-1-

2019年3月10日，埃塞俄比亚航空从亚的斯亚贝巴飞往肯尼亚内罗毕的ET302航班失事，航班上搭乘着149名乘客和8名机组成员无一人生还。失事飞机上有8名中国人。该失事航班ET302的机型为波音737-MAX8客机，是于2018年11月刚交付埃航，机龄仅4个月的全新飞机。

令人痛心和震惊的是，这是波音737-MAX8半年内第二次出现坠机事故。在2018年10月29日，印尼狮航一架波音737客机坠毁，189人遇难，是2014年马来西亚航空公司MH17航班之后全球伤亡最惨重的空难。失事的波音737-MAX8是波音新型号，也是狮航7月新买的，8月18日第一次运营，到失事时的飞行时间不到800小时。

短短半年时间，相同型号的全新飞机接连发生严重空难，且从后期不断曝光的信息来看，两起波音737-MAX8空难存在高度的相似性，这无疑引发了全球深度关注。

而在最终技术性分析与调查结果尚未公布之前，波音和美国联邦航空局在波音737-MAX8客机上存在的多方面控制缺陷（含系统控制缺陷）得到证实并持续曝光。

美国《西雅图时报》网站于3月17日刊文，深入分析了印尼狮子航空和埃塞俄比亚航空两架波音737-MAX系列飞机失事的可能原因。参与737-MAX系列飞机安全评估的美国联邦航空局安全技术人员等匿名对该媒体表示，737-MAX飞行控制系统的安全评估存在严重缺陷。

狮航空难发生后，相关调查显示，失事客机因传感器读数错误使自动防失速系统“机动特性增强系统（MCAS）”发生误判导致坠毁。《西雅图时报》网站17日刊发的题为《有缺陷的分析，失败的监管：波音和美国联邦航空局如何认证可疑的737-MAX飞行控制系统》的报道说，波音737-MAX系列飞机MCAS系统安全评估至少存在4方面问题：

1. 多年来因资金和人力短缺，美国联邦航空局一直授权波音公司承担证明其自身飞机安全性的工作，将737 MAX系列大量安全评估工作交由波音进行。因此，波音的工程师在联邦航空局的授权下代表航空局为MCAS做系统安全分析，并得出该系统“符合联邦航空局所有适用的规章”的结论。

2. 波音向联邦航空局提交的关于737 MAX飞行控制系统的最初安全分析报告数据与实际不符。原始报告文件显示，MCAS控制水平尾翼的极限倾斜幅度为0.6度，但波音随后发现，需要更大幅度调整水平尾翼倾角避免飞机失速，0.6度的指令极限实际被增大至4倍，达到2.5度。直到狮航空难后，波音才首次向相关航空公司证实MCAS指令极限为2.5度。

3.MCAS本身存在诸多设计缺陷。该系统可被反复触发，每次触发都会对水平尾翼倾斜幅度进行控制。MCAS反复多次被触发后，飞机就可能达到俯冲状态。此外，虽然737 MAX系列飞机装有两个传感器，但MCAS仅根据一个传感器读数触发工作，而没有对两个传感器进行比对。狮航空难初步调查显示，在起飞前滑行和飞行阶段，失事飞机两个传感器显示的飞机姿态读数都相差约20度，系统本可据此判断传感器出现故障。

4.波音未向客户提及MCAS的存在，飞行手册也没涉及，狮航飞机坠毁后，世界各国的737 MAX系列飞机飞行员才首次知道MCAS的存在。飞行员和航空专家称，在MCAS运行时，737 MAX的手动功能受限，以往的正确处置方式对飞机失效，这必然会使失事客机飞行员对发生的状况困惑不解。

此外，媒体还报道，波音也未对737 MAX系列飞机的飞行员进行严格针对性培训。《纽约时报》一篇文章披露，许多737 MAX机型的飞行员并没有通过应有的方式了解该型号客机的性能，而是通过iPad平板电脑软件来学习这个新机型的操控。报道指出，通常学习新型飞机的驾驶，飞行员需要用数小时在飞行模拟器上接受培训。但波音737 MAX客机的培训，都是通过平板电脑软件进行的。

3月18日，在空难发生超过一周后，波音官网突然发布CEO丹尼斯·A·穆伦堡的一则视频声明。他在视频中，对近期两起空难遇难者表示哀悼，称波音将升级737 MAX机型，并努力赢回信任。《纽约时报》称，这是这位CEO坠机事故后首次实质性公开发表评论。

穆伦堡表示，波音公司将继续为各国航空公司和飞行员提供最好的产品、培训和支持，并宣布波音将很快发布针对波音737-MAX机型的软件升级和相关飞行培训，以应对此前狮航事故发生后所发现的种种问题。

-2-

通过已经披露的有关波音737-MAX的各类碎片化信息，我们可以高度怀疑，美国联邦航空管理局和波音公司存在重大的致命的控制缺陷。个人进行简单分析，挑最核心的说，至少包括以下几点：

1.未能有效识别和评估相关风险。

美国联邦航空局一直授权波音公司承担证明其自身飞机安全性的工作，将737-MAX系列大量安全评估工作交由波音进行。我相信，美联邦部门和波音公司，对于飞机安全评估工作的重要性，肯定是有意识的，只不过，遗憾的是，由于种种原因，最终将本应该更加严格、独立的风险控制活动和手段，变通为更加宽松、随意的做法，由此，留下了巨大的安全风险敞口。

说到底，这还是未能有效评估该项工作的风险大小，并直接影响了后续的控制活动与行为，否则，换做美总统专机“空军一号”，一定不会如此大意。

2.不相容职责未能有效分离，系统控制存在严重缺陷。相关调查显示，失事客机因传感器读数错误使自动防失速系统“机动特性增强系统（MCAS）”发生误判导致坠毁。

而前文有说，MCAS本身存在诸多设计缺陷。该系统可被反复触发，每次触发都会对水平尾翼倾斜幅度进行控制。MCAS反复多次被触发后，飞机就可能达到俯冲状态。此外，虽然737 MAX系列飞机装有两个传感器，但MCAS仅根据一个传感器读数触发工作，而没有对两个传感器进行比对。而这样一个存在严重问题的系统，正是由波音工程师在联邦航空局的授权下，代表航空局为其进行系统安全分析，并得出该系统“符合联邦航空局所有适用的规章”的结论。

在内部控制理论中，之所以有“不相容职责应予分离”的要求，要知道，这并不是以发现问题并事后解决问题为目的，而是一种非常有力的风险预防性控制手段。

美联邦航空局授权波音工程师，分析测评自家系统并得出结论的做法，不由得让我回想起了，早年在工作中亲历的一些事情。当年，新入一家企业负责内审工作，从内审组织架构、人员招聘与培训、工作标准化等方面入手，取得了不错的开局。后来，基于对企业系统的初步评估，也考虑到企业系统控制对于公司财务与业务的重要性，跟Boss建议增编，增设专门的系统审计岗位。但遗憾的是，高层考虑到预算与成本，未能采纳该建议，并提出可以抽调信息中心的IT人员按照我们的审计标准协助进行测试。由于Boss心意已定，也就不便多说。

此后的一年，结果如我预期的一样，除了ITGC层面的一些问题外，IT部门提供的协助测试人员并没有主动发现任何稍有价值系统问题。这显然与此前的获取的线索和其他项目抽样审计中发现的端倪不符。于是，内审部自行临时组建了一只非IT专业的小分队，通过系统数据分析与抽样检查，有了一系列全新的发现，从结果上反证系统设计、系统开发、系统测试以及系统本身均存在不同程度的问题。并由此对财务、业务产生了影响。后来，面对这一现实，Boss主动提及增编，配置专门的IT审计岗位。

结合美联邦航空局和波音的关键职能职责未分离问题，我想跟大家分享的是，职责分离很重要，分离了，我们或许无法意识到分离的好处，因为多数情况下，它是无感的，我们的工作都在自然的顺利推进，而没分离，我们的企业就在该领域埋下了一个地雷，在一定的环境下，这个类就会被触发而爆炸，由此，将对企业产生严重的后果。

在此，还想多说一点，关于职责分离与人力、沟通成本，这也是每个企业都需要面对的现实，职责分离，更可能导致人力及沟通成本的上升，这里面，需要管理层就风险就行适当的评估、并由此进行决策，达到一个风险、成本可控的平衡。职责分离程度可以根据业务活动进行判断，岗位的分离、部门的分离、组织的分离，均需就事论事。波音737-MAX飞机MCAS作为关键的、事关生命权的系统，由波音公司自主设计、自主测评，显然是不恰当的。

3.培训工作严重不足，信息沟通与传递存在重大控制缺陷。《纽约时报》披露，许多737-MAX机型的飞行员并没有通过应有的方式了解该型号客机的性能，而是通过iPad平板电脑软件来学习这个新机型的操控。以至于出现异常情况时，现翻“说明书”（操作手册），但痛心的是，最终未能找到解决方案。

2019年3月21日，路透社方面获悉，坠海的狮航JT610航班黑匣子录音内容首次公开：2018年10月29日，当地时间早上6点20分，狮航飞机在印度裔机长的驾驶下从雅加达起飞。2分钟后，副机长发现空速表出现异常，机长随即要求副机长检查操作手册，遗憾的是，副机长并没有在操作手册中发现任何有关这起故障的处理信息。最后机长让副机长驾驶飞机，开始亲自翻阅操作手册，结果依然无济于事。

此前有美媒表示，波音对有过737系列飞行经验的驾驶员所作的培训居然是两小时iPad和一本13页的介绍737 MAX和过去机型主要区别的手册。而且其中并不包含737 MAX软件方面的全部内容，至于波音的借口居然是“不想让信息淹没了飞行员”。

培训是人力资源与组织内部控制环境中的关键一环，是信息有效传递的重要途径，是合理保证控制有效执行的直接手段。对于一个新机型、新系统，波音仅仅通过iPad简单培训，甚至，在狮航空难发生之前，飞行员们并不知道MCAS系统的存在。你能想象，这是多么可怕的事情吗？

-3-

无论在工作中、还是生活中，事经历多了，我们就迟早会发现，除了天灾，多数人祸，是完全可以避免的。

而令人沮丧的是，人们对于风险的漠视和放任的态度，让避免变成了必然。

作为一名内审内控合规的业内人士，相对于早年的执着和纠结，而今，当朋友们跟我诉苦说“管理层对我们的风险提示和问题发现不理不睬”之时，我会更加平和的分享我的态度：对于风险、问题、建议，我们永远且必须坚持汇报、沟通，直至整改完成，因为，这就是我们的职责。

同时，我还会宽慰大家，每个座位上人，大家的出发点与利益点各不一样，“屁股决定脑袋”这是现实，我们的成果未被重视，并不是多么难堪的事情。

相信，昨天、今天、明天，都会有一部分人，只有“痛过了”他们才会去思考为什么会痛，以及将来怎么不痛，就好像今天的美国联邦航空局和波音公司一样。