“纯粹靠你们孵小鸡，肯定不行”，任正非要求华为内控要“穿美国鞋，不打补丁”_新浪财经

作者 | 冰川松鼠

投稿 | lanxueziben（微信）

城市合伙人招募 | lanxueziben（微信）

华为的内控体系建设借用了美国COSO整体框架以及IBM的内容实践，华为内部称之为“要穿美国鞋，不打补丁”。

华为内控的纲领是“促经营、防腐败”，华为认为内控需要实现点、线、面的覆盖，即：审计是司法部队，关注“点”的问题，通过对个案的处理建立威慑力量（不敢）；财务监控无处不在，关注“线”的问题，与业务一同实现端到端地管理，揭示并改进端到端的风险（不能）；道德遵从委员会，关注“面”的问题，持续建立良好的道德遵从环境，是建立一个“场”的监管（不想）。

削脚穿美国鞋

华为基于组织架构和运作模式，设计并实施了内控体系，其发布的内控管理制度及内控框架适用于公司所有流程（包括业务和财务）、子公司以及业务单元。该内控体系基于美国COSO 模型而设计，包括控制环境、风险评估、控制活动、信息与沟通、监督五大部分。

1. 控制环境

控制环境是内控体系的基础。华为高度重视职业道德，严格遵守企业公民道德相关的法律法规，制定了员工商业行为准则（BCG），明确全体员工（包括高管）在商业行为中必须遵守的基本业务行为标准，并例行组织全员培训与签署，确保其阅读、了解并遵从BCG。华为建立了完善的治理架构，包括董事会、董事会下属专业委员会、职能部门以及各级管理团队等，各机构均有清晰的授权与明确的问责机制。在组织架构方面，华为对各组织明确了其权力和职责的分离，以相互监控与制衡。公司CFO负责全公司内控管理，业务控制部门向公司CFO汇报内控缺陷和改进情况，协助CFO建设内控环境。内部审计部门对公司所有经营活动的控制状况进行独立的监督评价。明确业务管理层/流程Owner是内控的第一责任人，并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核。

2. 风险评估

华为设立专门的内控与风险管理部门，定期开展针对全球所有业务流程的风险评估，对公司面临的重要风险进行识别、管理与监控，预测外部和内部环境变化对公司造成的潜在风险，并就整体的风险管理提出策略及应对方案。各流程责任人负责识别、评估与管理相关的业务风险并采取相应的内控措施。华为已建立相对完善的内控与风险问题的改进机制，以管理和规避重大风险。

3. 控制活动

华为建立全球流程与业务变革管理体系，发布了全球统一的业务流程架构，并基于业务流程架构任命了全球流程责任人负责流程和内控的建设。全球流程责任人针对每个流程识别业务关键控制点和职责分离矩阵，并应用于所有区域、子公司和业务单元；例行组织实施针对关键控制点的月度遵从性测试并发布测试报告，从而持续监督内控的有效性；围绕经营痛点、财务报告关键要求等进行流程和内控优化，提升运营效率和效益，支撑财报准确、可靠及合规经营，帮助业务目标达成；每年进行年度控制评估，对流程整体设计和各业务单元流程执行的有效性进行全面评估，向审计委员会报告评估结果。

4. 信息与沟通

华为设立多维度的信息与沟通渠道，及时获取来自客户、供应商等的外部信息，并建立内部信息的正式传递渠道，同时在内部网站上建立了所有员工可以自由沟通的心声社区。公司管理层通过日常会议与各级部门定期沟通，以有效传递管理导向，保证管理层的决策有效落实。同时，在内部网站上发布所有业务政策和流程，并定期由各级管理者/流程责任人组织业务流程和内控培训，确保所有员工能及时掌握信息。华为也建立了各级流程责任人之间的定期沟通机制，回顾内控执行状况，跟进和落实内控问题改进计划。

5. 监督

华为设立内部投诉渠道、调查机制、防腐机制与问责制度，并在与供应商签订的《诚信廉洁合作协议》中明确相关规则，供应商可根据协议内提供的渠道，举报员工的不当行为，以协助公司对员工的诚信和廉洁进行监查。内部审计部门对公司整体控制状况进行独立和客观的评价，并对违反商业行为准则的经济责任行为进行调查，审计和调查结果报告给公司高级管理层和审计委员会。此外，华为建立了对各级流程责任人、区域管理者的内控考核、问责及弹劾机制。审计委员会和公司CFO定期审视公司内控状况，听取内控问题改进计划与执行进展的汇报，并有权要求内控状况不满意的流程责任人和业务部门汇报原因及改进计划。

对标IBM

华为对内控体系大规模变革是在2007年，华为详细比较了IBM与华为的异同。华为认为IBM内控运行多年经验证明是非常有效的。主要表现为：

1、建立良好的内控环境是高级管理层的重要职责之一。

IBM各级管理层一致认为良好的内控环境是有效实施内控的基础，并且经过多年努力目前已经形成了良好的内控氛围。在IBM，高级管理层（包括审计委员会）是建立内控环境的首要责任人。内控环境包括多方面的内容，其中包括：通过“高管基调”等方式强调内控的重要性，明确业务管理层/流程Owner是内控的第一责任人，并将内控设计和执行的有效性纳入各级管理者的PBC指标中进行考核等。

2、IBM实施全球流程负责制（Global Process Ownership），确保流程在全球的一致性。

IBM引入全球流程（Global Process）的理念，这些流程在全球任何国家或地区都是相同的。每个全球流程都有一个向总部汇报的全球流程Owner，这些全球流程Owner都是公司的高级管理人员，由公司正式任命。流程Owner与业务管理层共同对流程设计、推行和过程记录的有效性负责，及时更新和优化相关流程，并通过遵从性测试（Compliance Testing）监督流程的执行状况。每个国家都明确相应的国家级流程Owner，并通过全球流程Owner批准。某些特殊情况下，有些国家可能要执行自己特有的流程或需要对全球流程进行调整，IBM要求对其中任何与全球流程中关键控制不同而造成的更改，都必须得到全球流程Owner的批准。

3、各流程/业务都有自己的内控组织或角色，协助流程OWNER/业务管理者承担起内控职责。

IBM除了IA（Internal Audit，内部审计）之外，还有BC（Business Controls，业务控制）及Line Controls（运作控制）两种内控角色。

BC组织主要负责公司的内控体系框架的建立和维护，协助管理者建立和维护良好的内控环境，及进行关键控制点（KCP）和内控工具方法等知识的培训。BC人员只有少部分留在总部（CHQ BC），而大部分配置在全球的流程线、业务/区域线（Line BC）以便于协助各级管理层建立并完善内控系统。

Line Controls是由业务运作人员专职或兼职担任，帮助本领域的业务管理层/流程Owner实施日常内控管理，主要的职能包括记录及维护流程运作，实施遵从性测试等。

IBM的IA组织独立于业务及流程之外，行使对公司内控体系进行独立评估的职责。IA部门虽然设置在CFO下面，但业务上直接向审计委员会汇报，非常独立。

4、有效的内控测评及问责机制，保证内控设计及执行的有效性。

IBM内控测评机制主要包括SACA（Semi-Annual Control Assessment，半年控制评估）和打分审计（Rated Audit）。SACA报告结论分为“满意”、“尚可”及“不满意”的评级。打分审计报告的结论分为“满意”和“不满意”。

SACA是一种内控自评机制，在各级BC组织的协助下由业务管理层/流程Owner负责实施，目的是各级管理者通过这种方式主动自我暴露所辖领域的内控问题。如果某领域的SACA结论是“不满意”，通常会给予12个月的改进期，期间不会安排对该领域的审计，直到其SACA的评分结果为“尚可”或“满意”。

打分审计由IA组织执行，以独立评价内控的有效性。通常，不好的审计结论意味着相应管理者考评成绩的降级及问责。比如，如果某领域在12个月内两次审计结论是“不满意”，那么该领域最高管理者（通常包括业务线和流程线的最高管理者）将被邀请到审计委员会做出解释，但这种情况一般不会超过两次。

EMT指导意见

2007年，华为EMT对华为内控建设做出了如下指导意见：

1、EMT很欣赏IBM这套内控体系，华为内控体系建设就是要穿美国鞋，在内控系统建设上不打补丁，要从头做起。在组织与流程不一致时，我们以改组组织以适应流程。现在任职的所有干部，理解这套系统的人就上岗，不理解的人就下岗，不讲资格、资历，要用一些明白人向IBM学习把这套体系建立起来。

2、公司的内控审计系统可以推翻重来，不要在我们现有的内控基础上作。需要完全按照IBM的内控实践，重新起草华为的《内控管理制度》，并作为内控建设的纲领性文件推行，制度起草不必受制于华为已签发的原有相关文件。公司在内控及审计上以前做了很多工作，保证了公司过去二十年的安全运行。尽管公司先前已经签发了一套内控制度，也充分征求了IBM顾问的建议，但朝向未来二十年，这个制度是不能支撑的。新制度的起草不会抹掉老员工的光辉，只要他们不成为阻碍者，并积极参与到新制度的起草中来，他们也是很光荣的。

3、成立公司级的内控制度文件起草及推行小组，并进行任命。该小组的组长是任总，副组长为Dennis Haywood（IBM顾问），组长全权授权副组长起草文件。另指定一名EMT成员担任组长助理，负责调配资源和配套支持，其他所有人只能当组员。IBM顾问不要太顾忌组员的面子，哪个组员不听话，就把他开除出去。

4、为保证内控管理变革的有效推行，首先要建立一个良好的内控环境，要从公司各级管理层做起。要选用理解IBM内控管理系统的干部上岗，不理解的干部要予以替换。各级干部要加强对IBM内控管理流程、方法、经验等知识的学习。要按照IBM内控的标准通过网上、学习班等各种方式对各级干部进行内控应知应会考试。对未通过考试的干部，将冻结调薪，不能升职，并限期通过，限期内仍不能通过考试的，将予以替换。

5、为了不断传播和强化各业务管理者的内控意识，要建立相关的干部职业发展通道和干部轮换制度。让有业务经验的人到审计监控体系工作，并不断输送有内控经验且绩效好的审计监控人员到业务部门担任管理职位。

公司重视基本的流程制度，但最重视的是内控体系。公司除了要设立基本的流程制度，还要制定相应的问责机制。比如：什么做了，会有什么相应的问责措施等，且问责及处分不只限于下面的责任人，还要处分主管这项业务的高级负责人。

内控的 “三层防线”

2013年，华为以IIA框架和IBM实践，定义了内控与风险管理“三层防线”及相关优化方案。任正非在会上也提出了自己对三层防线的理解：

一、加强第一层防线建设的目标绝不动摇，坚持逐步走向流程责任制，逐渐给流程Owner赋权。代表要转身为总经理，承担好综合经营责任的基本要求。

第一层防线，在业务运作中控制风险，是最重要的防线。我们90%以上的精力是要把第一层防线建好，既要有规范性，又要有灵活性，没有灵活性就不能响应不同的客户服务需要。最终目的是要让业务主管承担起内控责任，比如是经营责任人，那也就是内控责任人，层层级级都应该这样。过去的管理者不承担内控责任，现在要逐渐考核承担起内控责任来。

代表要转身为总经理，内控管理是承担好综合经营责任的基本要求。以前代表主要是抢单的销售代表，而成为总经理后，他们是综合经营者，所承担的责任目标转换，自然就重视内控了。从代表成为总经理，首先他要转身，现在为什么转不过来呢？代表提拔回公司，依旧是到片联、到销售组织去，而其他组织的人员也去不了代表处当代表，说明我们的干部选拔上有问题。

将军要学会系统性作战，关键过程行为考核是用于选拔干部，内控管理也是重要的考核指标。我们发奖金的时候，多考虑责任结果，这人会抢粮食，抢了粮食，那叫英雄；但是选拔干部、能不能升官的时候我们还要考察关键过程行为，要知道有哪些责任，将军要学会系统性的作战。

资源池应该有资格管理，他们回到资源池备用时要考试认证，涵盖的类别都要过关，包括内控。考一次，他们就知道要承担起这个责任。资格考试考的好不是要涨工资，也不是发奖金，只是给你一个机会上战场作战。作战回来，关键过程行为用于干部评价和选拔。比如这人工程做得好，管他扭没扭屁股，人家冲锋在前，做出成绩就可以多评奖金。但我们要选拔将军时，从关键事件的过程行为中分析他是不是可以担起责任。这样把两种人分开来，对于不想当将军的人，逼着他“之”字形成长，是浪费成本。如此一调整、一管控，自然有想当将军的人。将军就要学会系统性作战，一次、两次可能做不好，但三次总会做好的。

公司流程要做到既简化又有效，最主要的监管还是在流程中。流程本身就是防线，完善了流程就已经建立良好的防范系统。打通流程，是我们矢志不移的奋斗目标。现在我们有些流程做得很繁琐，而且很多人不看前言后语就签字，不担责，就说明这个流程没有意义。流程部门主管一定要有基层实践经验，没打过仗，如何为作战组织服务？流程有效，不一定是数量多，也不一定要流程长。流程简化，每个环节都要起到有意义的关键作用，最主要的监管是在流程中。

二、第二层防线，针对跨流程跨领域进行高风险拉通管理，要担负起方法论的推广，大量干部接受内控赋能后走向前线。

为第一层防线大量提供方法论，大量补充、循环和培养干部。我们要确认流程责任人的责任，SACA是对责任人的评价，我们要去帮助他们做些试点，建立起流程监管的制度、岗位、角色，并发挥作用。同时，建立金种子计划，通过实践比如iSales、配置打通交付上ERP，一个个国家推，成功了，就一分为二，就从这个地方补充到其他国家打仗去。新的打了胜仗以后，又产生一批人，就这样干部螺旋式洗澡，把优秀的人洗上来了，培养金种子。一大批新的干部提拔，都是有成功实践经验的，为什么不能接管代表处？为什么不能接管华为公司的总部？雄赳赳，气昂昂杀回总部来。谁说二十几岁不能当将军？

第二层防线实际是帮助别人建立起正确的业务组织进行拉通管理，而不是具体事情监管，干预业务太多自己越做越大。我们要让业务火车快速的跑，就拿工程稽查来说，一线有待上岗管理者，代表处采购委员会主任上岗前，大项目交付项目经理在交付项目启动前（有很多老员工在基层干过很多年）。抽到工程稽查参加培训，工作一段时间，就算是赋能了，赋能就上前线，就担负起责任来。工程稽查要担负起培训干部，提供方法，让一线担起责任来。

三、第三层防线通过审计调查，对风险和管控结果进行独立评估和冷威慑。

第一层防线要把绝大部分工作做完，但他们可能有疏漏，由第三层防线监督，通过对疏漏的检查，一个是建立威慑，一个是修补漏洞，还可以请外部机构来检修堤坝，第三层防线永远不会消失。第一道防线建设好后，第三层审计应该没多少事干，而不能是第一层做得一塌糊涂，后面依靠审计。番茄烂就烂了，大家对这个烂番茄没什么反应，那这个番茄完全没有意义，从流程组织建设上，就应该去摘掉它。一旦发现，无论大小案子，审计去查的时候，连一个蚂蚁蛋都不能放过，这样建立起冷威慑，来配合第一层防线的建设。

区域与流程内控

一、流程负责人就是内控的责任人，就要负责把内控的责任承担起来。内控管理部要提供方法和模板，协助流程负责人承担起内控的责任，并对流程负责人进行考核，而不是代替他们内控。

各业务的一把手是内控的负责人。所以首先要明确，自检、内控检查与评估、授权体系建设这三项工作的责任人就是流程负责人，内控管理部不能越俎代庖，不要搞成业务负责人不在乎，内控人员很积极，这样解决不了问题。只不过目前做的不够规范，内控部要帮助去规范，把内控责任落实到流程负责人，并通过对业务的内控检查与评估，促使业务负责人对其管辖的地盘负责任。内控管理部有考核的权力，参与对干部的评价，必要时，可以弹劾。

首先要对人的行为实施管理，其次对各级流程的责任制度实施管理。把行为准则、岗位责任、处罚规定、奖励制度制定出来，流程责任人就不敢松懈了。思路、方法、模板，这是内控应该建立的一种专业的指导、规范的东西，交给业务部门，让业务部门按照要求去建设自己的内控体系，内控负责验收和评价，这样做才能使内控和业务真正结合起来。

二、市场部正在做代表处的管理模型，内控、计划等部门要参与进去。利用这个时机把内控揉合到代表处管理模型中，延伸到市场体系，延伸到业务中去。通过授权使管理得到扩张，通过行权实现分权制衡，问责就是一个负反馈。

现在市场部正在做每一个层级的管理模型，在建设的业务模型中，内控管理部要趁机参与，共同研究区域怎么管理。市场部先做了一个英国代表处的管理模型，这次去英国我没有听客户发展方面的汇报，专门听了这个管理模型，觉得英国还是上道了。当他们的管理设计模型完成后，对地区部、代表处的监控设计也就完成了。你们大家是不是每三个月能开一个研讨会，每个代表处讲一下自己的模型，大家归纳一下，调整一下，就进一步，几个月又进步一下，到年底我们能不能看到一个比较完善的推行模板？

内控能落到实地，内控不是越多越好，授权也不是越密越好，要合理分析、讨论、征求大家意见，要和业务变革去商量，商量好了达成一致意见。通过授权使管理得到扩张，通过行权实现分权制衡，问责就是一个负反馈。当这个模型完成后，内控就包含在里面了，岗位分工也能管得住了。模型定下来再推广，内控实际上就延伸到海外的市场管理体系了。

三、内控要尽快落实人员大进大出，经过循环轮换，培养干部，将懂内控的人员输送到业务管理岗位，实现对业务的内控。

内控管理部要做到大进大出，要尽快循环轮换，要抓住机会培养干部。一定要从业务系统里面抽调人到财务系统中来，大量内控人员要从业务体系里面来，他们从业务走向监控，内控搞明白了，将来再走向业务，经过这个循环，就有利于建成业务的内控体系了。内控要紧紧抓住应付流程培养干部，这是最重要的工作。在AP项目培养了二十多个人，不也才二十多个吗？内控一定要大胆进人，不要排外。要从国内用服抽调100人到200人到内控。经过简单的财务训练，参加内控。如果纯粹靠你们孵小鸡，肯定不行。

内控管理部要像黄埔军校一样，进来一批走一批，然后散布到公司，谁最明白这个流程，就把这个人留下来做县长，这个明白人进去了，在流程中当一把手，流程不就监控了嘛。华为最大的内控主管是谁？不就是我嘛。各级业务流程责任人，经过这个循环，走向业务，他有了工作方法，有了管理的权限，通过制度和考核，他自然就有了责任心。就完成业务一把手的内控，内控不就实现了吗？

大进大出的实现有两个方面，一是业务骨干到内控锻炼之后，再循环到业务中去；二是内控拿出方法、思路、模板，出去推广。这就会使更多的人明白内控，参与内控。

四、区域内控要从现实出发，根据业务目标落实内控，要能抓住最重要的环节，保证主流程快速运作。

区域内控可以先以内控小组的形式开展工作，只要有人就试点去做，按照内控的程序、方法去开展。在区域设立内控组织，我不反对，这个事情你们自己就可以决定。组织不叫内控部叫内控小组也行，组长等于总监职务不就完了。

内控体系推广的面不要太广，内容不要太多。一个阶段做一件事，全都展开做有难度，铺开战线未必能达到效果。内控要和业务结合起来，要深入业务，从源头抓起，设计内控要素。要能抓住最重要的环节，保证主流程快速运作。很细的流程，业务部门自己整改就行了，内控小组把大流程的问题先解决。

大规模反腐

2013年，华为在企业业务方面展开了一场反腐运动，华为内部共116名员工涉嫌腐败，其中4名员工被移交司法处理；有69家经销商卷入其中。华为管理层在当反腐大会上称，“问题非常严重。涉及历任、多人、多家、团伙”，并在2014年初的新年致辞中向全体员工发出“自我救赎是唯一途径”的强烈信号。

任正非在大规模消灭腐败进展汇报会上讲话说：

这几年华为发生了很大变化，跟审计、监控、稽查……做出了很大努力是相关的，这一点应该感谢你们，也谢谢你们的家人！如果公司任由腐败发生，不在制度上作更多改进和强化教育，公司就会走向灭亡。因此这些年在反腐上，你们的贡献很大，而且担负了一定压力，你们还需要上战场、拼刺刀，对个人是有风险的。我不会给你们发很多奖金，因为如果按项目来发奖金，你们可能会出现冤假错案。但我对人力资源委员会讲过，在任职资格个人级别方面，要关怀到你们！

一、坚持推行流程责任制，业务主管和流程OWNER要真正承担起监管的责任。

坚定不移的推行流程化建设，同时加强流程责任制。要从流程遵从走向流程责任，业务主管和流程OWNER要真正承担起监管的责任。以前讲的流程遵从，你顺着这个流程做就可以了。而流程责任制，要比流程遵从提升一步，你在这个地方签了字，出了事情就要承担责任。现在我们说很多领导要签背书，背书就要承担责任。

业务主管要真正承担起教育、内控的管理责任。抹不开面子的主管要转入业务操作岗位。做好员工教育，包括本地主管做好本地员工教育；落实“干部三管”，做好典型高风险岗位权责适配；落实终端、交付、销售、企业业务等关键内控，有效提升内控成熟度。关键过程行为用于选拔干部，特别是高级干部，反腐是重要的考核指标。只要在反腐问题上不坚决的，就只是普通的职业经理人，选拨高级干部的过程中要强调这个要求。内控改进持续不力的高风险领域流程责任人及业务主管向审计委员会述职，对内控作假及内控不作为的管理者直接弹劾。

目前销售领域有稽查盲区，要提升合同质量，有必要建立针对销售合同的稽查组织。稽查作为第二层防线，要担负起方法论的推广，对一层防线的业务主管进行内控赋能，工程稽查要成为全公司的总稽查，逐步成为流程OWNER的顾问，审计的向导。这样公司在未来几年达到一定规模时，依然是健康的！

二、加强司法威慑，问责标准逐年收紧。

加强司法威慑，问责标准逐年收紧，三年达到与法律标准对齐。威慑还是要多利用司法力量。只要掌握了30%左右的证据，是确实可以司法处理的，这个人的态度愿意“竹筒倒豆子”，那我们就接受，否则就移交司法。司法调查进去以后，无论他说不说，我们都形成威慑作用了。

持续加强对高风险领域及海外重点国家的查处力度和司法威慑，特别是终端、泛采购、交付、行政业务的高风险领域及海外重点国家的舞弊调查。并且，要加大海外重点国家的司法威慑及查处威慑的及时性。对司法环境较差、司法成本高的国家，提高法律遵从性，HR要结合当地劳工法的要求，建立员工问责政策程序，通过聆讯等方式及时开除舞弊员工，严重的移交司法处理。针对“商业贿赂罪”不适用私企雇员或司法实践有争议的国家以及司法环境效率低、操作难的国家，避免本地员工担任重要经济岗位，要考虑中方外派人员承担，出问题在中国进行法律追溯。

三、延续自我申报政策，坚持查处分离。

在政策收紧的同时延续自我申报政策，体现宽严相济，治病救人的原则。不要认为历史问题就不会追究，不追究就不会形成冷威慑，要把冷威慑建立在前面，员工不要去做违反BCG的事情；如果前面出了事，就赶快主动自我申报，让自己不要背上沉重包袱，高级干部更要以身作则。做好宣传效果，利用OEC的宣传渠道，普遍宣传“对违反BCG处理收紧的政策”，司法案例可以在公告栏上公布。

对于员工的申报、与调查的配合，内审调查部负责把事情查清楚，真实记录，纪律与监察分委会按照政策去理解和处理。审计是“右派”组织，你们能帮人讲话就已经很伟大了。你不能直接干预处理。纪律委员会判断不了，就上升到人力资源委员会，人力资源委员会解决不了，就上升到董事会来判断这个问题。

四、审计要多学习先进方法，增强系统数据的分析能力。

业界审计有很多先进方法，我们要学习。可以请顾问公司，也可以招聘海外、国内长期从事审计工作的优质人员，通过阅读报表、分析业务数据识别高风险异常。这样就能从各种报表中看出什么不合格，就能知道问题的方向在哪里，加强制约管理，就像心脏要切片一样，切片对照检查后就很清楚。即使抓不到责任人，有正确的制约管理机制出来也挺好。审计要往这一步前进。

内控管理要点

《华为**年内控管理要点》如下：

一、继续围绕“促经营、防腐败”的内控工作目标，聚焦在重复发生的TOP经营痛点问题上实施流程改进，获取经营管理收益、遏止腐败。

1、各级管理者和流程Owner应基于CT与SACA、审计、稽查等发现的问题，在相应的ST会议上研讨，识别出自身的TOP内控问题；

2、对于每一个TOP问题，须指定明确的业务改进责任人，负责具体改进计划的制定与执行；

3、所有TOP问题的改进应基于流程（本地化）、规则的发布与执行，改进的效果通过内控BC、审计、稽查的结果来验证；

4、内控BC负责协助各级管理者和流程Owner实施TOP问题的改进，并例行对改进进展进行监督和报告，对于已改进的问题在BCIT系统中验收关闭。

二、内控管理的关键是建立内控责任体系，这是内控的核心工作。各级管理者和流程Owner是所负责业务领域的内控第一责任人，必须主动承担起自己的内控责任。

1、全球流程Owner负责建立基于流程的授权、行权、问责的内控责任体系，发布明确的业务问责制度，并层层落实内控考核要求；

2、各级管理者和流程Owner应建立内控奖惩机制，对于内控管理做的好的予以激励，对于需要改进的可以发放红黄牌警示、责其进行内控述职；

3、各级CFO必须协助相关管理者和流程Owner建立内控责任体系。

三、各级管理者和流程Owner需持续提升CT、SACA、PR等内控工作的质量和真实性，实现内控的自我管理。