课程背景:
大多数企业内控中,面临着业务与内控分裂、发展与风险控制失衡:
1. 高层对内控认识不足、不重视,没有有效引领各级主管做好内控的决心和方法论
2. 业务部门对内控、审计、财务风险控制等敬而远之,处于对立面,猫捉老鼠
3. 业务觉得内控阻碍业务发展,内控觉得工作无法开展、充满挫败、人员流失高。
4. 全球企业内控问题频发。美国安然公司,因为财务造假丑闻,于2001年申请破产保护。负责审计的安达信会计事务所,公开承认销毁了与安然审计有关的档案造成会计丑闻,也不得不结束了90年的会计审计业务,五大从此变成了四大。
安然事件引起全球震动,美国国会也因此颁发塞班斯法案(SOX法案),强调企业内部控制的重要性,强调管理者要对内控负起应有的责任。但此后,东芝、瑞幸、恒大等仍重复出现财务造假,更多企业爆出各类本可以通过内控预防的系统性舞弊问题,这些问题均对企业造成巨大负面影响,甚至导致破产。
而华为内控,用实践实现业务与内控统一、发展与风险控制平衡。
华为CEO任正非强调:“一个企业必然是在发展中解决问题,不能因为腐败而不发展,也不能因为发展而放任腐败。反腐败、反造假、反浪费,是华为建立内部监督机制的出发点。为此华为内控体系建设了三道防线。”
2007年,内控管理作为华为IFS的子项目,从零开始。十年磨一剑,如今,内控意识、内控机制、内控能力已浸入到各个业务活动之中,业务在哪儿,内控就在哪儿,形成了以“流程责任和组织责任”为基础的全球内控管理体系,且内控价值体现在了经营结果改善上,真正实现了“以内控促经营,向管理要利润”。
当前企业面临着日益复杂和多变的市场环境,企业内部控制管理作为企业核心管理活动的重要组成部分,对于企业的长期发展、及时排雷、竞争力提升以及价值创造具有至关重要的作用。
本课程应运而生,旨在培养学员全面风控思维,掌握内控工具方法,对标优秀企业的内控实践,助力企业风险控制和商业成功。
课程收益:
●学习全球内控管理的COSO模型和塞班斯(SOX)法案
●对标华为监管体系不同部门的定位、职能边界及如何有效协同;
●掌握华为内控管理的组织、流程、责任设计,针对性搭建企业内控管理体系;
●解读华为内控如何“破冰”,如何“以内控促经营,向管理要利润”
●学习和研讨、演练华为内控管理的“一点两面三三制”
●掌握华为内控管理的主要工具,并初步评估内控成熟度
●针对全球化(出海)企业的特点,对标华为国际化内控建设实践
●学习华为数字化内控,探索下一步方向
课程时间:2天,6小时/天
课程对象:企业中高级管理人员,审计、内控、调查人员
课程方式:知识讲授+视频赏析+现场讨论+案例分析+游戏互动
课程大纲
导入1:各国中小企业寿命对比及存活的关键是什么?
导入2:大型企业如华为的内部涅槃(央视面对面对华为的采访片段)
关注点:最高目标是活下去
第一讲:风险与风险管理
一、风险及管理
1. 认识风险
案例:北太平洋阿拉斯加海域帝王蟹捕捞,5天时间爆赚70万
风险:对目标产生影响的一种不确定性
2. 风险的度量:
风险矩阵:可能性、影响度(黑天鹅、灰犀牛)
数据解析:ACFE权威统计结果
3. 风险的一般分类(9大类)
4. 风险的一般应对办法(4种)
1)规避
2)转移
3)减轻
4)接受
5. 华为对风险的管理优秀实践
分类:华为4大风险
1)风险管理融于业务:大部分基于流程管理。以规则的确定性面对未来的不确定性。
2)合规职责边界清晰:仅指对外合规(包括国内国外)。
3)内控风险定义清晰:能通过内部流程和制度进行管理闭环的风险叫内控风险。
二、内控风险管理
1. 业界内控管理的公认标准:COSO模型
1)COSO模型的5个基本维度
a控制环境(管理基调、经营环境、权责划分等)
b风险评估(风险控制矩阵、工具评估等)
c控制活动(审批流、SOD、授权、绩效评价等)
d信息和交流(信息流情况、系统应用控制测试ITAC等)
e监控(测试等)
2)COSO模型的3个目标:
a经营目标:经营效率效果的提升
b财报目标:财务报告的可靠、准确
c合规目标:合法合规
案例:东芝财务造假案例(管理层集体辞职)
案例:杭州电商小二贪污近亿元。
2. 萨班斯法案(SOX)解读
1)SOX法案缘起与要点(404条款)
2)企业内部控制报告关于管理者责任的体现(沃尔玛)
第二讲:华为内控体系建设历程和启示
一、华为监管相关组织的区别与协同
图解:华为集团组织治理结构图
1. 内审组织-第三方独立,偏事后
2. 稽查组织-(前后有变化)隶属业务,偏事中
3. 内控组织-隶属财务,偏事前事中
4. 质量组织-隶属业务,协助业务主管和流程owner管理流程质量
5. 其他组织-如子公司董事会、道德遵从委员会/OEC、HRC等
二、华为内控组织建设历程
1. 横空出世(2007-2009)——从华为虚心向IBM学习开始
2. 相敬如“兵”(2010-2011)——内控阻力来自哪里,从哪里入手?
3. 相敬如“冰”(2012-2013)——内控从“要我做”到“我要做”?
4. 相敬如“宾”(2014-2017)——董事会的“3年达标内控基本满意”要求带来了什么?
5. 融于业务(2018-)——数字化、智能化
三、华为内控体系建设-一点两面三三制
1. 一点:华为内控目标-促经营,防腐败
案例1:超合同界面交付审视——以内控促经营,向管理要利润
案例2:华为慧通管理——舞弊三角理论,压缩腐败空间
2. 两面:流程体系建设+责任体系建设
1)以改进为核心的流程体系建设(流程建设5问)
2)以问责为核心的责任体系建设(华为全球责任体系分解)
互动讨论:为什么华为是以问责为核心的责任体系建设?您的企业是如何做的?
3. 三三制:三个角色,三个工具
1)内控三道防线三个角色:
a业务管理者/流程管理者(BO/PO)
b业务控制人和流程控制人(BC/PC)
c内审部(IA)
2)内控三大工具
a遵从性测试(CT)
b主动性审视(PR)
c半年度控制评估(SACA)
案例讨论:三个角色用三个工具的日常协同
四、华为内控管理工具包(6大包)
工具一:关键控制点(KCP)
使用要点:精准找到流程的关键控制环节
案例与讨论:采购流程的KCP识别与分析
工具二:职责分离(SOD)
设计要点:一个角色不做相互冲突的两件事
模型:职责分离矩阵
工具三:遵从性测试(CT)
工具四:主动性审视(PR)
1)流程设计情况审视
2)流程执行情况审视
3)内控工具质量审视
案例与讨论:重复PO/PR主动性审视案例与分析
工具五:半年度控制评估SACA(5要素)
1)报告对象
2)基本步骤
3)评级标准(内控成熟度)
4)问卷
5)评级方法
工具六:风险改进与闭环(RT)
——华为内控系统(BCIT):SOD/KCP/CT/PR/SACA/RT之间相互协同与承载
大型场景演练:分组输出成熟的CT报告、PR报告、SACA报告
第三讲:华为内控全球化的挑战和应对
一、业务全球化给内控建设带来的压力和挑战
1. 全球矩阵式结构下多维度内控管理的挑战
2. 内控语言/工具/汇报全球化的挑战
3. 内控风险属地化,一国一策的挑战
应对:如何设计全球化的内控管理模式?
二、全球内控高目标达标压力的挑战
1.不同区域,现状不一,目标相同
2.不同业务,阶段不同,目标相同
应对:如何拉其集团内控目标的管理节奏?
三、审计的挑战
1.审计评估周期与业务自评周期不一致
2.审计项目点的发现与评估面的冲突
3.规模性腐败案件对内控成熟度的影响
案例研讨:审计VS业务,内控成熟度的评估以谁的结果为准?
应对:如何拉齐不同监督部门的口径?
实战演练:你是华为海外中东地区部的内控负责人,区域下属13个国家/代表处,情况非常复杂,多平台,多业务,多国家,内控成熟度不一,请你沉浸式组织该地区部的SACA评估,并定稿结果。SACA报告至少包括以下内容:
1)地区部的整体内控成熟度
2)地区部TOP3的重要问题
3)分国家的简单点评
第四讲:内控数字化及下一步发展启示
一、华为内控的数字化发展过程
1. 内控概念化阶段:2008年-2011年
2. 内控规范化阶段:2012年-2013年
3. 内控集成化阶段:2014年-2017年
4. 内控数字化阶段:2017年-至今
二、华为内控数字化关键点解读
1.背景:
1)业务发展的需要
2)全球合规建设的要求(数据隐私保护等)
3)精兵简政与提效
2.主要工具
1)内控数字化探针
2)内控数字化模型
3)内控风险大屏化下的快速测试与预警
3.全球化的内控联动
三、新形势下华为内控体系的变化
1.“内忧外患”下的华为业务组织变阵(成立多个军团突围)
2.华为内控组织及工具的优化
3.华为区域监督型子公司董事会的运作
4.合规已经是华为新的战场
四、华为内控体系建设实践的总体启示
1.内控是一个系统工程
2.内控核心要提供价值
3.内控永远没有100分
4.华为一点两面三三制值得所有企业学习
