向華為學優(yōu)秀的內控體系建設實踐

課程背景：

大多數(shù)企業(yè)內控中，面臨著業(yè)務與內控分裂、發(fā)展與風險控制失衡：

1. 高層對內控認識不足、不重視，沒有有效引領各級主管做好內控的決心和方法論

2. 業(yè)務部門對內控、審計、財務風險控制等敬而遠之，處于對立面，貓捉老鼠

3. 業(yè)務覺得內控阻礙業(yè)務發(fā)展，內控覺得工作無法開展、充滿挫敗、人員流失高。

4. 全球企業(yè)內控問題頻發(fā)。美國安然公司，因為財務造假丑聞，于2001年申請破產(chǎn)保護。負責審計的安達信會計事務所，公開承認銷毀了與安然審計有關的檔案造成會計丑聞，也不得不結束了90年的會計審計業(yè)務，五大從此變成了四大。

安然事件引起全球震動，美國國會也因此頒發(fā)塞班斯法案（SOX法案），強調企業(yè)內部控制的重要性，強調管理者要對內控負起應有的責任。但此后，東芝、瑞幸、恒大等仍重復出現(xiàn)財務造假，更多企業(yè)爆出各類本可以通過內控預防的系統(tǒng)性舞弊問題，這些問題均對企業(yè)造成巨大負面影響，甚至導致破產(chǎn)。

而華為內控，用實踐實現(xiàn)業(yè)務與內控統(tǒng)一、發(fā)展與風險控制平衡。

華為CEO任正非強調：“一個企業(yè)必然是在發(fā)展中解決問題，不能因為腐敗而不發(fā)展，也不能因為發(fā)展而放任腐敗。反腐敗、反造假、反浪費，是華為建立內部監(jiān)督機制的出發(fā)點。為此華為內控體系建設了三道防線?！?/span>

2007年，內控管理作為華為IFS的子項目，從零開始。十年磨一劍，如今，內控意識、內控機制、內控能力已浸入到各個業(yè)務活動之中，業(yè)務在哪兒，內控就在哪兒，形成了以“流程責任和組織責任”為基礎的全球內控管理體系，且內控價值體現(xiàn)在了經(jīng)營結果改善上，真正實現(xiàn)了“以內控促經(jīng)營，向管理要利潤”。

當前企業(yè)面臨著日益復雜和多變的市場環(huán)境，企業(yè)內部控制管理作為企業(yè)核心管理活動的重要組成部分，對于企業(yè)的長期發(fā)展、及時排雷、競爭力提升以及價值創(chuàng)造具有至關重要的作用。

本課程應運而生，旨在培養(yǎng)學員全面風控思維，掌握內控工具方法，對標優(yōu)秀企業(yè)的內控實踐，助力企業(yè)風險控制和商業(yè)成功。

課程收益：

● 學習全球內控管理的COSO模型和塞班斯(SOX)法案

● 對標華為監(jiān)管體系不同部門的定位、職能邊界及如何有效協(xié)同；

● 掌握華為內控管理的組織、流程、責任設計，針對性搭建企業(yè)內控管理體系；

● 解讀華為內控如何“破冰”，如何“以內控促經(jīng)營，向管理要利潤”

● 學習和研討、演練華為內控管理的“一點兩面三三制”

● 掌握華為內控管理的主要工具，并初步評估內控成熟度

● 針對全球化（出海）企業(yè)的特點，對標華為國際化內控建設實踐

● 學習華為數(shù)字化內控，探索下一步方向

課程時間：2天，6小時/天

課程對象：企業(yè)中高級管理人員，審計、內控、調查人員

課程方式：知識講授+視頻賞析+現(xiàn)場討論+案例分析+游戲互動

課程大綱

導入1：各國中小企業(yè)壽命對比及存活的關鍵是什么？

導入2：大型企業(yè)如華為的內部涅槃（央視面對面對華為的采訪片段）

關注點：最高目標是活下去

第一講：風險與風險管理

一、風險及管理

1. 認識風險

案例：北太平洋阿拉斯加海域帝王蟹捕撈，5天時間爆賺70萬

風險：對目標產(chǎn)生影響的一種不確定性

2. 風險的度量：

風險矩陣：可能性、影響度（黑天鵝、灰犀牛）

數(shù)據(jù)解析：ACFE權威統(tǒng)計結果

3. 風險的一般分類（9大類）

4. 風險的一般應對辦法（4種）

1）規(guī)避

2）轉移

3）減輕

4）接受

5. 華為對風險的管理優(yōu)秀實踐

分類：華為4大風險

1）風險管理融于業(yè)務：大部分基于流程管理。以規(guī)則的確定性面對未來的不確定性。

2）合規(guī)職責邊界清晰：僅指對外合規(guī)（包括國內國外）。

3）內控風險定義清晰：能通過內部流程和制度進行管理閉環(huán)的風險叫內控風險。

二、內控風險管理

1. 業(yè)界內控管理的公認標準：COSO模型

1）COSO模型的5個基本維度

a控制環(huán)境（管理基調、經(jīng)營環(huán)境、權責劃分等）

b風險評估（風險控制矩陣、工具評估等）

c控制活動（審批流、SOD、授權、績效評價等）

d信息和交流（信息流情況、系統(tǒng)應用控制測試ITAC等）

e監(jiān)控（測試等）

2）COSO模型的3個目標：

a經(jīng)營目標：經(jīng)營效率效果的提升

b財報目標：財務報告的可靠、準確

c合規(guī)目標：合法合規(guī)

案例：東芝財務造假案例（管理層集體辭職）

案例：杭州電商小二貪污近億元。

2. 薩班斯法案（SOX）解讀

1）SOX法案緣起與要點（404條款）

2）企業(yè)內部控制報告關于管理者責任的體現(xiàn)（沃爾瑪）

第二講：華為內控體系建設歷程和啟示

一、華為監(jiān)管相關組織的區(qū)別與協(xié)同

圖解：華為集團組織治理結構圖

1. 內審組織-第三方獨立，偏事后

2. 稽查組織-（前后有變化）隸屬業(yè)務，偏事中

3. 內控組織-隸屬財務，偏事前事中

4. 質量組織-隸屬業(yè)務，協(xié)助業(yè)務主管和流程owner管理流程質量

5. 其他組織-如子公司董事會、道德遵從委員會/OEC、HRC等

二、華為內控組織建設歷程

1. 橫空出世（2007-2009）——從華為虛心向IBM學習開始

2. 相敬如“兵”（2010-2011）——內控阻力來自哪里，從哪里入手？

3. 相敬如“冰”（2012-2013）——內控從“要我做”到“我要做”？

4. 相敬如“賓”（2014-2017）——董事會的“3年達標內控基本滿意”要求帶來了什么？

5. 融于業(yè)務（2018-）——數(shù)字化、智能化

三、華為內控體系建設-一點兩面三三制

1. 一點：華為內控目標-促經(jīng)營，防腐敗

案例1：超合同界面交付審視——以內控促經(jīng)營，向管理要利潤

案例2：華為慧通管理——舞弊三角理論，壓縮腐敗空間

2. 兩面：流程體系建設+責任體系建設

1）以改進為核心的流程體系建設（流程建設5問）

2）以問責為核心的責任體系建設（華為全球責任體系分解）

互動討論：為什么華為是以問責為核心的責任體系建設？您的企業(yè)是如何做的？

3. 三三制：三個角色，三個工具

1）內控三道防線三個角色：

a業(yè)務管理者/流程管理者（BO/PO）

b業(yè)務控制人和流程控制人（BC/PC）

c內審部（IA）

2）內控三大工具

a遵從性測試（CT）

b主動性審視（PR）

c半年度控制評估（SACA）

案例討論：三個角色用三個工具的日常協(xié)同

四、華為內控管理工具包（6大包）

工具一：關鍵控制點（KCP）

使用要點：精準找到流程的關鍵控制環(huán)節(jié)

案例與討論：采購流程的KCP識別與分析

工具二：職責分離（SOD）

設計要點：一個角色不做相互沖突的兩件事

模型：職責分離矩陣

工具三：遵從性測試（CT）

工具四：主動性審視（PR）

1）流程設計情況審視

2）流程執(zhí)行情況審視

3）內控工具質量審視

案例與討論：重復PO/PR主動性審視案例與分析

工具五：半年度控制評估SACA（5要素）

1）報告對象

2）基本步驟

3）評級標準（內控成熟度）

4）問卷

5）評級方法

工具六：風險改進與閉環(huán)（RT）

——華為內控系統(tǒng)（BCIT）：SOD/KCP/CT/PR/SACA/RT之間相互協(xié)同與承載

大型場景演練：分組輸出成熟的CT報告、PR報告、SACA報告

第三講：華為內控全球化的挑戰(zhàn)和應對

一、業(yè)務全球化給內控建設帶來的壓力和挑戰(zhàn)

1. 全球矩陣式結構下多維度內控管理的挑戰(zhàn)

2. 內控語言/工具/匯報全球化的挑戰(zhàn)

3. 內控風險屬地化，一國一策的挑戰(zhàn)

應對：如何設計全球化的內控管理模式？

二、全球內控高目標達標壓力的挑戰(zhàn)

1. 不同區(qū)域，現(xiàn)狀不一，目標相同

2. 不同業(yè)務，階段不同，目標相同

應對：如何拉其集團內控目標的管理節(jié)奏？

三、審計的挑戰(zhàn)

1. 審計評估周期與業(yè)務自評周期不一致

2. 審計項目點的發(fā)現(xiàn)與評估面的沖突

3. 規(guī)模性腐敗案件對內控成熟度的影響

案例研討：審計VS業(yè)務，內控成熟度的評估以誰的結果為準？

應對：如何拉齊不同監(jiān)督部門的口徑？

實戰(zhàn)演練：你是華為海外中東地區(qū)部的內控負責人，區(qū)域下屬13個國家/代表處，情況非常復雜，多平臺，多業(yè)務，多國家，內控成熟度不一，請你沉浸式組織該地區(qū)部的SACA評估，并定稿結果。SACA報告至少包括以下內容：

1）地區(qū)部的整體內控成熟度

2）地區(qū)部TOP3的重要問題

3）分國家的簡單點評

第四講：內控數(shù)字化及下一步發(fā)展啟示

一、華為內控的數(shù)字化發(fā)展過程

1. 內控概念化階段：2008年-2011年

2. 內控規(guī)范化階段：2012年-2013年

3. 內控集成化階段：2014年-2017年

4. 內控數(shù)字化階段：2017年-至今

二、華為內控數(shù)字化關鍵點解讀

1. 背景：

1）業(yè)務發(fā)展的需要

2）全球合規(guī)建設的要求（數(shù)據(jù)隱私保護等）

3）精兵簡政與提效

2. 主要工具

1）內控數(shù)字化探針

2）內控數(shù)字化模型

3）內控風險大屏化下的快速測試與預警

3. 全球化的內控聯(lián)動

三、新形勢下華為內控體系的變化

1. “內憂外患”下的華為業(yè)務組織變陣（成立多個軍團突圍）

2. 華為內控組織及工具的優(yōu)化

3. 華為區(qū)域監(jiān)督型子公司董事會的運作

4. 合規(guī)已經(jīng)是華為新的戰(zhàn)場

四、華為內控體系建設實踐的總體啟示

1. 內控是一個系統(tǒng)工程

2. 內控核心要提供價值

3. 內控永遠沒有100分

4. 華為一點兩面三三制值得所有企業(yè)學習