我对做IT审计工作的评价

　　个人背景：职业生涯做过的公司有软件开发公司/系统集成商/IT咨询和服务商，从事过程序开发/系统集成/项目管理/市场营销和管理工作，加入Big4之前工作了8年，在某Big4工作了2年多，今年离开的。职务一直是Manager。

　　业绩：Peak Season要做近80家客户/110多个GAMx(我服务对象是Local Finance Industry)，Audit Quarlity得到广泛认同，1年AQR抽中3个，都是No Finding，Slack Season半年完成近200万的Revenue，从build relation，Proposal，FieldWork做到最后Archive file和收钱落袋。没有一个项目是所谓Partner给的或者是从别的地方现成的Transfer过来的(倒是Transfer了两个项目给了BJ，所以在BJ IT Audit department口碑很好)，其中成功撬走了另外两家Big4的银行客户的IT Advisory单子。

　　关于我在这家Big4的故事可以再写一本《圈子圈套》4，用小朋友们的话就是属于传奇人物的那种，这里就按下不表。

　　My Opinion：认同，IT审计项目小而多，GCR没有多少技术含量的，但是基本一个Staff一周要做2个以上的GCR(个别银行和超大型企业除外)，所以小朋友的事情很多，不轻松的。07年Peak Season的时候，我们部门Staff Uti个人单个月*6的是180%左右，就是每个月OT charge 22×8×0.8=140小时，我们当时还特意了解了一下这个Staff的情况，他还真没有虚报OT。一直是一个人同时做2-3个项目。每天2-3点下班，早上9点就下Field的。结果落下腰一直不好的毛病。一般最忙的几个月平均是在120%左右，所以某人说的一个月charge 300小时OT是不靠谱的，08年开始就几乎没有什么OT可以charge了。

　　My Opinion：这里面有一些误解，举个例子，假设财审一个项目的预算是100万，成交价可能是30万，recovery rate30%，IT审计给财审的报价30万，财审会complaint说全给你，我都没有钱赚了，其实不是的，IT 审计的报价是没有乘Recovery Rate(因为IT审计没有参与和客户的Budget Negotiation，是不知道Recovery Rate)所以IT审计的实际价格应该是30×30%=9万，很多财审的Staff可能忽略了这个乘Recovery Rate的步骤。

　　My Opinion：作为IT审计经理，我给客户IT经理打一个电话，不用半小时，我都基本能够感觉出这个客户ITGC的evaluation的结果了。所以针对那种利润率不高，entity死多，IT水平很低，到处用用友金蝶(甚至更烂)的财务软件的非IPO项目，往年ITGC Ineffective客户不怎么改的，或者初步评估ITGC 结论很可能是Ineffective的，你就让IT审计和做个preliminary Understanding + Walkthrough，TOC完全不用做，而且做一小部分Walkthrough就能得出ITGCCatagory Ineffective的，也不用把Walkthrough做全。你们自己直接按照ITGC Ineffective来做，自己小心一下ITGC对自己的审计procedure的影响就可以了。这样可以少不少Budget。审计风险也很低(都Ineffective了还有什么风险，而且Audit Efficiency也不错，不用花一大把的IT Audit Budget再作出一个Ineffective的结论，但是要让IT Audit Manager签好字)，千万不要自作聪明按照ITGC Effective来做，那样你AQR抽中了话会死的很难看的。ITGC Ineffective没有什么大不了的!只要你熟悉Audit Procedure，知道ITGC Ineffective影响那些ACR和Electronic Evidence，知道采取什么样的措施来Cover这个Risk就可以了。有些项目，你和IT审计经理签个Memo，认为经过IT Professional的Preliminary Understanding，能够得出客户的ITGC Ineffective的话，成本更低。当然，这里就看财审经理的Soft Skill了。

　　My Opinion：完全同意。其实IT Audit在四大里面也是越来越没有前途。如果一个人整天拿着一个checklist看看汽车方向盘好不好，轮胎有没有气，签字盖章。他敢说他是汽车方面的专家，要到汽车厂做总工，这个人一定是脑残了(就象某个中了北斗神拳的号称IT Audit manager出去做CIO一样)。ITGC只是“General”的东西，相对IT只能称之为“毛”，连“皮”都没有资格。一般企业找IT Audit一定要有“实践”经验的+有Audit经验的人才要。

　　IT Audit的职务，除了大型金融机构和Fortune100里面的部分企业外，不会有公司设立这种职务的。而且就算你在四大做IT Audit，到企业里面也不是很对路子的，因为他们很清楚ITGC是个垃圾(来自我的某个客户和后来曾经面试过的金融企业资深内部审计高管的评语)，他们也要很多IT HandOn的经验和Security方面很Technical的经验，这些四大出来的大部分是不具备的。IT Audit在Big 4是附属地位，而且地位只会越来越低，所以这个时候大学一毕业来做这个真是个人职业生涯的自杀行为。当一个职务在市场上只有很狭隘的空间，还能有很好的薪水的话，大批人进来只会让它崩盘直至打回原形。

　　My Opinion：笑话。一个只懂得“毛”的人就敢给客户做advisory，看在公司名字的份上，客户才没一脚把你踢出门去。IT Audit的Executive很多人不直接Touch Client，因为他们超过一半的利润来自IT Audit(至于沙丁猫说的转型到以IT Advisory为主，我不认同，因为他们是不敢放弃IT audit那么好赚的钱的)。他们还以为客户是“人傻钱多速来”的那种，人家天天IBM/HP/Accenture的顾问泡着。看到你BIG 4会热泪盈眶，以为你是来给他传授先进经验的传道士?清醒一点吧，除了个别Compliance的要求，见你们只是浪费他的时间。

　　很多Partner在公司里面横着走，出了大门什么都不是，还社会中高层，再中一记北斗神拳!传说中某Partner见某银行的科长，科长是脚搁到桌子上和他说话的。另一个Partner，客户的CIO直接在很多人的会议上把报告扔在地上，说这种垃圾不要放到我的会议上来讨论，还得赔笑脸。自身没什么Skill，不懂如何Handle Client。Advisory是要帮助客户解决问题的，不是你效力的公司很牛，客户见到你就叫Daddie了。你给个不痛不痒，牛头不对马嘴的report就付钱的。除了给Regulator的报告以外，BIG 4自身培养出来的力量是不可能做好Advisory的。

　　有时候看看我以前的一些经历，觉得就是《大腕》里疯人院那段的现实生活版。

 

 免费财经题库【手机题库下载】 | 在线直播