我有一位朋友，幾年前，在IBM控股的工廠擔任財務經理一職，有機會學習和實踐了IBM非常嚴格的內部控制體系。。。出于學術研究的需要，經過他的介紹和我們長達3年的交流和討論。。。我對傳說中非常神秘和完備的IBM內部控制體系有了一些初步的了解。。。多年來，出于我們共同的社會責任感和職業經驗的考慮，我們從管理實踐的層面，一直在研究和思考一個課題，中國企業在內部控制方面到底應該向國外企業學習一些什么東西？怎樣才能把國外企業的先進內部控制體系應用于管理實踐？

因為職業道德的約束和保護IBM商業秘密的考慮，我們一直沒有把這一課題在合理范圍內很好的表達出來。。。經過幾年的思考和整理，在咨詢相關法律人士和業界人士的基礎上，從財務管理的實踐出發，整理了本文，希望對國內企業，特別是對那些真正需要建立內部控制流程的企業有所幫助。

本文不存在任何的商業目的，只是為提升廣大財務經理人的管理實踐和業務技能，用于財務經理人論壇（www.ecfo.com.cn）的公益項目，本文的一切權利屬于www.ecfo.com.cn所有，禁止將本文用于任何的商業目的。

人們通常認為影響企業內部控制的因素主要有：業務流程、管理系統、執行者（人）；在當今世界中，各種管理顧問公司林立，不同企業，甚至競爭對手要獲取和COPY對方的業務流程不再是困難的事情，有許多互為競爭的公司所采用的業務流程都是標準的程序體系，所采用的ERP管理系統也相同或類似，目前人員的流動性很大，許多高層和關鍵崗位的人員在行業內的流動很頻繁。。。在實際工作中，在行業內眾多企業所采用的業務流程、管理系統都相同或相似，所雇傭的管理人員、技術人員和普通員工都不存在太大的差異，但不同企業的內部控制的管理水平和取得的控制效果卻各不相同，能在內部控制方面做得很好，為企業在競爭中取勝提供好的內部控制保障體系的公司就那么幾家，那么到底是什么因素決定內部控制管理流程的成敗和內部控制的有效呢？

為什么國外企業有非常完備的控制體系和控制流程，并被嚴格執行，而國內有些企業，還停留在討論需要還是不需要流程，需要還是不需要內部控制的初級階段？

對比國內企業的教訓與眾多跨國公司的成功，許多人很沮喪；許多的人失去信心；有人在找文化上的原因；。。。。。。

2000年，在北京建立新的工廠，從技術標準、設備配置，生產工藝，產品類型，管理方式，后勤服務，質量體系，業務流程，管理團隊都從深圳工廠COPY，但在實際運做過程中總存在各種各樣的問題，北京工廠的運作就是不如深圳工廠，在內部的經理辦公會上，經常聽到來自IBM美國的GM在質問Logistic Mnager、MFG Manager、QA Manager，why we(Beijing/Shenzhen) have same process,but can’t achieve same result；各部門經理也經常在討論，我們采用的流程和標準都是相同的，為什么深圳工廠可以生產高質量的產品，能夠達到設計的產能要求，但北京工廠卻不行。。。經過幾周的觀察和分析后發現，盡管在北京工廠采用與深圳工廠相同的業務程序，但會發現北京工廠的員工經常不按程序操作。。。

如果有程序而不按程序操作同沒有程序沒有本質上差別。。。這說明培訓和文化認同很重要，過程控制很重要。。。內部控制的基礎和核心就是要建立機制，確保流程的建立并被得到嚴格的遵守。。。

一、控制的類型      
到底應該建立那些類型的控制措施和控制體系呢，哪些類型的控制才是有效的呢？在具體的操作過程中發現“責任感”/“負責任”的企業文化是建立內部控制的基礎，因此公司選擇了以下幾類的控制項目作為構建公司內部控制體系的基礎。

 Process ownership 流程負責制
Process documentation 流程的文件化
Separation of duties 職責劃分
Accounting controls - reconciliations and analysis  會計控制
System controls 系統控制
Approvals of business transactions 過程控制和業務審批
Workplace security 工作處所的安全
Business Conduct Guidelines 業務行為準則
Risk-acceptance process 風險接受

1，建立流程負責制，明確每個業務流程Business Process的ownership是企業實行成功的內部控制的起點和基礎，連誰該對這個業務流程負責都未搞清楚，根本不可能談得上所謂的控制，控制的根基就是要建立明確的業務目標，責任的落實和分解，對風險的科學態度；

2，            Documentation這個詞，有時不好翻譯，我認為，在這里，要把Process documentation化，就是我們常說的把業務流程整理成正式的文件形式，要嚴肅對待，出了問題，可以翻檔案，原來就白紙黑字寫好了該怎么辦，提醒人們在業務行為中遵守已有的規章和約定

 3，            Separation of duties 職責劃分是我工作那么多年留下深刻印象的東西，這么多年來，我一直把IBM的Separation of duties 職責劃分與其他公司的類似的制度相比較，始終未發現有公司把這一制度執行得如此嚴格和擺得位置這么重要的，盡管受到很多條件的限制，也有部分人士對這一制度存在不太統一的理解，但在實際業務操作中，能夠堅持科學合理的Separation of duties 職責劃分，對財務人員和控制人員來說，工作開展起來，是能明顯感到極有幫助的；職責劃分就是科學合理的劃分責任，不給你留下犯錯的機會，這與我們社會上許多行業在制度上存在集體腐敗可能存在明顯的優越性；

4，            會計控制，是業務控制的非常重要的手段和技術，在一般企業中，職位低的人很難對職位高的人真正”Say No”，但IBM的會計控制體系，主要依靠的是技術手段，是非常完備的的會計準則體系，會計人員在實行控制時主要依靠的是來自會計準則的權威和力量，而不僅僅是依靠領導的授權和安排，因此在IBM，普通會計人員對職位高許多的部門經理，業務單元的副總裁、總裁提意見和退回各種不符合流程的會計資料是經常發生的事；大家都會心平氣和的接受并采取行動改正，基本能做到象我國《會計法》所要求的真正意義上的會計監督；

 5，            系統控制，中國許多企業，過于相信和依賴，部分甚至是崇拜電腦和ERP系統的力量，總存在一種不切實際的想法，在遇到企業管理難題時總是急于求成，迷信計算機管理系統的神奇力量，一有問題，就把IT主管找來，把問題交給系統處理，認為上了電腦系統，就能解決問題。。。而往往把解決問題的責任人涼在一邊，逃避或回避現實。。。在目前的電腦應用技術狀況下，“人”都沒想清楚，人腦都找不到解決方案的時候，卻轉而依賴電腦，很可笑，要么無知，要么推卸責任。。。在IBM，實行系統控制主要是對各種數據和資料的輸入和輸出進行檢查和核對，對所使用的管理系統進行嚴格的認證，對各種操作權限進行合理的分配和限制；

二、關鍵控制點和容易出錯的環節

 Separation of Duties Concept 職責劃分的基本觀念

The same individual should not perform more than one of the following tasks 同一職員不應同時參與如下工作：

Have custody of an asset (such as cash, inventory)保管財產實物

 Perform its record keeping 記錄財產帳目

Authorize changes to an asset (such as credits, shipments, payments) 授權財產的變動

 Verify the asset or perform indenpendent checks (such as inventory counts, check signing, bank reconciliation) 核查/確認財產情況

 案例：The following duties are to be assigned to different individuals whenever possible:職責分工

Check preparation. 支票編制

Check signing. 支票簽署

Check mailing. 支票寄送

Preparation of the check register. 支票登記本的登記和保管

Bank reconciliation. 銀行對帳單的核對

Ordering, receiving, stocking and control of blank checks. 空白支票的購買、接收、保管、控制

案例： Proper separation of duties over disbursements 采購付款的職責分工

In order to maintain a proper separation of duties over disbursements which are covered by purchase orders, the following activities should normally be performed by organizations noted in parentheses:  

       --A: defining product or service requirements, e.g., quantity and date required or scope of work (Requesting)  采購申請的提出

       --B: selecting the supplier and determining price, terms and conditions (Purchasing)  供應商選擇和價格及付款條款的確定

       --C: attesting that the goods or services were received (Requesting or Receiving) 收貨確認

       --D: processing documents for payment (Accounts Payable/ Finance)  付款資料的配比和準備

       --E: check signing (Accounts Payable/Finance)  支票的簽署

       --F: mailing or distributing checks (Accounts Payable/Finance) 支票的寄發和遞送

      --G: verifying suppliers‘ names and addresses (Accounts Payable / Finance or Purchasing) 供應商及其資料的驗證  

案例：Payroll Controls - Separation of Duties 薪金發放控制

 A. Payroll Preparation 薪金表的編制

B. Blank Check Control  空白支票的管理

C. Check Signing  支票簽署

D. Control and Distribution of Signed Checks and Electronic Funds Transfer Tape  已經簽署支票和電子轉帳的控制和分發

E. Payroll Audit Requirements 必要的審核

F. Payroll Accounting Entries  工資業務會計分錄的處理

G. Payroll Bank Account Reconciliations  工資帳戶銀行帳的核對

H. Verification of the Distribution of Checks (Payroll “Payoff”)  工資發放支票的查證  

      是否與法律規定相抵觸

      是否影響公司業務目標的完成

      是否有準確的信息來做決策

      是否能夠有效的運作

      是否能夠保護公司資產  

Business process documentation程序文檔

Procedure 業務流程  

Flow Chart 流程圖

SOD Matrix 職責分工距陣

Control Point 控制點

Measurement 考核指標

Linkage 與其他流程的聯接

Signature 審核和簽署

SACA 評估  

三、IBM內部控制的特征

       1，積極向上，第一次把事情做對，追求卓越的企業文化（在中國的部分企業特別是國營企業里，總有某個部門或某個角落存在歪風或邪氣） 

      2，控制，不是操縱，不是替代

      3，控制不是討論信任不信任的問題  

      4，責任分解，是建立內部控制制度的前提  

      5，沒有嚴格的考核制度和責任分解機制，是把控制與不信任聯系的原因

      6，控制，就是在事前把風險的種類，出現風險的結果進行列舉，把產生風險的責任進行分解，把責任落實到具體合適的個人是控制的關鍵

四、值得中國企業學習的控制觀念 

      1，建立專門的部門進行業務流程的審核和改進

      2，對核心業務部門的業務過程控制

      3，建立科學合理的組織結構和互相監督的職責分工體系 

 五、怎樣建立有效的控制模式

 1，建立企業問責制

2，建立風險控制體系

3，經理層素質

六、財務經理的控制角色 

Accounting controls are essential to:會計控制的基本目的

Protect shareholder value 保護股東的利益

Prevent fraud 預防欺詐

Protect assets 保護財產

Eliminate waste 消除浪費

Comply with laws and regulations 遵章守法

Provide customer satisfaction 客戶滿意

七、財務部門的控制職責

在業務控制的過程中，財務部門到底應該做哪些事情呢，在IBM的內部文件中有各種不同的表達，很難找到一個主題把這些職責概括起來，但下面的這個模式相對比較完整的從不同角度說明在業務控制時財務的工作重點：

 業務控制的CARES分析，主要包括以下幾個部分的內容：

是否與法律規定相抵觸 Compliance

是否影響公司業務目標的完成 Accomplishment

是否有準確的信息來做決策 Reliable

是否能夠有效的運作 Efficient

是否能夠保護公司資產 Safeguarding       

1，在IBM的基層單位，在CFO的組織結構中，一般都會設置一個法律顧問機構，專門審核合同和業務中涉及的法律事務，   

八、IBM內部控制的實施基礎：  

      1，在設定控制的目的時，總是以公司最核心的價值基礎：品質、效率、成本聯系在一起 

      2，在執行控制時，總是以集體的名義：董事會、總裁/總經理辦公會、高級經理會議的做出決策，而不以部門或個人的名義做決定  

      3，控制的出發點是企業的“目標”，是責任的分解，通過企業文化建設層面的宣傳和安排，在公司的各種場合，很坦然的認識風險的存在和內部控制的必要性；

      4，在事前分析企業存在的經營風險，列舉各種風險可能產生的不利后果，根據管理者的管理職責把各種風險和由風險而引起的后果在事前明確分配給各級管理者，從而使得各級管理者對風險和責任承擔相應的管理責任