向華為學優秀的內控體系建設實踐

向華為學優秀的內控體系建設實踐

課程背景：

大多數企業內控中，面臨著業務與內控分裂、發展與風險控制失衡：

1. 高層對內控認識不足、不重視，沒有有效引領各級主管做好內控的決心和方法論

2. 業務部門對內控、審計、財務風險控制等敬而遠之，處于對立面，貓捉老鼠

3. 業務覺得內控阻礙業務發展，內控覺得工作無法開展、充滿挫敗、人員流失高。

4. 全球企業內控問題頻發。美國安然公司，因為財務造假丑聞，于2001年申請破產保護。負責審計的安達信會計事務所，公開承認銷毀了與安然審計有關的檔案造成會計丑聞，也不得不結束了90年的會計審計業務，五大從此變成了四大。

安然事件引起全球震動，美國國會也因此頒發塞班斯法案（SOX法案），強調企業內部控制的重要性，強調管理者要對內控負起應有的責任。但此后，東芝、瑞幸、恒大等仍重復出現財務造假，更多企業爆出各類本可以通過內控預防的系統性舞弊問題，這些問題均對企業造成巨大負面影響，甚至導致破產。

而華為內控，用實踐實現業務與內控統一、發展與風險控制平衡。

華為CEO任正非強調：“一個企業必然是在發展中解決問題，不能因為腐敗而不發展，也不能因為發展而放任腐敗。反腐敗、反造假、反浪費，是華為建立內部監督機制的出發點。為此華為內控體系建設了三道防線?！?/span>

2007年，內控管理作為華為IFS的子項目，從零開始。十年磨一劍，如今，內控意識、內控機制、內控能力已浸入到各個業務活動之中，業務在哪兒，內控就在哪兒，形成了以“流程責任和組織責任”為基礎的全球內控管理體系，且內控價值體現在了經營結果改善上，真正實現了“以內控促經營，向管理要利潤”。

當前企業面臨著日益復雜和多變的市場環境，企業內部控制管理作為企業核心管理活動的重要組成部分，對于企業的長期發展、及時排雷、競爭力提升以及價值創造具有至關重要的作用。

本課程應運而生，旨在培養學員全面風控思維，掌握內控工具方法，對標優秀企業的內控實踐，助力企業風險控制和商業成功。

課程收益：

● 學習全球內控管理的COSO模型和塞班斯(SOX)法案

● 對標華為監管體系不同部門的定位、職能邊界及如何有效協同；

● 掌握華為內控管理的組織、流程、責任設計，針對性搭建企業內控管理體系；

● 解讀華為內控如何“破冰”，如何“以內控促經營，向管理要利潤”

● 學習和研討、演練華為內控管理的“一點兩面三三制”

● 掌握華為內控管理的主要工具，并初步評估內控成熟度

● 針對全球化（出海）企業的特點，對標華為國際化內控建設實踐

● 學習華為數字化內控，探索下一步方向

課程時間：2天，6小時/天

課程對象：企業中高級管理人員，審計、內控、調查人員

課程方式：知識講授+視頻賞析+現場討論+案例分析+游戲互動

課程大綱

導入1：各國中小企業壽命對比及存活的關鍵是什么？

導入2：大型企業如華為的內部涅槃（央視面對面對華為的采訪片段）

關注點：最高目標是活下去

第一講：風險與風險管理

一、風險及管理

1. 認識風險

案例：北太平洋阿拉斯加海域帝王蟹捕撈，5天時間爆賺70萬

風險：對目標產生影響的一種不確定性

2. 風險的度量：

風險矩陣：可能性、影響度（黑天鵝、灰犀牛）

數據解析：ACFE權威統計結果

3. 風險的一般分類（9大類）

4. 風險的一般應對辦法（4種）

1）規避

2）轉移

3）減輕

4）接受

5. 華為對風險的管理優秀實踐

分類：華為4大風險

1）風險管理融于業務：大部分基于流程管理。以規則的確定性面對未來的不確定性。

2）合規職責邊界清晰：僅指對外合規（包括國內國外）。

3）內控風險定義清晰：能通過內部流程和制度進行管理閉環的風險叫內控風險。

二、內控風險管理

1. 業界內控管理的公認標準：COSO模型

1）COSO模型的5個基本維度

a控制環境（管理基調、經營環境、權責劃分等）

b風險評估（風險控制矩陣、工具評估等）

c控制活動（審批流、SOD、授權、績效評價等）

d信息和交流（信息流情況、系統應用控制測試ITAC等）

e監控（測試等）

2）COSO模型的3個目標：

a經營目標：經營效率效果的提升

b財報目標：財務報告的可靠、準確

c合規目標：合法合規

案例：東芝財務造假案例（管理層集體辭職）

案例：杭州電商小二貪污近億元。

2. 薩班斯法案（SOX）解讀

1）SOX法案緣起與要點（404條款）

2）企業內部控制報告關于管理者責任的體現（沃爾瑪）

第二講：華為內控體系建設歷程和啟示

一、華為監管相關組織的區別與協同

圖解：華為集團組織治理結構圖

1. 內審組織-第三方獨立，偏事后

2. 稽查組織-（前后有變化）隸屬業務，偏事中

3. 內控組織-隸屬財務，偏事前事中

4. 質量組織-隸屬業務，協助業務主管和流程owner管理流程質量

5. 其他組織-如子公司董事會、道德遵從委員會/OEC、HRC等

二、華為內控組織建設歷程

1. 橫空出世（2007-2009）——從華為虛心向IBM學習開始

2. 相敬如“兵”（2010-2011）——內控阻力來自哪里，從哪里入手？

3. 相敬如“冰”（2012-2013）——內控從“要我做”到“我要做”？

4. 相敬如“賓”（2014-2017）——董事會的“3年達標內控基本滿意”要求帶來了什么？

5. 融于業務（2018-）——數字化、智能化

三、華為內控體系建設-一點兩面三三制

1. 一點：華為內控目標-促經營，防腐敗

案例1：超合同界面交付審視——以內控促經營，向管理要利潤

案例2：華為慧通管理——舞弊三角理論，壓縮腐敗空間

2. 兩面：流程體系建設+責任體系建設

1）以改進為核心的流程體系建設（流程建設5問）

2）以問責為核心的責任體系建設（華為全球責任體系分解）

互動討論：為什么華為是以問責為核心的責任體系建設？您的企業是如何做的？

3. 三三制：三個角色，三個工具

1）內控三道防線三個角色：

a業務管理者/流程管理者（BO/PO）

b業務控制人和流程控制人（BC/PC）

c內審部（IA）

2）內控三大工具

a遵從性測試（CT）

b主動性審視（PR）

c半年度控制評估（SACA）

案例討論：三個角色用三個工具的日常協同

四、華為內控管理工具包（6大包）

工具一：關鍵控制點（KCP）

使用要點：精準找到流程的關鍵控制環節

案例與討論：采購流程的KCP識別與分析

工具二：職責分離（SOD）

設計要點：一個角色不做相互沖突的兩件事

模型：職責分離矩陣

工具三：遵從性測試（CT）

工具四：主動性審視（PR）

1）流程設計情況審視

2）流程執行情況審視

3）內控工具質量審視

案例與討論：重復PO/PR主動性審視案例與分析

工具五：半年度控制評估SACA（5要素）

1）報告對象

2）基本步驟

3）評級標準（內控成熟度）

4）問卷

5）評級方法

工具六：風險改進與閉環（RT）

——華為內控系統（BCIT）：SOD/KCP/CT/PR/SACA/RT之間相互協同與承載

大型場景演練：分組輸出成熟的CT報告、PR報告、SACA報告

第三講：華為內控全球化的挑戰和應對

一、業務全球化給內控建設帶來的壓力和挑戰

1. 全球矩陣式結構下多維度內控管理的挑戰

2. 內控語言/工具/匯報全球化的挑戰

3. 內控風險屬地化，一國一策的挑戰

應對：如何設計全球化的內控管理模式？

二、全球內控高目標達標壓力的挑戰

1. 不同區域，現狀不一，目標相同

2. 不同業務，階段不同，目標相同

應對：如何拉其集團內控目標的管理節奏？

三、審計的挑戰

1. 審計評估周期與業務自評周期不一致

2. 審計項目點的發現與評估面的沖突

3. 規模性腐敗案件對內控成熟度的影響

案例研討：審計VS業務，內控成熟度的評估以誰的結果為準？

應對：如何拉齊不同監督部門的口徑？

實戰演練：你是華為海外中東地區部的內控負責人，區域下屬13個國家/代表處，情況非常復雜，多平臺，多業務，多國家，內控成熟度不一，請你沉浸式組織該地區部的SACA評估，并定稿結果。SACA報告至少包括以下內容：

1）地區部的整體內控成熟度

2）地區部TOP3的重要問題

3）分國家的簡單點評

第四講：內控數字化及下一步發展啟示

一、華為內控的數字化發展過程

1. 內控概念化階段：2008年-2011年

2. 內控規范化階段：2012年-2013年

3. 內控集成化階段：2014年-2017年

4. 內控數字化階段：2017年-至今

二、華為內控數字化關鍵點解讀

1. 背景：

1）業務發展的需要

2）全球合規建設的要求（數據隱私保護等）

3）精兵簡政與提效

2. 主要工具

1）內控數字化探針

2）內控數字化模型

3）內控風險大屏化下的快速測試與預警

3. 全球化的內控聯動

三、新形勢下華為內控體系的變化

1. “內憂外患”下的華為業務組織變陣（成立多個軍團突圍）

2. 華為內控組織及工具的優化

3. 華為區域監督型子公司董事會的運作

4. 合規已經是華為新的戰場

四、華為內控體系建設實踐的總體啟示

1. 內控是一個系統工程

2. 內控核心要提供價值

3. 內控永遠沒有100分

4. 華為一點兩面三三制值得所有企業學習