首页 > 未分类 > 第一个项目小结一下。

第一个项目小结一下。


其实项目刚完成第一阶段,但是mentor明天开始Urlaub,这个假一放就是4个星期,临时把我交给另外一个项目,所以把现在这个项目的进程小记录一下。

KPMG的ITA(IT Advisory)部门分成两大块,一块偏consulting一块偏auditing,我跟的第一个项目是后者,所谓偏auditing就是跟audit合作的审计项目,现在SOX(Sarbanes Oxley)是热门项目,在美国上市的德国公司还是喜欢找本家的WP,大部分根据SOX要求的auditing项目都需要对IT系统的监管和安全性进行检查,所以这部分任务派到ITA就是偏auditing的项目。SOX的IT审计项目里很重要的一个部分是SoD(Seggregation of Duties),最常见的比如SAP系统里面有众多userID,每个userID有若干job functions,其中又包括根据各个公司和地区而定的多干TCodes(transaction codes),SoD检查的任务就是保证这些userID,他们的job function一直到它们的TCodes之间不存在conflict和risk potential。比如如果一个用户既有credit management的权限,又有purchase order的权限,那么他就可以通过人为提高客户的credit limit来接受本来不被允许的订单。这样的问题需要以精确到TCodes-level的方式做成一个SoD-Matrix,小公司用Excel,大公司用Access,包括所有可能的conflict和risk potential、重组job function或者更改用户权限的建议(所以仍然是Advisory范围内的业务)以及go live阶段的实测。

作为一个标准的步骤,客户在项目开始的时候就提供了它们自己定义的(当然很大可能是帮助客户进行系统实施的其他公司定义的)一个SoD-Matrix,我们的任务就是向客户证明他这个SoD-Matrix是不完全的——没有什么SoD-Matrix是完全的,漏洞想找永远找得到,关键是怎么在3天内找出尽量多而且质量高的漏洞(high risk)。项目开始的时候对schedule的把握很重要,不然很容易掉进动则数千行的Excel表格里爬不出来,大的步骤把握好剩下来的就只是熟练工,这方面我觉得我mentor做的很好,我们讨论的重点一直集中在每一步出来的东西应该满足哪些要求,而不会在具体的细节如呈现方式、数据清洗等等上面浪费太多时间。我觉得这点上mentor给我很大自由,以至于除了在若干Excel表格间不停Ctrl+C、Ctrl+V的时候以外,我始终没有因为项目沉闷昏昏欲睡。因为相当积极,还获得一个支线任务,被要求针对mySAP系统中两个核心流程之一的OTC-Process做一个小的presentation,需要参考共计2000多页的SAP内部培训资料。以前就知道SAP复杂,但是没想到有这么复杂。。。

回到SoD项目,做咨询一个关键是信息来源,信息分析很重要,但是没有好的来源神仙也分析不出什么东西。KPMG有一个SoD-Matrix的template,网上关于SoD也有很多资料,但是能用的不多。而且虽然SAP是标准化程度非常高的系统,但也只是在TCodes的层面上,要知道随便一个module,比如我们最关注的SD-module(sales and distribution)就有6000多个TCodes(还不一定全),如果直接从TCodes层面入手如果定义好每个conflict至少3年过去了,所以只能从比较高的层面开始,但是在高层面上各个公司包括KPMG自己的template用的都不是job function而是activity name来定义各个系统用户的操作权限,原因是这个层面是商业人员和管理者进行操作的层面,而TCodes更多是技术人员的层面,所以每个公司所定义的activity name几乎都不相同,这就使得完成一个真正意义上的template根本是天方夜谭(SAP最近刚收购了个专做SoD方面的技术性公司,也许他们能弄出个直接在TCodes层面上涵盖SAP系统所有权限冲突的软件,不过至少在那一天到来前,SoD会是KPMG这样的公司的一颗摇钱树。)。所以这个阶段花掉我们最多的时间和精力,但是成果也很突出,甚至突出的有些让人无法置信,因为今天大家坐到一起发现我们找到了比客户自己定义的多出至少3倍的权限问题。。。先互查一遍确定真的不是我们的错,mentor开始考虑明天(其实是今天了)status meeting怎么说这个问题。直接把这么一张硕大的Excel表格抛出来肯定会吓到客户,更重要的是我们现在在auditing项目,找到问题只能是向客户提出“善意的建议”而不能直接上一个advisory的项目,那花这么多时间找到的东西就白白浪费了不是。细节不表,只是看到做一个项目不光是花时间精力拿出好结果那么简单,business is business,要学的东西是很多的。说道后天在ITA部门大老板那里要做的presentation,mentor的解释也很直白,他说大老板不会很care客户那里有什么细节,给大老板做presentation就是两个目的,一是让他放心我们项目进行的很好,二是让他有机会了解我们team,所以客户不是重点,我们才是。

最后说Excel,虽然每个人有机会在公司里用到Excel之后都会叹服其功能无比强大,但这种事情不自己经历一下始终不能体会啊!我现在觉得自己急需一本Excel for Dummies。。。明天开始恶补Excel函数,还有快捷键。

我知道应该不会有人坚持读到这个地方。。。不过写这篇Blog也就是相当于一个memo,以后什么时候自己查起来方便,尤其是当我不小心把整个硬盘格式化以后,我更加坚信重要的东西放在网上才是王道,毕竟微软一时半会倒不掉也跑不了。

Advertisements
分类:未分类
  1. 2007年08月8日 @ 1:33 上午

    沙发 

  2. 2007年08月8日 @ 1:36 上午

    感觉工作很有意思。那你现在海上课吗?
    “我更加坚信重要的东西放在网上才是王道,毕竟微软一时半会倒不掉也跑不了。”
    绝对是真理
     

  3. Charlotte
    2007年08月8日 @ 2:53 上午

    “我知道应该不会有人坚持读到这个地方”
    我直接跳到了这个地方… 你这个小结… 我期待你写总结

  4. 2007年08月8日 @ 5:57 上午

    全部看完.说说小火尧吧! 

  5. Qianrong
    2007年08月8日 @ 12:55 下午

    我先看了第一段,然后直接跳到最后两段,写得好!!! 

  6. 2007年08月8日 @ 5:20 下午

    今天见你满面春风地从IT部门出来。。。不过我在图书馆,就没叫你。
    这两天习惯了一句德语句子读2遍才明白什么意思,没想到读中文还是这样。 

  7. 晨俐
    2007年08月8日 @ 6:09 下午

     能不能以后用英文翻译一下德语哟…看得晕…
    PS 我最近也在恶补EXCEL

  8. 小kiss
    2007年08月8日 @ 7:33 下午

     倒数第三段最后几句不错,通俗易懂还可以触类旁通,soft skill是王道~~^_^

  9. IF
    2007年08月8日 @ 7:59 下午

     这两天习惯了一句德语句子读2遍才明白什么意思,没想到读中文还是这样
     
    这句经典的

  10. Dragon
    2007年08月8日 @ 8:24 下午

    我态度是很好的,我看完了!
    虽然完全没懂…
    以后没看懂的帖能不能就不回了呀:) 

  11. lei
    2007年08月8日 @ 9:41 下午

    寻人:暑假当然不上课了,不然一边上课一边实习我不是要比焦裕禄还忙。。。看到你毕业照了,怎一个帅字了得啊!!!Nan:小结就是总结哎。。。mentor明天去渡假了,这个项目就告一段落了,后面的事情要到九月再说,到时候如果我跟在别的项目上不回来了也说不定,虽然我觉得我不回来对他们来说肯定是很大的损失。。。强兵:现在这个项目雇主是一家I字打头的半导体制造商(大家拆开自己笔记本瞅瞅应该很多人用的是他们家的内存),轻轨专门有一站就是他们工业园区,里面全是男人和印度人,实在很难找到小火尧。。。明天的项目是一家S打头占DAX指数比重接近10%的公司(这样说我自己都觉得很汗。。。)下面的一个子公司,主营业务是机械设备,估计看到女人都很难了。。。妹妹:看你NOS上课那么辛苦,算了。Lily:我不是从ITA出来,是自从上个星期第一天上班以后头一次会ITA和总部,你看到我的时候我是去IT Support拿门卡,我看到你跟IF坐在图书馆埋头苦读就没好意思打扰啊。after20:我仔细看了一遍。。。德文单词一共两个:Urlaub是渡假的意思,WP我觉得很难翻,相当于Audit,但是实际比Audit的业务范围要广,姑且翻译成会计事务所好了。宝贝:难得评价的这么正经哦,来亲亲。IF姐姐:反正别人影射我语言能力底下的论断你就会觉得经典。。。弟弟:回都回了就不要找骂,记住越是看不懂越要回,因为你看不懂人家估计也看不懂,那这种时候你作为弟弟不首先跳出来义无反顾的带头回帖我还能指望谁呢?

  12. Jing
    2007年08月8日 @ 9:47 下午

    想到Excel我手指就抽痉,眼睛就发花@_@ 

  13. 2007年08月9日 @ 6:26 上午

    "明天的项目是一家S打头占DAX指数比重接近10%的公司(这样说我自己都觉得很汗。。。)"
     
    西门吹雪的儿子吧? 

  14. lei
    2007年08月9日 @ 12:08 下午

    Zaochen badianban lai huitie, louxiade shenme qingkuang? Haohao shangban! 

  15. Louis
    2007年08月9日 @ 10:23 下午

    错了吧,我就读到了那一段,直接跳过中间的部分。建议:我们中国人有个好传统,不是必须用英文的地方,坚决写中文。不这样的话养成了习惯,回国后肯定会被骂的。

  16. lei
    2007年08月10日 @ 8:20 下午

    今天在公司就想回帖,但是想想公司电脑不能打中文,用英文加德文加汉语拼音回肯定被抽死,所以忍到现在。。。Louis,哦不是,陆家嘴是好同志,有不爽就直说,不像老罗说:ETS就等着人家去问他说你怎么出这么烂的题他好找机会解释,我他妈就不给他机会解释我憋死他。好,我等了这么久终于找到机会解释了!第一,我中文不好,只好拿乱七八糟的鸟语来充场面,实属无奈。我要是能拿中文写个小说什么的,我才不浪费时间写什么狗屁实习手记。第二,刚才说的第一点是胡扯,这一点才是正经话。我是觉得很多词平时大家也都这么说,正翻成中文了反而不舒服。比如我们都说marketing很少说市场营销,都说photoshop没人说。。。呃。。。照片铺?但是!既然Louis,哦不,陆家嘴觉得不爽,我一定要满足你,下面是经过后期制作的高清无码流出版的项目小结,来看看效果:其实项目刚完成第一阶段,但是我的指导人明天开始渡假,这个假一放就是4个星期,临时把我交给另外一个项目,所以把现在这个项目的进程小记录一下。 毕马威的信息技术咨询部门分成两大块,一块偏咨询一块偏审计,我跟的第一个项目是后者,所谓偏审计就是跟审计部门合作的审计项目,现在萨班奥克斯利法案审计是热门项目,在美国上市的德国公司还是喜欢找本家的会计师事务所,大部分根据萨班奥克斯利法案要求的审计项目都需要对信息技术系统的监管和安全性进行检
    查,所以这部分任务派到信息技术咨询部门就是偏审计的项目。萨班奥克斯利法案的信息技术审计项目里很重要的一个部分是职责分隔检查,最常见的比如“系统、应用及数据处理软件公司”系统里面有众多用户登陆名,每个用户登陆名有若干工作职能,其中又包括根据各个公司和地区而定的若干操作代码,职责分隔检查的任务就是保证这些用户登陆名、他们的工作职能一直到它们的操作代码之间不存在冲突和潜在风险。比如如果一个用户既有信用额度管理的权限,又有订单操作的权限,那么他就可以通过人为提高客户的信用额度来接受本来不被允许的订单。这样的问题需要以精确到操作代码层面的方式做成一个职责分隔矩阵,小公司用微软公司的电子表格处理软件,大公司
    用微软公司的小型数据库软件,包括所有可能的冲突和潜在风险、重组工作职能或者更改用户权限的建议(所以仍然是咨询部门范围内的业务)以及上线阶段的实测。 作为一个标准的步
    骤,客户在项目开始的时候就提供了它们自己定义的(当然很大可能是帮助客户进行系统实施的其他公司定义的)一个职责分隔矩阵,我们的任务就是向客
    户证明他这个职责分隔矩阵是不完全的——没有什么职责分隔矩阵是完全的,漏洞想找永远找得到,关键是怎么在3天内找出尽量多而且质量高的
    漏洞(高风险)。项目开始的时候对时间表的把握很重要,不然很容易掉进动则数千行的微软公司电子表格处理软件的表格里爬不出来,大的步骤把握好剩下来的就只是熟练
    工,这方面我觉得我的指导人做的很好,我们讨论的重点一直集中在每一步出来的东西应该满足哪些要求,而不会在具体的细节如呈现方式、数据清洗等等上面
    浪费太多时间。我觉得这点上我的指导人给我很大自由,以至于除了在若干微软公司电子表格处理软件的表格间不停复制、粘贴的时候以外,我始终没有因为项目
    沉闷昏昏欲睡。因为相当积极,还获得一个支线任务,被要求针对“我的系统、应用及数据处理软件公司系统”中两个核心流程之一的“订单到现金流程”做一个小的演示,需要参考共计2000多页的“系统、应用及数据处理软件公司”的内部培训资料。以前就知道“系统、应用及数据处理软件公司”的软件复杂,但是没想到有这么复杂。。。 回到职责分隔矩阵项目,做咨询一个关键是信息来源,信息分析很重要,但是没有好的来源神仙也分析不出什么东西。毕马威有一个职责分隔矩阵的模板,网上关于职责分隔矩阵也有很多资料,但是能用的不多。而且虽然“系统、应用及数据处理软件公司”的软件标准化程度非常高,但也只是在操作代码的层面上,要知道随便
    一个模块,比如我们最关注的销售及分销模块就有6000多个操作代码(还不一定全),如果直接从操作代码层面入手如果定义好每个冲突至少3年过去
    了,所以只能从比较高的层面开始,但是在高层面上各个公司包括毕马威自己的模板用的都不是工作职能而是业务名称来定义各个系统用户的操作权限,原因是这个层面是商业人员和管理者进行操作的层面,而操作代码更多是技术人员的层面,所以每个公司所定义的业务名称几乎都不相同,这就使得完成一个真正意义上的模板根本是天方夜谭(“系统、应用及数据处理软件公司”最近刚收购了个专做职责分隔矩阵方面的技术性公司,也许他们能弄出
    个直接在操作代码层面上涵盖“系统、应用及数据处理软件公司系统”的系统所有权限冲突的软件,不过至少在那一天到来前,职责分隔矩阵会是毕马威这样的公司的一颗摇钱树。)。所以这个阶段花
    掉我们最多的时间和精力,但是成果也很突出,甚至突出的有些让人无法置信,因为今天大家坐到一起发现我们找到了比客户自己定义的多出至少3倍的权限问
    题。。。先互查一遍确定真的不是我们的错,我的指导人开始考虑明天(其实是今天了)阶段性会议怎么说这个问题。直接把这么一张硕大的微软公司的电子表格处理软件的表格抛出来肯定会吓到客户,更重要的是我们现在在审计项目,找到问题只能是向
    客户提出“善意的建议”而不能直接上一个咨询项目,那花这么多时间找到的东西就白白浪费了不是。细节不表,只是看到做一个项目不光是花时间
    精力拿出好结果那么简单,要学的东西是很多的。说道后天在信息技术咨询部门的大老板那里要做的演示,我的指导人解释也很直白,他说大老板不会很在意客户那里有什么细节,给大老板做演示就是两个目的,一是让他放心我们项目进行的很好,二是让他有机会了解我们的项目组,所以
    客户不是重点,我们才是。 最后说微软公司的电子表格处理软件,虽然每个人有机会在公司里用到微软公司的电子表格处理软件之后都会叹服其功能无比强大,但这种事情不自己经历一下始终不能体会啊!我现在觉得自己急需一本“微软公司的电子表格处理软件傻瓜指南”。。。明天开始恶补微软公司的电子表格处理软件中的函数,还有快捷键。 我知道应该不会有人坚持读到这个地方。。。不过写这篇博客也就是相当于一个备忘录,以后什么时候自己查起来方便,尤其是当我不小心把整个硬盘格式化以后,我更加坚信重要的东西放在网上才是王道,毕竟微软一时半会倒不掉也跑不了。

  17. Louis
    2007年08月12日 @ 9:36 下午

    韩公子,我羞愧无地,这就是以后我的表情:: XPS: 我只是想说,能不用的,用了也许以后真的会有人觉得奇怪……但是photoshop这种,谁要是觉得奇怪,我就和你一块砸谁的头。

  18. tony
    2007年08月13日 @ 3:24 下午

     这么高的词频重复,seo相当的好,一定要留个连接在这里……不客气啦,咔咔

  19. lei
    2007年08月13日 @ 7:05 下午

    呵呵,路易我只是开个玩笑,表介意呀。包老师果然是纯技术流。。。佩服。。。

  20. lei
    2007年08月13日 @ 7:05 下午

    呵呵,路易我只是开个玩笑,表介意呀。包老师果然是纯技术流。。。佩服。。。

  21. Kun
    2007年08月20日 @ 8:12 下午

    这样一篇实习手记,竟然有20个回复,测那,惊呆了呀!
    打开一看, 楼主还写了一篇简体中文版的在回复里面,又惊呆了呀!

  22. lei
    2007年08月20日 @ 10:16 下午

    坤哥好!坤哥这个留言的头像被罩杯达人看到肯定见一次抽一次,哈哈。

  23. lei
    2007年08月20日 @ 10:16 下午

    坤哥好!坤哥这个留言的头像被罩杯达人看到肯定见一次抽一次,哈哈。

  24. 2007年08月22日 @ 11:14 上午

     我的回帖被你误删了波

  25. Jiawei
    2007年08月25日 @ 12:05 上午

    楼下第四层拉拉没文化~~~~ 

  26. lei
    2007年08月27日 @ 11:02 上午

     你回什么了?我怎么会一声不响删你回帖呢,太藐视我了吧。

  27. Unknown
    2008年02月19日 @ 2:23 上午

    升降机 升降台 升降平台 登车桥 货架 货架 货架 货架 货架 超市货架 超市货架 超市货架 超市货架 超市货架 北京货架 北京货架 北京货架 北京货架 北京货架 南京货架 南京货架 南京货架 南京货架 南京货架 南京货架 南京货架 货架公司 货架公司 货架公司 货架公司 货架公司 货架公司 货架厂 货架厂 货架厂 货架厂 货架厂 广州货架 广州货架 广州货架 广州货架 广州货架 北京货架公司 北京货架公司 北京货架公司 北京货架厂 仓储货架 仓储货架 仓储货架 仓储货架 仓储货架 苏州货架 苏州货架 苏州货架 苏州货架 苏州货架 苏州货架 苏州货架 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘 塑料托盘价格 塑料托盘价格 山东塑料托盘 山东塑料托盘 北京塑料托盘 北京塑料托盘 北京塑料托盘 苏州塑料托盘 苏州塑料托盘 苏州塑料托盘 苏州塑料托盘

  1. No trackbacks yet.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: