ERS分兩大塊兒,壹塊兒是Business Risk,壹塊兒是IT Risk.
Business Risk這邊主要是做內部流程控制的審計,很多時候是one-off的項目,幫企業assess壹下內控體系,比如企業要IPO的時候就規定要做這樣的assessment。
IT Risk主要是做IT audit和企業信息系統方面的咨詢項目,比如信息安全,隱私保護,數據分析和合規等,各地事務所的service line可能有不同,因為不壹定所有事務所都有齊備的人才來做這麽廣的service。
IT Audit是協助財務審計的壹項業務,因為現在幾乎所有企業的財務數據都牽涉信息系統,所以如果信息系統不安全,信息可以很輕易地被篡改,那財務審計拿到的數據就不可靠,拿來做審計也沒什麽意義了。所以壹般都會讓ERS的同時去客戶那兒先做壹次IT審計,看問題大不大。審計的內容最基本有兩塊兒,壹是GC(general control),指信息系統普遍的問題,如數據安全保密性,數據中心的保護情況,相關人員的權限等;二是AC (automated control),指企業在日常運營中信息系統的安全控制,比如輸錯密碼會彈出相應的warning或者更改信息需要更高等級的權限等。有時還會看其它壹些東西,比如職權分離測試(SOD)或者用ACL做壹些簡單數據分析(稱為CAATs)。
除以上兩大塊兒,還有壹些compliance的項目,比如SOX, IT 和 business 都會涉及。
工作時常肯定比財務審計短些,壓力也沒有這麽大,但獨立性更強,學知識和做項目都需要自己主動壹些。因為同時涉及audit和consulting的東西,所以也比較雜,缺點是不專,妳可能會比較迷茫做完這個以後可以換什麽工作,但優勢是有機會學到更多技能,如果妳肯學,還是不錯的。
發展前景的話,如果是做business risk這塊兒,以後可以去企業做內控人員;做IT的話,可以想IT 咨詢轉或者去企業做內控和合規officer,還有壹個比較熱門的方向是去投行做business analyst,這個職位是壹個協調的角色,將front office的業務需求轉換為IT部門聽得懂的信息,所以既得懂點IT,也得知道業務。當然因人而異的,四大本來就是起步的地方,多數人不會做壹世,出來去投行,去咨詢,去大企業其實都有可能。德勤也算是國際大企業,有很強的資源,可以好好利用。