华为内控基本准则

华为司发【2004】号《关于下发内控标准，明确内控要求的通知》附件二

内控基本原则

下列内控基本原则适用于公司所有业务，所有组织必须予以遵从。

1组织控制

1.1 职责分离

各职位设置和职责划分必须符合相互监督、互相牵制的原则。一般而言，授权、批准、处理、记录、保管和监控等职责应予以划分。

敏感性岗位必须定期实施轮换，以降低利益冲突、差错和违规等问题发生的可能性。

1.2 权责分配

必须根据组织目标的分解，明确各职位的责任与权力，并定期审视其合理性和执行效果。

各级管理者实施授权必须获得上一级主管的批准，明确授权对象、范围和时效，并监督其实施情况。

1.3 资源运用

各级组织必须综合考虑成本效益及投入产出，合理分配人、财、物等资源，降低成本，减少浪费，提高资源使用效率。

2 安全控制

2.1 实物安全

对公司的设备、存货、现金和其他资产，必须设置合适和安全的场地、保安、监测系统和盘点制度等，以防资产的丢失、被盗用、滥用或破坏。

2.2 知识产权

对公司的各种知识产权，必须实施相应的控制措施，包括但不限于定期清点、

申请专利、登记版权、注册商标等，以防知识产权的丢失、被侵犯或破坏。

2.3 信息安全

信息必须按照敏感性程度进行识别和分类，在未经授权的情况下，不得向公司以外的个人或不相关的员工泄露须保密的信息。

3 IT控制

对IT建设及运作、IT服务提供等过程，必须进行适当的控制，以确保公司所有业务在高质量的IT服务下正常、高效运作，同时保障各级信息的完整性、保密性、可用性和有效性。

具体控制包括：IT规划与组织控制，开发与维护控制，数据中心运作控制，网络控制，应用系统访问、输入、处理、输出控制等。

4 风险控制

4.1 风险管理

各级主管应当围绕经营目标，建立风险管理及预警机制，不断识别和分析内、外部风险因素，对不可接受的风险范围，采取相应的控制措施。

4.2 危机管理

对于重大突发事件必须建立快速反应机制，采取及时和有效的措施，将损害减至最低。

在危机发生和处理过程中，必须采取一切合适的措施，将危机转变为机遇。

5 行为控制

5.1 法律法规

组织和个人在进行商业活动时，均应遵守有关国家在投资、海关、外汇、劳工、环境、合同、知识产权、财会、税务等方面的法律法规。

5.2 商业行为准则

员工必须遵守公司的商业行为准则，并定期确认对商业行为准则的遵守。

5.3诚信与道德观

管理层和员工必须保持诚信与道德的价值观，防范非法、欺诈、不诚实及不道德行为的发生。

5.4 才能与培训

管理层必须确定、监督并确保员工具备能够满足岗位的才能与培训要求。

6 流程、文档记录控制

6.1 流程管理

针对关键性、重复性的业务和控制活动，必须制定并发布书面的流程文件，明确流程责任人，确保业务快速运作及有效控制。

各级组织的流程必须符合公司的内控标准、商业行为准则等政策，不得与之相冲突，并视情况制定具体环节的操作指导书和例外处理程序。

流程必须明确各岗位职责，帮助员工清楚理解及遵从有关要求。

6.2文档记录的管理

所有经营活动和重要事项必须进行记录，确保其真实、及时、完整和可追溯。

重要记录必须按规定及时整理、归档，保存及销毁。

任何人不得直接或间接伪造、破坏公司的任何文档和记录。

7 财务控制

7.1 预算管理

公司所有组织和重要经营活动均应进行预算管理。

实际数据应当定期与预算和预测进行比较分析，对于重大出入必须予以说明、调查和处理。

7.2账务管理

公司账务的形成、处理和报告必须符合一般公认的会计准则和公司会计政策，保障真实、公正、合法地反映公司经营和财务状况。

必须定期进行独立的账实、账账核对，对于重大出入必须予以调查和处理。

8 衡量与反馈

8.1 KPI

必须围绕组织、流程的愿景和目标，合理设置关键绩效指标（KPI）。

KPI数据必须真实、准确。

8.2 信息与沟通

管理层必须建立获取及时、充分、有效、准确、可靠信息的渠道和机制，以监控业务。

管理层必须确保员工清楚理解其在内控系统中的角色和职责，并鼓励员工主动报告内控缺陷和优化建议。

公司必须对内对外公布商业行为准则，并建立内外部投诉机制，以获取欺诈、舞弊、贪污和违反商业道德等信息。

8.3 持续性监控

管理层必须始终对内控系统的运作进行监控，分析存在的问题，并落实改进措施，保障内控系统的有效性。

8.4 独立评价

公司必须通过内部审计或外部审计对内控系统和财务报表进行独立评价，并定期向董事会和高级管理层汇报。

对于审计人员提出的控制漏洞和改善建议，各级管理层必须主动采取有效措施。