ENGLISH
為(wèi)阳光采購(gòu)?企业应该如何建设采購(gòu)内部的控制體(tǐ)系?管理(lǐ)者為(wèi)什么要关注内部控制?华為(wèi)多(duō)年实践总结出一个道理(lǐ):在采購(gòu)内部建立防線(xiàn),可(kě)以有(yǒu)效减少公司不必要的浪费和损失、防止群體(tǐ)腐败、改善公司运营的KPI、增加内控的成熟度,最终达到提升管理(lǐ)效益和预防风险的目的!
管理(lǐ)者為(wèi)什么要关注内部控制
1) 安然公司&安信达公司丑闻
2000年, 世界上最大的電(diàn)力天然气及電(diàn)信公司安然公司, 因為(wèi)财務(wù)造假丑闻, 于2001年申请破产保护。负责审计安然公司的安达信会计事務(wù)所,本来是当时公认的世界五大会计师事務(wù)所之一,因為(wèi)公开承认销毁了与安然审计有(yǒu)关的档案造成会计丑闻,不得不结束了九十年的会计审计的业務(wù)。
安然事件引起了美國(guó)上下震动, 美國(guó)國(guó)会也因此颁布了萨班斯法案( SOX法案),强调企业内部控制的重要性,也强调管理(lǐ)者要对内控负起应有(yǒu)的责任。
2) 萨班斯法案(SOX法案)
安然和安信达公司事件,催生了萨班斯法案( SOX法案),其中的404 和303 条款分(fēn)别强调了内部控制的重要性及管理(lǐ)者面对内控的责任。
• 404 条款提及:管理(lǐ)层应主导设计公司内部框架,并评估和提交关于内控有(yǒu)效性的报告。
• 303 条款提及:管理(lǐ)层确保财務(wù)报告的相关控制可(kě)靠和有(yǒu)效,并签署声明以上还需外部审计师出具评估报告。
由此可(kě)见,关注内部控制是外部监管者的要求,也是投资者信心的保障。注册舞弊审查师协会在2012年的调查显示:由于公司内部控制不充分(fēn)引起的欺骗、浪费、失去的机会导致3-7% 的收入损失。通过内控机制防止群體(tǐ)腐败、改善公司运营的KPI,增强内控的成熟度,可(kě)以為(wèi)公司提升管理(lǐ)效益。不仅如此,还可(kě)达到法律合规,减少受罚、诉讼风险和公关危机。
华為(wèi)公司的内部控制體(tǐ)系有(yǒu)何出彩
华為(wèi)公司在2013年12月,聘请了國(guó)际内审协会主席担任华為(wèi)内审部副总裁,并结合IBM实践创建华 為(wèi)特有(yǒu)的内部控制體(tǐ)系,华為(wèi)的老总任正非先生也在会上提出了自己的理(lǐ)解和要求。简而言之,华為(wèi)的风险内控體(tǐ)系可(kě)以归结為(wèi)一句话:一点两面三三制。
1) 内控管理(lǐ)内部控制體(tǐ)系的一点
确立了华為(wèi)内部控制管内部管理(lǐ)系统的目标,通过流程遵从,一步一步地提高运营效率、改善业務(wù)KPI、防止群體(tǐ)腐败、提升内部控制的成熟度,最终达到一个目标:促进业務(wù)目标达成、杜绝腐败发生。
2) 内部控制基本概念-运作机制:两面
两面的第一面是指流程體(tǐ)系建设,古人云,“无规矩,不成方圆。”
适应性强的流程,是内控合规的先决条件和基础。為(wèi)了避免長(cháng)的审批流程,我们应当设置少而精的流程,关键控制点KCP(The Key Control Point),同时结合考虑业務(wù)和财務(wù)的目标,每个流程节点的责任都应该清晰地定义及反映这个流程独特的价值。
华為(wèi)公司作為(wèi)一个全球的跨國(guó)公司,遍布全球、各大洲、各大國(guó)家和各个區(qū),当地代表处的结构组织,应该根据公司上层的流程文(wén)件的关键控制点,结合当地的实际情况来适应当地的环境,并且遵循外部规则来修正或设计当地的下一层级和下一级流程。
至于KCP关键控制点的要求,我们举一个例子:采購(gòu)有(yǒu)一个重要的环节叫供应商(shāng)认证,在这个流程里有(yǒu)一个关键的控制点,叫确保认证供应商(shāng)的合法企业是符合资质的,那么它的KCP设置就包括:
第一, 认证的供应商(shāng)要满足最低资质要求;
第二, 供应商(shāng)所有(yǒu)的注册文(wén)件是否合法有(yǒu)效;
第三, 供应商(shāng)的资质综合评估报告是否经过认证小(xiǎo)组和采購(gòu)决策评审组织三分(fēn)之二的成员批准或者通过。
两面的另外一面叫责任體(tǐ)系建设,它的基础依然是流程體(tǐ)系建设所提及的:在每个流程的节点,清晰地定义每个角色的责任,同时建立采購(gòu)问责制度和质量扣分(fēn)制,对采購(gòu)人员做到真正的有(yǒu)据可(kě)依、有(yǒu)法必依、违法必究。
3) 内控管理(lǐ)内部控制體(tǐ)系的三三制
第一个三:内控的三道防線(xiàn)
上图是华為(wèi)内控的三道防線(xiàn)。任总曾经在内部讲话时,专门提及华為(wèi)内控的三道防線(xiàn)。
第一道防線(xiàn)是业務(wù)主管,我们称之為(wèi)流程的Owner或是业務(wù)的Owner。第一层防線(xiàn)的各个业務(wù)主管,必须在业務(wù)运作中控制风险,这是最重要的防線(xiàn),企业应该把90% 以上的精力放在第一层防線(xiàn)的建设。不仅如此,第一层防線(xiàn)既要有(yǒu)规范性还要有(yǒu)灵活性,没有(yǒu)灵活性就不能(néng)响应不同客户服務(wù)的需要,最终的目的还是让业務(wù)主管承担起内控的责任。
第二道防線(xiàn)是以财经管理(lǐ)系统的内控管理(lǐ)部牵头,并且分(fēn)布在各个业務(wù)职能(néng)部门的内控人员与队伍, 我们称之為(wèi)流程的Controller,也就是Process Controller或者业務(wù)的Controller。这个职位多(duō)数是兼职的,他(tā)们作為(wèi)公司内控的第二道防線(xiàn),主要职责是担负起内部控制方法论的推广,建立起流程监控的制度、岗位、角色,并给广大的业務(wù)主管进行内控的赋能(néng),再让业務(wù)主管走向前線(xiàn)。
第三道防線(xiàn)是公司的独立审计。第一道防線(xiàn)要把绝大部分(fēn)工作要做完,但是他(tā)们可(kě)能(néng)有(yǒu)疏忽,所以我们通过第三道防線(xiàn)的监督,通过对疏漏的检查建立起冷威慑,同时可(kě)以修补漏洞。任总强调,华為(wèi)在第三道防線(xiàn)的公司独立审计永遠(yuǎn)不会消失。通过建立起第三道防線(xiàn)的冷威慑,以此配合第一道防線(xiàn)的建设。
第二个三:内控三大工具CT、PR、SACA
内控管理(lǐ)内部控制第一个工具叫CT( Compliance Testing),它是指流程的Owner、指定的独立人员要对流程关键控制点KCP进行例行的检查测试。上文(wén)提及流程體(tǐ)系的每一个流程节点都会有(yǒu)关键控制点,而CT就是要确认这些KCP是否有(yǒu)效执行,以此改进流程的遵从性,同时也确认KCP是 否设置合理(lǐ)。CT等于是日常的自我检查,一般每个月做一次测试,在华為(wèi)内部由系统进行自动抽样,基本上覆盖了所有(yǒu)重大的采購(gòu)项目。而后内控人员就会按照流程的规定复盘这些重要的采購(gòu)项目,检查它们是否符合流程的KCP。
内控管理(lǐ)内部控制的第二个工具叫PR( Proactive Review),也是业務(wù)部门主管发起的一种自我检查。它聚焦在采購(gòu)项目执行过程中的业務(wù)痛点,帮助项目识别及发现问题,并基于流程改进问题,所以它的出发点就是业務(wù)的痛点、流程的效率和业務(wù)的产出。由于华為(wèi)在推行CT的初期,各个部门良莠不齐,CT发现内控的问题仅占10% 左右,而PR可(kě)以检查CT的质量,发现Top级的业務(wù)问题。因此,PR发现的问题量往往占80% 左右,PR的主要用(yòng)途是复核CT的工作质量以发现未知的风险。
内控管理(lǐ)内部控制的第三种工具是SACA(Semi-annual Control Assessment)。SACA每半年进行一次内控评估,它是各级管理(lǐ)者对自己所负责的业務(wù)领域的内部控制系统的设计,可(kě)以对执行的有(yǒu)效性进行全面评估,旨在客观评估整體(tǐ)业務(wù)风险和改进情况,支撑相关领域的自我改进和自我管理(lǐ)。
如果CT是日常的自我检查,PR是特殊的专项检查,那么SACA就是全身整體(tǐ)的检查。它主要涵盖5 个方面:第一,流程内控;第二,财报内控;第三,反腐败;第四,合规运营;第五,自我管理(lǐ)机制。流程内控、财报内控、反腐败合规运营是评估的结果,而自我管理(lǐ)机制能(néng)够保证这些结果被持续地发现。
华為(wèi)阳光采購(gòu)内控體(tǐ)系小(xiǎo)结
一点目标,两面體(tǐ)系建设,三道防線(xiàn),三种内控工具,“一点两面三三制”贯彻华為(wèi)的采購(gòu)内控體(tǐ)系,為(wèi)企业减少浪费和损失、防止群體(tǐ)腐败、改善公司运营的KPI、增强内控的成熟度, 最终达到提升管理(lǐ)效益和预防风险的目的。
400-881-2881
All Rights Reserved