ISACA Journal | 未来已来:迈向健全的敏捷审计框架

第四次工业革命(4IR)的新需求带来了一个快速变化、动荡不定的商业环境。企业要想蓬勃发展,其内部审计职能必须相应地进行调整和转型。为了实现这一目标,内部审计团队必须拥抱数字业务敏捷性,这要求他们努力实施敏捷项目管理实践。采用这些方法还可以使内部审计团队成为推动组织创新的关键参与者。

本文提出一种在审计中实施敏捷项目管理方法论的实用方法。该方法借鉴了国际内部审计师协会IIA以色列分会发表的文章“敏捷审计——流行语还是未来?”

预敏捷项目和审计管理方法

1970年出现了一个软件项目管理实践的概念,后来被称为瀑布方法。此概念描述了实现软件项目所需的一系列顺序步骤。基本步骤是分析和编码。更广义的模型包含其他步骤,包括系统要求、测试和操作。

瀑布方法的顺序性质决定了每一步骤必须在下一步开始之前完成。因此,步骤之间的距离越大,完成项目所需的时间就越长,这反过来又增加了由于方法的僵化线性结构而无法适应变化的风险。在快节奏的环境中,这种劣势变得很严重,因为在快节奏的环境中,识别变化并有效应对变化是具有挑战性的。如果不这样做,可能会导致项目失败、产出缺失和客户满意度下降。

传统上,审计使用相同的瀑布方法进行管理。这些步骤包括启动、研究、规划、审计和报告。对经验教训进行额外的复盘也是一种常见的做法。

在最后报告阶段,通常是在提供审计报告草稿时,会向被审计方提供一份报告供其反馈意见。如果被审计方的反馈导致审计结果与被审计方的意见之间存在重大差距,则可能需要大量资源和时间来处理和解决这些问题。这可能会导致报告质量和有效性降低、延迟以及给被审计方带来负面的体验。

敏捷的起源、宣言和实践

2000年2月,敏捷联盟小组提出了一种新的管理方法,通常称为敏捷软件开发,在一份宣言中阐述如下:

个人和交互胜过流程和工具

工作软件胜过复杂的文档

客户协作胜过合同谈判

应对变化胜过遵循计划 ‍

宣言每行都以一个新的首选价值开头,以一个与瀑布式管理方法更一致的价值结尾。以宣言为基础,敏捷联盟提出了12项原则,包括客户满意度、变更容忍度和工作软件。

在实践中,敏捷方法强调在短时间内迭代瀑布流程的步骤,这是减少项目延迟和成本超支的常见做法。在每次迭代(即冲刺)中,都会执行所有项目生命周期阶段,以交付项目的一部分范围(即演示)。累积冲刺输出产生最终和完整的项目输出。在每个冲刺期间,客户都会收到一个小型的增量工作产品,以便对项目需求进行反馈和微调。

整个项目中每个冲刺的范围有限,加上非常短的冲刺时间线和利益相关者的积极参与,促进了高效的知识流。这样可以更轻松地识别和纠正任何遗漏的输出,并迅速适应不断变化的需求。因此,可以在项目周期内交付精确、有价值和令人满意的产品。

最近的研究表明,与瀑布式实践相比,敏捷方法具有显著的优势:

  • 敏捷项目比瀑布式项目具有更高的成功率。

  • 敏捷项目的失败率低于瀑布式项目。

  • 敏捷项目比瀑布式项目更有可能产生更高的投资回报率(ROI)。

  • 敏捷项目比瀑布式项目更有效率。

  • 敏捷项目与利益相关者的满意度呈正相关。

此外,敏捷充分支持数字业务敏捷性的三大支柱:

  1. 超意识——敏捷的短期和迭代周期特性可以使组织能够更加快速的意识到变化。

  2. 知情决策——利益相关者的参与使知识流动成为合理决策的基础。

  3. 快速执行——敏捷促进了更短的上市时间和高效的产出交付方式。

健全的敏捷审计框架

敏捷方法起源于软件开发领域,并可以作为减少传统审计项目风险因素的工具。然而,将敏捷应用于审计领域需要进行修改以适应审计项目的独有特征,因此需要一个健全的敏捷审计框架。敏捷实践涉及利益相关者(如最终用户)的积极参与。同样,在敏捷审计流程的背景下,被审计者作为利益相关者发挥着重要作用。可交付成果是通过迭代冲刺过程开发的审计报告。如图1所示,敏捷冲刺计划的四个核心要素包括赛前、比赛、草稿和赛后。

  1. 赛前——包括启动公告和会议,建立初步知识基础的初步调查,审计规范的定义(即积压工作)以及审计可交付成果草案的初步准备,该草案作为即将到来的工作的容器。

  2. 比赛——构成审计过程的核心,包括研究、规划、审计和报告步骤。在每个游戏冲刺结束时,都会提供一份有形的报告产品,供被审计者反馈。由于在冲刺周期中体现的内容范围有限,以及审计和报告冲刺阶段之间的间隔很短,因此在利益相关者保持高度参与的同时,有一个有利的机会来及时解决差距和变化。例如,当一项发现表明数据没有得到充分管理(由从指定的组织平台获得的数据确定)时,被审计方可能会回应解释到数据是在另一个平台上的另一个上下文中处理和管理的。这样可以减轻调查结果,确保适当处理,而不会在审计过程的草稿和最后阶段造成冲突,并最终避免潜在的进度延误。这种类型的冲刺在敏捷审计项目中发生了很多次,并与实现完全覆盖审计规范(即积压工作)所需的冲刺数量相关。

  3. 草稿——将以前的项目冲刺内容合并为一份全面的审计报告,该报告经过验证并提供给被审计方反馈,并进行相应的更新。

  4. 赛后——召开总结会议,发布最终报告,最后进行回顾会议,总结经验教训。

敏捷审计实践、挑战和洞察

对于每个冲刺,每天都会进行一次会议,以监控冲刺的任务审查、问题跟踪、进度报告、项目工作校正和调整(如果需要)。每日会议的频率可根据审计的具体性质和范围调整为非每日。在密集的实时审计期间,每日会议可能会提供重要价值。但是,在传统审计期间,每日会议可能会导致开销过高,并且产生的价值有限。作为一项补充控制措施,建议每周与审计部门经理举行会议,以解决未解决的挑战并促进解决方案。

在每个冲刺之后,建议进行内部冲刺审查以评估冲刺过程。还应该与被审计者一起进行冲刺回顾,以审查流程和交付的产品。回顾目标是吸取经验教训,并在必要时改进和调整整个项目的工作计划和实践。

理想情况下,项目冲刺应该交付给有限的利益相关者群体,以尽量减少沟通形式和结构。这种方法促进了高效的知识转移和协作,从而实现了更精确、更有效的冲刺可交付成果。然而,必须承认,没有积极参与冲刺的高管可能会在草稿或最终冲刺中出现重大差距。

由于冲刺产品以报告样式的格式呈现,可能被视为最终报告,因此请务必澄清该产品不是其最终形式。在此阶段,被审计方的反馈可能会对可交付成果的内容产生影响。

此外,报告中的主题或章节通常涉及不同的问题,从而允许并发执行冲刺。在这种情况下,必须同步产品交付计划,以防止同时交付冲刺。

敏捷审计的实施、阻碍和收益实现

敏捷审计实施项目应该以敏捷风格执行,而不是采用瀑布式方法。尝试使用传统的顺序方法实现敏捷是非常具有挑战性的,并且不太可能产生最佳结果。敏捷实施必须考虑组织的独特性质和文化,并相应地调整敏捷实践。当实践调整从实践敏捷经验中吸取教训时,它们是最有效的。此外,采用新的技能和做法会带来额外的开销,与继续熟悉的例行公事相比,并可能导致反对和延误。因此,建议逐步采用敏捷方法,增加层次以促进审计师和被审计方在接受敏捷实践和实现完全敏捷成熟方面的合作。

敏捷成熟度模型 (AMM)(图 2)强调,实施敏捷是一个渐进、漫长而复杂的过程。在两到三年的时间跨度内达到定义的成熟度级别(3级,满分5级)时,预计会产生重大价值。这一级别的特点是频繁交付、利益相关者管理、团队协作和沟通、增强的验证过程和改进的冲刺产品质量。因此,必须对敏捷将提供重要价值的点设定期望。

达到成熟度3级可以大大缩短草稿和最终冲刺的持续时间,有效地满足整体审计计划,同时提供更精确、更高质量的审计报告。因此,受审计方的体验和利益相关者的满意度得到了改善。

结论

为了应对瞬息万变的商业环境,敏捷是一种需要采用的基本实践,也是培养数字业务敏捷性的关键能力,使内部审计能够高度了解、做出明智的决策并迅速采取行动。从更广泛的角度来看,敏捷为流动思维奠定了基础。流动思维方式使内部审计能够对变化做出高度响应,参与数字化转型并推动创新计划。

对于健全的敏捷审计流程,敏捷的实施应遵循敏捷方法,借鉴积累的经验并调整实践以适应组织的独特性质和文化。

对获得收益的时间建立明确的期望有助于维持管理层的支持,并确保审计师的能力和信心。达到成熟的敏捷水平可以节省大量时间,特别是在审计的最后阶段,以及更高质量的审计报告方面。

在审计中实施敏捷有望提高审计质量、有效性和效率,同时实现更明确的重点和更大的影响,从而带来积极的审计对象体验和较高的利益相关者满意度。

编者注:本文出自ISACA Journal 2023年第6期。尾注略。文章内容仅代表作者本人观点。
作者:NOAM KORIAT,PH.D, CISA,是 Discount Bank 的信息系统审计总监,也是以色列旅游部的前全球首席信息官。
翻译:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。
校对:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。