小米科技：構筑強大堅實的反舞弊體系為企業發展插上有力之翼

光榮榜

2010年4月，在一群富有創新精神和前瞻性眼光的工程師和設計師的努力下，小米科技有限責任公司（以下簡稱“小米”）正式成立。九年間，小米始終堅持做“感動人心、價格厚道”的好產品，讓全球每個人都能享受到科技帶來的美好生活。

良好的品牌形象背后，離不開小米人的不懈堅持和努力奮斗，更離不開廉潔高效的工作環境。這就不的不提及小米的內控、內審、合規與監察的融合管理，其堅持夯實業務基礎，不斷探索創新管理的思路與方法，符合小米發展的各階段，在小米前進的步伐中發揮著重要作用，也得到了行業的充分認可。

三道防線層層把關

全力構建反舞弊監督體系

小米管理層認為建立并不斷完善風險管理及內部控制系統對企業的發展至關重要。為此，公司遵循國際業內公認的COSO框架，建立“三道防線”模型。

第一道防線是管理及經營，主要由業務職能部門組成，負責日常運營和設計，實施解決風險的具體控制措施;第二道防線是內部控制、合規等管理，內部控制團隊負責制定政策、設計及實施綜合風險管理及內部控制系統，本系統亦協助并監督第一道防線制定及改善控制措施，合規團隊負責合規體系搭建、合規文化建設等;第三道防線是內部審計及監察，主要由內部審計及監察團隊實施。內部審計及監察團隊高度獨立，內部審計團隊負責評價公司風險管理及內部控制系統的成效，并監督管理層不斷完善風險管理及內部控制領域。監察團隊負責接收舉報人的報告，并負責調查指稱的欺詐活動，并直接向審計委員會報告。

依據以上模型，公司現已成立內控內審監察部，分為內控、內審、合規及監察4個團隊。各個團隊相互分工，高效協作，共同為公司的持續健康發展保駕護航。

在搭建了具體的運作模型后，反舞弊工作具體應該如何開展？如何做得更加有實效？在實際工作中，作為公司反舞弊體系執行者和實施者，小米監察團隊有一套具體操作準則和實施方法。在操作準則上，內控以業務全面鋪開，合規體系化建立賦能內控、內審和監察，以點、線、面、體貫穿連接的四位一體聯動機制，確保公司在滿足內外部合規要求的同時，有效應對外部環境的變化，增強公司的防范風險能力，助力公司業務保持長期穩健發展。

在具體實踐中可以用三個字概括小米反舞弊的工作思路，即：“防”“打”“查”。首先是防，通過建立各種監察機制預防大面積的風險發生;其次是打，簡言之就是打擊各種違法犯罪的行為;最后是查，通過監察的方式方法，查處各類違規違紀行為，包括失職瀆職，以權謀私、貪污受賄等行為。

基于“防”“打”“查”的方法論，可以把小米反舞弊體系比喻為兩條平行的高速公路，一條是預防、調查、教育的道路，一條是不能腐、不敢腐、不想腐的道路。

在實際操作中，小米將以“不能腐、不敢腐、不想腐”為目標，著力構建一個“不想腐、不能腐、不敢腐”的小米反舞弊監督體系。基本思路是實現兩步走：第一步，在前端設置體系化的預警系統，如搭建一整套的廉潔規章制度作為保障，使得那些想鉆公司空子的人沒有辦法去鉆。第二步，在體系化初步搭建完成之后，開展一系列的調查工作，通過對各種違規、違紀、違法行為進行查處，強化對腐敗絕對零容忍的理念，樹立典型案件，形成震懾，使得一些想貪，想腐，想侵占公司利益的人，望而卻步。嚴柔并濟是小米反舞弊體系的另一個特點，監察查處的同時對相關敏感崗位進行全覆蓋式的宣傳教育，促使一些人對腐敗行為產生深刻的認識，從內心當中反感貪腐行為。

以打壓查處和教育的方式向員工層層傳遞“不能腐，不敢腐，不想腐”的反舞弊工作理念，構建強大的反舞弊體系，將成為小米在市場競爭當中不可或缺的軟實力和殺手锏。

信息化建設

風險管控有章可循

授權及風險管控的合規性管理是企業內部財務風險治理和信息安全管理的重要內容。通過自動化的訪問控制協同方案，可以統一進行訪問控制、權責分離及特權賬號的管理，并對風險進行自動掃描和及時預警，定期進行授權復核，預防惡意欺詐事件和敏感信息泄露的發生，同時優化合規流程，提供審計報表，降低IT及審計成本，提升企業治理能力和風險管理水平。

小米為提升內部控制及風險管理水平，于2018年初開始使用UC2.0移動端取代了以往的郵件進行授權管理，一定程度上提高了授權效率及合規水平，但訪問控制的授權與合規的管理體系尚未形成，職責分離（SoD）及關鍵敏感權限（CA）也未納入管理范圍，建立可進行風險識別的訪問控制管理十分必要且迫切。

基于現實情況，公司在2018年啟動了“治理、風險、合規—訪問控制項目”（簡稱：GRC AC項目），此項目以內部控制和風險管理的要求為基礎，通過管理咨詢，落實小米授權合規管理方案，促使SAP GRC訪問控制系統實現信息化落地，最終建立一套既符合外部法律法規及審計要求，又滿足小米業務特點和內部控制要求的，集高效準確、集中流程化管控、風險自查、實時監控及時預警授權為一體的合規管理體系。通過實施本項目，小米實現了訪問控制的授權及風險管控體系落地，實現了全員參與和認同，確保公司在授權管控方面實現內外合規。

截至2019年3月，GRC AC項目已成功上線，覆蓋中國大陸相關的財務、銷售、采購等業務板塊，并已開展向海外區域的全球推廣工作。除GRC AC項目外，在流程控制與業務監控方面，小米也已開展相應的系統建設工作（GRC PC），預計在GRC PC項目上線后，可實現對于公司業務流程中的風險點，進行實時監控，以避免風險事件的發生。

在整個內控內審監察部的積極努力拼搏下，小米的內部控制工作得到了各界的充分認可與肯定。2019年，小米內控團隊榮獲中國企業財務評價專家委員會頒發的2個獎項“2019中國企業財務管理內部控制創新最佳實踐獎”“2019年度中國財務管理大師（內部控制與風險管理）”兩個獎項。此外，小米也是“中國內部審計協會”“ACFE”“中國國際貿易促進委員會全國企業合規委員會”“中國計算機用戶協會信息科技審計分會”等組織的成員單位，在政府部門及行業協會中積極為行業發展發聲、獻策獻智，部門總經理劉少順更是榮任“財政部內部控制標準委員會咨詢專家”“中國國際貿易促進委員會全國企業合規委員會專家”“中國計算機用戶協會信息科技審計分會專家庫專家”等職。

目前，小米已建成集成的業務大數據平臺，通過大數據分析挖掘等技術運用，實現為客戶提供高價值的增值服務，并可進一步提升企業的經濟效益和社會效益。

內控內審監察部將積極擁抱公司戰略變革，緊跟公司發展步伐，充分考慮到全球關于信息安全與數據隱私的合規要求，確保數據不被竊取、濫用，并在此過程中，積極推動內控、內審、合規、監察工作的數字化、平臺化、產品化建設工作，助力“促經營、防腐敗、守住合規底線”的反舞弊目標一步步變為現實。

（小米科技有限責任公司）