ISACA Journal | 采用OKR方法优化审计业务计划

第四次工业革命(4IR)所带来的新需求已经在商业领域引发了剧烈变化。近期的研究表明,内部审计职能必须转型并适应这一变革。为了跟上第四次工业革命带来的快速变化,内部审计团队应采用数字化业务敏捷,它包括三大支柱:超感知、知情决策和快速执行。为了实现快速执行,内部审计职能部门努力实施先进的管理实践,如敏捷,并不断寻求促进基于可衡量目标和成果的团队合作。采用这些方法可以将内部审计定位为推动组织创新的关键角色。

根据《国际内部审计专业实务框架》(IPPF)和《信息技术审计框架》(ITAF)的规定,审计工作应按照包含目标、范围资源和时间表等关键要素的成文的业务计划进行。

在本文研究中提出了一种实施目标与关键成果法(OKR)的实践做法,以此作为设计、执行和监督审计业务计划的手段。

m2hrojmdf9-(1).jpeg

审计业务计划

根据IPPF的准则2200和ITAF的绩效标准1203的审计业务计划,审计应按照已经成文的业务计划进行。业务计划应包括目标、范围资源和时间表等要素。

根据IPPF的准则2201--计划考虑因素、2210--业务目标、2220--业务范围、2230--业务资源分配,以及ITAF的绩效标准2203--业务计划和2203.2--目标,目标的设计应与被审计企业的战略、目标、挑战和风险保持一致。这种一致性使保证过程能够正确评估控制的有效性,同时考虑必要的资源、知识、时间表以及审计业务项目计划中的适当的可交付成果。

IPPF准则2240--审计业务工作方案和ITAF的2203第3节--范围和业务知识中建议,应将目标进一步发展为详细的范围或规范,概述实现预期结果的必要行动。然后,这些规范应记录在审计项目计划中,其中包括ITAF的2203第5节--记录审计业务项目计划和审计计划中所概述的审计领域、活动、具体时间表和可交付成果。

虽然通用指南是显而易见的,但在实际制定审计工作计划时会遇到各种挑战。例如,如果审计目标与组织战略和风险评估之间缺乏明确的一致性,可能会导致审计覆盖面不足,从而影响审计效果。

此外,审计范围或规范界定不当会妨碍审计目标的达成,阻碍审计目标的实现。因此,有可能遇到与利益相关方在沟通方面的挑战,特别是对于被审计方,这可能导致对审计价值的错误认识,并导致合作减少。

因此,有必要采用更具体的方法来成功设计、执行和监督一个有效的审计业务计划。

目标与关键成果法(OKR)的基础知识和优势

作家刘易斯·卡罗尔(Lewis Carroll)的《爱丽丝漫游奇境记》(Alice's Adventures in Wonderland)中有一段话强调了制定目标的重要性,以及目标与实现目标的行动和途径之间的密切联系:

“你能告诉我,我应该从这里往哪个方向走?”

“这在很大程度上取决于你想去哪里,”猫说。

OKR框架旨在根据明确的目标和可衡量的结果,促进团队合作,推动组织发展。创新型组织经常使用这种方法。

如图1所示,研究人员提出了设定目标时需要考虑的两组问题。

微信图片_20241020235557.png

目标表述的是目标制定者要达到的目的,应该以定性的方式制定,激发雄心和动力,鼓励追求新的成就,而不是维持现状。目标应能在具体合理的时间范围内实现,如一个季度。为了保持团队的专注力,建议设定三至五个目标。

组织往往将目标设定为超越当前执行能力的“延伸目标”,意在激励团队,营造具有挑战性的工作环境。这种方法采用了不断变化的思维观念,并培养宽容失败的精神,使团队能够释放自己的创造力,最终促进创新。在这种情况下,建议将目标成功率设定为70%,这反映了目标本身的雄心壮志。

关键成果是推动实现目标的目标结果和里程碑。它们是具体的、可衡量的,不应用来指代活动。建议设定有限数量的关键成果,一般为2至5项,以确保团队的关注重点和清晰度。关键成果的完成情况应易于识别,并以实际的证据为基础。

活动包括为实现特定关键成果而开展的确切任务或行动,并构成实现该关键成果的业务蓝图。

研究表明,利用目标设定方法对于确保高效协调、提高团队生产力至关重要。OKR方法提供了一种系统化的做法,可以精确勾勒出任务的目标,加强任务规划和优先级排序,并持续引导任务成功实现目标。这些发现特别适用于将OKR纳入敏捷项目管理中。

在审计业务计划中采用OKR方法

要使用OKR框架制定全面的审计业务计划,必须在一开始就进行必要的调整,重新定义与OKR相关的关键术语:

  • 目标---表达审计报告预期实现的附加值或影响,从而回答“我想去哪儿?”或“我们想做什么?”。

  • 关键成果--- 表达为验证审计目标是否已实现而需要确保的目标或里程碑,从而回答“如何衡量自己是否达到目标?”或“我们如何知道是否达到了目标?”。

  • 活动---表达完成关键成果所需的具体审计执行步骤。

根据IPPF准则2310和ITAF的绩效标准2205--证据,内部审计需要获取实现审计目标所需的相关信息,如文件或数据。因此,审计必须以证据为基础,而获取知识资源的过程就是确保实现审计目标的过程。因此,建议使用一个新术语:

  • 知识资源(Knowledge resources)---促进活动所需的显性知识;因此,包括数据、信息和文件等所有可编码知识。

采用OKR的审计业务计划的实用范例

为了展示OKR方法在审计业务计划中的实施情况,图2举例说明了云计算审计计划的实用范例,展示了目标及其细分为关键成果、活动和知识资源的情况。

微信图片_20241020235616.png

如图所示,关键成果是可操作的里程碑,可确保目标的实现。活动代表具体的审计步骤,它是一种结构化的执行算法。整个知识资源清单可用于准备对被审计单位的询问,并要求提供相关信息和文件。

采用OKR的审计业务计划的实践、挑战和优势

如果目标制定得当,就能有效地传达审计的范围、价值和影响,鼓励被审计方的参与和合作。

建议在年度审计规划阶段确定每次审计的目标,并在审计启动会议之前的初步调查期间进行更新。因为审计管理人员自然而然地领导着这一过程,这种方法不仅能鼓励他们更大程度地参与年度审计规划过程,还能鼓励审计人员自己参与其中。尽管将审计目标纳入年度审计规划过程会产生额外开支,但预计在整个过程中,隐性知识和显性知识之间的内在转换将增加知识,鼓励创造和创新,并促进内部审计职能部门内部的知识共享和协作。

此外,建议将目标纳入审计启动备忘录,以提高被审计方对审计目的的理解。这种做法有助于减少因审计目标或范围不明确而产生的误解和反对意见,同时促进被审计方人员的参与和合作。

与通常认为的越多越好的观点相反,选择悖论的概念提出,越少就越有价值。这一概念在注意力经济时代具有重要现实意义,表现在无穷无尽的信息和干扰事物争夺我们注意力的现实中。

因此,必须坚持重点突出的方法,以产生重大影响。在明确的范围内确定一套有限的目标,可确保审计结果提供简明的见解和建议,并得到被审计单位的应有重视。

采用OKR的审计业务计划传达的是审计旨在现实目标的实现,而审计报告则体现了目标现实与实际现实之间的差距。因此,OKR要素的措辞(包括目标和关键成果)可能与审计报告中审计结果标题的措辞不一致。

在审计执行的最初研究和规划步骤中,作为制定审计业务计划的一个基本要素,将目标分解为关键成果、活动和知识资源的过程一直在进行。

如图1所示,这一过程需要在提出正确问题的基础上转变视角。预计视角的转变将在多次审计经验中逐步形成,最终成为提交审计业务计划和有效管理审计的一种自然和本能的方法。因此,应调整管理层对充分实现实施新的OKR方法所需的时间框架的预期。

以往的研究表明,敏捷方法是完成审计项目的最佳实践,提高审计质量、效果和效率,以及在培养数字业务敏捷性的同时提供更清晰的重点和更大的影响。在这种情况下,采用OKR 的审计业务计划提供了一个额外的机会,可以在审计过程中微调审计重点,保持对变化的高度警觉,并迅速采取行动。因此,审计业务计划应根据冲刺执行经验所产生的变化进行更新。应在冲刺回顾期间执行审计业务计划重新调整过程,并特别关注关键成果和活动。

结论

本研究提出了一种制定审计业务计划的实用方法,利用OKR方法,并根据审计的独特性质进行必要的调整。

通过采用OKR的审计业务计划实践,内部审计朝着利用源自创新组织的先进管理方法和控制措施的方向又迈进了一步。这种做法是内部审计在转型之路上迈出的又一步,内部审计必须在第四次工业革命的动荡环境中保持相关性和有效性,并成为推动组织创新的关键角色。

采用OKR的审计业务计划可满足IPPF和ITAF标准的基本要求,从而使审计规划流程更加精确和明确,突出审计的范围、影响和价值。

此外,这种方法还能更好地进行项目控制,确保准确实现审计目标和成功实现预期的里程碑。另外,通过对审计价值和影响提供更有针对性和更透明的审计意见,并有助于促进被审计方的合作和参与。

通过实施这种先进的方法,内审部门可以培养有效的团队合作、提高效率和生产力,并通过强调明确的目标和可衡量的结果,推动朝着指定的方向前进。

编者注:本文出自ISACA Journal 2024年第3期。尾注略。文章内容仅代表作者本人观点。

作者:NOAM KORIAT, PH.D., CISA,现任Discount Bank信息系统审计总监。

翻译:王岩(Liam Wong),CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员

校对:王亮(Lionel Wang),CISA,ISACA微信公众号特邀通讯员,致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究