5 otázek na práci v Information Risk Managementu

Information Risk Management (IRM) je jeden z nejrychleji rostoucích týmů v oddělení Risk Consulting. Není divu, že chcete o práci v IRM vědět víc. Proto jsme vyzpovídali Martina, našeho Associate Managera a položili mu 5 nejčastějších otázek týkajících se jeho práce.

Martine, co vlastně v týmu Information Risk Management v Risk Consultingu děláte?

Je toho hodně, ale jak už název napovídá věnujeme se informačním rizikům, a to je v našem pojetí vždy spojené s IT auditem. Ten se u nás dělí na čtyři větvě:

ITGC / GITC (IT general controls), kdy se díváme v auditovaných společnostech na nastavení IT procesů (řízení přístupů uživatelů a administrátorů, vývoj a správu informačních systémů, IT security,…) a hledáme potvrzení toho, jestli IT pracuje v souladu s best practice (např. ITIL). Příkladem může být třeba proces získání administrátorských oprávnění v informačním systémů a testování toho, jestli se může administrátorem ("všemohoucím") stát někdo na základě toho, že zavolá na IT Helpdesk a řekne, že to chce a vše má samozřejmě ústně předem schválené a nebo jestli to vyžaduje i nějakou písemnou/elektronickou administrativu a formální schvalovací proces.

Druhou a pro mě asi nejzajímavější částí, která trochu vybočuje z IT jsou testy automatických aplikačních kontrol ve společnostech. Člověk se přitom vydá i mimo IT a chce to i trochu kreativity a zamyšlení nad tím, jak věci otestovat aby test pokrýval riziko, které jako auditoři vnímáme. Zjednodušeně řečeno se jedná o testy konkrétního nastavení informačního systému a co systém dovolí nebo naopak zakáže, protože to odporuje přednastaveným pravidlům.

Třetí větví je takzvaná datová analýza. Jedná se o poměrně specifický typ, kdy hledáme pomyslnou jehlu v kupce sena. Dostaneme miliony, v některých případech i mnohem více záznamů a hledáme v nich ty, které vybočují na základě stanovených kritérií, která se samozřejmě mohou mezi společnostmi lišit (to, co je rizikové v jedné společnosti nemusí v druhé vadit). Tato data zpracujeme a předáme dalším kolegům v KPMG, kteří jsou schopni anomálie vyhodnotit nebo od klienta dožádají vysvětlení.

Čtvrtou a nejrozmanitější je IT poradenství, kde se soustředíme na různé oblasti od IT regulací nebo regulací s IT přesahem (GDPR, CSDR a další), interní IT audity nebo různé specifické projekty.

Kdo jsou vaši klienti? 

Klienti, pokud se bavíme čistě o IRM, jsou výhradně KPMG auditní týmy. Jsme týmem specialistů, které si finanční auditní týmy volají na své zakázky, když už je ve společnosti IT zapojeno do business procesů, a především účetních operací natolik, že to bez IT auditu nejde.

Spolupracujeme s kolegy z jiných kanceláři (Holandsko, Slovensko, Filipíny, Indie, Indonesie...), jejichž klient může mít IT oddělení v ČR a je ekonomičtější, abychom testování provedli my. Loňský rok byl velmi specifický v tom, že jsme se s dalšími třemi kolegy podíleli i na testovaní v Kazachstánu, Rusku, Indii a Číně. Ale to je velkou výjimkou, 99 % testování probíhá v ČR. Ono to v IT upřímně nehraje moc roli, každý v IT mluví z velké části anglicky a naše výstupy jsou v angličtině, takže to člověku tolik ani nepřijde.

Jak jsi se k práci v IRM dostal?

Můj nástup do IRM byl trochu neobvyklý a myslím, že si to většina lidí už ani nepamatuje. Původně jsem se hlásil do Management Consultingu (MC). V Risk Consultingu (kde IRM je) totiž nebyla v tu dobu vypsaná žádná volná pozice. Takže jsem šel na assessment centrum, následně na pohovor do MC, kde jsem prošel a měl jsem dostat nabídku. Než mi ale nabídka přišla, ozval se mi kamarád z Risk Consultingu, jestli bych neměl zájem jít k nim. Bylo z toho pak v KPMG údajně trochu pozdvižení, jak jsem se později doslechl. Protože se člověk nemůže hlásit na dvě pozice v KPMG zároveň do dvou různých oddělení, alespoň tak to dříve bylo. Takže přišla otázka, kam vlastně chci. Dopadlo to dobře, absolvoval jsem pohovor v RC i přes tuhle podmínku a nakonec jsem se rozhodl pro RC.

Pro koho je to job jako stvořený?

Myslím si, že pro všechny, kteří nechtějí dělat "čistě" IT a nechtějí nebo neumí programovat a "jen sedět u počítače". IRM práce vyžaduje i poměrně hodně komunikace s klienty a člověk se naučí jednat s vysoce postavenými lidmi, ale i lidmi z oborů s kterými by v IT přišel jen těžko do kontaktu. Ta práce je jinak řečeno velmi rozmanitá.

Co mě osobně ale lákalo nejvíce, je možnost poznání mnoha společností. Člověk se nenaučí a nepozná, jak funguje jen jedna společnost, ale vidí jich desítky ročně a má tak lepší porozumění a chápání toho, jak věci fungují, nebo co je naopak neefektivní.

Jaký byl tvůj nejzajímavější projekt?

Na všech projektech je něco zajímavého, ať už odborné oblasti, které řešíme, lidi s kterými u klienta spolupracujeme nebo společnosti samotné, které auditujeme nebo jim poskytujeme poradenské služby. Nedokážu si vybrat tu nejzajímavější z profesního hlediska. Pokud bych to bral z toho osobního, určitě to byla poradenská zakázka, kde jsem se seznámil se svojí partnerkou. :)

Do týmu Information Risk Management právě hledáme studenty a absolventy. Jestli by tě taková práce bavila, podívej se na nabídku a dej nám o sobě vědět. Domluvíme se a všechno tě postupně naučíme.