内控标准体系.docVIP

体系建设 华为内控体系建设就是要穿美国鞋，不打补丁 ――关于IBM内部控制实践介绍及EMT对华为内控建设的指导意见 一、IBM内部控制（以下简称内控）实践主要内容如下： 1、IBM为什么需要内部控制？ IBM领导层早就意识到，要实施有效的内控绝对不是件很容易的事情，在设计和执行内控过程中需要付出高昂的成本。如果可以选择，IBM可能不会花费那么多资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加，尤其是全球业务的增长，内外部风险也在逐步增加。如果没有内控支持，企业将不能做大，利润也不会增加，还可能由于效率低下和舞弊而增加损失。按照IBM顾问个人的理解，内控就像企业的“红绿灯”，没有人希望受到它的限制，但没有“红绿灯”，整个企业将可能陷入一片混乱。 2、IBM许多内控的观念及方法与华为有很大不同，但IBM运行多年经验证明，IBM内控是非常有效的： 建立良好的内控环境是高级管理层的重要职责之一。 IBM各级管理层一致认为良好的内控环境是有效实施内控的基础，并且经过多年努力目前已经形成了良好的内控氛围。在IBM，高级管理层（包括审计委员会）是建立内控环境的首要责任人。内控环境包括多方面的内容，其中包括：通过“高管基调”等方式强调内控的重要性，明确业务管理层/流程Owner是内控的第一责任人，并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核等。 IBM实施全球流程负责制（Global Process Ownership），确保流程在全球的一致性。 IBM引入全球流程（Global Process）的理念，这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程Owner，这些全球流程Owner都是公司的高级管理人员，由公司正式任命。流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责，及时更新和优化相关流程，并通过遵从性测试（Compliance Testing）监督流程的执行状况。每个国家都明确相应的国家级流程Owner，并通过全球流程Owner批准。某些特殊情况下，有些国家可能要执行自己特有的流程或需要对全球流程进行调整，IBM要求对其中任何与全球流程中关键控制不同而造成的更改，都必须得到全球流程Owner的批准。 各流程/业务都有自己的内控组织或角色，协助流程OWNER/业务管理者承担起内控职责。 IBM除了IA(Internal Audit,内部审计)之外，还有BC（Business Controls,业务控制）及Line Controls（运作控制）两种内控角色。 BC组织主要负责公司的内控体系框架的建立和维护，协助管理者建立和维护良好的内控环境，及进行关键控制点（KCP）和内控工具方法等知识的培训。BC人员只有少部分留在总部（CHQ BC），而大部分配置在全球的流程线、业务/区域线（Line BC）以便于协助各级管理层建立并完善内控系统。 Line Controls是由业务运作人员专职或兼职担任，帮助本领域的业务管理层/流程Owner实施日常内控管理，主要的职能包括记录及维护流程运作，实施遵从性测试等。 IBM的IA组织独立于业务及流程之外，行使对公司内控体系进行独立评估的职责。IA部门虽然设置在CFO下面，但业务上直接向审计委员会汇报，非常独立。 有效的内控测评及问责机制，保证内控设计及执行的有效性。 IBM内控测评机制主要包括SACA（Semi-Annual Control Assessment,半年控制评估）和打分审计（Rated Audit）。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计报告的结论分为“满意”和“不满意”。 SACA是一种内控自评机制，在各级BC组织的协助下由业务管理层/流程Owner负责实施，目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”，通常会给予12个月的改进期，期间不会安排对该领域的审计，直到其SACA的评分结果为“尚可”或“满意”。 打分审计由IA组织执行，以独立评价内控的有效性。通常，不好的审计结论意味着相应管理者考评成绩的降级及问责。比如，如果某领域在12个月内两次审计结论是“不满意”，那么该领域最高管理者（通常包括业务线和流程线的最高管理者）将被邀请到审计委员会做出解释，但这种情况一般不会超过两次。 二、EMT对华为内控建设做出了如下指导意见： EMT很欣赏IBM这套内控体系，华为内控体系建设就是要穿美国鞋，在内控系统建设上不打补丁，要重头做起。在组织与流程不一致时，我们以改组组织以适应流程。现在任职的所有干部，理解这套系统的人就上岗，不理解的人就下岗，不讲资格、资历，要用一些明白人向IBM学习把这套体系建立起来。 公司的内控审计系统可