搜索
HUAWEI采购循环内控标准文档秘级:内部公开内控与内控标准内控基本原则介绍采购循环内控标准详解内部控制概念定义:内部控制是受企业董事会、管理层和其他员工影响的一个过程,旨在为下列的目标达成提供合理的保证:1.经营的效果和效率(operationalobjectives)2.财务报告的可靠性(informationobjectives)3.法律法规的遵循(complianceobjectives)4.资产安全(securityobjectives)注:COSO报告是由美国COSO组织,一个专门研究内部控制的委员会,在进行研究后,提出的专题报告,正式称为《内部控制-整体架构》内部控制框架-COSO框架控制环境风险评估控制活动信息与沟通监控•管理文化•组织架构和人员培养•风险评估是确定和分析相关的风险,从而制定管理风险的策略和办法•由于外部因素不断改变,因此需要建立风险评估机制来确认和处理相关的风险•控制活动存在于各管理层和业务层•控制活动包括各种审核、批准、实证、调整、审视营运表现、职责分离和分工•信息系统提供相关的公司内、外部业务和财务信息,协助管理层监控各种运作•建立传达重要信息给管理层的沟通渠道•为确保内控系统的有效运作,需建立相应的监督机制•监督机制分为持续监控和独立评估内部控制系统业务控制业务主管/流程责任人高级管理层对内控体系安全承担最终责任组织建立有效的内控系统所在业务内控责任人识别关键业务流程,设计符合内控的流程进行自我评估(CSA)定期报告控制效果(SACA)对控制缺陷进行改进协助建立有效的流程和程序、内控系统协调自我检查,并汇总检查结果协助管理层进行复核和测试审计独立调查与审核问题报告:总体控制缺陷和风险管理层有责任对报告作出及时回复LineManager/BusinessProcessOwnerSeniorManagerBusinessControlsInternalAuditors内控体系的主要角色员工执行内控内控必要性—企业自身管理的需要14%(88)40%(256)46%(296)忽视控制控制不足与内控无关2002年USACFE对640家破产的企业进行调查,发现内控必要性—外部监管者的要求NYSE:“上市公司应当对其拥有健全的内控系统作出声明”,指明本公司对内控的重视程度和建设情况;FCPA:“每个公司必须设计和建立有效的内部控制,否则将处以重罚”;SOX要求:1.在SOX的404和302条款中,分别强调了内部控制的重要性,以及管理层对内控的责任。2.404条款提及:管理层应主导设计公司内控框架,并评估和提交关于内控有效性的报告;3.302条款提及:管理层应确保财务报告的相关控制可靠和有效,并签署声明;4.以上还需外部审计师出具评估报告。国资委为保全国有资产,也对企业内控提出了相关要求。内控必要性—投资者的信心根据McKinsey的研究报告,对于具有良好内控系统的公司,投资者愿意出比无法提供此类证明的公司高18%的股价来投资!审查内部控制调查结果(美国ACFE2002欺诈调查)管理层为什么要关注内部控制?—人性健全、有效的内部控制能有效制止欺诈!小故事:工厂拍照想方设法欺诈如果有内控就不会欺诈自我约束,不会欺诈内控标准是是业务运作中应遵循的最基本的控制要求;公司宏观的控制指南,明确在不断变化的环境中,公司必须坚守的控制原则,确保公司的各项风险得到适当的控制。内控基本原则各业务循环内控标准各控制要素内控标准内控标准整体框架主要由面向全公司的内控基本原则、以及各业务循环和各控制要素的控制标准组成内控标准定义和定位内控标准框架按业务循环划分销售循环采购循环物流循环制造与成本循环人力资源循环研发循环固定资产循环费用循环司库循环财务报告循环风险管理预算管理知识产权与信息安全损失预防法律法规IT系统杂项内控基本原则按控制要素划分注:红色已经正式签发,蓝色正在拟制中,黑色尚未拟制。一个循环包括该业务从开始到结束全过程的控制控制要素是适用于所有业务循环的控制要求我司文件正式签发的内控标准华为司发2005-063《内控基本原则》华为司发2005-063《采购循环内控标准》华为司发2005-063《销售循环内控标准》华为司发2005-063《司库循环内控标准》华为司发2004-124《费用循环内控标准》华为司发2006-039《IT系统内控标准》华为司发2006-039《物流循环内控标准》华为司发2006-039《风险管理内控标准》华为司发2006-039《固定资产循环内控标准》内控标准的应用内控原则和各标准建立和优化业务运作制度、流程等的基础为管理层提供和加强内部控制的管理工具为各业务对内部控制的自检提供依据根据内控标准设计审查标准和程序流程责任人管理层稽核审计内控标准的具体应用审计监督控制自我评估改善控制环境新流程认证指导业务与流程优化结合案例开展宣传和培训在流程设计过程中设置合理的KCP在流程发布前进行内控评审,确保新流程能够满足内控的要求建立自我评估的管理机制和程序内部控制测试:审计评估制度流程对内控标准的符合度和流程执行的符合度其他内控与内控标准内控基本原则介绍采购循环内控标准详解涉及到相关业务循环、控制要素应遵循的内控标准内控基本原则的定位必须遵循的最基本的内控要求内控基本原则部门制度与规定流程操作指导书其他内控标准流程中的监控点内控基本原则职责分离内控基本原则组织控制安全控制IT控制风险控制行为控制流程、文档记录控制财务控制衡量与反馈实物安全风险管理法律法规流程管理KPI权责分配知识产权危机管理商业行为准则文档记录的管理信息与沟通资源运用诚信与道德观持续性监控独立评价内控基本原则框架信息安全预算管理账务管理才能与培训华为司发2005-63号内控基本原则是COSO在我司的应用控制环境商业行为准则、才能与培训风险评估风险管理、危机管理控制活动职责分离、权责分配、安全控制、IT控制、预算管理流程、文档记录控制监控KPI独立评估持续性监控内控与内控标准内控基本原则介绍采购循环内控标准采购循环内控标准生产物料行政用品OEM合作终端采购行政服务基建物业技术合作Turnkey工程采购业务模式和类型采购计划与申购验收执行采购应付账款付款供应商绩效管理供应商认证与选择采购循环基本业务环节众多复杂的采购方式共同的业务活动华为司发2005-63号采购业务总体控制目标内控目标(COSO报告)采购循环总体内控目标资产安全法律法规的遵循财务报告的可靠性经营的效果和效率保障采购业务的真实性和资金、交易信息的安全性保障采购活动合法合规保障采购活动及时、准确和完整地记录,并确保信息在各环节之间一致传递保障采购的物品和服务满足公司成本、质量、交付时效等要求采购业务一般控制原则一般控制原则申购、执行采购、验收、财务结算的职责必须相分离供应商认证与选择、合同签订、需求审批、订单下达、验收确认、付款等关键决策点必须具备明确的授权机制供应商认证与选择、接收与检验必须依据预先制订的标准执行供应商认证与选择必须集体决策,并充分引入竞争,确保能为公司带来最大利益采购业务信息必须准确记录、及时传递,并妥善保管财务结算必须以真实有效的采购交易信息为依据供应商绩效必须定期评估,推动其持续改进,并作为认证与选择的依据采购循环内控标准详解——目录供应商认证与选择(6条)采购计划与申购(3条)执行采购(7条)验收(3条)应付账款(5条)付款(2条)供应商绩效管理(5条)采购循环内控标准——供应商认证与选择1.1供应商认证与选择必须集体参与和决策,必须建立规则保证人员组成及决策方式的合理性对小组成员组成的应该有哪些具体要求?!采委函[2003]012(华为采购专家团运作制度)专家团的成员是来自采购、研发、市场、生产、品质、法律、商务等不同业务口、下属企业或不同地域的业务代表(或专家)。对专家团成员资格审查的要求:领导管理技巧、沟通技巧、解决问题技能、业务能力、对采购业务的理解等集体参与决策的含义:各专家团的任何决议必须有该团2/3以上的成员集体参加表决,且占2/3以上成员通过,其结果才视为有效决议。采购循环内控标准——供应商认证与选择1.2供应商认证与选择必须预先制定标准,标准至少应考虑TQRDCSE(技术、质量、响应、供货表现、价格、社会责任、环境保护)七个要素ISC/ES-07-02认证潜在供应商ISC/ES-07-03根据需要考察供应商ISC/ES-01-02管理供应商选择流程具体认证标准在以下流程及模版中体现供应商信息询问表XX类供应商评估标准供应商考察报告供应商现场审计标准竞争性评估评分标准采购循环内控标准——供应商认证与选择1.3必须采用竞争方式选择供应商,若因供应商有限,或出于业务战略需要采用非竞争性选择方法时,必须提出充分理据并按预先制定的规则通过审批具体案例:XX公司经认证为我司供货摄像头,认证过程如下:XX公司03年6月成立,公司面积170M2,员工60人。03年10月15日与供应商会谈记录中供应商说“我们有些文件还没有,营业执照是临时执照,本月20日会拿到正式执照。税务登记证也可以拿到。”还说:“在上海主要是研发和检验,生产通过OEM,华为需要的产品原来是给新加坡一公司提供,用于监控产品使用,在00和01年出货量较大,现在出货量很少,自7月份以来基本上没有出货,该产品如果有需要我们会一直生产下去。“除该供应商外,CEG同时搜索10余家同类供应商并向产品线(需求部门)推荐,产品线认为仅XX公司能满足要求,并以工作联络单方式要求采购引进该供应商。为了不延误公司产品开发,03年11月同意引入该供应商。后续该供应商在持续供货上出现严重问题。供应商认证与选择案例——研讨1、该供应商存在哪些资质风险?非正式注册供应商、规模小。2、CEG向华为引入该供应商是否合理?为什么?不合理。CEG在没有充分认证供应商的情况下,未考察生产体系、对生产能力是否足够品质控制体系是否完善未进行认证,即同意引入该供应商,违背制度要求。3、需求部门指定供应商存在哪些风险?如何规避?业务部门指定供应商可能使入选供应商不合格或并非最佳;同时,指定供应商行为,可能涉及舞弊。根据采购控制原则,采购部是唯一可向外部供应商承诺的部门。所以原则上,业务部门不能指定供应商;特殊情况下指定供应商,应制定风险规避计划(如替代方案等),并报领导批准。供应商认证和选择为公司寻求最佳供应商采购循环内控标准——供应商认证与选择1.4采购协议在签订和更改之前必须通过业务、商务及法律等方面的评审案例——物流服务协议未经法律评审,货物出险无法获取应有赔偿我司与EI的物流协议中注明最高赔偿额仅为20USD/KG,而不是按实际损失进行赔偿。出险后我司无法获取应有赔偿。咨询法务部,该协议有失公平,存在对我司不利条款。审计建议——物流服务协议在签署前需经过公司法务部门评审,物流协议应体现公平原则,维护我司利益。研发部门向采购部门提出3G手机的采购需求,采购部门通过“杂货铺”供应商到境外采购,向2家供应商发放询价单,1家返回报价,1家未反馈。采购员使用采购价格核算公式推算供应商的进货价、采购成本、利润。采购员通过网站和电话询问了多家市场的零售价格,将其与推算出来的供应商进货价格进行比较,供应商进货价接近市场询价。此外,采购员分析认为推算出来的供应商采购成本和利润合理,最终接受了供应商报价。采购员认为以上业务操作中他使用了价格比较法选择供应商。供应商选择案例问题交流:1、采购员认为本次采购向两家供应商发放了询价单,一家不反馈,他对这种情况无能为力,因此,采购结果是合理的。请问您对采购员观点的看法?本次采购实际形成唯一供应商,采购价格非竞价结果,竞争不充分。2、本案例中采购人员认为使用了价格比较法选择供应商,使用方法有无问题?为什么?供应商选择方法错误。不符合价格比较法的条件,手机是通用产品,在市场上有多家供应商,应采用招标的方法选择供应商,以引入充分竞争。采购循环内控标准——供应