德勤的企业风险管理的主要工作内容是什么?发展前景如何
最佳答案
企业风险管理(ERS),顾名思义,suppose所有有关企业风险的项目都可以做,但主要还是集中在运营层面。战略层面更可能是德勤咨询来做。
ERS分两大块儿,一块儿是Business Risk,一块儿是IT Risk.
Business Risk这边主要是做内部流程控制的审计,很多时候是one-off的项目,帮企业assess一下内控体系,比如企业要IPO的时候就规定要做这样的assessment。
IT Risk主要是做IT audit和企业信息系统方面的咨询项目,比如信息安全,隐私保护,数据分析和合规等,各地事务所的service line可能有不同,因为不一定所有事务所都有齐备的人才来做这么广的service。
IT Audit是协助财务审计的一项业务,因为现在几乎所有企业的财务数据都牵涉信息系统,所以如果信息系统不安全,信息可以很轻易地被篡改,那财务审计拿到的数据就不可靠,拿来做审计也没什么意义了。所以一般都会让ERS的同时去客户那儿先做一次IT审计,看问题大不大。审计的内容最基本有两块儿,一是GC(general control),指信息系统普遍的问题,如数据安全保密性,数据中心的保护情况,相关人员的权限等;二是AC (automated control),指企业在日常运营中信息系统的安全控制,比如输错密码会弹出相应的warning或者更改信…企业风险管理(ERS),顾名思义,suppose所有有关企业风险的项目都可以做,但主要还是集中在运营层面。战略层面更可能是德勤咨询来做。ERS分两大块儿,一块儿是Business Risk,一块儿是IT Risk.Business Risk这边主要是做内部流程控制的审计,很多时候是one-off的项目,帮企业assess一下内控体系,比如企业要IPO的时候就规定要做这样的assessment。IT Risk主要是做IT audit和企业信息系统方面的咨询项目,比如信息安全,隐私保护,数据分析和合规等,各地事务所的service line可能有不同,因为不一定所有事务所都有齐备的人才来做这么广的service。IT Audit是协助财务审计的一项业务,因为现在几乎所有企业的财务数据都牵涉信息系统,所以如果信息系统不安全,信息可以很轻易地被篡改,那财务审计拿到的数据就不可靠,拿来做审计也没什么意义了。所以一般都会让ERS的同时去客户那儿先做一次IT审计,看问题大不大。审计的内容最基本有两块儿,一是GC(general control),指信息系统普遍的问题,如数据安全保密性,数据中心的保护情况,相关人员的权限等;二是AC (automated control),指企业在日常运营中信息系统的安全控制,比如输错密码会弹出相应的warning或者更改信息需要更高等级的权限等。有时还会看其它一些东西,比如职权分离测试(SOD)或者用ACL做一些简单数据分析(称为CAATs)。除以上两大块儿,还有一些compliance的项目,比如SOX, IT 和 business 都会涉及。工作时常肯定比财务审计短些,压力也没有这么大,但独立性更强,学知识和做项目都需要自己主动一些。因为同时涉及audit和consulting的东西,所以也比较杂,缺点是不专,你可能会比较迷茫做完这个以后可以换什么工作,但优势是有机会学到更多技能,如果你肯学,还是不错的。发展前景的话,如果是做business risk这块儿,以后可以去企业做内控人员;做IT的话,可以想IT 咨询转或者去企业做内控和合规officer,还有一个比较热门的方向是去投行做business analyst,这个职位是一个协调的角色,将front office的业务需求转换为IT部门听得懂的信息,所以既得懂点IT,也得知道业务。当然因人而异的,四大本来就是起步的地方,多数人不会做一世,出来去投行,去咨询,去大企业其实都有可能。德勤也算是国际大企业,有很强的资源,可以好好利用。展开
