ERS分為兩個部分,壹個是業務風險,壹個是IT風險。
業務風險主要從事內部流程控制的審計,往往是幫助企業評估內控體系的壹次性項目。比如企業要IPO,就要求做這樣的評估。
IT風險主要從事IT審計和企業信息系統方面的咨詢項目,如信息安全、隱私保護、數據分析和合規等。當地公司的服務線可能有所不同,因為並非所有公司都有能力提供如此廣泛的服務。
IT審計是輔助財務審計的業務,因為現在企業的財務數據幾乎都涉及到信息系統,所以如果信息系統不安全,信息很容易被篡改,財務審計得到的數據就不可靠,用它進行審計也就沒有意義了。所以通常會要求ERS同時去客戶那裏做壹個IT審計,看看問題大不大。審計的基本內容有兩個。壹種是GC(general control),指信息系統中常見的問題,如數據安全保密、數據中心保護、相關人員的權限等。二是AC (automated control),是指企業日常運營中對信息系統的安全控制。例如,壹個錯誤的密碼會彈出相應的警告,或者需要更高級別的權限來更改信息。有時候我會看看其他的東西,比如職責分離測試(SOD)或者用ACL做壹些簡單的數據分析(稱為CAATs)。
除了以上兩塊,還有壹些合規項目,比如SOX、IT、業務。
工作往往比財務審計短,壓力也沒那麽大,但更獨立。妳需要主動學習知識,做項目。因為既涉及審計又涉及咨詢,所以也比較復雜。缺點是不專業。做完這個妳可能會很迷茫能換什麽工作,但是好處是妳有機會學到更多的技能。如果妳願意學,還是不錯的。
發展前景,如果是做業務風險,以後可以去企業做內控;如果想做,可以轉IT咨詢,或者在企業做內控合規官。另壹個熱門方向是在投資銀行做商業分析師。這個職位是協調角色,把前臺的業務需求轉化成IT部門能理解的信息,所以妳得對IT和業務有所了解。當然,因人而異。四大本來就是起點。大多數人不會壹輩子。出去找投行,咨詢,去大公司,其實是可以的。德勤也是國際大企業,資源雄厚,可以好好利用。