个个国家推，成功了，就一分为二，就从这个地方补充到其他国家打仗去。新的打了胜仗以后，又产生一批人，就这样干部螺旋式洗澡，把优秀的人洗上来了，培养金种子。一大批新的干部提拔，都是有成功实践经验的，为什么不能接管代表处？为什么不能接管华为公司的总部？雄赳赳，气昂昂杀回总部来。谁说二十几岁不能当将军？

第二层防线实际是帮助别人建立起正确的业务组织进行拉通管理，而不是具体事情监管，干预业务太多自己越做越大。我们要让业务火车快速的跑，就拿工程稽查来说，一线有待上岗管理者，代表处采购委员会主任上岗前，大项目交付项目经理在交付项目启动前（有很多老员工在基层干过很多年）。抽到工程稽查参加培训，工作一段时间，就算是赋能了，赋能就上前线，就担负起责任来。工程稽查要担负起培训干部，提供方法，让一线担起责任来。

三、第三层防线通过审计调查，对风险和管控结果进行独立评估和冷威慑。

第一层防线要把绝大部分工作做完，但他们可能有疏漏，由第三层防线监督，通过对疏漏的检查，一个是建立威慑，一个是修补漏洞，还可以请外部机构来检修堤坝，第三层防线永远不会消失。第一道防线建设好后，第三层审计应该没多少事干，而不能是第一层做得一塌糊涂，后面依靠审计。番茄烂就烂了，大家对这个烂番茄没什么反应，那这个番茄完全没有意义，从流程组织建设上，就应该去摘掉它。一旦发现，无论大小案子，审计去查的时候，连一个蚂蚁蛋都不能放过，这样建立起冷威慑，来配合第一层防线的建设。

四、三层防线的组织职能调整循序渐进，在2014年先拿出方案试点，2015年回顾和调整。

当建立了第一层防线后，就把现在第二层的一部分责任转移给第一层，第二层的责任是看沿着流程走的都走好了没有，好了第二层就不需要了，就合并至第一层防线中；发现还要重拳打击某些癌症点的时候，第二层又和第三层结合起来。因此，我们的重心是在第一层防线上，第一层防线过程中既要有规范性，又要有灵活性。

我们在建设思路上，要学习三层防线这种顶层架构的设计方法。上层设计好后，拿出实施方案后再推广，推不动，我就派一群干部接管你这个组织，接管的干部回来参加工程队，上战场边打仗边培训，又产生种子。你们不要急于求成，要经过讨论后再推行，避免出现问题后再回头还有好多漏洞要补，这补漏洞的过程实际上更慢。

你们都看到我在法国答记者问，我不认识韦尔奇，我的老师是IBM，韦尔奇是多元化，我们公司不提倡多元化。IBM教我们爬树，我们爬到树上摘了苹果。谢谢Phil，非常好！

05

2013年华为内控管理要点

华为在以上指导意见和内控方案的基础上，发布了《2013年华为内控管理要点》，至此，华为内控体系基本构建完成。

要点如下：

一、继续围绕“促经营、防腐败”的内控工作目标，聚焦在重复发生的TOP经营痛点问题上实施流程改进，获取经营管理收益、遏止腐败。

1、各级管理者和流程Owner应基于CT与SACA、审计、稽查等发现的问题，在相应的ST会议上研讨，识别出自身的TOP内控问题；

2、对于每一个TOP问题，须指定明确的业务改进责任人，负责具体改进计划的制定与执行；

3、所有TOP问题的改进应基于流程（本地化）、规则的发布与执行，改进的效果通过内控BC、审计、稽查的结果来验证；

4、内控BC负责协助各级管理者和流程Owner实施TOP问题的改进，并例行对改进进展进行监督和报告，对于已改进的问题在BCIT系统中验收关闭。

二、内控管理的关键是建立内控责任体系，这是内控的核心工作。各级管理者和流程Owner是所负责业务领域的内控第一责任人，必须主动承担起自己的内控责任。

1、全球流程Owner负责建立基于流程的授权、行权、问责的内控责任体系，发布明确的业务问责制度，并层层落实内控考核要求；

2、各级管理者和流程Owner应建立内控奖惩机制，对于内控管理做的好的予以激励，对于需要改进的可以发放红黄牌警示、责其进行内控述职；

3、各级CFO必须协助相关管理者和流程Owner建立内控责任体系。

三、各级管理者和流程Owner需持续提升CT、SACA、PR等内控工作的质量和真实性，实现内控的自我管理。

1、各级流程Owner应月度实施CT并季度报告，内控BC负责对CT工作质量进行例行抽检复核；

2、各级管理者和流程Owner应从主动管理风险的工作需要出发，不定期组织PC/BC实施PR自检工作，以发现问题并及时改进；

3、各级管理者和流程Owner应基于日常内控管理工作，每半年实施SACA并报告，内控BC负责对SACA结果进行复核和质量回溯。

四、要关注存货管理、交付管理、采购管理、合同质量、行政管理、渠道管理、资金税务等高风险业务。各高风险业务相关的流程Owner应加强和持续开展“内控上前线”工作。

1、内控工作应聚焦高风险业务开展建设和改进，高风险业务的管理责任人应建立跨流程的联合内控改进工作组，持续实施内控改进；

2、内控工作应深入到业务中去，跟随服务，在炮火中前进，实现快速运作流程与合理监管，最终让“内控在前线”，以匹配一线的业务场景，建立适用的本地化流程与规则，并将内控责任持续传递、分解到一线的项目、岗位。

五、全面推行和落实KCFR(关键财经控制要素)工作，加强财务支撑和监督，拉通业务与财务流程，确保公司内控的有效性以及财务数据的真实准确、资金资产的安全。

1、KCFR是落实业务和财务流程拉通，支撑资金资产安全、经营结果改进和提升财务报表准确性、完整性的有效保障。

2、在日常的内控工作中，要主动识别、全面执行KCFR的要求（含KCFR方案本地化后的要求）。

3、各级管理者和流程Owner要将业务和财务流程的拉通作为本部门的重点工作之一，通过设立财务或业务指标来衡量KCFR的执行效果，不断改进优化，并通过例行CT/SACA等手段来及时监督、提高KCFR的遵从率。

六、持续加强内控BC/PC组织与能力的建设。

1、对于内控管理较差、风险较高的流程，相关流程Owner应设立专职化的PC团队以快速提升内控管理水平，实现有效监控；

2、各级管理者应加强内控BC组织与能力的建设，以更好的实施内控支持、监督和报告工作。

来源：互联网