對audit firm’s IA的補充

在《初入行的困惑, audit firm’s IA 還是 commercial IA?》一文發表後，我收到網友「哇哈哈一」的電郵，他現于audit firm 從事IA，告訴了很多關於audit firm’s IA的工作，看後加深了我對他們工作的認識，而且認為有需要另寫一文以補充上文的不足。

基本上audit firm的IA其實不是真的IA部門，他們主要工作是向外審部門或客戶提供支援，其工作跟真正的內審不同，所以他們的部門名稱是「風險管理部」，而非內控部。至於工作詳情包括：

1) CAAT (Computer Assisted Auditing Techniques)或IT control：主要為外審部門提供技術支援，例如客戶的系統是SAP或POS，甚至是in-house developed 的，外審部門便需要風險管理部幫忙看一看了。

2) SOX (Sarbanes-Oxley Act) Audit：按SOX的法例，在美國上巿的客戶，其管理層需要在年度報告中出具財務報表的內控評估報告，而SOX更要求外審核證 (attestation) 其內控評估報告。按一般情況，核證的工作由外審負責，但不時也會讓風險管理部進行。

3) SOX顧問工作：包括兩類客戶，第一類是怕麻煩，內部資源有限的客戶，或者總部在外地而有生產在大陸，需要聘請audit firm做顧問負責SOX compliance 的工作；第二類是客戶先前被外審出具保留意見甚至不同意，現在需要顧問協助改善。

4) 其他顧問工作包括，Enterprise Risk Management (ERM)，Pre-IPO control review，香港企業管治常規守則Provision C2及培訓等。

5) 其他審核工作包括，香港證監會的外判compliance review，政府相關機構的審核，各戶的外判內審工作等等。

總括來說，在audit firm做IA (正確來說是風險管理)，好處是可以接觸不同的行業，較多機會接觸IT及SOX audit，而且相對MNC的內審而言，入行會較容易，不失為初入行的另一個選擇。

建立這個網誌的其中一個原因就是想和大家交流經驗，分享知識及心得，希望大家，特別是同行繼續支持。謝謝！

&&&&&&&&