向华为学优秀的内控体系建设实践 课程背景: 大多数企业内控中,面临着业务与内控分裂、发展与风险控制失衡: 1. 高层对内控认识不足、不重视,没有有效引领各级主管做好内控的决心和方法论 2. 业务部门对内控、审计、财务风险控制等敬而远之,处于对立面,猫捉老鼠 3. 业务觉得内控阻碍业务发展,内控觉得工作无法开展、充满挫败、人员流失高。 4. 全球企业内控问题频发。美国安然公司,因为财务造假丑闻,于2001年申请破产保护。负责审计的安达信会计事务所,公开承认销毁了与安然审计有关的档案造成会计丑闻,也不得不结束了90年的会计审计业务,五大从此变成了四大。 安然事件引起全球震动,美国国会也因此颁发塞班斯法案(SOX法案),强调企业内部控制的重要性,强调管理者要对内控负起应有的责任。但此后,东芝、瑞幸、恒大等仍重复出现财务造假,更多企业爆出各类本可以通过内控预防的系统性舞弊问题,这些问题均对企业造成巨大负面影响,甚至导致破产。 而华为内控,用实践实现业务与内控统一、发展与风险控制平衡。 华为CEO任正非强调:“一个企业必然是在发展中解决问题,不能因为腐败而不发展,也不能因为发展而放任腐败。反腐败、反造假、反浪费,是华为建立内部监督机制的出发点。为此华为内控体系建设了三道防线。” 2007年,内控管理作为华为IFS的子项目,从零开始。十年磨一剑,如今,内控意识、内控机制、内控能力已浸入到各个业务活动之中,业务在哪儿,内控就在哪儿,形成了以“流程责任和组织责任”为基础的全球内控管理体系,且内控价值体现在了经营结果改善上,真正实现了“以内控促经营,向管理要利润”。 当前企业面临着日益复杂和多变的市场环境,企业内部控制管理作为企业核心管理活动的重要组成部分,对于企业的长期发展、及时排雷、竞争力提升以及价值创造具有至关重要的作用。 本课程应运而生,旨在培养学员全面风控思维,掌握内控工具方法,对标优秀企业的内控实践,助力企业风险控制和商业成功。 课程收益: ● 学习全球内控管理的COSO模型和塞班斯(SOX)法案 ● 对标华为监管体系不同部门的定位、职能边界及如何有效协同; ● 掌握华为内控管理的组织、流程、责任设计,针对性搭建企业内控管理体系; ● 解读华为内控如何“破冰”,如何“以内控促经营,向管理要利润” ● 学习和研讨、演练华为内控管理的“一点两面三三制” ● 掌握华为内控管理的主要工具,并初步评估内控成熟度 ● 针对全球化(出海)企业的特点,对标华为国际化内控建设实践 ● 学习华为数字化内控,探索下一步方向 课程时间:2天,6小时/天 课程对象:企业中高级管理人员,审计、内控、调查人员 课程方式:知识讲授+视频赏析+现场讨论+案例分析+游戏互动 课程大纲 导入1:各国中小企业寿命对比及存活的关键是什么? 导入2:大型企业如华为的内部涅槃(央视面对面对华为的采访片段) 关注点:最高目标是活下去 第一讲:风险与风险管理 一、风险及管理 1. 认识风险 案例:北太平洋阿拉斯加海域帝王蟹捕捞,5天时间爆赚70万 风险:对目标产生影响的一种不确定性 2. 风险的度量: 风险矩阵:可能性、影响度(黑天鹅、灰犀牛) 数据解析:ACFE权威统计结果 3. 风险的一般分类(9大类) 4. 风险的一般应对办法(4种) 1)规避 2)转移 3)减轻 4)接受 5. 华为对风险的管理优秀实践 分类:华为4大风险 1)风险管理融于业务:大部分基于流程管理。以规则的确定性面对未来的不确定性。 2)合规职责边界清晰:仅指对外合规(包括国内国外)。 3)内控风险定义清晰:能通过内部流程和制度进行管理闭环的风险叫内控风险。 二、内控风险管理 1. 业界内控管理的公认标准:COSO模型 1)COSO模型的5个基本维度 a控制环境(管理基调、经营环境、权责划分等) b风险评估(风险控制矩阵、工具评估等) c控制活动(审批流、SOD、授权、绩效评价等) d信息和交流(信息流情况、系统应用控制测试ITAC等) e监控(测试等) 2)COSO模型的3个目标: a经营目标:经营效率效果的提升 b财报目标:财务报告的可靠、准确 c合规目标:合法合规 案例:东芝财务造假案例(管理层集体辞职) 案例:杭州电商小二贪污近亿元。 2. 萨班斯法案(SOX)解读 1)SOX法案缘起与要点(404条款) 2)企业内部控制报告关于管理者责任的体现(沃尔玛) 第二讲:华为内控体系建设历程和启示 一、华为监管相关组织的区别与协同 图解:华为集团组织治理结构图 1. 内审组织-第三方独立,偏事后 2. 稽查组织-(前后有变化)隶属业务,偏事中 3. 内控组织-隶属财务,偏事前事中 4. 质量组织-隶属业务,协助业务主管和流程owner管理流程质量 5. 其他组织-如子公司董事会、道德遵从委员会/OEC、HRC等 二、华为内控组织建设历程 1. 横空出世(2007-2009)——从华为虚心向IBM学习开始 2. 相敬如“兵”(2010-2011)——内控阻力来自哪里,从哪里入手? 3. 相敬如“冰”(2012-2013)——内控从“要我做”到“我要做”? 4. 相敬如“宾”(2014-2017)——董事会的“3年达标内控基本满意”要求带来了什么? 5. 融于业务(2018-)——数字化、智能化 三、华为内控体系建设-一点两面三三制 1. 一点:华为内控目标-促经营,防腐败 案例1:超合同界面交付审视——以内控促经营,向管理要利润 案例2:华为慧通管理——舞弊三角理论,压缩腐败空间 2. 两面:流程体系建设+责任体系建设 1)以改进为核心的流程体系建设(流程建设5问) 2)以问责为核心的责任体系建设(华为全球责任体系分解) 互动讨论:为什么华为是以问责为核心的责任体系建设?您的企业是如何做的? 3. 三三制:三个角色,三个工具 1)内控三道防线三个角色: a业务管理者/流程管理者(BO/PO) b业务控制人和流程控制人(BC/PC) c内审部(IA) 2)内控三大工具 a遵从性测试(CT) b主动性审视(PR) c半年度控制评估(SACA) 案例讨论:三个角色用三个工具的日常协同 四、华为内控管理工具包(6大包) 工具一:关键控制点(KCP) 使用要点:精准找到流程的关键控制环节 案例与讨论:采购流程的KCP识别与分析 工具二:职责分离(SOD) 设计要点:一个角色不做相互冲突的两件事 模型:职责分离矩阵 工具三:遵从性测试(CT) 工具四:主动性审视(PR) 1)流程设计情况审视 2)流程执行情况审视 3)内控工具质量审视 案例与讨论:重复PO/PR主动性审视案例与分析 工具五:半年度控制评估SACA(5要素) 1)报告对象 2)基本步骤 3)评级标准(内控成熟度) 4)问卷 5)评级方法 工具六:风险改进与闭环(RT) ——华为内控系统(BCIT):SOD/KCP/CT/PR/SACA/RT之间相互协同与承载 大型场景演练:分组输出成熟的CT报告、PR报告、SACA报告 第三讲:华为内控全球化的挑战和应对 一、业务全球化给内控建设带来的压力和挑战 1. 全球矩阵式结构下多维度内控管理的挑战 2. 内控语言/工具/汇报全球化的挑战 3. 内控风险属地化,一国一策的挑战 应对:如何设计全球化的内控管理模式? 二、全球内控高目标达标压力的挑战 1.不同区域,现状不一,目标相同 2.不同业务,阶段不同,目标相同 应对:如何拉其集团内控目标的管理节奏? 三、审计的挑战 1.审计评估周期与业务自评周期不一致 2.审计项目点的发现与评估面的冲突 3.规模性腐败案件对内控成熟度的影响 案例研讨:审计VS业务,内控成熟度的评估以谁的结果为准? 应对:如何拉齐不同监督部门的口径? 实战演练:你是华为海外中东地区部的内控负责人,区域下属13个国家/代表处,情况非常复杂,多平台,多业务,多国家,内控成熟度不一,请你沉浸式组织该地区部的SACA评估,并定稿结果。SACA报告至少包括以下内容: 1)地区部的整体内控成熟度 2)地区部TOP3的重要问题 3)分国家的简单点评 第四讲:内控数字化及下一步发展启示 一、华为内控的数字化发展过程 1. 内控概念化阶段:2008年-2011年 2. 内控规范化阶段:2012年-2013年 3. 内控集成化阶段:2014年-2017年 4. 内控数字化阶段:2017年-至今 二、华为内控数字化关键点解读 1.背景: 1)业务发展的需要 2)全球合规建设的要求(数据隐私保护等) 3)精兵简政与提效 2.主要工具 1)内控数字化探针 2)内控数字化模型 3)内控风险大屏化下的快速测试与预警 3.全球化的内控联动 三、新形势下华为内控体系的变化 1.“内忧外患”下的华为业务组织变阵(成立多个军团突围) 2.华为内控组织及工具的优化 3.华为区域监督型子公司董事会的运作 4.合规已经是华为新的战场 四、华为内控体系建设实践的总体启示 1.内控是一个系统工程 2.内控核心要提供价值 3.内控永远没有100分 4.华为一点两面三三制值得所有企业学习
|