华为基于组织架构和运作模式设计并实施了内部控制（简称“内控”）体系，发布的内控管理制度及内控框架适用于公司所有流程（包括业务和财务）、子公司以及业务单元。

该内控体系基于COSO模型而设计，包括控制环境、风险评估、控制活动、信息与沟通、监督五大部分，同时涵盖了财务报告内控体系，以确保财务报告的真实、完整、准确。

要素一：控制环境

控制环境是内控体系的基础。华为致力于倡导及维护公司诚信文化，高度重视职业道德，严格遵守企业公民道德相关的法律法规。公司制定了员工商业行为准则（BCG），明确全体员工（包括高管）在公司商业行为中必须遵守的基本业务行为标准，并例行组织全员培训与签署，确保其阅读、了解并遵从BCG。华为建立了完善的治理架构，包括董事会、董事会下属专业委员会、职能部门以及各级管理团队等，各机构均有清晰的授权与明确的问责机制。

在组织架构方面，华为对各组织明确了其权力和职责的分离，以相互监控与制衡。公司CFO负责全公司内控管理，内控管理部门向公司CFO汇报内控缺陷和改进情况，协助CFO建设内控环境。内部审计部门对公司所有经营活动的控制状况进行独立的监督评价。

要素二：风险评估

华为设立专门的内控与风险管理部门，定期开展针对全球所有业务流程的风险评估，对公司面临的重要风险进行识别、管理与监控，预测外部和内部环境变化对公司造成的潜在风险，并就公司整体的风险管理策略及应对方案提交公司决策。各流程责任人负责识别、评估与管理相关的业务风险并采取相应的内控措施。公司已建立内控与风险问题的改进机制，能够有效管理重大风险。

要素三：控制活动

华为建立了全球流程与业务变革管理体系，发布了全球统一的业务流程架构，并基于业务流程架构任命了全球流程责任人负责流程和内控的建设。

全球流程责任人针对每个流程识别业务关键控制点和职责分离矩阵，并应用于所有区域、子公司和业务单元；例行组织实施针对关键控制点的遵从性测试并发布测试报告，从而持续监督内控的有效性；围绕经营痛点、财务报告关键要求等进行流程和内控优化，提升运营效率和效益，支撑财报准确、可靠及合规经营，帮助业务目标达成；每年进行年度控制评估，对流程整体设计和各业务单元流程执行的有效性进行全面评估，向审计委员会报告评估结果。

要素四：信息与沟通

公司设立多维度的信息与沟通渠道，及时获取来自客户、供应商等的外部信息，并建立公司内部信息的正式传递渠道，同时在内部网站上建立了所有员工可以自由沟通的心声社区。公司管理层通过日常会议与各级部门定期沟通，以有效传递管理导向，保证管理层的决策有效落实。

同时，公司在内部网站上发布所有业务政策和流程，并定期由各级管理者/流程责任人组织业务流程和内控培训，确保所有员工能及时掌握信息。公司亦建立了各级流程责任人之间的定期沟通机制，回顾内控执行状况，跟进和落实内控问题改进计划。

要素五：监督

公司设立了内部投诉渠道、调查机制、防腐机制与问责制度，并在与供应商签订的《诚信廉洁合作协议》中明确相关规则，供应商能根据协议内提供的渠道，举报员工的不当行为，以协助公司对员工的诚信廉洁进行监查。

内部审计部门对公司整体控制状况进行独立和客观的评价，并对违反商业行为准则的经济责任行为进行调查，审计和调查结果报告给公司高级管理层和审计委员会。

此外，华为建立了对各级流程责任人、区域管理者的内控考核、问责及弹劾机制，并例行运作。审计委员会和公司CFO定期审视公司内控状况，听取内控问题改进计划与执行进展的汇报，并有权要求内控状况不满意的流程责任人和业务管理者汇报原因及改进计划。

对于华为的内控体系，任正非先生从“三层防线”角度，亲自进行了解读。

第一层防线，业务主管/流程owner

第一层防线，是内控的第一责任人，在业务中控制风险，在流程中建立内控意识和能力，不仅要做到流程的环节遵从，还要做到流程的实质遵从。流程的实质遵从，就是行权质量。落实流程责任制，流程OWNER/业务管理者要真正承担内控和风险监管的责任，95%的风险要在流程化作业中解决。业务主管必须具备两个能力，一个能力是创造价值，另一个能力就是做好内控。

第二层防线，内控及风险监管的行业部门

针对跨流程、跨领域的高风险事项进行拉通管理，既要负责方法论的建设及推广，也做好各个层级的赋能。稽查体系聚焦事中，是业务主管的帮手，不要越俎代庖，业务主管仍是管理的责任人，稽查体系是要帮助业务主管成熟地管理好自己的业务，发现问题、推动问题改进、有效闭环问题。稽查和内控的作用是在帮助业务完成流程化作业的过程中实现监管。内控的责任不是在稽查部，也不是在内控部，这点一定要明确。

第三层防线，内部审计部

是司法部队，通过独立评估和事后调查建立冷威慑。审计抓住一个缝子，不依不饶地深查到底，旁边碰到有大问题也暂时不管，沿着这个小问题把风险查清、查透。一个是纵向的，一个是横向的，没有规律，不按大小来排队，抓住什么就查什么，这样建立冷威慑。冷威慑，就是让大家都不要做坏事，也不敢做坏事。

三层防线在监事会、董事会审计委员会的统筹管理下良性运作。集团财经作为风险管理的行业管理部门，沿着每个业务活动建设三层防线。

对于上述三层防线的内控机制，任正非先生还做了一个形象的点、线、面的方法论说明。

1、审计是司法部队，关“点”的问题，通过对个案的处理建立威慑力量。

2、监控无处不在，关注“线”的问题，与业务一同端到端地管理，揭示并改进端到端的风险。

3、道德遵从委员会，关注“面”的问题，持续建立良好的道德遵从环境，是建立一个场的监管。

以上综合来自华为官网，《投资有道》2024年第1期等