华为内部审计

内部审计实务 华为技术有限公司 华为简介 1988年 创立于深圳，成为一家生产用户交换机 （ PBX）的香港公司的销售代理。 1990年 开始自主研发面向酒店与小企业的 PBX 技术并进行商用。 1995年销售额达 15亿人民币，主要来自中国农 村市场。 2009年：无线接入市场份额跻身全球第二。 成功交付全球首个 LTE/EPC商用网络，获得的 LTE商 用合同数居全球首位。 率先发布从路由器到传输系统的端到端 100G解决方案 。 获得 IEEE标准组织 2009年度杰出公司贡献奖。 获英国 金融时报 颁发的 “业务新锐奖 ”，并入选美国 Fast Company杂志评选的最具创新力公司前五强。 主要产品都实现资源消耗同比降低 20%以上，在全球 部署了 3000多个新能源供电解决方案站点。 CEO任正非 2009年，在复杂的经济形 势下，华为依然实现了稳健 增长。销售收入达到了 1,491亿人民币（ 218亿美 元），同比增长 19%。伴随 着华为全球市场的稳健发展 ，我们的市场规模效应已逐 渐显现，盈利能力持续提升 。 2009年，营业利润率为 14.1%，净利润达到 183亿 人民币（ 27亿美元）。 华为的公司治理 股权结构 华为控股是 100%由员工持有的私营企业，没有 任何第三方（包括政府）持有华为控股的股份 。 截止 2009年 12月 31日 , 华为控股的股东及出资 比例如下： 华为控股通过工会实行员工持股计划，员工持 股计划参与人数截止目前为 61,457人，全部由 公司员工构成。全体在职持股 员工选举产生持 股员工代表，并通过持股员工代表行使有关权 利。员工持股计划将公司的长远发展和员工的 个人努力有机 地结合在一起，形成了长远的共 同奋斗、分享机制。 华为公司的内部审计 一、内部审计工作的定位 二、审计部基本情况介绍 三、审计监控体系的介绍 四、审计工作开展过程介绍 五、内部审计业务正在经历的变化 华为公司基本法 对内部审计职能的定义： 内部审计是对公司各部门、事业部和子公司经营活动的真实性、合法 性、效益性及各种内部控制制度的科学性和有效性进行审查、核实和评价 的一种监控活动。 公司实行以流程为核心的管理审计制度。在流程中设立若干监控与审 计点，明确各级管理干部的监控责任，实现自动审计。 美国内审协会 (Institue of Internal Audit)对内部审计的定义： 内部审计是一项独立、客观的保证和咨询活动。其目的在于增加企业价 值和改进组织的经营。它通过系统化和规范化的方法，评价和改进风险管理 、控制和管理过程的效果，帮助组织实现其目标。 1.1 内部审计的定义 o对公司的内部控制系统进行独立监督和评价 o协助并监督业务系统进行自我评估，实现自动审计 o对业务流程的控制风险进行评估评估，并为风险管理 提供参考和指南 o协助管理层监督营运情况，并提出改善建议，最终为 客户创造更多价值 1.2 审计工作愿景 国际性公司一般是通过内部控制系统对各业务流程的运作情况进行管理 和监督，从而帮助公司达到经营目标。审计则是对内控系统的再监督， 并为其改善提供建议： 管理和监督 内部控制系统 业务系 统 监督 沟 通 控制 措施 风险管理 控制环境 信 息 监督和完善 供应链 研发 营销 1.3 审计关注范围 审计 内 部 控 制 系 统 控制环境 风险评估 控制活动 信息与沟通 监督 - 员工的才能、道德价值、诚信 - 管理文化和风格 - 管理层下放权力和分配责任方式 - 组织架构和人员培养 - 管理层的方向和关注点 - 各业务层次根据公司总目标建立相关的子目标 - 风险是指影响达成各目标的因素 (包括外部和内部因素 ) - 风险评估是确定和分析相关的风险，从而制定管理风险的策略和办法 - 由于外部因素不断改变，因此需要建立风险评估机制来确认和处理相关的风险 - 控制活动是指相关的管理规定和程序，用于帮助管理层达到业务目标和防犯风险 - 控制活动存在于各管理层和业务层 - 控制活动包括各种审核、批准、实证、调整、审视营运表现、资产安全和分工 - 信息系统提供相关的业务和财务信息，协助管理层监控各种运作 - 除提供内部信息外，还包括外部信息，从而协助管理层进行有效的业务决策 - 有效沟通是指管理层对各级员工明确和要求重视监控职责 - 需建立传达重要信息给管理层的沟通渠道 - 除内部沟通渠道外，还应建立与外部的有效沟通渠道，如客户、供应商、政府机关等 - 为确保内控系统的有效运作，需建立相应的监督机制 - 监督机制分为连续监控和独立评估 - 连续监控是指日常的管理工作 - 独立评估的范围和频率是依据风险程度和日常管理工作的有效性来决定 - 所有内控问题或漏洞必需向管理层汇报和进行改善 1.4 审计关注范围内控系统的具体要素 基于审计愿景和审计关注范围，审计服务包括以下各项： 1.5 审计能够提供的具体服务清单 内容提纲 一、内部审计工作的定位 二、审计部基本情况介绍 三、审计监控体系的介绍 四、审计工作开展的过程 五、内部审计业务正在经历的变化 2.1 审计部 -内部的组织架构 审计部 供应链审计处 技术支援审计处 综合系统审计 处 研发系统 财经审计处 国际审计处 业务管理处 营销系统 行政服务系统 信息安全审计 财务核算 财经专项 （预算、成本 ） 2.2 审计部 -人员配备 1、审计部目前有 20多人，与公司总人员规模的比例是 1： 1000左右； 2、审计部的人员主要来自于三个方面： 来自于各研发、营销、供应链等部门的业务管理干部； 通过社招聘用有丰富内、外部审计经验的人员； 为了向国际化的内部审计水平看齐，公司在香港外聘审计专家，目前审计部港籍员 工的比例占审计部总人员的 30； 3、审计人员的所学专业涉及会计、审计、法律、企业管理、信息系 统、电子、自 动化控制等； 4、审计部的任职资格的人员包括： 助理审计员、审计专员、审计师、 高级审计师四级 首先具有商人分析问题的方法 相关专业证书 (如 :CIA 资格或同等资历 ) 相关的行业营运及内部审计经验 良好的人际交往技巧 良好的写作报告能力等 既坚持原则，又具有灵活性 2.3 审计部 -审计人员素质要求 采购（行政类） IT 人力资源 客户关系管 理 集成供 应链市场管理 客户服务 集成产品开 发 财务 2.4 审计部 -所涉及的业务范围 目前，审计业务所涉及的范围包括了公司 5大主要业务流程及 4个支持性的流程 ； 2.5 审计部 -所涉及的地域范围 审计业务目前所涉及的地域范围包括： 1、公司总部的各业务部门 2、子公司（在深圳本地及外地） 3、全国各地办事处 4、合资公司 5、海外代表处、研究所、合资公司 2.6 审计部 -审计业务类别 审计职能 项目审计 合同审计 财务审计 关键业务流 程审计 主要管理制 度审计 预算审计 离任审计 公共资源效 率审计 2.7 案例 -关键业务流程审计 选择投标单位 发送邀标函 回标 开标及议标 选择中标单位 出中标通知 签定正式合同 招标资料归档 基建招标流程简介： 2.7 案例 -关键业务流程审计 审计所关注的 . 流程设计的合理性 流程执行的遵从性 2.7 案例 -关键业务流程审计 在基建招标流程的设计上，我们关注 . C: 遵循国家法律 中华人民共和国招标投标法 招标公告发布暂行办法 等 A: 实现业务目标 通过招标业务流程，提高招标质量和效率， 选择合适的承建商和材料、设备供应商。 R: 提供可靠的决策信息 通过邀标、发标、回标、开标、议标等步骤 ，为决策者提供准确的信息。 E: 高效运作 提高招标效率，满足公司对基建项目的工期 要求。 S: 保护资产安全 用合理的项目资金，高质量地完成基建项目 ，防止资金浪费与损失 Compliance with Laws and Procedures What Could Go Wrong? (CARES) Safeguarding Company s Assets Accomplishment of Business Objectives Reliable Information for Decision Efficient Operations CARES风险管理模型 在基建招标流程的遵从上，我们关注 . 2.7 案例 -关键业务流程审计 检查流程中各监控点的执行情况 正向 逆向分析问题的原因是流程设计问题还是不遵从 选择投标单位 发送邀标函 回标 开标及议标 选择中标单位 出中标通知 签定正式合同 招标资料归档 内容提纲 一、内部审计工作的定位 二、审计部基本情况介绍 三、审计监控体系的介绍 四、内部审计工作的一般过程 五、内部审计业务正在经历的变化 3.1审计监控体系 -框架 财务审计 IT审计 流程审计 业务部门 公司 审计部 各部门、事 业部、子公司 审计职能部门 流程监控点、审计点 监 控 建立和维护审计监控体系，并对 关键业务 进行审计、监控。 在 业务流程中设置监控和审计 点，实现自 动审计。 对所负责的监控体系进行 维护 ，并审查和 监控相关业务的执行情况。 审计监控体系应是分层级的三级体系： 3.2 审计监控体系 -目的与意义 建立分层级的审计监控体系主要目的与意义是什么？ 分层次、有体系的监控更能防止业务风险，辅助业务 部门达成目标 审计人员的覆盖面有限； 监控点下移到具体业务流程及独立稽核部门，使得监 控例行化 有利于审计所发现问题的解决与落实 3.3 审计监控体系 -建设要素 审计监控体系建设的内容包括组织、流程、系统（ IT工具）及人员 1. 香港华为 AP、 AR、 FA、 GL 等模块流程中的监控 点 2. 海外会计的财务监控职责 审计监控体系的组织建设关键是确定实施监控职能的部门及其应承 担的具体工作。 例如：财经分层级的审计监控体系的架构如下 审计部 财审处 流审处 国内财务部 稽核处 审计部 驻外机构 审计处 国际财务部 风险 管理处 中研部 流程优化 处 中试部 计划处 (专项 ) 1. AP、 AR、 FA、 GL等模 块流程中的监控点 2. 各模块的自检体系 3. 模块间的核对体系 1. 驻外机构业务流程中的 监控点 2. 各片区经理的监控职责 (第一层 ) (第二层 ) (第三层 ) 3.3 建设要素一 -组织 3.3 建设要素二 -流程（制度等） 审计主流程 内部审计制度 管 理 规 定 各业务的审计程序 /方法 审计模板、案例 审计模板、案例 业务 1 操作指 导 业务 3 操作指 导 业务 2 操作指 导 业务部门的自检清单 整个审计体系的业务流程与制度建设主要分以下层次来建设 3.3 建设要素二 -流程（制度等） 一、内部审计制度 内部审计制度 二、内部审计流程 审计主流程 三、管理规定 审计项目管理规定 审计报告发放管理规定 四、操作指导 财务审计操作指导书 离任审计操作指导书 流程审计操作指导书 专项调查操作指导书 主要的流程、制度 主要内容 定义审计的职责、权限、范围汇报关系 描述审计的主要步骤及工作程序 项目立项、人员分工、计划实施与控制 等 针对具体项目详细列示审计方法、程序 审计监控体系建设过程中， IT工具的支持对审计工作能起到事半功倍 的效果；目前，内部审计人员所使用的软件主要包括： 1、 MRPII系统附带的 Broswer软件； 2、用于从 MRPII系统中下载的数据电子表格； 3、向外购买的 ACL或 IDEA等审计辅助软件； 3.3 建设要素三 -IT工具支持 ACL 40% Other 9% Spreadsheet software 21% SAS 3% Monarch 2% Internally developed software 4% IDEA 3% Focus 2% Database software 14% Easytrieve Plus 2% 3.3 建设要素三 -IT工具支持 目前业界主要使用的审计辅助软件包括： o 统一人员的任职资格标准，并由审计统一论证； o 审计、监控经验交流，并每年评出优秀项目或审计监控组织； o 审计部在审计、监控业务上进行指导与规范 o 共享审计文档存放的 IT平台； o 加强与外部顾问的合作，通过顾问的培训提高审计水平 o 加强与外部审计的合作 3.3 建设要素四 -人员培养 由于分层级的审计、业务稽核及业务自检人员分别处于不同的部 门，为了使人员起到审计监控的职能，在以下方面采取了措施： 内容提纲 一、内部审计工作的定位 二、审计部基本情况介绍 三、审计监控体系的介绍 四、内部审计工作的过程 五、内部审计业务正在经历的变化 4.1 内部审计流程 内部审计制度 范围 权限 报告程序 责任 义务 内部审计计划内部审计策略 风险评估 控制措施与环境 审计范围 详细计划 人力资源 审计周期 内部审计培训 方法 先进技术 IT知识 审计程序更新 财经审计 流程审计 专项调查等 具体审计工作开展与报告汇报 确认风险及审计程序 财务及管理制度的遵行检查 业务评估 -效率、效益及监控 确定审计基准及主要衡量指标 报告报送（问题、影响、建议） 审计建议跟进 调整内部审计策略及计划 自 行 持 续 改 善 管 理 高 层 持 续 改 善 4.2 风险评估 制 定 以 风 险 为 主 导 的 审 计 计 划 企业战 略 目标 和 策略分析 主要 营运 流程 分析 确 认 策略及 营运 风险 營運風險 制定 审计 策略 和 计划 劃 4.2 风险评估 了解业务目标 评估风险 把业务单元按风险 大小排序 选择业务单元，制定 审计计划 审计范围 BUn BU4 BU3 BU1 BU2 4.2 风险评估 风险类别 风险影响 E 发生概率 P 风险大小 Rn 1、策略风险 reputation E P R=E*P 合计 R1 2、遵守风险 合计 R2 3、运营风险 合计 R3 4、财务风险 合计 R4 次序 业务单元 风险总分 1 BU5 820 2（平） BU3 670 2（平） BU4 670 4 BU1 560 5 BU2 500 4.2 风险评估 根据各业务单位的风险评估值，按大小排序，确定审计计划 (举例 ) 4.3 风险控制的几种方法 明确定义流程角色和责任 重要流程文档健全 不相容职责分离 防范欺诈的意识 IT系统控制 会计控制 工作场所安全 明确的操作指导 业务交易的批准 从审计的角度来看企业经营的风险包括：固有风险、控制风险、剩余风险， 这三者的关系是： 固有风险 -控制风险 =剩余风险 由于固有风险不受控，企业管理者可以采取哪些措施提高控制风险的能力，使 得剩余风险最低呢？ 4.3 控制措施之一 -防范欺诈 欺诈可能带来严重的影响 如果欺诈导致以下一种或几种结果，则可以称之为灾难性欺诈： (1)、公司倒闭或清算； (2)、损失一年以上的利润； (3)、导致公司股价暴跌； (4)、被收购或被兼并； (5)、吊销营业执照或许可证； (6)、公司信誉崩溃； 4.3 控制措施之一 -防范欺诈 强有力的内部控制 企业文化的熏陶与职业道德的约束 培训员工对公司的忠诚 建立良好的部门组织气氛 开放、民主的管理风格 公正实行绩效考评和回报机制 管理层创造防止员工欺诈的环境： 4.4 具体审计项目的流程 审计 实施 审计 立项 审计 通知 审计 计划 审计 小结 事后 评估 后续 跟踪 审计 报告 内容提纲 一、内部审计工作的定位 二、审计部基本情况介绍 三、审计监控体系的介绍 四、内部审计工作的过程 五、内部审计业务正在经历的变化 5.1 内部审计业界能力与层次的评价 5.2 公司内部审计的业务能力 5.3 公司内部审计的业务层次 5.4 曾经的工作误区 华为