前言:
目前各位老铁们对“安全审计分为哪几类”大约比较重视,咱们都需要分析一些“安全审计分为哪几类”的相关资讯。那么小编在网络上网罗了一些关于“安全审计分为哪几类””的相关内容,希望兄弟们能喜欢,姐妹们一起来学习一下吧!隔行如隔山。
经常有人问我,你是做什么工作的?我回答“做内审的”,对方总是一头雾水。我只能在心里笑笑,进而回答道“就是干审计工作的”。
尽管广义的审计包括外审和内审,但通常我们说的“审计”是指财务报表审计,关于“内审”本身的讨论量相对比较少,不从事财经行业的朋友可能对这个概念比较陌生。因此我想分享一些自己从业以来的心得体会,简单聊一聊内审。如果你是相关专业的学生,或者刚刚走进这个职业的同僚,那么不妨往下看看吧。
目录:(文章比较长,建议先收藏后看)
内审的概念内审相关的专业就业方向&职业规划薪资水平硬实力&软实力考证
-------------正文开始----------
内审的概念什么是内部审计?
内部审计是指对本单位及其所属单位的财政财务收支、经济活动、内部控制、风险管理,以及所属单位主要负责人经济责任履行情况等,实施独立、客观的监督、评价和建议,以促进单位完善治理、实现目标的活动。 ----东奥会计在线
什么是内部控制?
内部控制理论是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。----COSO委员会
内审和内控的关系
内控是管理层(风险管理第一和第二道防线)设计和执行的一系列企业内部管理的政策、程序、流程,而内部审计(风险管理第三道防线)由于其独立性,可以就治理和风险管理的充分性和有效性提供独立和客观的确认和咨询意见。
用大白话说就是内控是企业管理的框架,而内审可以检查这个框架是不是牢靠,有没有哪里出了问题。而这个“问题”,一般分为设计上的缺陷,和具体执行上的缺陷。
2. 内审工作相关的专业
从事内审工作对于专业的要求不是特别高,因为它是个更注重员工软实力的工种。像传统的财会类专业:会计、审计、财务管理、税务等是直接贴合的。但是随着近年来数字化的发展迅速,一些理工科类的专业(计算机科学与技术、软件工程、信息安全、电子与计算机工程、人工智能等)也常见于内审工作者的背景之中。再者就是一些语言专业毕业的(例如日语、韩语、德语等),也因为一些跨国项目的刚需,进入到这个行业中来。
3. 就业方向&职业规划
对于想要从事内审的同学们来说,毕业之后的校招/career fair是个关键,毕业后最相关的去处无非是内审的甲方和乙方:
乙方:会计师事务所,首选四大,而后是八大。内审的部门有些是隶属于审计部,有些隶属于咨询部(风险管理咨询),每个所情况不一样。乙方的业务条线一般有以下几种:
传统业务:不论所的大小,一定会有的传统业务就是年度的内部审计和内部控制类服务。内部控制类的服务即为企业搭建内部控制体系,挖掘所有部门经营业务流程中的关键控制点,并为每个控制点梳理好相关的政策、流程、负责人、关键表单的使用等等;内部审计类的服务即为企业审查内部控制的有效性,包括设计层面的有效性,以及执行层面的有效性。此类项目一般会包含公司销售、采购、人事、固定资产管理、预算管理、货币资金管理等等的流程,会和各个部门的人打交道。专项审计:此类业务取决于客户的具体需求:例如最高管理者换届时需要执行的经济责任审计(指企事单位的法定代表人或经营承包人在任期内或承包期内应负的经济责任的履行情况所进行的审计。)、人事专项审计、税务专项审计等等。合规、反舞弊业务:此类业务常见于对于合规要求特别高的行业,例如药企、银行、外企、上市企业(SOX)等,针对行业或其监督管理机构出具的行业合规制度规范,对照看企业是否有不合规的现状,并对其提出整改意见。风险管理咨询项目:这类的项目偏咨询类型,应运了风险管理的第二道防线而生,常见于风险管理意识特别高的跨国企业。此类服务主要是需要为企业确定风险管理责任人、风险管理框架、风险预警机制、重大风险管理预案等;近几年来,IoT和数字化的大肆盛行催生了一些新型的热门业务:数据分析、网络安全、RPA等业务。
甲方:企业“内部审计”岗位。一般来说,只有大型的企业会有类似的岗位,因为小企业比起管理合规更重视营利和市场份额。甲方的内审岗位除了监督职责,比乙方更突出的一个特点是:需要非常了解公司的业务,才能真正为公司提出能落地的、有效的改善建议。相比较起来,乙方在项目执行过程中,除非自己去深挖,比较少会去了解到公司的业务,而可能会比较浮于表面。
内审是治理层的眼睛,可以贴近一线,看到企业存在的运营管理中的问题。内审虽然有时候因为会增加各个部门的工作量,人际关系上会有些难处理,但是内审也是个出潜在高层管理者(偏中后台)的部门,因为对整个公司的业务和各个部门的管理都比较熟悉。
综合下来说,内审向下也是有细分的:IT审计、流程审计、FS审计。这几个审计岗位之间存在着一些技术壁垒,基本上你开始做某一条线以后,就不太会接触到另外的线了,因为接触到了也不会做(没有特别的培训的话),这也就影响了你之后的职业发展。
职业规划:内审的出路也比较简单直接:最常见的是甲乙方之间相互跳、来回跳几个回合也是常有的事。跳去乙方的话基本有相关经验就可以参加社招(没有经验也可以进去从小朋友做起)、跳去甲方的话,基本是看在乙方的项目经验背景,这决定了是不是可以跳去银行业做风控、是不是可以做合规官、还是做传统行业的内部审计。
然后就是转型、转行:要么是从公司内部内审开始慢慢向上做到管理层(controller, C*O, etc),要么做某个行业的运营,要么从事财务会计、财务分析(财务背景强的)等,要么就是完全在不相关的岗位重新开始。
内审有个坑就是需要出差(加班这些就不多说了),特别是对于女生来说。一出差的话基本是2周起,上不封顶。到了一定的年龄,如果要顾全家庭的话,就免不了在家庭和职业之间做选择。因此想要从事这个行业的人要特别想清楚,有的人喜欢各地跑,住遍各地的酒店,累积各大航空的会员卡经验,顺便在空歇时走一走当地的景点,尝一尝当地的美食;但是也有的人喜欢安定的生活,无法忍受酒店里的床和枕头睡不惯、不习惯飞机上干燥的空气、来回折腾以后带来的免疫力下降和皮肤变差,那就要好好考虑是不是要走这条路了。
4. 薪资水平
四大的话,每年的salary letter都可以百度的到,知乎上也都会讨论,M以下级别是非常透明公开的,是哪个level就是什么价钱。去八大的话,薪资每个所会略有不一样,可以以四大的价格作为参考,去和HR谈,基本会低一点点,但是也不能低太多不是。
图片来源:四大新鲜事儿
每年发工资信的那几天,在网上的整理版本出来之前,秘蜂上会有第一手的讨论,好奇的可以去上面看看。
M level往上的话,就比较难跳到能给出差不多薪水的甲方了,因此很多人都会选择在升经理这年从乙方跳到甲方爸爸的怀抱。M level往下的话,甲方的薪资水平很大程度上取决于公司的规模和行业,比四大高或者低都是有可能的。
5. 硬实力&软实力
总有非相关或者没有相关经验的小伙伴疑惑自己能不能干这行,其实就像文章开头说的那样,除了做数据网络安全方向业务、IT类审计业务,需要有一定的technical的知识,剩余的内审业务,其实不需要你有太多的硬实力。因为这行需要你有比较好的软实力:
沟通能力:everything is about communication. 特别是这个行业。项目伙伴内部、项目和老板之间、项目和客户之间,你会发现你花时间最多且最累的,有时候就是沟通。能够用简短的语言,清晰地表达自己的想法;能准确地告诉客户(被审计者)你需要的文件以及背后的逻辑;能让一个不知情的人看了你的报告就能清楚理解报告所表达的内容...这些都是黄金一般珍贵的能力。
逻辑思考能力:这是个特别考验逻辑思考能力的行业,因为这其中有非常多因果关系。为了控制某种风险,我们需要达到特定的控制目标,从而设计一套标准流程达到这个目标。如果出现了某个有缺陷的地方,我们需要思考为什么会出现缺陷,它会产生什么影响,从而导致某个控制目标没有达到,从而产生了某种风险。而这种风险,是管理层衡量了成本效益之后,需要去进行管理的。虽然很多时候,这些都没有标准的答案,每个人对风险的接受程度也不尽相同,这就需要你运用逻辑和经验来自圆其说,使人信服,因此也很考验一个人说故事的能力。
快速学习和应变能力:通常一个项目,需要你很快地进入状态,哪怕是你完全没有接触过的行业、完全陌生的城市和地点。这就非常需要你能够触类旁通:每个公司都会有销售部、采购部、人事部等等部门,大方向上每个部门干的事情一样,但是每家公司的流程又会千差万别。如何用以前积累到的经验,去快速理解一整套新的流程,并且书面化地记录下来,是很考验人的。
包括一些新出的法律法规或者一些行业规范,需要你从网上、专业文刊或者书籍中research到相关的信息,然后消化吸收成为自己的见解,运用到实际工作之中。这也是一种学习力的体现。
至于硬实力,就是指会计、审计、税务、财管等等方面的基本知识 。哪怕你没有,你也可以通过入职后的学习和考证,来储备一些知识。如果你不想考证,那么钻研一些入门的会计学书籍,也能有所帮助。起码在工作上看到一些专业名词,能知道是什么意思。
6. 考证
好像谈到财会人,考证是个绕不开的点。内审不像外审那样必须要求拿下CPA,但是CPA仍然是内审人追逐的TOP 2 的证书,另外一个是CIA。
刚从学校里出来的同学们或者还在读大三大四的朋友们,考证要趁早。如果学分修的快,大四一般是没有什么事情的,除了实习,空闲的时间可以用来准备考试,等到毕业了以后就可以参考了。这是考证最幸福的一种打开方式了。你绝对不想在出差时、加班后、在酒店里打开你厚重的书本,你绝对只想要躺着。
如果在事务所,你会有一个金钱上的激励,就是Q-PAY(参考第四部分的薪资表),一个月多个小几千还是很值得奋斗的。但总的来讲,千万不要盲目地考证一把抓,而是要想想通过考证自己能学到什么知识、对于未来自己的职业、人生规划能起到什么样的加成作用,以及自己适不适合考证。因为考证是需要大量时间和精力的,是有机会成本的,需要好好衡量。
标签: #安全审计分为哪几类