|
|
去银行了? 我最近一直在银行的咨询项目上,basel II related,现在在做资本充足评估流程、体系和系统整合项目(ICAAP)。有空多交流。。。
原帖由 活着要努力 于 2009-8-24 22:33 发表 ![]()
我觉得主要是公司是否重视发现的issue。如果mgmt不care的话,审计提的在有道理他们也不管。如果是mgmt重视的话,client会十分关心审计提的issue,如果是可行的就定个日期和action plan执行,如果审计提的不对或者不好,他们也会跟你argue、讨价还价半天。其实就是tone of the top的问题。
举个例子。偶银行audit committee是副行长chair的,每个quarter的audit committee会议,audit dept都有报告提交到committee,这个季度做了什么audit,audit report的rating怎么样,所有audit report exec summary也都发到audit committee。如果rating不好,audit committee的人都详细的问具体是什么问题,怎么改进,这时候分管这块的助理行长就不好看了。如果有overdue 的high rating的issue,都报告给audit committee,自然也不是什么好东西。所以总的来说我们的issue多会implement的。
当然中间会有很多很多的politics,所以auditor提issue也是很慎重的,稍有不慎,可能被auditee倒打一耙的例子也是不少的,特别是关系不好的部门。
另外内审的好处是可以有很多系统的access。比如我们做RACF 的audit就有RACF auditor attribute的权限,RACF里面我们随时可以看,可以下载到ACL,excel分析。而且一个项目在四大会给你一个礼拜,内审可以有一个月,所以内审的report质量是比较高的,issue是可以帮client堵上系统上的漏洞,即使client并不期望auditor来发现这些问题。
我感觉偶audit dept会越来越重视IT audit,因为除了IT general controls,我们还会CAATs和continuous auditing。这些都是传统的IA需要依赖IT audit的地方。
以前在四大我也跟楼主有相同的感觉。不过现在就有完全不同的感受。另外以前在四大只是不停在做audit project,而现在在银行的内审要做annual planning的process,做一些全银行的risk mgmt的东西,也接触到teammate suite的多个module(例如 team central, teamrisk etc),感觉内容更加丰富一些。 |
|
楼主: smilefish
IP卡
狗仔卡
发表于 2009-8-28 09:54
显身卡
