深度好文 | 华为“一点两面三三制”风险内控体系|三三制|财务

点击关注AMTGROUP，即时了解AMT前沿研究与最佳实践

何为阳光采购？企业应该如何建设采购内部的控制体系？管理者为什么要关注内部控制？华为多年实践总结出一个道理：在采购内部建立防线，可以有效减少公司不必要的浪费和损失、防止群体腐败、改善公司运营的KPI、增加内控的成熟度，最终达到提升管理效益和预防风险的目的！

管理者为什么要关注内部控制

安然公司&安信达公司丑闻

2000年，世界上最大的电力天然气及电信公司安然公司，因为财务造假丑闻，于2001年申请破产保护。负责审计安然公司的安达信会计事务所，本来是当时公认的世界五大会计师事务所之一，因为公开承认销毁了与安然审计有关的档案造成会计丑闻，不得不结束了九十年的会计审计的业务。

安然事件引起了美国上下震动，美国国会也因此颁布了萨班斯法案（ SOX法案），强调企业内部控制的重要性，也强调管理者要对内控负起应有的责任。

萨班斯法案（SOX法案）

安然和安信达公司事件，催生了萨班斯法案（ SOX法案），其中的404 和303 条款分别强调了内部控制的重要性及管理者面对内控的责任。

• 404 条款提及：管理层应主导设计公司内部框架，并评估和提交关于内控有效性的报告。

• 303 条款提及：管理层确保财务报告的相关控制可靠和有效，并签署声明以上还需外部审计师出具评估报告。

由此可见，关注内部控制是外部监管者的要求，也是投资者信心的保障。注册舞弊审查师协会在2012年的调查显示：由于公司内部控制不充分引起的欺骗、浪费、失去的机会导致3-7% 的收入损失。通过内控机制防止群体腐败、改善公司运营的KPI，增强内控的成熟度，可以为公司提升管理效益。不仅如此，还可达到法律合规，减少受罚、诉讼风险和公关危机。

华为公司的内部控制体系有何出彩

华为公司在2013年12月，聘请了国际内审协会主席担任华为内审部副总裁，并结合IBM实践创建华为特有的内部控制体系，华为的老总任正非先生也在会上提出了自己的理解和要求。简而言之，华为的风险内控体系可以归结为一句话：一点两面三三制。

内控管理内部控制体系的一点

确立了华为内部控制管内部管理系统的目标，通过流程遵从，一步一步地提高运营效率、改善业务KPI、防止群体腐败、提升内部控制的成熟度，最终达到一个目标：促进业务目标达成、杜绝腐败发生。

内部控制基本概念-运作机制：两面

两面的第一面是指流程体系建设，古人云，“无规矩，不成方圆。”

适应性强的流程，是内控合规的先决条件和基础。为了避免长的审批流程，我们应当设置少而精的流程，关键控制点KCP（The Key Control Point），同时结合考虑业务和财务的目标，每个流程节点的责任都应该清晰地定义及反映这个流程独特的价值。

华为公司作为一个全球的跨国公司，遍布全球、各大洲、各大国家和各个区，当地代表处的结构组织，应该根据公司上层的流程文件的关键控制点，结合当地的实际情况来适应当地的环境，并且遵循外部规则来修正或设计当地的下一层级和下一级流程。

至于KCP关键控制点的要求，我们举一个例子：采购有一个重要的环节叫供应商认证，在这个流程里有一个关键的控制点，叫确保认证供应商的合法企业是符合资质的，那么它的KCP设置就包括：

第一，认证的供应商要满足最低资质要求；

第二，供应商所有的注册文件是否合法有效；

第三，供应商的资质综合评估报告是否经过认证小组和采购决策评审组织三分之二的成员批准或者通过。

两面的另外一面叫责任体系建设，它的基础依然是流程体系建设所提及的：在每个流程的节点，清晰地定义每个角色的责任，同时建立采购问责制度和质量扣分制，对采购人员做到真正的有据可依、有法必依、违法必究。

内控管理内部控制体系的三三制

第一个三：内控的三道防线

上图是华为内控的三道防线。任总曾经在内部讲话时，专门提及华为内控的三道防线。

第一道防线是业务主管，我们称之为流程的Owner或是业务的Owner。第一层防线的各个业务主管，必须在业务运作中控制风险，这是最重要的防线，企业应该把90% 以上的精力放在第一层防线的建设。不仅如此，第一层防线既要有规范性还要有灵活性，没有灵活性就不能响应不同客户服务的需要，最终的目的还是让业务主管承担起内控的责任。

第二道防线是以财经管理系统的内控管理部牵头，并且分布在各个业务职能部门的内控人员与队伍，我们称之为流程的Controller，也就是Process Controller或者业务的Controller。这个职位多数是兼职的，他们作为公司内控的第二道防线，主要职责是担负起内部控制方法论的推广，建立起流程监控的制度、岗位、角色，并给广大的业务主管进行内控的赋能，再让业务主管走向前线。

第三道防线是公司的独立审计。第一道防线要把绝大部分工作要做完，但是他们可能有疏忽，所以我们通过第三道防线的监督，通过对疏漏的检查建立起冷威慑，同时可以修补漏洞。任总强调，华为在第三道防线的公司独立审计永远不会消失。通过建立起第三道防线的冷威慑，以此配合第一道防线的建设。

第二个三：内控三大工具CT、PR、SACA

内控管理内部控制第一个工具叫CT（ Compliance Testing），它是指流程的Owner、指定的独立人员要对流程关键控制点KCP进行例行的检查测试。上文提及流程体系的每一个流程节点都会有关键控制点，而CT就是要确认这些KCP是否有效执行，以此改进流程的遵从性，同时也确认KCP是否设置合理。CT等于是日常的自我检查，一般每个月做一次测试，在华为内部由系统进行自动抽样，基本上覆盖了所有重大的采购项目。而后内控人员就会按照流程的规定复盘这些重要的采购项目，检查它们是否符合流程的KCP。

内控管理内部控制的第二个工具叫PR（ Proactive Review），也是业务部门主管发起的一种自我检查。它聚焦在采购项目执行过程中的业务痛点，帮助项目识别及发现问题，并基于流程改进问题，所以它的出发点就是业务的痛点、流程的效率和业务的产出。由于华为在推行CT的初期，各个部门良莠不齐，CT发现内控的问题仅占10% 左右，而PR可以检查CT的质量，发现Top级的业务问题。因此，PR发现的问题量往往占80% 左右，PR的主要用途是复核CT的工作质量以发现未知的风险。

内控管理内部控制的第三种工具是SACA（Semi-annual Control Assessment）。SACA每半年进行一次内控评估，它是各级管理者对自己所负责的业务领域的内部控制系统的设计，可以对执行的有效性进行全面评估，旨在客观评估整体业务风险和改进情况，支撑相关领域的自我改进和自我管理。

如果CT是日常的自我检查，PR是特殊的专项检查，那么SACA就是全身整体的检查。它主要涵盖5 个方面：第一，流程内控；第二，财报内控；第三，反腐败；第四，合规运营；第五，自我管理机制。流程内控、财报内控、反腐败合规运营是评估的结果，而自我管理机制能够保证这些结果被持续地发现。

华为阳光采购内控体系小结

一点目标，两面体系建设，三道防线，三种内控工具，“一点两面三三制”贯彻华为的采购内控体系，为企业减少浪费和损失、防止群体腐败、改善公司运营的KPI、增强内控的成熟度，最终达到提升管理效益和预防风险的目的。

未来的企业战争不再是单一企业和单一企业的竞争，而是供应链和供应链的竞争。针对此，供应链&采构管理实战专家谢智为大家带来《需求驱动供应链规划与设计》课程，助力管理者们打造需求驱动供应链管理模式，提升交付、利润和现金流！

更多精彩内容，欢迎扫码学习

现在开启学习还可以免费试听哦~

课程介绍：本课程结合大量实战案例，深入解读如何从“市场需求管理、精益研发设计、供应网络设计和卓越运营”四个方面全流程系统化地去规划和设计企业的需求驱动供应链。