内控三道防线:华为的核威慑和冷战系统
随着业务规模及业务复杂度的不断地增加、尤其是全球业务的持续增长,华为所面临的内外部风险也在逐步增加,因而越来越认识到:
如果没有内部控制体系的支持,企业不仅不能做大、利润也不会增加,还可能由于效率低下和徇私舞弊而增加损失;
内部控制体系就像是企业经营管理中的“红绿灯”,没有人希望受到它的限制,但是没有“红绿灯”的指示,整个企业可能陷入一片混乱。
在认识到内部控制系统重要性和必要性的基础上,华为在IBM的帮助下逐步建立起并持续完善了由流程责任制、风险监管体系、内部审计制度等三道防线构成的内部控制体系,确保了在内外合规基础上多打粮食、增强土地肥力,有力地支撑了华为的商业成功与持续发展:
到2019年,华为已经拥有19.4万名员工,业务遍及170多个国家和地区、服务30多亿人口,成为了全球领先的ICT(信息与通信)基础设施和智能终端提供商,致力于把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界。
01
流程责任制
流程责任制是华为内部控制体系的第一道防线:华为认为业务主管/流程OWNER,是内部控制的第一责任人,在流程中建立内部控制意识和能力,不仅要做到流程的环节遵从、还要做到流程的实质遵从。
“流程的实质遵从,就是行权质量。落实流程责任制,流程OWNER/业务管理者要真正承担内控和风险监管的责任,95%的风险要在流程化作业中解决。业务主管必须具备两个能力,一个能力是创造价值,另一个能力就是做好内控。”(2016年12月1日,任正非在监管体系座谈会上的讲话:内外合规多打粮,保驾护航赢未来)
1). 对事负责制,还是对人负责制?
1998年,华为提出了对事负责制的原则:让最有责任心的人担任最重要职务,承担起流程遵从的责任。
“我们公司确立的是对事负责的流程责任制。
我们把权力下放给最明白、最有责任心的人,让他们对流程进行例行管理。
高层实行委员会制,把例外管理的权力下放给委员会,并不断的把例外管理,转变为例行管理。
流程中设立若干监控点,由上级部门不断执行监察控制,这样公司才能做到无为而治。”(1998年,任正非向中国电信调研团的汇报以及在联通总部与处以上干部座谈会上的发言:华为的红旗到底能打多久)
2000年,华为进一步澄清了对人负责制与对事负责制是两种不同的制度:对人负责制是一种收敛的系统;对事负责制是依据流程及授权,以及有效的监控,使最明白人具有处理问题的权力,是一种扩张的管理体系。
“对事负责制与对人负责制是有本质区别的一个是扩张体系,一个是收敛体系。
为什么我们要强调以流程型和时效型为主导的体系呢?
现在流程上运作的干部,他们还习惯于事事都请示上级。这是错的,已经有规定,或者成为惯例的东西,不必请示,应快速让它通过去。
执行流程的人,是对事情负责,这就是对事负责制;事事请示,就是对人负责制,它是收敛的。”(2000年底,华为人报,任正非:华为的冬天)
2). 从流程遵从,走向流程责任
2013年,华为开始从流程遵从走向流程责任、加强流程责任制:业务主管不仅要保障业务数据准确、及时、规范,约束部门不做假账,而且还要和流程OWNER一起真正承担起监管的责任,将绝大部分的风险在流程化作业中给予解决。
“坚持推行流程责任制,业务主管和流程OWNER要真正承担起监管的责任。
坚定不移的推行流程化建设,同时加强流程责任制,要从流程遵从走向流程责任,业务主管和流程OWNER要真正承担起监管的责任。
以前讲的流程遵从,你顺着这个流程做就可以了。而流程责任制,要比流程遵从提升一步,你在这个地方签了字,出了事情就要承担责任。现在我们说很多领导要签背书,背书就要承担责任。
业务主管要真正承担起教育、内控的管理责任。”(2013年12月30日,任正非在大规模消灭腐败进展汇报会上的讲话)
2014年,华为进一步强调在从流程遵从、走向流程责任的过程中,需要明确以前的责任、既往要咎,唯有如此工作才能持续改进、公司才会有明天。
“我们要从今天的流程遵从制,逐步走向明天的流程责任制。
现在实行的流程遵从,你看仓库管得那么糟糕,责任在谁,怎么不把你们的工程报废物资作为奖金包发给你们?既往要咎,这一点不能动摇。
做虚假账目、浪费损失,最终要从你们奖金包扣回来,一年不够扣,就分几年扣;牵连到前任代表的,都要追究到前任代表,授予他一个负奖金。这样大家才知道痛,才知道改进,才会有明天。”(2014年7月23日,任正非在项目管理资源池第一期学员座谈会上的讲话)
02
风险监管体系
风险监管体系是华为内部控制体系的第二道防线:在华为,内部控制及风险监管的部门,针对跨流程、跨领域的高风险事项进行拉通管理,既要负责方法论的建设及推广,也做好各个层级的赋能。
“稽查体系聚焦事中,是业务主管的帮手,不要越俎代庖,业务主管仍是管理的责任人,稽查体系是要帮助业务主管成熟地管理好自己的业务,发现问题、推动问题改进、有效闭环问题。
稽查和内控的作用是在帮助业务完成流程化作业的过程中实现监管。内控的责任不是在稽查部,也不是在内控部,这点一定要明确。”(2016年12月1日,任正非在监管体系座谈会上的讲话:内外合规多打粮,保驾护航赢未来)
1). 监管的职责与角色
华为认为内部控制与风险监管的职责不是阻止流程的速度、而是让流程顺畅后速度更快,就像高铁一样在有效的监控下高速安全地运行;为此,华为坚持业务为主导、会计为监督的宏观管理方法与体系的建设,把服务与监控融进全流程、在服务的过程中同时完成了监督。
“我们要继续坚持业务为主导、会计为监督的宏观管理方法与体系的建设。
什么叫业务为主导?就是要敢于创造和引导需求,取得‘机会窗’的利润。也要善于抓住机会,缩小差距,使公司同步于世界而得以生存。
什么叫会计为监督,就是为保障业务实现提供规范化的财经服务,规范化就可以快捷、准确和有序,使帐务维护成本低。
规范化是一把筛子,在服务的过程中也完成了监督。要把服务与监控融进全流程。”(2000年底,华为人报,任正非:华为的冬天)
基于内部控制与风险监管的职责,华为参照IBM的做法在各流程/业务设置了业务控制和内部控制两种内部控制角色,协助流程OWNER/业务管理者承担起内部控制与风险监管的职责。
“各流程/业务都有自己的内控组织或角色,协助流程OWNER/业务管理者承担起内控职责。
IBM除了IA(Internal Audit,内部审计)之外,还有BC(Business Controls,业务控制)及Line Controls(运作控制)两种内控角色。
BC组织主要负责公司的内控体系框架的建立和维护,协助管理者建立和维护良好的内控环境,及进行关键控制点(KCP)和内控工具方法等知识的培训。BC人员只有少部分留在总部(CHQ BC),而大部分配置在全球的流程线、业务/区域线(Line BC)以便于协助各级管理层建立并完善内控系统。
Line Controls是由业务运作人员专职或兼职担任,帮助本领域的业务管理层/流程Owner实施日常内控管理,主要的职能包括记录及维护流程运作,实施遵从性测试等。”(2007年8月24日,华为EMT:关于IBM内部控制实践介绍及EMT对华为内控建设的指导意见)
2). 三项中央集权监管
华为在业务作战指挥权前移的同时,建立起了两层监管体系:资金管理权、账务管理权、审计权等三项中央集权监督体系直插到底,建立起边界;前移的子公司监督型董事会不仅担负子公司内、外合规等监督职责,子董对年轻主官也有“辅弼”的责任,帮助作战部队安全合规多打粮。
“业务作战指挥权前移,子公司董事会监管前移,但资金管理权、账目管理权、审计权仍采用‘中央集权制’。
监管有两块需要区分开:
第一,监督性子公司董事会监督是内外合规,非流程化的。业务作战指挥权授权给前方,监管也要前移。
第二,三个中央集权坚决不能下放:资金管理权、账目管理权、审计权。其中,资金管理权决不是管、卡、压,而是要灵活快速服务,代表处资金使用很灵活;
账务管理权,集中做账,口号是‘不为客户负责,不为业务负责、不为领导负责,为真实性负责’,跟所有业务管理组织脱钩。”(2017年2月20日,任正非在泛网络区域组织变革优化总结与规划汇报的讲话)
华为资金管理权、账务管理权、审计权等三项中央集权实行垂直管理,做好三层日清日结、真实地记录业务以及相关发生的账务,对全公司提供报表支持、快速地服务业务。
“三层日清日结机制的建设。
1、第一层日清日结应该在业务运行中完成,财经组织要思考如何在服务业务的同时,履行好监督职责。业务主管要对真实性、合理性负责,各级CFO在服务业务的同时,也要对关键业务的真实性、合理性进行管理。各业务单元的财经团队要与业务团队拿出第一层日清日结的履职方案,有效实施及落实。
2、第二层日清日结在账务管理部,在账务处理的过程中,要核对业务单据是否齐备合规,是否具备启动付款的条件;也要核对我们的应收账款是否被清晰、完整的记录,并与客户完成直接对账工作。
3、第三层日清日结在资金管理部,要核对全球所有账户的支付记录,是否与账务记录相符。当日支付,当日对账,同时支付差错应在一个工作日内识别及处置。”(2017年3月28日,任正非在支付系统员工座谈会上的讲话)
3). 子公司董事会前移监管
华为持续让贴近客户的一线团队更有权力,因为只有这种灵活机动的战略战术,才有利于提高客户满意度、有利于成功、有利于干部成长、有利于效益的增加;在权力前移的同时、监管也需要随之前移,将权力的自我监督融合在业务流程中、稽查则实施过程监督,以保持权力行使的有利、可靠,子公司董事会代表公司在一线进行实地综合监督、为促进进一步的放权做好准备。
“目前子公司董事会在筹组阶段,先从对外合规开始,下一步将内、外合规都要管起来,这样逐步走向未来的全面监督。
第一,看风险:
首先要扫描高风险的领域,通过几个方面来获取输入:
一是审计、内控、HR、法务等部门的输出;
二是区域以往的案例,哪些问题是多发的;
三是结合识别的重点风险领域,沿着这些领域的风险场景进行梳理。
第二,看机制:
透过发现的风险和漏洞,看子公司管理层在集团政策落地方面是否有效,有没有建立起有效的流程和子公司监管的大坝,有没有把教管查处法落地,机制方面有没有漏洞和不足,提醒管理层去改进。
子公司监督型董事会的独特价值就是在一线代表公司进行实地综合监管。”(2015年7月13日,任正非在子公司监督型董事会管理层监督方案及试点情况汇报上的讲话)
03
内部审计制度
内部审计制度是华为内部控制体系的第三道防线:内部审计部是司法部队,通过独立评估和事后调查建立起冷威慑。
“审计抓住一个缝子,不依不饶地深查到底,旁边碰到有大问题也暂时不管,沿着这个小问题把风险查清、查透。一个是纵向的,一个是横向的,没有规律,不按大小来排队,抓住什么就查什么,这样建立冷威慑。
冷威慑,就是让大家都不要做坏事,也不敢做坏事。”(2016年12月1日,任正非在监管体系座谈会上的讲话:内外合规多打粮,保驾护航赢未来)
1). 审计的定位与职责
华为的审计组织独立于业务及流程之外,行使对公司内控体系进行独立评估的职责:在财务进行业务计划、预算、核算管理基础上,通过审计确认业务的真实性和正确性,确保有利于多产粮食。
“审计人员是事后回溯建立冷威慑,从流程、计划、结算……中看到问题,不能随意干扰作战。也要有利于多产粮食。
公司已公开的业务流程,审计人员原则上要去充分理解,遵循流程完成监督。审计人员在正常流程下发现执行的问题,拿回来认真研究,谋定而后动,集体讨论清楚后才可以去执行。
审计不是刑警队,质问(质疑和询问)不能草率。审计也是一个平台,同样要是服务与支持,以多产粮食为中心。”(2017年8月9日,任正非在子公司监督型董事会年中工作会议上的讲话)
2). 审计的原则与方法
华为要求审计人员向御史学习,既能够坚持原则、又善于坚持原则,一定要敢于斗争,还要善于斗争。
关于审计的原则,华为在政策收紧的同时开放自我申报政策,体现除了宽严相济、治病救人的原则。
“不要认为历史问题就不会追究,不追究就不会形成冷威慑,要把冷威慑建立在前面,员工不要去做违反BCG的事情;如果前面出了事,就赶快主动自我申报,让自己不要背上沉重包袱,高级干部更要以身作则。
做好宣传效果,利用OEC的宣传渠道,普遍宣传‘对违反BCG处理收紧的政策’,司法案例可以在公告栏上公布。
对于员工的申报、与调查的配合,内审调查部负责把事情查清楚,真实记录,纪律与监察分委会按照政策去理解和处理。”(2013年12月30日,任正非在大规模消灭腐败进展汇报会上的讲话)
关于审计的方法,华为一方面坚持无罪论定,没有证据不能随便伤害一个干部;另一方面,又本着实事求是的原则,坚持把员工的“功”和“过”区分开来、分别进行处理。
“第一,审计调查问题,首先是无罪论定。必须要有证据,没有证据不能随便伤害一个干部;同时要有科学的方法,实事求是的方法,要尊重人权。
干部要严格要求自己,尽量不要出这样的问题。当出现问题时,我们想同情也没有用,如果我们都很有情,最后摧毁的只能是好人。
现在公司90%以上都是好人,不能让几个坏人把公司毁了。如果确有证据,斗争有理、有力、有节,要有节制,不是说斗争就是无情打击,那样不解决问题。
第二,评功摆好不是审计人员的责任,这是最高领导层的责任,‘功’和‘过’是两回事。
审计本着实事求是的原则,把问题调查清楚,处理问题交给HRC的纪律与监察分委会,查处分开。我们要把功和过分开,如果这个人有功,就宽容了他的过,这样就建立不了铁的组织纪律。”(2016年12月1日,任正非在监管体系座谈会上的讲话:内外合规多打粮,保驾护航赢未来)
04
结束语
华为不仅重视基本的流程制度建设,而且更加重视内控体系的建设,制定并持续完善相应的问责机制、以保证流程制度的高效运行:通过内部审计、风险监管、流程责任等三道防线,建立起点、线、面有机结合的内部控制体系,以确保内外合规多打粮,支撑起了华为的商业成功与持续发展。
“审计是司法部队,关注‘点’的问题,通过对个案的处理建立威慑力量。
监控无处不在,关注‘线’的问题,与业务一同端到端地管理,揭示并改进端到端的风险。
道德遵从委员会,关注‘面’的问题,持续建立良好的道德遵从环境,是建立一个‘场’的监管。”( 2011年6月14日,任正非与罗马尼亚账务共享中心座谈会纪要)