课程背景：

大多数企业内控中，面临着业务与内控分裂、发展与风险控制失衡：

1. 高层对内控认识不足、不重视，没有有效引领各级主管做好内控的决心和方法论

2. 业务部门对内控、审计、财务风险控制等敬而远之，处于对立面，猫捉老鼠

3. 业务觉得内控阻碍业务发展，内控觉得工作无法开展、充满挫败、人员流失高。

4. 全球企业内控问题频发。美国安然公司，因为财务造假丑闻，于2001年申请破产保护。负责审计的安达信会计事务所，公开承认销毁了与安然审计有关的档案造成会计丑闻，也不得不结束了90年的会计审计业务，五大从此变成了四大。

安然事件引起全球震动，美国国会也因此颁发塞班斯法案（SOX法案），强调企业内部控制的重要性，强调管理者要对内控负起应有的责任。但此后，东芝、瑞幸、恒大等仍重复出现财务造假，更多企业爆出各类本可以通过内控预防的系统性舞弊问题，这些问题均对企业造成巨大负面影响，甚至导致破产。

而华为内控，用实践实现业务与内控统一、发展与风险控制平衡。

华为CEO任正非强调：“一个企业必然是在发展中解决问题，不能因为腐败而不发展，也不能因为发展而放任腐败。反腐败、反造假、反浪费，是华为建立内部监督机制的出发点。为此华为内控体系建设了三道防线。”

2007年，内控管理作为华为IFS的子项目，从零开始。十年磨一剑，如今，内控意识、内控机制、内控能力已浸入到各个业务活动之中，业务在哪儿，内控就在哪儿，形成了以“流程责任和组织责任”为基础的全球内控管理体系，且内控价值体现在了经营结果改善上，真正实现了“以内控促经营，向管理要利润”。

当前企业面临着日益复杂和多变的市场环境，企业内部控制管理作为企业核心管理活动的重要组成部分，对于企业的长期发展、及时排雷、竞争力提升以及价值创造具有至关重要的作用。

本课程应运而生，旨在培养学员全面风控思维，掌握内控工具方法，对标优秀企业的内控实践，助力企业风险控制和商业成功。

课程收益：

● 学习全球内控管理的COSO模型和塞班斯(SOX)法案

● 对标华为监管体系不同部门的定位、职能边界及如何有效协同；● 掌握华为内控管理的组织、流程、责任设计，针对性搭建企业内控管理体系；● 解读华为内控如何“破冰”，如何“以内控促经营，向管理要利润”● 学习和研讨、演练华为内控管理的“一点两面三三制”● 掌握华为内控管理的主要工具，并初步评估内控成熟度● 针对全球化（出海）企业的特点，对标华为国际化内控建设实践● 学习华为数字化内控，探索下一步方向

课程时间：2天，6小时/天

课程对象：企业中高级管理人员，审计、内控、调查人员

课程方式：知识讲授 视频赏析 现场讨论 案例分析 游戏互动

课程大纲

导入1：各国中小企业寿命对比及存活的关键是什么？

导入2：大型企业如华为的内部涅槃（央视面对面对华为的采访片段）

关注点：最高目标是活下去

第一讲：风险与风险管理

一、风险及管理

1. 认识风险

案例：北太平洋阿拉斯加海域帝王蟹捕捞，5天时间爆赚70万

风险：对目标产生影响的一种不确定性

2. 风险的度量：

风险矩阵：可能性、影响度（黑天鹅、灰犀牛）

数据解析：ACFE权威统计结果

3. 风险的一般分类（9大类）

4. 风险的一般应对办法（4种）

规避

转移

减轻

接受

5. 华为对风险的管理优秀实践

分类：华为4大风险

1）风险管理融于业务：大部分基于流程管理。以规则的确定性面对未来的不确定性。

2）合规职责边界清晰：仅指对外合规（包括国内国外）。

3）内控风险定义清晰：能通过内部流程和制度进行管理闭环的风险叫内控风险。

二、内控风险管理

1. 业界内控管理的公认标准：COSO模型

1）COSO模型的5个基本维度a控制环境（管理基调、经营环境、权责划分等）b风险评估（风险控制矩阵、工具评估等）c控制活动（审批流、SOD、授权、绩效评价等）d信息和交流（信息流情况、系统应用控制测试ITAC等）e监控（测试等）2）COSO模型的3个目标：a经营目标：经营效率效果的提升b财报目标：财务报告的可靠、准确c合规目标：合法合规案例：东芝财务造假案例（管理层集体辞职）

案例：杭州电商小二贪污近亿元。

2. 萨班斯法案（SOX）解读

1）SOX法案缘起与要点（404条款）

2）企业内部控制报告关于管理者责任的体现（沃尔玛）

第二讲：华为内控体系建设历程和启示

华为监管相关组织的区别与协同

图解：华为集团组织治理结构图

内审组织-第三方独立，偏事后

稽查组织-（前后有变化）隶属业务，偏事中

内控组织-隶属财务，偏事前事中

质量组织-隶属业务，协助业务主管和流程owner管理流程质量

其他组织-如子公司董事会、道德遵从委员会/OEC、HRC等

二、华为内控组织建设历程

1. 横空出世（2007-2009）——从华为虚心向IBM学习开始

2. 相敬如“兵”（2010-2011）——内控阻力来自哪里，从哪里入手？

3. 相敬如“冰”（2012-2013）——内控从“要我做”到“我要做”？

4. 相敬如“宾”（2014-2017）——董事会的“3年达标内控基本满意”要求带来了什么？

5. 融于业务（2018-）——数字化、智能化

三、华为内控体系建设-一点两面三三制

1. 一点：华为内控目标-促经营，防腐败

案例1：超合同界面交付审视——以内控促经营，向管理要利润

案例2：华为慧通管理——舞弊三角理论，压缩腐败空间

2. 两面：流程体系建设 责任体系建设

1）以改进为核心的流程体系建设（流程建设5问）

2）以问责为核心的责任体系建设（华为全球责任体系分解）

互动讨论：为什么华为是以问责为核心的责任体系建设？您的企业是如何做的？

3. 三三制：三个角色，三个工具

1）内控三道防线三个角色：a业务管理者/流程管理者（BO/PO）b业务控制人和流程控制人（BC/PC）c内审部（IA）2）内控三大工具a遵从性测试（CT）b主动性审视（PR）c半年度控制评估（SACA）案例讨论：三个角色用三个工具的日常协同

四、华为内控管理工具包（6大包）

工具一：关键控制点（KCP）使用要点：精准找到流程的关键控制环节

案例与讨论：采购流程的KCP识别与分析

工具二：职责分离（SOD）

设计要点：一个角色不做相互冲突的两件事

模型：职责分离矩阵

工具三：遵从性测试（CT）

工具四：主动性审视（PR）

1）流程设计情况审视

2）流程执行情况审视

3）内控工具质量审视

案例与讨论：重复PO/PR主动性审视案例与分析

工具五：半年度控制评估SACA（5要素）

1）报告对象

2）基本步骤

3）评级标准（内控成熟度）

4）问卷

5）评级方法

工具六：风险改进与闭环（RT）

——华为内控系统（BCIT）：SOD/KCP/CT/PR/SACA/RT之间相互协同与承载

大型场景演练：分组输出成熟的CT报告、PR报告、SACA报告

第三讲：华为内控全球化的挑战和应对

一、业务全球化给内控建设带来的压力和挑战

全球矩阵式结构下多维度内控管理的挑战

内控语言/工具/汇报全球化的挑战

内控风险属地化，一国一策的挑战

应对：如何设计全球化的内控管理模式？

全球内控高目标达标压力的挑战

1. 不同区域，现状不一，目标相同

2. 不同业务，阶段不同，目标相同

应对：如何拉其集团内控目标的管理节奏？

三、审计的挑战

1. 审计评估周期与业务自评周期不一致

2. 审计项目点的发现与评估面的冲突

3. 规模性腐败案件对内控成熟度的影响

案例研讨：审计VS业务，内控成熟度的评估以谁的结果为准？

应对：如何拉齐不同监督部门的口径？

实战演练：你是华为海外中东地区部的内控负责人，区域下属13个国家/代表处，情况非常复杂，多平台，多业务，多国家，内控成熟度不一，请你沉浸式组织该地区部的SACA评估，并定稿结果。SACA报告至少包括以下内容：

1）地区部的整体内控成熟度

2）地区部TOP3的重要问题

3）分国家的简单点评

第四讲：内控数字化及下一步发展启示

一、华为内控的数字化发展过程

内控概念化阶段：2008年-2011年

内控规范化阶段：2012年-2013年

内控集成化阶段：2014年-2017年

内控数字化阶段：2017年-至今

二、华为内控数字化关键点解读

1. 背景：

1）业务发展的需要

2）全球合规建设的要求（数据隐私保护等）

3）精兵简政与提效

2. 主要工具

1）内控数字化探针

2）内控数字化模型

3）内控风险大屏化下的快速测试与预警

3. 全球化的内控联动

三、新形势下华为内控体系的变化

1. “内忧外患”下的华为业务组织变阵（成立多个军团突围）

2. 华为内控组织及工具的优化

3. 华为区域监督型子公司董事会的运作

4. 合规已经是华为新的战场

四、华为内控体系建设实践的总体启示

1. 内控是一个系统工程

2. 内控核心要提供价值

3. 内控永远没有100分

4. 华为一点两面三三制值得所有企业学习