华为内审批判：那只蝴蝶是龙卷风的罪魁祸首吗？

根据华为的内控管理“一点两面三三制”，IA（Internal Audit，翻译为内审，本文简称为内审）、业务Owner、内控BC（Business Control）并称三大内控角色。前两者职责及其关系简述如下：

业务Owner：根据政策、流程等实施业务、打粮食，确保过程合规并及时开展自检（CT/SACA/PR）。

内审：其主要作用是事后回溯，对违规形成威慑，减少粮食浪费并保证颗粒归仓。

业务和内审本应相得益彰，促进经营健康、可持续发展。大部分情况确实如此，内审在协助业务改进缺陷、惩戒违规等方面做出了卓越的贡献，这些都是不可否认和不容诋毁的。相信公司的高层对内审的价值也有类似的判断，这里再对内审歌功颂德只会徒增谄媚之嫌。作为不明真相的群众，这里斗胆带着放大镜挑刺内审，供各位消遣。

网友说，“身正不怕影子歪”，“不搞BCG、不作假、不触犯红线你担心审计干嘛”？我曾经也想，我一没拿客户返点、二没拿供应商回扣、三没私费公报，对得起自己的良心，经得起审计。

然而，目睹公司十年流程优化、内控、审计之现象，见识了“作为优秀业务实践经验总结”的流程是如何被“流程优化”和“内控检查”的交互作用（更多的是恶性循环）导致的流程越来越繁琐，以至于后来老板出来发文日落，吕克泣血总结《延标或违规，一线能不做这道选择题么？》。可能我们绝大部分的人（甚至内审部门自己），都低估了内审对流程的影响，而流程又直接影响我们所有人的效率。同N个内审人员沟通过，他们几乎都正直、专业、勤勉，这些精英人员是我们需要的，然而，相当大的一部分审计结果报告和结果应用，真心不是我们想要的。这里略举一二：

1)部分审计结论重文本描述而不重业务实质：

“明月有情还顾我,清风无意不留人”，婉约派的一首温文尔雅诗词，当成了反清复明的罪证导致进士徐骏被雍正斩首。这段引述有点过分，但是确实也反映了当前审计报告中普遍存在的一些问题（流程各种自检也类似）：

Ø“虽然你没造成损失，但是你违反了XX流程”

Ø“虽然这样做没有风险，结果也是好的，但是你没有遵从XX发文”

Ø“你没有遵从XX流程，这次虽然没有风险和损失，但是以后你敢保证不出问题？”。

流程就是这样，文件上写的越多，被查出来的问题越大，比如现在的MO/MAE和PROC流程。流程规则越少，审计问题就越少，因为调查失去了文本依据，比如工程交付流程7.11服务交付集成，各个L3都没流程文件，审计查无可查。以此类推，哪天我们把LTC流程日落成“销售、交付、回款”六字诀，是不是内控成熟度都可以到100%了？

一方面我们的流程Owner为了减少业务中的违规不断“完善”我们的流程规则，另外一方面我们的内控人员热衷于对照我们的流程文本和业务实质玩“大家一起来找X”，结论给GPO再把流程打补丁。这种滚雪球，导致公司现有的流程越来越复杂，各级管理者热衷于增加流程管控点降低审计风险，最终LTC流程“优化”的一个结果就是一线按时投标变成了违规。

如果我们的内审部门能看是否有实质损失，重点审“少赚钱”和“多花钱”，唯一的依据就是业务常识和红线（假设公司现在泛滥的红线已经被治理了），抛开所有的流程文本，是不是内审就真的成了业务的伙伴？是不是流程Owner就没有任何借口不放权、不简化了？

2)部分审计问题逻辑值得商榷：一只南美洲亚马孙河边热带雨林中的蝴蝶,偶尔扇几下翅膀,就有可能在两周后引起美国得克萨斯的一场龙卷风。现在德州发现了龙卷风，哪只蝴蝶是始作俑者？基于有罪假设，某只蝴蝶被判定为违规的蝴蝶要证明自己扇动翅膀没有导致龙卷风是有口难辩。目前部分的审计结论，会出现基于后端发现的某个问题，一定来定性某个前端的流程不遵从。然而这个不遵从是否一定会导致后端的问题，这个是没法证实的。即使这个问题在大部分其他代表处也存在，而且没有导致后端出现同样的问题，但在本代表处还是可能定性为XX流程未有效遵从；

3)部分审计报告措辞可能引人遐想：“工程稽查部”成立初期，稽查报告会要求对所有的违规业务定性，其中有一条叫做“选择性汇报”，其实也非常适用于部分审计报告。比如某份报告中提到了影响金额XXXX万USD，其实质可能是损失不超过1000USD，但是因为整个项目的金额为XXXX万USD。报告错了吗？没错！但是给读报告的人的感觉完全不一样。另外，部分审计报告“语不惊人死不休”，对Datasheet文本进行了华丽丽的升级,将某个员工疏忽导致的工作质量问题升级成流程整体实质不遵从的问题。

4)部分审计人员工作方式不太合适：最典型的是在一线对Datasheet有极大争议而不愿意马上签署的情况下，个别审计人员对一线业务主管进行恫吓，威胁不按期签署则降低审计打分等级。不在笼子里面的权力容易出现腐败，然而如同大明洪武建立锦衣卫，对百官的监察就已经无孔不入，以至于后来永乐建立东厂、宪宗设置西厂、万历再增内厂就有点挥霍民脂民膏了。稽查部门也有业务人员因为工作作风问题被问责的，还是希望作为没有被人监管的监管者也能自律、自省；

5)部分审计人员考核方式对业务存在潜在不利影响：因为担心审计和业务沆瀣一气，公司不以内控成熟度考评审计部。具体内审承接了什么KPI本人不得而知，也无权指手画脚。然而，一些对审计人员的考核方式却对审计和业务都造成了伤害，最典型的是当年南非工程稽查案例，因为稽查团队没有发现问题，而要被全体考评打C。然后再派一拨人，把代表处再掘地三尺，挖坟不够，鞭尸来凑。更有某些部门将干部的任职资格同管报发表监管相关的文章挂钩，相信各位也经常见到一些总结各个代表处的问题发现和各自反馈的改进建议的文章出现在管报。管报文章文责自负，管报本身也是重在暴露问题这些都无可厚非，但这部分文章质量和深度大多不太敢恭维。原因很简单，容易改进的问题早被业务部门当软柿子捏完了，剩下的难肯的骨头往往有底层次的缘由，非专业人士很难入木三分。

“天下熙攘，皆为利往”。有人说，绩效主义毁了索尼，我们是否也可以妄加揣测，不合适的绩效导向正在侵蚀审计和业务，将审计置于了业务的纯对立面，最后背上了流程变得繁琐的黑锅？在内控不达标弹劾的机制下，我们的各级流程Owner没有勇气不去修复审计描述的各种流程BUG，一人生病，全家不吃药也要打预防针。规则越来越严，漏洞越修复越多。辛辛苦苦几代人书写的流程文本，变成了流程审计的“把柄”，流程从为业务服务变成了为流程Owner和审计的博弈服务。

说说个人期待的内审：

1）对准“产粮食”，“浪费粮食”和“土壤肥力”审计，抛弃僵化的流程文本（至少要无视流程KCP点以外的所有内容，全部发文直接忽略），不为流程Owner在流程繁化路上火上浇油；

2）内审不从个别国家总结流程问题，避免引导“十八人生病，十八万人吃药”，而是基于全球的抽样共性问题，向GPO/BPO挑战规则的合理性，特别是流程Owner一刀切的懒政管理导致一线不得不被动违规的情况；

3）不再基于L2流程审计打分，而是基于BG业务大类打分，如运营商销售、交付、回款等（个人认为公司核心业务流程只有DSTE、IPD、销售、交付、回款、客户关系管理，其余都是支撑流程，并且存在相当大的一部分L2流程架构设置本身不合理的情况）;

4）审计报告描述准确、全面，只就事论事，不“举一反三”。