Když nevíš, jestli IT, nebo finance, pojď do ITA

„Práce v Information Technology Advisory (ITA) je ideální pro toho, koho baví IT i finance. Není to primárně o programování a účtování, ale hlavně o pochopení procesů a toho, do jaké míry jsou automatizované a kdy do nich zasahuje člověk,“ takhle popisuje práci v ITA Radek Koudela. Zná ji opravdu dokonale – v ITA začínal coby student před deseti lety, tehdy ještě pod názvem IRM (Information Risk Management). Dneska je z něj senior manažer a celý tým vede.

Jak jsi se do ITA a vůbec KMPG dostal? Vždycky jsi chtěl dělat IT audit?  

Na VŠE jsme měli předměty na informační bezpečnost, IT audit a architekturu informačních systémů. Spolu s grafikou jsem to považoval za něco, čemu bych se chtěl v budoucnu věnovat. Tak rok před koncem školy jsem si řekl, že by bylo fajn najít si nějakou brigádu v oboru, do té doby jsem si přivydělával spíš manuálně. Do KPMG jsem se dostal přes inzerát a nastoupil jsem rovnou do ITA, nejdřív na dohodu, pak na klasický full-time job. Tehdy spadal ITA pod audit a byli jsme tam čtyři – dva junioři a dva senioři.  

Můžeš přiblížit, co práce v ITA obnáší?  

Náš tým se věnuje informačním rizikům ve spojení s IT auditem. Nejprve se díváme, zda IT prostředí společností, které KPMG audituje, je dostatečně zabezpečené a data jsou spolehlivá a chráněná, aby se kolegové z finančního auditu na ně mohli spolehnout. To znamená, aby si někdo nevyvinul nějakou funkci, která tam být nemá, aby nedocházelo k nechtěným zásahům do dat nebo ke změnám od někoho, kdo na to nemá odpovídající pozici a relevantní business důvod.

Co dalšího děláte?  

Zaměřujeme se taky na testování automatických aplikačních kontrol, tedy zda určitá funkce funguje správně. Třeba výpočet úroků, pojistného, výpočet dnů po splatnosti, párování plateb, nastavení schvalovacích limitů atd. Často pracujeme s velkým množstvím dat. U velkých společností mohou různé sestavy obsahovat i miliony řádků a někdy je problém, aby je klient uměl vůbec vygenerovat. Musíme ověřit, že data, která nám dal, jsou úplná a přesná. S extrakcí dat klientům pomáháme, řešíme třeba i implementaci různých nástrojů na extrakci a analýzu takto velkých objemů dat. Sektorově se pohybujeme hlavně ve finančních službách (banky, pojišťovny), ale auditujeme i energetické nebo výrobní firmy, automotive nebo e-commerce.  

Dneska je vás v ITA skoro pětkrát víc, než když jsi nastoupil, a pořád nabíráte. Změnilo se ještě něco jiného? 

Samozřejmě. Hlavně vzrostla role a důležitost IT ve firmách, na což musela zareagovat i profese IT auditu, kde se detailem testování přibližujeme západním zemím. Díky technologiím došlo k obrovskému posunu v hloubce, do které se ponořujeme, a zároveň se zvýšila naše efektivita. Tehdy jsme pracovali hlavně ve Wordu a Excelu, dnes máme mimo tuto klasiku k dispozici i mnohem pokročilejší nástroje. Stále zde ale vnímám prostor pro zlepšení a využívání dalších nástrojů a technologií, což jde ruku v ruce s tím, že dáváme více prostoru technicky zaměřeným lidem. Je důležité abychom měli v týmu, jak procesně a metodicky zaměřené kolegy, tak kolegy techničtější, se znalostí například databází, správy informačních systémů nebo alespoň základů programovní (SQL, Python atd.).

Jak si práci v týmu rozdělujete?  

Za sezónu, tj. od září do března, máme kolem 100 zakázek. Ze 70 procent je naším klientem auditní oddělení KPMG. Na jedné zakázce vždycky pracuje tříčlenný tým složený z juniora, seniora a manažer dělá review. Když je zakázka větší nebo máme šibeniční deadline, může to být i víc lidí. Zakázek je opravdu hodně, a tak se nováčcci během prvního roku rychle zaučí. Do budoucna bych právě s rozšiřováním našeho týmu chtěl, aby se zvýšila specializace jednotlivých lidí, aby se někdo věnoval například primárně datům, jiný zas databázím, tak jak je to obvyklé v zahraničí.  

Co přesně děláš ty coby senior manažer?  

Schůzuji a jsem týmu k dispozici. Funguju jako spojka mezi auditními manažery a partnery. Do zakázek většinou vstupuji, když je nějaký problém, třeba když klient nedodává data nebo identifikujeme nějaký potenciální problém / nález, jinak hlavně reviduji výstupy. It audit je pod drobnohledem, jak interních kontrol, tak Rady pro veřejný dohled nad auditem. Takže se podílím na neustálém rozvoji a vylepšování metodik, což mi přijde zajímavé. S kolegou jsme součástí CEE týmu, který jezdí revidovat vybrané zakázky do ostatních CEE zemí. Zároveň implementujeme nové postupy na základě doporučení KPMG Global Audit Quality týmu.  

Čemu se věnujete, když skončí sezóna auditů?  

IT poradenství. Vytváříme pro klienty nabídky na míru přesně podle jejich požadavků. Poradenské projekty mají také blízko k IT auditu (jedná se například o IT interní audity, assurance projekty, kybernetická bezpečnost atd.), ale většinou řeší konkrétní oblast do většího detailu, například přístupová práva, ochranu osobních údajů nebo migraci informačních systémů. Podíl poradenských projektů také rok od roku stoupá a do budoucna by měl tento trend pokračovat, což vnímám jako důležitý aspekt pro rozmanitost naší práce a rozšíření obzorů nad rámec klasických IT auditů. Během léta, kromě velké porce dovolených, taky děláme „osvětu“ pro kolegy z auditu, seznamujeme je s novinkami v našem oboru.  

Můžeš zmínit nějaké zajímavé projekty z oblasti poradenství?  

Řešili jsme třeba zohlednění regulací ČNB v IT kvůli získání bankovní licence, testovali jsme IT systém pro výběr elektronického mýta nebo jsme testovali IT požadavky finanční skupiny v souvislosti se vstupem na burzu. To bylo obzvlášť zajímavé, protože skupina působí v řadě zemí a aby bylo testování konzistentní, objížděli jsme všechny země my. Dostali jsme se do Indie, Číny, Kazachstánu a Ruska. Vždy jsme týden pracovali a o víkendu zbyl čas navštívit Tádž Mahal, Velkou čínskou zeď nebo Zakázané město.  

Pokud si chceš vyzkoušet práci na takových zakázkách na vlastní kůži, tak se nezapomeň podívat na naše volné pozice.