华为内控“穿美国鞋不打补丁”，任正非：不听话就把他开除出去

今天小编分享的科技经验：华为内控“穿美国鞋不打补丁”，任正非：不听话就把他开除出去，欢迎阅读。

华为的内控体系，跟国内很多企业的构建方式不同。其基于组织架构和运作模式，设计并实施了内控体系，其发布的内控管理制度及内控框架适用于公司所有流程（包括业务和财务）、子公司以及业务单元。该内控体系向 IBM 学习，基于美国 COSO 模型而设计，华为将内控体系的建设称之为：穿美国鞋，不打补丁。

华为在《关于 IBM 内部控制实践介绍及 EMT 对华为内控建设的指导意见》中对 IBM 内控实践做了如下分析：

IBM 为什么需要内控

IBM 领导层早就意识到，要实施有效的内控绝对不是件很容易的事情，在设计和执行内控过程中需要付出高昂的成本。如果可以选择，IBM 可能不会花费那么多资金和高级管理层的精力去关注控制。但随着企业业务规模及业务复杂度不断地增加，尤其是全球业务的增长，内外部风险也在逐步增加。如果没有内控支持，企业将不能做大，利润也不会增加，还可能由于效率低下和舞弊而增加损失。按照 IBM 顾问个人的理解，内控就像企业的 " 红绿灯 "，没有人希望受到它的限制，但没有 " 红绿灯 "，整个企业将可能陷入一片混乱。

IBM 内控是否有效

IBM 许多内控的观念及方法与华为有很大不同，但 IBM 运行多年经验证明，IBM 内控是非常有效的：

1、建立良好的内控环境是高级管理层的重要职责之一。

IBM 各级管理层一致认为良好的内控环境是有效实施内控的基础，并且经过多年努力目前已经形成了良好的内控氛围。在 IBM，高级管理层（包括审计委员会）是建立内控环境的首要责任人。内控环境包括多方面的内容，其中包括：通过 " 高管基调 " 等方式强调内控的重要性，明确业务管理层 / 流程 Owner 是内控的第一责任人，并将内控设计和执行的有效性纳入各级管理者的 PBC 指标中进行考核等。

2、IBM 实施全球流程负责制（Global Process Ownership），确保流程在全球的一致性。

IBM 引入全球流程（Global Process）的理念，这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程 Owner，这些全球流程 Owner 都是公司的高级管理人员，由公司正式任命。流程 Owner 与业务管理层共同对流程设计、推行和过程记录的有效性负责，及时更新和优化相关流程，并通过遵从性测试（Compliance Testing）监督流程的执行状况。每个国家都明确相应的国家级流程 Owner，并通过全球流程 Owner 批准。某些特殊情况下，有些国家可能要执行自己特有的流程或需要对全球流程进行调整，IBM 要求对其中任何与全球流程中关键控制不同而造成的更改，都必须得到全球流程 Owner 的批准。

3、各流程 / 业务都有自己的内控组织或角色，协助流程 OWNER/ 业务管理者承担起内控职责。

IBM 除了 IA（Internal Audit，内部审计）之外，还有 BC（Business Controls，业务控制）及 Line Controls（运作控制）两种内控角色。

BC 组织主要负责公司的内控体系框架的建立和维护，协助管理者建立和维护良好的内控环境，及进行关键控制点（KCP）和内控工具方法等知识的培训。BC 人员只有少部分留在总部（CHQ BC），而大部分配置在全球的流程线、业务 / 区網域线（Line BC）以便于协助各级管理层建立并完善内控系统。

Line Controls 是由业务运作人员专职或兼职担任，帮助本领網域的业务管理层 / 流程 Owner 实施日常内控管理，主要的职能包括记录及维护流程运作，实施遵从性测试等。

IBM 的 IA 组织独立于业务及流程之外，行使对公司内控体系进行独立评估的职责。IA 部门虽然設定在 CFO 下面，但业务上直接向审计委员会汇报，非常独立。

4、有效的内控测评及问责机制，保证内控设计及执行的有效性。

IBM 内控测评机制主要包括 SACA（Semi-Annual Control Assessment，半年控制评估）和打分审计（Rated Audit）。SACA 报告结论分为 " 满意 "、" 尚可 " 及 " 不满意 " 的评级。打分审计报告的结论分为 " 满意 " 和 " 不满意 "。

SACA 是一种内控自评机制，在各级 BC 组织的协助下由业务管理层 / 流程 Owner 负责实施，目的是各级管理者通过这种方式主动自我暴露所辖领網域的内控问题。如果某领網域的 SACA 结论是 " 不满意 "，通常会给予 12 个月的改进期，期间不会安排对该领網域的审计，直到其 SACA 的评分结果为 " 尚可 " 或 " 满意 "。

打分审计由 IA 组织执行，以独立评价内控的有效性。通常，不好的审计结论意味着相应管理者考评成绩的降级及问责。比如，如果某领網域在 12 个月内两次审计结论是 " 不满意 "，那么该领網域最高管理者（通常包括业务线和流程线的最高管理者）将被邀请到审计委员会做出解释，但这种情况一般不会超过两次。

华为内控指导意见

2007 年，华为 EMT 对内控建设做出了如下指导意见：

1、EMT 很欣赏 IBM 这套内控体系，华为内控体系建设就是要穿美国鞋，在内控系统建设上不打补丁，要从头做起。在组织与流程不一致时，以改组组织以适应流程。在任的所有干部，理解这套系统的人就上岗，不理解的人就失業，不讲资格、资历，要用一些明白人向 IBM 学习把这套体系建立起来。

2、华为的内控审计系统可以推翻重来，不要在现有的内控基础上作。需要完全按照 IBM 的内控实践，重新起草华为的《内控管理制度》，并作为内控建设的纲领性檔案推行，制度起草不必受制于华为已签发的原有相关檔案。

3、成立公司级的内控制度檔案起草及推行小组，并进行任命。该小组的组长是任正非，副组长为 Dennis Haywood（IBM 顾问），组长全权授权副组长起草檔案。另指定一名 EMT 成员担任组长助理，负责调配资源和配套支持，其他所有人只能当组员。IBM 顾问不要太顾忌组员的面子，哪个组员不听话，就把他开除出去。

4、为保证内控管理变革的有效推行，首先要建立一个良好的内控环境，要从公司各级管理层做起。要选用理解 IBM 内控管理系统的干部上岗，不理解的干部要予以替换。各级干部要加强对 IBM 内控管理流程、方法、经验等知识的学习。要按照 IBM 内控的标准通过网上、学习班等各种方式对各级干部进行内控应知应会考试。对未通过考试的干部，将冻结调薪，不能升职，并限期通过，限期内仍不能通过考试的，将予以替换。

5、为了不断传播和强化各业务管理者的内控意识，要建立相关的干部职业发展通道和干部轮换制度。让有业务经验的人到审计监控体系工作，并不断输送有内控经验且绩效好的审计监控人员到业务部门担任管理职位。

公司重视基本的流程制度，但最重视的是内控体系。公司除了要设立基本的流程制度，还要制定相应的问责机制。比如：什么做了，会有什么相应的问责措施等，且问责及处分不只限于下面的责任人，还要处分主管这项业务的高级负责人。

华为内控 " 三层防线 " 实践

基于 IBM 的管理实践及顾问导入，华为以 IIA 框架为基础，建立了华为自己的内控与风险管理 " 三层防线 " 及优化方案。

任正非亲自在内部会上对此做了如下解读：

一、加强第一层防线建设的目标绝不动摇，坚持逐步走向流程责任制，逐渐给流程 Owner 赋权。代表要转身为总经理，承担好综合经营责任的基本要求。

第一层防线，在业务运作中控制风险，是最重要的防线。我们 90% 以上的精力是要把第一层防线建好，既要有规范性，又要有灵活性，没有灵活性就不能响应不同的客户服务需要。最终目的是要让业务主管承担起内控责任，比如是经营责任人，那也就是内控责任人，层层级级都应该这样。过去的管理者不承担内控责任，现在要逐渐考核承担起内控责任来。

代表要转身为总经理，内控管理是承担好综合经营责任的基本要求。以前代表主要是抢单的销售代表，而成为总经理后，他们是综合经营者，所承担的责任目标转换，自然就重视内控了。从代表成为总经理，首先他要转身，现在为什么转不过来呢？代表提拔回公司，依旧是到片联、到销售组织去，而其他组织的人员也去不了代表处当代表，说明我们的干部选拔上有问题。

将军要学会系统性作战，关键过程行为考核是用于选拔干部，内控管理也是重要的考核指标。我们发奖金的时候，多考虑责任结果，这人会抢粮食，抢了粮食，那叫英雄；但是选拔干部、能不能升官的时候我们还要考察关键过程行为，要知道有哪些责任，将军要学会系统性的作战。

资源池应该有资格管理，他们回到资源池备用时要考试认证，涵盖的类别都要过关，包括内控。考一次，他们就知道要承担起这个责任。资格考试考的好不是要涨工资，也不是发奖金，只是给你一个机会上战场作战。作战回来，关键过程行为用于干部评价和选拔。比如这人工程做得好，管他扭没扭屁股，人家冲锋在前，做出成绩就可以多评奖金。但我们要选拔将军时，从关键事件的过程行为中分析他是不是可以担起责任。这样把两种人分开来，对于不想当将军的人，逼着他 " 之 " 字形成长，是浪费成本。如此一调整、一管控，自然有想当将军的人。将军就要学会系统性作战，一次、两次可能做不好，但三次总会做好的。

公司流程要做到既简化又有效，最主要的监管还是在流程中。流程本身就是防线，完善了流程就已经建立良好的防范系统。打通流程，是我们矢志不移的奋斗目标。现在我们有些流程做得很繁琐，而且很多人不看前言后语就签字，不担责，就说明这个流程没有意义。流程部门主管一定要有基层实践经验，没打过仗，如何为作战组织服务？流程有效，不一定是数量多，也不一定要流程长。流程简化，每个环节都要起到有意义的关键作用，最主要的监管是在流程中。

二、第二层防线，针对跨流程跨领網域进行高风险拉通管理，要担负起方法论的推广，大量干部接受内控赋能后走向前线。

为第一层防线大量提供方法论，大量补充、循环和培养干部。我们要确认流程责任人的责任，SACA 是对责任人的评价，我们要去帮助他们做些试点，建立起流程监管的制度、岗位、角色，并发挥作用。同时，建立金种子计划，通过实践比如 iSales、配置打通交付上 ERP，一个个国家推，成功了，就一分为二，就从这个地方补充到其他国家打仗去。新的打了胜仗以后，又产生一批人，就这样干部螺旋式洗澡，把优秀的人洗上来了，培养金种子。一大批新的干部提拔，都是有成功实践经验的，为什么不能接管代表处？为什么不能接管华为公司的总部？雄赳赳，气昂昂杀回总部来。谁说二十几岁不能当将军？

第二层防线实际是帮助别人建立起正确的业务组织进行拉通管理，而不是具体事情监管，干预业务太多自己越做越大。我们要让业务火车快速的跑，就拿工程稽查来说，一线有待上岗管理者，代表处采购委员会主任上岗前，大项目交付项目经理在交付项目启动前（有很多老员工在基层干过很多年）。抽到工程稽查参加培训，工作一段时间，就算是赋能了，赋能就上前线，就担负起责任来。工程稽查要担负起培训干部，提供方法，让一线担起责任来。

三、第三层防线通过审计调查，对风险和管控结果进行独立评估和冷威慑。

第一层防线要把绝大部分工作做完，但他们可能有疏漏，由第三层防线监督，通过对疏漏的检查，一个是建立威慑，一个是修补漏洞，还可以请外部机构来检修堤坝，第三层防线永远不会消失。第一道防线建设好后，第三层审计应该没多少事干，而不能是第一层做得一塌糊涂，后面依靠审计。番茄烂就烂了，大家对这个烂番茄没什么反应，那这个番茄完全没有意义，从流程组织建设上，就应该去摘掉它。一旦发现，无论大小案子，审计去查的时候，连一个蚂蚁蛋都不能放过，这样建立起冷威慑，来配合第一层防线的建设。

四、三层防线的组织职能调整循序渐进，在 2014 年先拿出方案试点，2015 年回顾和调整。

当建立了第一层防线后，就把现在第二层的一部分责任转移给第一层，第二层的责任是看沿着流程走的都走好了没有，好了第二层就不需要了，就合并至第一层防线中；发现还要重拳打击某些癌症点的时候，第二层又和第三层结合起来。因此，我们的重心是在第一层防线上，第一层防线过程中既要有规范性，又要有灵活性。

我们在建设思路上，要学习三层防线这种顶层架构的设计方法。上层设计好后，拿出实施方案后再推广，推不动，我就派一群干部接管你这个组织，接管的干部回来参加工程队，上战场边打仗边培训，又产生种子。你们不要急于求成，要经过讨论后再推行，避免出现问题后再回头还有好多漏洞要补，这补漏洞的过程实际上更慢。

你们都看到我在法国答记者问，我不认识韦尔奇，我的老师是 IBM，韦尔奇是多元化，我们公司不提倡多元化。IBM 教我们爬树，我们爬到树上摘了苹果。谢谢 Phil，非常好！

2013 年华为内控管理要点

华为在以上指导意见和内控方案的基础上，发布了《2013 年华为内控管理要点》，至此，华为内控体系基本构建完成。

要点如下：

一、继续围绕 " 促经营、防腐败 " 的内控工作目标，聚焦在重复发生的 TOP 经营痛点问题上实施流程改进，获取经营管理收益、遏止腐败。

1、各级管理者和流程 Owner 应基于 CT 与 SACA、审计、稽查等发现的问题，在相应的 ST 会议上研讨，识别出自身的 TOP 内控问题；

2、对于每一个 TOP 问题，须指定明确的业务改进责任人，负责具体改进计划的制定与执行；

3、所有 TOP 问题的改进应基于流程（本地化）、规则的发布与执行，改进的效果通过内控 BC、审计、稽查的结果来验证；

4、内控 BC 负责协助各级管理者和流程 Owner 实施 TOP 问题的改进，并例行对改进进展进行监督和报告，对于已改进的问题在 BCIT 系统中验收关闭。