数字化转型网流程与架构专题将关注流程规划、流程设计、流程优化、流程风险管理、流程再造、流程自动化、流程标准化、流程监控与评估、端到端流程、微服务架构、分布式架构、云架构、数据架构、业务架构、技术架构等相关方面。
众所周知,华为在内控方面有着优秀表现
流程化管理:华为强调流程化的企业管理方式,任何业务活动都有明确的结构化流程来指导,通过流程建设将员工从海量的、低价值的、简单重复的工作中解放出来。数字化转型网www.szhzxw.cn
内控与业务融合:华为将内控价值体现在经营结果改善上,将内控工作揉细、掰碎,逐个区域、逐个组织进行讲解、沟通,确保内控管理在经营活动中扎根。数字化转型网www.szhzxw.cn
自动化与效率提升:华为通过自动化验收、开票与核销系统提升OTC流程的作业质量,显著缩短开票时间并降低客户拒票率。数字化转型网www.szhzxw.cn
风险管理:华为设立专门的内控与风险管理部门,定期开展全球业务流程的风险评估,对重要风险进行识别、管理与监控。数字化转型网www.szhzxw.cn
控制环境:华为倡导并维护公司诚信文化,严格遵守企业公民道德相关的法律法规,并制定了员工商业行为准则(BCG),明确全体员工在公司商业行为中必须遵守的基本业务行为标准。
信息与沟通:华为建立了多维度的信息与沟通渠道,及时获取外部信息,并建立内部信息的正式传递渠道,同时在内部网站上建立了所有员工可以自由沟通的心声社区。
监督机制:华为设立了内部投诉渠道、调查机制、防腐机制与问责制度,并在与供应商签订的《诚信廉洁合作协议》中明确相关规则,供应商能根据协议内提供的渠道,举报员工的不当行为。
三层防线:华为建立了内控与风险管理的“三层防线”,包括业务负责人与流程负责人、业务控制人与流程控制人以及内部审计。数字化转型网www.szhzxw.cn
IFS财经变革:华为提出IFS财经变革,主张业财融合,让财务走入业务大门,成为业务的伙伴,助力企业扩张与内控的和谐统一。数字化转型网www.szhzxw.cn
内控考核与问责:华为建立了对各级流程责任人、区域管理者的内控考核、问责及弹劾机制,并例行运作,确保内控状况的持续改进。数字化转型网www.szhzxw.cn
这些方面共同构成了华为内控体系的强大优势,帮助华为在全球范围内实现有效增长和风险控制。
以下我们可以参考华为内控相关政策文件:
一、目的
通过明确企业风险管理的基本原则、运作机制、主要的组织和部门及其角色、职责和权力,以构建并实施企业风险管理体系,从战略规划到执行过程中,减少风险、增加机会、提升绩效。
二、适用范围
本政策适用于华为投资控股有限公司及其全球范围内直接或间接控制的公司,及其所属各部门、各区域、各驻外机构。数字化转型网www.szhzxw.cn
三、风险分类、分层及应对
1、定义
风险:指未来的不确定性对公司实现其经营目标的影响,是企业运营中客观存在的,是在华为的战略规划、外部环境、运营模式及财务系统中识别出来的。数字化转型网www.szhzxw.cn
重大风险:是未来可能对竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。下文所提及的风险均指重大风险。数字化转型网www.szhzxw.cn
2、风险按照主要成因归纳成但不限于以下四种类别:
战略风险:指市场、产品和投资规划或决策等能力有限而影响整个企业中长期生存能力、竞争力、发展方向、战略目标、效益的重要风险,如竞争格局风险等。数字化转型网www.szhzxw.cn
外部风险:指外部环境风险及法律法规遵从风险,如政治和政策风险、法律和法规遵从、自然灾害等。
运营风险:指企业在运营过程中由于内部运作、人力和技术能力的有限性导致运营失败、达不到预期运营目标、造成损失的风险,如业务连续性风险等。数字化转型网www.szhzxw.cn
财务风险:是指由于多种因素的影响,导致公司资金资产损失、财务结构失衡等对公司当期或长期经营结果和声誉产生影响的风险。如客户信用风险、资本架构风险等。
3、风险层级:
1)企业级风险
未来可能对整个企业集团的竞争格局、声誉、财务状况和经营成果、或长远利益产生重大影响的事件,企业级风险往往跨领域(BG/SBG/区域/各责任中心)。数字化转型网www.szhzxw.cn
2)领域级风险
未来可能对某特定领域(BG/SBG/区域/各责任中心)的竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。数字化转型网www.szhzxw.cn
3)风险层级调整
领域级风险当其影响程度重大、或影响范围涉及多个领域时也可能上升为企业级风险;企业级风险当其影响降低时也可能下降为领域级风险。数字化转型网www.szhzxw.cn
4、风险应对的主要措施有:
风险规避:指考虑到影响预定目标达成的诸多风险因素,结合决策者自身的风险偏好和风险承受能力,做出中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。
风险降低:指采取措施降低风险发生的可能性或影响度,或同时降低两者。数字化转型网www.szhzxw.cn
风险转移:指将风险及其可能造成的损失全部或部分转移给他人。常见的方法包括购买保险产品、从事避险交易或外包某项业务。
风险接受:承担风险,不采取措施去干预风险发生的可能性和影响度。
四、基本原则
1、风险管理是业务部门的固有职责,业务部门在获得收益的同时,需承担风险;
2、风险管理要与业务管理相结合,特别是在计划和决策过程中;数字化转型网www.szhzxw.cn
3、风险管理应当从企业整体利益出发,进行跨部门协同管理;
4、积极应对风险可能意味着机会,消极应对风险则可能带来损失;数字化转型网www.szhzxw.cn
5、风险管控的目标并不是一味地将风险降至零,而是根据风险偏好将风险控制在企业可接受范围内。
五、实施风险管理的角色、职责和权力
董事会、财经委员会、Risk Leader、Risk Owner、企业风险管理部、各业务单元CFO是风险管理的关键角色,其职责和权利如下:数字化转型网www.szhzxw.cn
1、董事会
董事会作为负责企业经营和管理的最高权力机构,在风险管理中发挥重要作用,其职责如下:
1)确定高管基调,每年至少一次通过发文、联合声明、宣誓等形式强调风险管理的重要性,建立并不断完善整个企业的风险管理环境;数字化转型网www.szhzxw.cn
2)授权财经委员会负责企业重大风险和合规遵从管控并听取其汇报,必要时进行重大事项决策。
2、财经委员会(以下简称财委会)
在董事会授权下作为风险管理的日常决策机构,对识别和管理企业级风险、指导各领域(BG/SBG/区域/各责任中心)的风险管理负责。其主要职责如下:
1)培育企业风险管理文化;
2)确定风险管理工作战略、规划、路标;
3)审议公司风险管理的框架、政策;数字化转型网www.szhzxw.cn
4)决定企业级风险排序,审批企业风险地图及其变更;
5)审议企业级风险的风险偏好、企业所承受风险的容忍度,报董事会审批;
6)确保高层领导卷入企业级风险管理,将风险管理融入业务管理体系;
7)审议公司业务连续性的执行情况;
8)专题研究和审视、决策涉及公司重大影响的风险;
9)根据需要审批企业级风险管控的专项预算;数字化转型网www.szhzxw.cn
10)向董事会报告企业级和各领域的风险管控状况。
3、 Risk Leader
原则上由公司高级管理者担任,财委会按企业风险地图提名,CEO任命,为跨领域企业级风险第一责任人,领导各相关部门完成该项风险管理工作,其个人绩效承诺(PBC)包含风险管理。其主要职责如下:
1)从公司整体角度,联合相关部门综合评估风险影响,分析风险根因;
2)分解企业级风险的管控责任,指定Risk Owner;数字化转型网www.szhzxw.cn
3)组建跨领域的风险管理工作组,确保风险管控的有效性;
4)决定风险管控的目标、范围及里程碑计划,并监控实施;
5)向财委会汇报该风险的管控状况,确保企业级风险被控制在可接受范围内。
4、 Risk Owner
原则上由各领域(BG/SBG/区域/各责任中心)主管担任,是所负责领域风险管理的第一责任人,其个人绩效承诺(PBC)包含风险管理。其主要职责如下:数字化转型网www.szhzxw.cn
1)对公司获利或声誉有影响的风险承担管理责任,需要将风险控制在可接受范围内;
2)各级管理者应将风险管理与业务紧密结合,在战略规划中识别和评估风险,在业务规划中研究并执行风险管理的对策,并在日常运作中监控这些措施的有效性;
3)及时向财委会或Risk Leader汇报本领域内风险及管控状况;
4)确保本领域员工理解和正确执行风险管理策略;
5)参与年度企业风险地图制定。数字化转型网www.szhzxw.cn
5、企业风险管理部(ERM)
协助财委会及Risk Leader管控企业级风险,是各领域(BG/SBG/区域/各责任中心)风险管理的Partner。其主要职责如下:数字化转型网www.szhzxw.cn
1)对所监管的企业级风险管理框架、相关流程及风险管理项目进行阶段性回顾,协助财委会向董事会汇报;
2)定期汇总各领域(BG/SBG/区域/各责任中心)识别的重大风险,并进行综合评估形成初始的企业风险地图,报财委会审批;数字化转型网www.szhzxw.cn
3)协助财委会和Risk Leader履行风险管理职责,将风险管理纳入其战略及运作中,包括建立恰当的风险管理项目及对策;
4)定期评估各领域(BG/SBG/区域/各责任中心)的风险管理执行情况,监控其风险管理的有效性,并促进风险管理能力持续提升;数字化转型网www.szhzxw.cn
5)开发风险管理的统一方法、流程和运作机制;
6)接受财委会指派,组织及指导跨领域深度风险分析项目(Deep Dive),评估及制定企业级风险管控方案;数字化转型网www.szhzxw.cn
7)协助各领域风险管理团队在风险识别、评估、分析、监控、报告及指标测评中实现最佳实践;
8)通过培训、工具及业务支持等方式协助建立企业风险管理文化并提升员工对企业风险管理的理解;
9)向重大风险涉及的委员会,如战略规划委员会、人力资源委员会、审计委员会等汇报风险管理事宜。
6、各CFO
作为各领域风险管理的支撑主体,协助本领域Risk Owner承担日常风险管理职责。
5.6.1 CFO是财务风险管理的责任主体,同时负责推动、监控和报告业务风险管理运作情况;
5.6.2 CFO履行风险管理职责,在风险管理中扮演重要角色,是风险管理框架中的关键要素,尤其在运作质量保证、法律及合规遵从、财务及运作信息准确等方面确保企业风险管理的有效性。
六、运作机制
1、企业级风险管控
1)每年度对重大风险进行包括优先级排序在内的综合评估,经财委会批准形成风险地图;
2)财委会确定企业级风险应对策略,并提名Risk Leader;数字化转型网www.szhzxw.cn
3) Risk Leader组建跨部门企业级风险管控工作组,按风险管理流程进行风险识别、综合评估和根因分析,制定应对计划并实施,持续监控并形成报告;
4) Risk Leader例行就风险管控状况向财委会报告。数字化转型网www.szhzxw.cn
2、风险管理嵌入SP/BP流程
在战略规划和业务规划中识别、评估、应对、监控和报告风险,在做决策时充分考虑风险因素,在执行过程中包含风险应对措施。数字化转型网www.szhzxw.cn
1)在战略规划中进行风险识别、评估并排序,定义总体管控目标和应对策略;
2)在业务规划中进行根因分析、制定风险应对措施、指定风险责任人及制定预算;
3)在规划执行和日常运营中实施风险应对措施,监控风险控制状况,定期向Risk Owner报告。
3、深度风险分析(Deep Dive)
深度风险分析项目适用于跨业务领域、根因复杂的企业级风险,由财委会批准立项,来源于Risk Leader申请或财委会直接指定。数字化转型网www.szhzxw.cn
1)企业风险管理部协助Risk Leader,组织相关业务部门成立深度风险分析项目组,分析风险根因,形成应对方案;
2)风险应对方案经财委会批准后,Deep Dive关闭,转正常风险管控,由Risk Leader与业务部门实施并向财委会报告。数字化转型网www.szhzxw.cn
七、风险测评
按照风险暴露、风险管控的结果衡量各相关部门风险管理的绩效,测评指标包括但不限于风险敞口、KRI、计分卡、风险管理成熟度等等,对于直接影响财务结果的风险通常使用风险敞口来测评,对不直接影响财务结果的风险通常采用评估应对计划进展的方式测评。数字化转型网www.szhzxw.cn
1、风险敞口(Risk Exposure)
是指未加保护的风险,即因债务人违约行为、内部管理不善、外部遵从等导致的可能承受风险的总量。如:应收账款指当期各账期(包括未到期部分)应收账款余额总和,含本金以及在此基础上产生的利息,罚金等其他费用。数字化转型网www.szhzxw.cn
2、 KRI(Key Risk Indicator,关键风险指标)
通过定性和定量的指标来测评风险暴露和风险应对策略的有效性。KRI由Risk Owner制定、维护和监控,且必须得到Risk数字化转型网www.szhzxw.cn
Leader和财委会的认可,应尽量利用已有指标嵌入现有的管理体系中。
3、风险管理计分卡
用于衡量业务部门风险管理的有效性,由企业风险管理部从以下几个方面对业务部门进行评估:1)组织结构和职责;2)在企业级风险管理中的业务参与程度;3)战略规划中的风险识别;4)业务计划中的风险规划;5)监控和问责。数字化转型网www.szhzxw.cn
4、风险管理成熟度
用于衡量企业整体风险管理的能力,由企业风险管理部和各业务部门从政策、流程、组织、绩效、IT工具和决策等多纬度进行年度自评。财委会对自评综合结果进行评审,提出改进建议及进行绩效评估。
除了以上政策制定,从主要方面来看,华为的内控流程实施体现的几大方面,值得企业借鉴:
内控管理体系的构建:华为基于组织架构和运作模式设计并实施了内部控制体系,该体系适用于公司所有流程(包括业务和财务)、子公司以及业务单元。这个内控体系基于COSO模型设计,包括控制环境、风险评估、控制活动、信息与沟通、监督五大部分。数字化转型网www.szhzxw.cn
控制环境:华为倡导并维护公司诚信文化,严格遵守企业公民道德相关的法律法规,并制定了员工商业行为准则(BCG),明确全体员工在公司商业行为中必须遵守的基本业务行为标准。
风险评估:华为设立了专门的内控与风险管理部门,定期开展针对全球所有业务流程的风险评估,对公司面临的重要风险进行识别、管理与监控。数字化转型网www.szhzxw.cn
控制活动:华为建立了全球流程与业务变革管理体系,发布了全球统一的业务流程架构,并基于业务流程架构任命了全球流程责任人负责流程和内控的建设。全球流程责任人针对每个流程识别业务关键控制点和职责分离矩阵,并应用于所有区域、子公司和业务单元。数字化转型网www.szhzxw.cn
信息与沟通:华为设立多维度的信息与沟通渠道,及时获取来自客户、供应商等的外部信息,并建立公司内部信息的正式传递渠道。同时,在内部网站上建立了所有员工可以自由沟通的心声社区。
监督:华为设立了内部投诉渠道、调查机制、防腐机制与问责制度,并在与供应商签订的《诚信廉洁合作协议》中明确相关规则,供应商能根据协议内提供的渠道,举报员工的不当行为。
内控考核与问责:华为建立了对各级流程责任人、区域管理者的内控考核、问责及弹劾机制,并例行运作。审计委员会和公司CFO定期审视公司内控状况,听取内控问题改进计划与执行进展的汇报。
内控工具的应用:华为使用多种内控工具,如CT(遵从性测试)、PR(主动性审视)、SACA(半年度控制评估)等,以确保内控体系的有效运行。数字化转型网www.szhzxw.cn
内控流程的具体实施:华为内控流程实施的具体案例包括M代表处内控团队推行自动化验收、开票与核销系统,以提升OTC流程的作业质量,使得开票时间从80分钟缩短至10分钟,客户拒票率下降98%。
通过这些措施,华为确保了内控流程的有效实施,以促进经营效率和防止腐败行为。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网流程与架构专题包含哪些内容
数字化转型网流程与架构专题将关注流程规划、流程设计、流程优化、流程风险管理、流程再造、流程自动化、流程标准化、流程监控与评估、端到端流程、微服务架构、分布式架构、云架构、数据架构、业务架构、技术架构等相关方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于弘毅管理实践;编辑/翻译:数字化转型网Jerry。
