光荣榜

2010年4月，在一群富有创新精神和前瞻性眼光的工程师和设计师的努力下，小米科技有限责任公司（以下简称“小米”）正式成立。九年间，小米始终坚持做“感动人心、价格厚道”的好产品，让全球每个人都能享受到科技带来的美好生活。

良好的品牌形象背后，离不开小米人的不懈坚持和努力奋斗，更离不开廉洁高效的工作环境。这就不的不提及小米的内控、内审、合规与监察的融合管理，其坚持夯实业务基础，不断探索创新管理的思路与方法，符合小米发展的各阶段，在小米前进的步伐中发挥着重要作用，也得到了行业的充分认可。

三道防线层层把关

全力构建反舞弊监督体系

小米管理层认为建立并不断完善风险管理及内部控制系统对企业的发展至关重要。为此，公司遵循国际业内公认的COSO框架，建立“三道防线”模型。

第一道防线是管理及经营，主要由业务职能部门组成，负责日常运营和设计，实施解决风险的具体控制措施;第二道防线是内部控制、合规等管理，内部控制团队负责制定政策、设计及实施综合风险管理及内部控制系统，本系统亦协助并监督第一道防线制定及改善控制措施，合规团队负责合规体系搭建、合规文化建设等;第三道防线是内部审计及监察，主要由内部审计及监察团队实施。内部审计及监察团队高度独立，内部审计团队负责评价公司风险管理及内部控制系統的成效，并监督管理层不断完善风险管理及内部控制领域。监察团队负责接收举报人的报告，并负责调查指称的欺诈活动，并直接向审计委员会报告。

依据以上模型，公司现已成立内控内审监察部，分为内控、内审、合规及监察4个团队。各个团队相互分工，高效协作，共同为公司的持续健康发展保驾护航。

在搭建了具体的运作模型后，反舞弊工作具体应该如何开展？如何做得更加有实效？在实际工作中，作为公司反舞弊体系执行者和实施者，小米监察团队有一套具体操作准则和实施方法。在操作准则上，内控以业务全面铺开，合规体系化建立赋能内控、内审和监察，以点、线、面、体贯穿连接的四位一体联动机制，确保公司在满足内外部合规要求的同时，有效应对外部环境的变化，增强公司的防范风险能力，助力公司业务保持长期稳健发展。

在具体实践中可以用三个字概括小米反舞弊的工作思路，即：“防”“打”“查”。首先是防，通过建立各种监察机制预防大面积的风险发生;其次是打，简言之就是打击各种违法犯罪的行为;最后是查，通过监察的方式方法，查处各类违规违纪行为，包括失职渎职，以权谋私、贪污受贿等行为。

基于“防”“打”“查”的方法论，可以把小米反舞弊体系比喻为两条平行的高速公路，一条是预防、调查、教育的道路，一条是不能腐、不敢腐、不想腐的道路。

在实际操作中，小米将以“不能腐、不敢腐、不想腐”为目标，着力构建一个“不想腐、不能腐、不敢腐”的小米反舞弊监督体系。基本思路是实现两步走：第一步，在前端设置体系化的预警系统，如搭建一整套的廉洁规章制度作为保障，使得那些想钻公司空子的人没有办法去钻。第二步，在体系化初步搭建完成之后，开展一系列的调查工作，通过对各种违规、违纪、违法行为进行查处，强化对腐败绝对零容忍的理念，树立典型案件，形成震慑，使得一些想贪，想腐，想侵占公司利益的人，望而却步。严柔并济是小米反舞弊体系的另一个特点，监察查处的同时对相关敏感岗位进行全覆盖式的宣传教育，促使一些人对腐败行为产生深刻的认识，从内心当中反感贪腐行为。

以打压查处和教育的方式向员工层层传递“不能腐，不敢腐，不想腐”的反舞弊工作理念，构建强大的反舞弊体系，将成为小米在市场竞争当中不可或缺的软实力和杀手锏。

信息化建设

风险管控有章可循

授权及风险管控的合规性管理是企业内部财务风险治理和信息安全管理的重要内容。通过自动化的访问控制协同方案，可以统一进行访问控制、权责分离及特权账号的管理，并对风险进行自动扫描和及时预警，定期进行授权复核，预防恶意欺诈事件和敏感信息泄露的发生，同时优化合规流程，提供审计报表，降低IT及审计成本，提升企业治理能力和风险管理水平。

小米为提升内部控制及风险管理水平，于2018年初开始使用UC2.0移动端取代了以往的邮件进行授权管理，一定程度上提高了授权效率及合规水平，但访问控制的授权与合规的管理体系尚未形成，职责分离（SoD）及关键敏感权限（CA）也未纳入管理范围，建立可进行风险识别的访问控制管理十分必要且迫切。

基于现实情况，公司在2018年启动了“治理、风险、合规—访问控制项目”（简称：GRC AC项目），此项目以内部控制和风险管理的要求为基础，通过管理咨询，落实小米授权合规管理方案，促使SAP GRC访问控制系统实现信息化落地，最终建立一套既符合外部法律法规及审计要求，又满足小米业务特点和内部控制要求的，集高效准确、集中流程化管控、风险自查、实时监控及时预警授权为一体的合规管理体系。通过实施本项目，小米实现了访问控制的授权及风险管控体系落地，实现了全员参与和认同，确保公司在授权管控方面实现内外合规。

截至2019年3月，GRC AC项目已成功上线，覆盖中国大陆相关的财务、销售、采购等业务板块，并已开展向海外区域的全球推广工作。除GRC AC项目外，在流程控制与业务监控方面，小米也已开展相应的系统建设工作（GRC PC），预计在GRC PC项目上线后，可实现对于公司业务流程中的风险点，进行实时监控，以避免风险事件的发生。

在整个内控内审监察部的积极努力拼搏下，小米的内部控制工作得到了各界的充分认可与肯定。2019年，小米内控团队荣获中国企业财务评价专家委员会颁发的2个奖项“2019中国企业财务管理内部控制创新最佳实践奖”“2019年度中国财务管理大师（内部控制与风险管理）”两个奖项。此外，小米也是“中国内部审计协会”“ACFE”“中国国际贸易促进委员会全国企业合规委员会”“中国计算机用户协会信息科技审计分会”等组织的成员单位，在政府部门及行业协会中积极为行业发展发声、献策献智，部门总经理刘少顺更是荣任“财政部内部控制标准委员会咨询专家”“中国国际贸易促进委员会全国企业合规委员会专家”“中国计算机用户协会信息科技审计分会专家库专家”等职。

目前，小米已建成集成的业务大数据平台，通过大数据分析挖掘等技术运用，实现为客户提供高价值的增值服务，并可进一步提升企业的经济效益和社会效益。

内控内审监察部将积极拥抱公司战略变革，紧跟公司发展步伐，充分考虑到全球关于信息安全与数据隐私的合规要求，确保数据不被窃取、滥用，并在此过程中，积极推动内控、内审、合规、监察工作的数字化、平台化、产品化建设工作，助力“促经营、防腐败、守住合规底线”的反舞弊目标一步步变为现实。

（小米科技有限责任公司）