在《初入行的困惑, audit firm’s IA 還是 commercial IA?》一文發表後,我收到網友「哇哈哈一」的電郵,他現于audit firm 從事IA,告訴了很多關於audit firm’s IA的工作,看後加深了我對他們工作的認識,而且認為有需要另寫一文以補充上文的不足。
基本上audit firm的IA其實不是真的IA部門,他們主要工作是向外審部門或客戶提供支援,其工作跟真正的內審不同,所以他們的部門名稱是「風險管理部」,而非內控部。至於工作詳情包括:
1) CAAT (Computer Assisted Auditing Techniques)或IT control:主要為外審部門提供技術支援,例如客戶的系統是SAP或POS,甚至是in-house developed 的,外審部門便需要風險管理部幫忙看一看了。
2) SOX (Sarbanes-Oxley Act) Audit:按SOX的法例,在美國上巿的客戶,其管理層需要在年度報告中出具財務報表的內控評估報告,而SOX更要求外審核證 (attestation) 其內控評估報告。按一般情況,核證的工作由外審負責,但不時也會讓風險管理部進行。
3) SOX顧問工作:包括兩類客戶,第一類是怕麻煩,內部資源有限的客戶,或者總部在外地而有生產在大陸,需要聘請audit firm做顧問負責SOX compliance 的工作;第二類是客戶先前被外審出具保留意見甚至不同意,現在需要顧問協助改善。
4) 其他顧問工作包括,Enterprise Risk Management (ERM),Pre-IPO control review,香港企業管治常規守則Provision C2及培訓等。
5) 其他審核工作包括,香港證監會的外判compliance review,政府相關機構的審核,各戶的外判內審工作等等。
總括來說,在audit firm做IA (正確來說是風險管理),好處是可以接觸不同的行業,較多機會接觸IT及SOX audit,而且相對MNC的內審而言,入行會較容易,不失為初入行的另一個選擇。
建立這個網誌的其中一個原因就是想和大家交流經驗,分享知識及心得,希望大家,特別是同行繼續支持。謝謝!
&&&&&&&&
For bigger audit firms, there's a separate department doing CAAT. IA department does systems more.
回覆刪除that just like EX, TSRX which focus on IT audit and CAAT.
回覆刪除and BRX is focus on process(non-IT)
but in DXT and KXMG....they are in the same depart but different group for doing CAAT and IA.
in KXMG it's IRM that does CAAT, and IAS that does IA
回覆刪除both are not doing the Real IA
回覆刪除綜合各方好友的意見,不同audit firms的IA或者Risk management的工作範圍都略有不同。
回覆刪除