牛逼的内部控制来自--老板的态度及认知搭配权责分明制度机制

一篇《华为CFO孟晚舟2017年新年致辞！华为财务和内控太牛了！》惊艳了笔者。

里面有些话，让笔者很有感触！

“我们的内控意识、内控机制、内控能力已经侵入到各个业务活动之中，业务在哪儿，内控就在哪儿，形成了以流程责任和组织责任为基础的全球内控管理体系。”

“这些都是内控机制“润物细无声”的运行过中，实实在在这带出来的经济收益”。

“在庞大机器运转之时，内控既是润滑剂，又是制动器。改善经营，优化作业，我们是润滑剂；分权制衡、数据透明，我们是制动器。有效的内控管理，为“积极授权、有效行权”提供了制度性的保障。让听得见炮火的组织，敢于行权、积极行权；让看得见全局的组织，合理授权、有效控制；这才是我们想要的管理和控制机制。内控机制的真正受益者是公司的各级作业组织，权力更多、责任更大、边界更清，每个组织都在自己的权责边界内活得精彩，活得滋润。”

如何实施建立有效的内部控制体系呢？

在笔者看来，有效的内部控制与企业文化关系密切，企业文化是内部控制的基础，企业的文化等于这个企业的DNA，企业的DNA取决于企业的老板，所以简单的说，一个企业是否能建立有效的内部控制并有效实施很大程度上取决于老板的态度。

首先要明白一个核心的观念：“控制，不是操纵，不是替代；控制不是讨论信任不信任的问题，控制关注的是风险。”

建立有效的内部控制前提是：责任分解和严格考核，因为没有严格的考核制度和责任分解，是把控制与不信任联系的原因。

控制，就是在事前把风险的种类，出现风险的结果进行列举，把产生风险的责任进行分解，把责任落实到具体的个人是控制的关键。

1.流程负责制Process ownership

建立流程负责制，要明确每个Business Process（业务流程）的ownership（负责人）是企业实行成功的内部控制的起点和基础，连谁该对这个业务流程负责都未搞清楚，根本不可能谈得上所谓的控制，控制的根基就是要建立明确的业务目标，责任的落实和分解，对风险的科学态度；

2.流程的文件Processdocumentation

没有规则，不成方圆，很多时候出来问题，找不到对应负责人，只会有一个结果：问题依然持续发生，增加风险系数。因为当管理程序和流程没有形成正式的文件形式，所以人都可以不按规矩办事。为什么我们常说要把管理程序、业务流程整理成正式的文件形式，必须要严肃对待，因为出了问题，可以翻阅对应的文件，白纸黑字写好了该怎么办，提醒人们在业务行为中遵守已有的规章和约定。然后太多人往往忽视了这重要的一点，给予了魑魅魍魉巨大的机会，这是一个重点的风险漏洞。

3.职责划分Separation of duties

Separation ofduties（职责划分）是我工作多年留下深刻印象的东西，这么多年来，我一直Separation ofduties (职责划分)标示成内部控制核心部分之一，也是红色预警的高风险模块，然后发现很多公司并没有把这一制度严格执行和摆在重要的位置。尽管受到很多条件的限制，也有部分人士对这一制度存在不太统一的理解，但在实际业务操作中，能够坚持科学合理的Separation of duties (职责划分)，对财务人员和控制人员来说，工作开展起来，是能明显感到极有帮助的；Separation of duties（职责划分）就是科学合理的划分责任，不给你留下犯错的机会，这与我们社会上许多行业在制度上存在集体腐败可能存在明显的优越性。（Separation of duties摆放在重要位置并严格执行的企业应该是：IBM、华为、TSMC）

4.会计【财会】控制Aounting ntrols -renciliations and analysis

或许很多人不理解为何笔者要将会计(财会)控制提出是实施建立内部控制的关键之一，因为Aounting ntrols(会计【财会】控制)是业务控制的非常重要的手段和技术，在一般企业中，职位低的人很难对职位高的人真正“Say No”，但会计【财会】控制体系，主要依靠的是技术手段，是非常完备的会计准则体系，会计【财会】人员在实行控制时主要依靠的是来自会计准则的权威和力量，而不仅仅是依靠领导的授权和安排，因此普通会计【财会】人员对职位高许多的部门经理，业务单元的副总裁、总裁提意见和退回各种不符合流程的会计资料是经常发生的事；大家都会心平气和的接受并采取行动改正，基本能做到像我国《会计法》所要求的真正意义上的会计监督；

5.系统控制System ntrols

System ntrols系统控制，中国许多企业，过于相信和依赖，部分甚至是崇拜电脑和ERP系统的力量，总存在一种不切实际的想法，在遇到企业管理难题时总是急于求成，迷信计算机及ERP管理系统的神奇力量，有问题，就把IT主管找来，把问题交给系统处理，认为上了电脑系统，就能解决问题。。。而往往把解决问题的责任人凉在一边，逃避或回避现实。。。在目前的电脑应用技术状况下，“人”都没想清楚，人脑都找不到解决方案的时候，却转而依赖电脑，很可笑，要么无知，要么推卸责任。。。，在笔者看来实行系统控制主要是对各种数据和资料的输入和输出进行检查和核对，对所使用的管理系统进行严格的认证，对各种操作权限进行合理的分配和限制。

【若任何一家企业上电脑系统，不管是ERP、PLM、MES、SCM、CRM还是WMS，无“流程负责制Process ownership”不制定、梳理以及整合各个模块的流程形成“流程的文件Process documentation”，无法明确“职责划分Separation ofduties”不加入“会计【财会】控制Aounting ntrols- renciliations and analysis”此四项缺一不可，缺少任何一项，笔者现在就告诉你结果就是---必死无疑！】

6.测评及问责机制Assessment and duties

内部控制建立完成之后，需要落地有效执行实施，在这个关键点上就必须配备测评及问责机制Assessment and duties，各级业务控制组织协助下由管理层人员及流程负责人实施，除了有效的检查内部控制执行的效果，更重要的是主动自我的暴露所辖领域的问题，并及时有效的改善。在这此机制上必须增加独立评价内部控制有效性机构的审计部，从而形成完整的评测及问责机制。

笔者认为：内部控制实施的基础除了包含上述6个基础之后，还需要这样的认知：在设定控制目的时，总是以公司最核心的价值基础：品质、效率、成本联系在一起;控制的出发点是企业的“目标”，是责任分解，通过企业文化建立层面的宣传和安排（当年华为建立内部控制，任正非就明文要求:华为内部控制体系建设要重头做起。在[组织]与[流程]不一致时，我们以改组织适应流程。现在任职的所有干部，理解这套系统的人就上岗，不理解的人就下岗，不讲资格、资历，要用一些明白人。），在公司的各种场合，很坦然的认识风险的存在和内部控制的必要性；在事前分析企业存在的经营风险，列举各种风险可能产生的不利后果，根据管理者的管理职责把各种风险和由风险而引起的后果在事前明确分配给各级管理者，从而使得各级管理者对风险和责任承担相应的管理责任。但是这些基础及认知往往取决于-最高权力者老板对事情的态度。

综合上述笔者认为：牛逼的内部控制实现企业经营效率及效果的提高，保证企业经营合法合规、财务报告及相关信息真实完整及企业资产安全促使企业实现可持续发展战略的目标，然后能否建立牛逼的内部控制核心决定权在最高权力者的态度及认知。

以上为笔者个人见解。