我有一位朋友，几年前，在IBM控股的工厂担任财务经理一职，有机会学习和实践了IBM非常严格的内部控制体系。。。出于学术研究的需要，经过他的介绍和我们长达3年的交流和讨论。。。我对传说中非常神秘和完备的IBM内部控制体系有了一些初步的了解。。。多年来，出于我们共同的社会责任感和职业经验的考虑，我们从管理实践的层面，一直在研究和思考一个课题，中国企业在内部控制方面到底应该向国外企业学习一些什么东西？怎样才能把国外企业的先进内部控制体系应用于管理实践？

因为职业道德的约束和保护IBM商业秘密的考虑，我们一直没有把这一课题在合理范围内很好的表达出来。。。经过几年的思考和整理，在咨询相关法律人士和业界人士的基础上，从财务管理的实践出发，整理了本文，希望对国内企业，特别是对那些真正需要建立内部控制流程的企业有所帮助。

本文不存在任何的商业目的，只是为提升广大财务经理人的管理实践和业务技能，用于财务经理人论坛（www.ecfo.com.cn）的公益项目，本文的一切权利属于www.ecfo.com.cn所有，禁止将本文用于任何的商业目的。

人们通常认为影响企业内部控制的因素主要有：业务流程、管理系统、执行者（人）；在当今世界中，各种管理顾问公司林立，不同企业，甚至竞争对手要获取和COPY对方的业务流程不再是困难的事情，有许多互为竞争的公司所采用的业务流程都是标准的程序体系，所采用的ERP管理系统也相同或类似，目前人员的流动性很大，许多高层和关键岗位的人员在行业内的流动很频繁。。。在实际工作中，在行业内众多企业所采用的业务流程、管理系统都相同或相似，所雇佣的管理人员、技术人员和普通员工都不存在太大的差异，但不同企业的内部控制的管理水平和取得的控制效果却各不相同，能在内部控制方面做得很好，为企业在竞争中取胜提供好的内部控制保障体系的公司就那么几家，那么到底是什么因素决定内部控制管理流程的成败和内部控制的有效呢？

为什么国外企业有非常完备的控制体系和控制流程，并被严格执行，而国内有些企业，还停留在讨论需要还是不需要流程，需要还是不需要内部控制的初级阶段？

对比国内企业的教训与众多跨国公司的成功，许多人很沮丧；许多的人失去信心；有人在找文化上的原因；。。。。。。

2000年，在北京建立新的工厂，从技术标准、设备配置，生产工艺，产品类型，管理方式，后勤服务，质量体系，业务流程，管理团队都从深圳工厂COPY，但在实际运做过程中总存在各种各样的问题，北京工厂的运作就是不如深圳工厂，在内部的经理办公会上，经常听到来自IBM美国的GM在质问Logistic Mnager、MFG Manager、QA Manager，why we(Beijing/Shenzhen) have same process,but can’t achieve same result；各部门经理也经常在讨论，我们采用的流程和标准都是相同的，为什么深圳工厂可以生产高质量的产品，能够达到设计的产能要求，但北京工厂却不行。。。经过几周的观察和分析后发现，尽管在北京工厂采用与深圳工厂相同的业务程序，但会发现北京工厂的员工经常不按程序操作。。。

如果有程序而不按程序操作同没有程序没有本质上差别。。。这说明培训和文化认同很重要，过程控制很重要。。。内部控制的基础和核心就是要建立机制，确保流程的建立并被得到严格的遵守。。。

一、控制的类型      
到底应该建立那些类型的控制措施和控制体系呢，哪些类型的控制才是有效的呢？在具体的操作过程中发现“责任感”/“负责任”的企业文化是建立内部控制的基础，因此公司选择了以下几类的控制项目作为构建公司内部控制体系的基础。

 Process ownership 流程负责制
Process documentation 流程的文件化
Separation of duties 职责划分
Accounting controls - reconciliations and analysis  会计控制
System controls 系统控制
Approvals of business transactions 过程控制和业务审批
Workplace security 工作处所的安全
Business Conduct Guidelines 业务行为准则
Risk-acceptance process 风险接受

1，建立流程负责制，明确每个业务流程Business Process的ownership是企业实行成功的内部控制的起点和基础，连谁该对这个业务流程负责都未搞清楚，根本不可能谈得上所谓的控制，控制的根基就是要建立明确的业务目标，责任的落实和分解，对风险的科学态度；

2，            Documentation这个词，有时不好翻译，我认为，在这里，要把Process documentation化，就是我们常说的把业务流程整理成正式的文件形式，要严肃对待，出了问题，可以翻档案，原来就白纸黑字写好了该怎么办，提醒人们在业务行为中遵守已有的规章和约定

 3，            Separation of duties 职责划分是我工作那么多年留下深刻印象的东西，这么多年来，我一直把IBM的Separation of duties 职责划分与其他公司的类似的制度相比较，始终未发现有公司把这一制度执行得如此严格和摆得位置这么重要的，尽管受到很多条件的限制，也有部分人士对这一制度存在不太统一的理解，但在实际业务操作中，能够坚持科学合理的Separation of duties 职责划分，对财务人员和控制人员来说，工作开展起来，是能明显感到极有帮助的；职责划分就是科学合理的划分责任，不给你留下犯错的机会，这与我们社会上许多行业在制度上存在集体腐败可能存在明显的优越性；

4，            会计控制，是业务控制的非常重要的手段和技术，在一般企业中，职位低的人很难对职位高的人真正”Say No”，但IBM的会计控制体系，主要依靠的是技术手段，是非常完备的的会计准则体系，会计人员在实行控制时主要依靠的是来自会计准则的权威和力量，而不仅仅是依靠领导的授权和安排，因此在IBM，普通会计人员对职位高许多的部门经理，业务单元的副总裁、总裁提意见和退回各种不符合流程的会计资料是经常发生的事；大家都会心平气和的接受并采取行动改正，基本能做到象我国《会计法》所要求的真正意义上的会计监督；

 5，            系统控制，中国许多企业，过于相信和依赖，部分甚至是崇拜电脑和ERP系统的力量，总存在一种不切实际的想法，在遇到企业管理难题时总是急于求成，迷信计算机管理系统的神奇力量，一有问题，就把IT主管找来，把问题交给系统处理，认为上了电脑系统，就能解决问题。。。而往往把解决问题的责任人凉在一边，逃避或回避现实。。。在目前的电脑应用技术状况下，“人”都没想清楚，人脑都找不到解决方案的时候，却转而依赖电脑，很可笑，要么无知，要么推卸责任。。。在IBM，实行系统控制主要是对各种数据和资料的输入和输出进行检查和核对，对所使用的管理系统进行严格的认证，对各种操作权限进行合理的分配和限制；

二、关键控制点和容易出错的环节

 Separation of Duties Concept 职责划分的基本观念

The same individual should not perform more than one of the following tasks 同一职员不应同时参与如下工作：

Have custody of an asset (such as cash, inventory)保管财产实物

 Perform its record keeping 记录财产帐目

Authorize changes to an asset (such as credits, shipments, payments) 授权财产的变动

 Verify the asset or perform indenpendent checks (such as inventory counts, check signing, bank reconciliation) 核查/确认财产情况

 案例：The following duties are to be assigned to different individuals whenever possible:职责分工

Check preparation. 支票编制

Check signing. 支票签署

Check mailing. 支票寄送

Preparation of the check register. 支票登记本的登记和保管

Bank reconciliation. 银行对帐单的核对

Ordering, receiving, stocking and control of blank checks. 空白支票的购买、接收、保管、控制

案例： Proper separation of duties over disbursements 采购付款的职责分工

In order to maintain a proper separation of duties over disbursements which are covered by purchase orders, the following activities should normally be performed by organizations noted in parentheses:  

       --A: defining product or service requirements, e.g., quantity and date required or scope of work (Requesting)  采购申请的提出

       --B: selecting the supplier and determining price, terms and conditions (Purchasing)  供应商选择和价格及付款条款的确定

       --C: attesting that the goods or services were received (Requesting or Receiving) 收货确认

       --D: processing documents for payment (Accounts Payable/ Finance)  付款资料的配比和准备

       --E: check signing (Accounts Payable/Finance)  支票的签署

       --F: mailing or distributing checks (Accounts Payable/Finance) 支票的寄发和递送

      --G: verifying suppliers‘ names and addresses (Accounts Payable / Finance or Purchasing) 供应商及其资料的验证  

案例：Payroll Controls - Separation of Duties 薪金发放控制

 A. Payroll Preparation 薪金表的编制

B. Blank Check Control  空白支票的管理

C. Check Signing  支票签署

D. Control and Distribution of Signed Checks and Electronic Funds Transfer Tape  已经签署支票和电子转帐的控制和分发

E. Payroll Audit Requirements 必要的审核

F. Payroll Accounting Entries  工资业务会计分录的处理

G. Payroll Bank Account Reconciliations  工资帐户银行帐的核对

H. Verification of the Distribution of Checks (Payroll “Payoff”)  工资发放支票的查证  

      是否与法律规定相抵触

      是否影响公司业务目标的完成

      是否有准确的信息来做决策

      是否能够有效的运作

      是否能够保护公司资产  

Business process documentation程序文档

Procedure 业务流程  

Flow Chart 流程图

SOD Matrix 职责分工距阵

Control Point 控制点

Measurement 考核指标

Linkage 与其他流程的联接

Signature 审核和签署

SACA 评估  

三、IBM内部控制的特征

       1，积极向上，第一次把事情做对，追求卓越的企业文化（在中国的部分企业特别是国营企业里，总有某个部门或某个角落存在歪风或邪气） 

      2，控制，不是操纵，不是替代

      3，控制不是讨论信任不信任的问题  

      4，责任分解，是建立内部控制制度的前提  

      5，没有严格的考核制度和责任分解机制，是把控制与不信任联系的原因

      6，控制，就是在事前把风险的种类，出现风险的结果进行列举，把产生风险的责任进行分解，把责任落实到具体合适的个人是控制的关键

四、值得中国企业学习的控制观念 

      1，建立专门的部门进行业务流程的审核和改进

      2，对核心业务部门的业务过程控制

      3，建立科学合理的组织结构和互相监督的职责分工体系 

 五、怎样建立有效的控制模式

 1，建立企业问责制

2，建立风险控制体系

3，经理层素质

六、财务经理的控制角色 

Accounting controls are essential to:会计控制的基本目的

Protect shareholder value 保护股东的利益

Prevent fraud 预防欺诈

Protect assets 保护财产

Eliminate waste 消除浪费

Comply with laws and regulations 遵章守法

Provide customer satisfaction 客户满意

七、财务部门的控制职责

在业务控制的过程中，财务部门到底应该做哪些事情呢，在IBM的内部文件中有各种不同的表达，很难找到一个主题把这些职责概括起来，但下面的这个模式相对比较完整的从不同角度说明在业务控制时财务的工作重点：

 业务控制的CARES分析，主要包括以下几个部分的内容：

是否与法律规定相抵触 Compliance

是否影响公司业务目标的完成 Accomplishment

是否有准确的信息来做决策 Reliable

是否能够有效的运作 Efficient

是否能够保护公司资产 Safeguarding       

1，在IBM的基层单位，在CFO的组织结构中，一般都会设置一个法律顾问机构，专门审核合同和业务中涉及的法律事务，   

八、IBM内部控制的实施基础：  

      1，在设定控制的目的时，总是以公司最核心的价值基础：品质、效率、成本联系在一起 

      2，在执行控制时，总是以集体的名义：董事会、总裁/总经理办公会、高级经理会议的做出决策，而不以部门或个人的名义做决定  

      3，控制的出发点是企业的“目标”，是责任的分解，通过企业文化建设层面的宣传和安排，在公司的各种场合，很坦然的认识风险的存在和内部控制的必要性；

      4，在事前分析企业存在的经营风险，列举各种风险可能产生的不利后果，根据管理者的管理职责把各种风险和由风险而引起的后果在事前明确分配给各级管理者，从而使得各级管理者对风险和责任承担相应的管理责任