算算已经这家公司入司3年了。怎么着也得知道自己在这家公司的定位与最终目标,这个问题也考虑了许久,也掺杂了行业的现状和趋势,拟了这个计划,达到目标了就功成身退,换公司,为了家庭,也为了内心渴望的一些东西。
1、眼下部门内部能接下我IT审计这块知识体系的没有其他人。没有这个岗位的替换机制,这块真是大大的不妙。而现在行业也已经进入了大数据时代,不说大数据处理那种有些高不可攀,仅仅眼下的数据膨胀带来的数据安全、数据背后的业务特征,也是风险管理必不可少的一块内容。想做到风险预防,需要业务知识,也需要数据的趋势演化指明的特征;想做到已发生的事故挖掘,数据上的蛛丝马迹也是要追的。
有句话很经典:不是你的系统牢不可破,而是你没有被盯上。一旦你的价值风靡全行业,你的相关系统就时刻在危机中。
所以,IT审计这块,我要做到的就是尽可能的把IT流程中重大风险检查到,提醒到,做好沟通,不求将IT审计实现到逢需求分析必参与,至少做到IT部门感觉有棘手或需要帮助的时候,能够主动找到这个岗位去咨询沟通,意识到位是上上策。如果能为行业监管带来点引发点,更是上佳 :)
细节就是:具体项目上:今年完成项目开发与变更专项、明年完成业务可持续性专项、完成核心系统性能评估专项。
非项目沟通:形成微信群、UC群或其它据点,定期发布我司或行业内安全焦点,尤其提醒各机构为何做好平时IT信息安全自查(这里直接教他们怎么做好显然有些急躁了,能意识上重视,我已经大功告成了,人撤了也毫无影响)
非项目渗透测试:日常随机根据行业或者IT安全界新风险,进行公司内外网安全检测,前提是万万不能影响业务。
2、CAAT,计算机辅助审计,我们公司主要是体现在用特定授权的账号,写sql直接到既定数据库中跑数据进行分析。实际上我一直把这块作为紧密联系业务的重大部分,其重要性和可行性甚至高于IT审计本身。
正如上述,行业已经步入大数据时代,数据分析给业务带来的发展、风险回避都是很重要的影响。这块,像我们这个行业,必须每家有这种人呆在稽核部或者风险合规部。
这块前期我已经着手开始部署部门内部的基础力量,教他们先学sql,搞定oracle数据库查询。然后业务要全,要通,业务越熟悉,到后面的分析越精准有效。这种价值根本无法体现在普通财务稽核人员身上。举例说明,客户实际上利用同一笔资金一直在循环贷款,空手套白狼,这种事情除非运营部门专门腾手统计这种数据,否则无论运营部、还是稽核部,用手工去逐笔翻系统、查数据、比对同一客户多笔业务带来的贷款、是先业务后贷款后结束业务,还是先业务后贷款再业务等等,用sql写脚本,跑起来,欢畅的很。
这一块,在目前公司里面,我只是做到了日常稽核过程中的异常类风险数据挖掘,且有待补充,还未形成独立的一套完整体系,只是每次稽核现场前,有针对性的提供帮助。我想做到的最高目标是:继续紧跟业务,搭建起一整套基于业务风险的脚本库,从异常类、到趋势类、到最终我的上一任老师没实现的想法,直接进行有效的非现场稽核(当然,这个最终想法在眼下的公司,精力等各方面影响,实现的概率很低,能做到完善的异常提示、趋势提示已经是我的理想状态了)。
细节就是:具体风险脚本,既有的则每条重新梳理、归类;缺失的,或者由于新业务带来的新风险监测需求,新写,新加。
平时与业务口、后援口沟通,为他们提供一定范围内的咨询服务,稽核的核心是实现保障业务顺畅发展,而不是挑刺,让稽核尽量融入业务流程中,同时也能很好的接触学习到最新的业务细节,有利于新风险的挖掘与回避提醒。
3、稽核管理。
稽核>=查账。眼下全国经济转型、各种改革,我们行业、公司也不例外。稽核作为非直接增值部门,能创造的业绩必然不会从老套路中出现闪光点。而且与具体的公司所处内控环境、风险接受环境、业务需求环境、高层管理环境、监管环境都有很大关系。
要做好稽核,不只是学会查账,还有业务知识与公司对业务目标的理解等等都要掌握。公司以业务盈利为目标,跟不上业务,谈何稽核提建议。我要做到的就是将下面几点灌输到我能影响到的各个稽核人员身上。
【1】稽核人员要做的就是必须掌握基础业务知识,越详细越好,越融入业务越好。这样有两个好处。既能知己知彼完成稽核工作,又能为业务人员带来稽核的接受弹性,避免业务人员抵触稽核工作,抵触内控工作。
【2】稽核人员要做到得第二条就是真正的稽核理念。稽核人员如果以稽核角度出发,就全输了,正确角度是以业务角度出发,哪里合适不合适,哪里需要弹性处理,哪里是刚性监管要求,什么是风险最低接受程度,哪种尺度或类型的风险可以不加以改善等等。
【3】稽核人员要做到得第三条就是如何对机构业务人员宣导稽核与内控,让其接受稽核、内控。太多人走入了误区,甚至包括高高在上的总部稽核人员。这个误区就是,只有在出现稽核工作的时候才跟目标人员沟通稽核如何如何,内控如何如何。基于稽核任务去沟通,本身已经被人先划了警戒线。正确的是平时多接触,多了解,多以稽核的身份去提供咨询服务,去帮助其完成日常业务目标。要做到这一点的确有些困难,因为现在的社会浮躁、节奏急凑、短期价值追求度高,都是社会人,肯定也影响到公司内部方方面面,所以每个人都有大量的日常事物需要去处理,忽略日常的关注是必然的。但是为了自身的最终发展,自身职责的最终目标,为了公司整体稽核形象,个人的工作临时完不成,我认为两者没有可比性。反而,另一个极端则是,都从自身工作出发,简单执行if...then...语句(if 与我无关 then get out),整个部门想发展起来,只有累死一两个负责任的人,才能撑住整体形象,或者干脆集体倒台,都混着。。。。部门也没形象了,公司内控也倒半边天,至于个人发展。。。似乎不怎么受影响,这家不行了,跳了呗。
【4】除了指导各机构上述注意点之外,还需做到时刻以公司整体业务发展角度去看现状,看总分机构之间信息沟通如何,看身在总部的自己能为机构多做点什么。
【5】还有很重要的一点,看你的领导目前站在哪种角度上在看什么问题,说的直白点,领导需要什么战绩你得多少明白点,然后你的任务就是帮他(她)实现,无论你身居何位,你相对你的领导,你就是兵,理解并实现你领导的想法、甚至给领导带来惊喜就是最好的兵。
前途漫漫啊。。。。
综述,能做到上述三点,我就对得起领导的赏识,也可以心安理得的继续发展了。发出来,也给大家一个提醒,稽核条线的人,并非与业务毫无关系,做好了,同样是公司的关键业务影响因素,共勉中。