ISACA Journal | 敏捷审计:重塑内部审计新范式

在进行内部审计时需要使审计工作更具适应性和迭代性,而不仅仅局限于线性瀑布模型所允许的范围。增强审计的适应性和迭代性对于超越线性瀑布式方法的局限至关重要。敏捷审计要求采用灵活且能对变化做出应对的方法,使审计人员能根据不断变化的情况动态调整其审计策略。通过采用敏捷方法,审计人员可以更好地适应现代商业环境中固有的复杂性和不确定性,从而提供更客观的保证和审计流程,进而通过改善组织的运营来增加价值。

应对内部审计范围的不确定性

在内部审计开始时,审计范围往往是不确定的。审计范围可能需要根据初步发现、已识别的风险或业务环境变化进行修改。线性瀑布式方法假定从一开始就明确界定的审计范围出发,按阶段有条不紊地进行,但这种方法往往不是开展内部审计的理想选择,因为内部审计需要灵活性和适应不断变化的环境的能力。随着新的风险因素的出现或业务环境的变化,内部审计师可能需要相应地调整审计工作重点和审计程序。

增强内部审计流程的适应性

尽管内部审计流程采用结构化瀑布式框架有一定的好处,但仍有必要使审计比线性瀑布式方法更具适应性和迭代性。这种灵活性应使内部审计师能够应对组织内部的变化、不确定性和新出现的风险,确保审计工作始终具有相关性和实用性。

开展内部审计是为了系统地评估组织的流程、系统和控制。无论是专注于合规性、财务要素、内部运营还是信息技术方面,内部审计的目的都是确保组织的有效性、合规性和对风险的管理。这种系统评估包括几个具体阶段:

  • 规划:通过确定需要评估的关键流程、风险因素和控制来界定审计的范围和目标。这样就能制定出审计计划,详细说明审计方法、资源和时间安排。

  • 风险评估:通过确定组织所面临的各种威胁的重要性,对与审计领域相关的风险进行评估和排序。这为审计重点提供了指导。

  • 现场工作:包括收集和分析相关数据和信息。在对关键人员进行访谈的同时,对内部控制的有效性进行测试,以获得见解、收集证据和了解情况,从而为审计发现提供支持。

  • 报告:需要总结正面和负面的审计结果,并在简明扼要的正式审计报告中向管理层提出建议,详细说明意见和建议。

  • 后续跟进:监测管理层对建议行动的执行情况。审计师应确认纠正措施的有效性,并评估组织对审计建议的响应。

在这些阶段,内部审计师应坚持客观性和独立性,维护审计流程的完整性。目的是为管理层提供有价值的见解,以加强内部控制、风险管理和组织的整体绩效。

这种循序渐进的方法采用的是线性瀑布式方法,具有连续且有些不灵活的结构。在规划、现场工作、报告和后续跟踪审计阶段,进度被认为是持续向下发展的。当出现新的信息或组织环境发生变化时,内部审计流程往往需要重新审视早期阶段。现场工作阶段的初步发现可能会促使审计人员调整审计范围或重新评估风险,从而导致规划和执行工作需要反复循环。

与内部审计相关的负面外部影响

除了瀑布式方法的僵化特性之外,还有其他一些负面的外部因素或意想不到的不利后果可能会影响内部审计流程。内部审计可能会在工作人员中产生不利的意见。例如,内部审计师在审计过程中可能会发现现有程序或控制缺失。工作人员可能会认为这些发现是对其工作或能力的批评,从而产生抵触或不满情绪。如果审计程序没有得到充分沟通,对审计目标和后果的误解可能会造成组织的混乱和焦虑。

对审计发现的潜在后果(如缺陷或不合规)的担忧也会使个人不愿公开讨论质疑或报告问题。此外,在内部审计中大力强调合规性可能会培养一种僵化的组织文化,在这种文化中,员工会优先考虑遵守规则,而不是促进创新和参与创造性地解决问题。这种谨小慎微的文化反过来又会阻碍员工应对经过深思熟虑的风险,从而可能阻碍体现创新和创业精神的举措。

内部审计还有可能造成组织混乱。审计工作需要投入大量时间,尤其是在解决已发现问题或落实审计建议的成本不确定的情况下更是如此。此外,如果无意中向公众披露了不利的审计结果,则有可能对组织的声誉造成损害。

瀑布式方法在内部审计中的局限性

虽然内部审计流程通常采用类似瀑布模型的结构化和系统化方法,但这种方法存在负面外部影响。瀑布式方法是按部就班的,在审计过程中可能不容易适应所需的变更或调整。

这种僵化的刻板性可能导致在应对新出现的风险或根据需要调整审计范围时面临挑战。瀑布式方法的顺序性可能导致整个审计过程持续时间更长。审计时间过长可能导致对组织问题的认识和解决出现确认延迟。

此外,瀑布式方法往往要求在每个阶段都进行全面的文档记录,这可能既费时又费钱。文档编制的优先级排序过高的风险可能会妨碍及时采取切实可行的行动。

瀑布式方法可能无法最有效地解决紧急或时间紧迫的问题。这种方法优先完成每个阶段,然后再进入下一个阶段,可能会延误关键问题的解决。

解决内部审计负面外部影响的替代方案

敏捷审计强调灵活性、协作和迭代的产品开发流程,解决了内部审计中传统瀑布式方法的某些局限性。与瀑布式方法不灵活和顺序性的特点相比,敏捷审计具有很强的适应性,可以根据新出现的风险和不断变化的组织需求调整审计范围或优先事项。其迭代性质允许在不同阶段进行调整,解决了瀑布式方法缺乏灵活性的难题。

此外,瀑布式方法可能会延长时间,延迟问题的识别和解决,而敏捷审计则促进流程迭代,产生审计增量和持续改进。敏捷审计能够及时发现问题并立即做出反应,最终缩短总体审计时间,提高对新出现问题的响应能力。

此外,线性审计模型中通常会出现的沟通障碍,在敏捷审计中也得到了缓解。敏捷的内部审计方法鼓励利益相关方之间定期沟通、协作和共创价值,促进信息的无缝流动,最大限度地降低各审计阶段之间产生误解的风险。

在员工参与度方面,长期僵化结构中的审计可能导致潜在的不参与现象,而敏捷审计不易受此影响。敏捷方法积极促进协作和参与,将跨职能团队和利益相关方纳入整个审计过程中。这种协作方法培养了利益相关方的参与感和主人翁意识。

此外,传统审计可能会带来巨大的经济成本和时间投入。而敏捷审计则将效率和价值交付放在首位,专注于高优先级领域,并根据价值评估提供渐进式改进。敏捷方法优化了资源利用,减少了与传统审计方法相关的不必要成本。

此外,敏捷审计解决了适应风险优先级变化的挑战,这可能需要对瀑布式方法进行繁琐的调整。敏捷方法纳入了基于风险的视角,允许审计人员根据不断变化的风险状况动态调整其关注点。这可确保审计工作始终与组织最关键的风险因素保持一致。

内部审计成功的秘诀

敏捷实践的有效性在于通过在整个审计过程中促进协作、沟通和共同决策来利用好利益相关方的集体智慧。敏捷的一个基本原则是组建跨职能团队,该团队由具备不同技能和专业知识的个人组成,他们与组织的利益相关方合作。通过利用利益相关方的集体智慧,实现对审计需求的全面理解。鼓励审计团队成员和利益相关方之间的协作和公开沟通交流是敏捷不可或缺的一部分。敏捷实践重视利益相关方的见解、观点和知识,利用利益相关方的反馈作为催化剂,做出富有见识且共识驱动的决策。

通过促进审计团队内部的自主权和授权,集体智慧得到了有效利用。这些团队独立制定每个冲刺阶段的审计目标,并受托根据其成员的集体智慧做出决策,从而培养主人翁意识和授权意识。审计团队或Scrum敏捷团队通常由10人或更少的人组成,包括一名Scrum敏捷教练、一名产品负责人以及开发人员或审计人员。这个具有凝聚力的团队负责所有与审计相关的活动,从规划到风险评估、现场工作、报告和后续跟踪审计。审计团队在没有分小组或等级的情况下运作,在任何特定时间都只专注于一个单一的审计目标。

通过敏捷迭代实现持续改进

敏捷对迭代周期和循环反馈(称为冲刺)的依赖,允许对审计工作进行持续审查、评估和改进。审计团队的集体智慧会产生持续的反馈,促进审计过程中的不断学习和改进完善。

任何利益相关方都可以参加每日站会(或站立会议),这有助于定期更新进度和讨论潜在的挑战。这种互动加强了沟通,确保审计团队的集体智慧能够被用于及时有效地解决问题。

敏捷审计还通过每次迭代或冲刺后的回顾仪式促进持续改进。回顾是一个协作会议,Scrum敏捷团队可借此评估冲刺的整体表现,评价其成功之处和需要改进的地方,并指出改进的机会。这种反思性检查涵盖了冲刺阶段中的人、关系、流程和工具等各个方面,通常会制定一项计划或一系列行动项目,以改进内部审计流程。

驾驭敏捷的三大支柱

在Scrum敏捷框架中,透明度是经验过程的三大支柱之一,另外两个支柱是检查和调整。没有透明度,检查和调整的有效性就会大打折扣,从而阻碍整个实证过程。这种经验主义是确定价值的方式,因为有了透明度,才能进行检查;有了检查,才能进行调整,使审计过程与利益相关方所认可的价值相一致。适应能促进持续学习,接受必要的变革,并促进价值增值的实现。因此,审计团队应努力让所有利益相关方都能获取审计信息,因为Scrum经验主义始于透明度。

利用集体智慧实现敏捷适应

敏捷对不断变化的需求的适应性依赖于审计团队成员和利益相关方的不同视角和专业知识。审计团队的集体智慧对于识别和应对审计变化至关重要,这对于适应不断变化的风险环境至关重要。如果从保证、见解和客观性的角度来看,内部审计的价值似乎是通过利用所有审计利益相关方的集体智慧来实现的;没有任何一个角度可以提供审计价值的这三个核心要素的重叠。这些见解有助于创造竞争优势、保护资产和确保组织绩效---所有这些都有助于实现组织目标和长期成功。

在敏捷审计中增强价值共创

鉴于内部审计的复杂性,敏捷审计通过发挥审计团队和利益相关方的集体智慧,在协作、决策、解决问题和持续改进过程中共创价值。通过开放式沟通以及审计团队成员和拥有不同技能和观点的利益相关方的积极参与,共同创造价值。这种合作方式有助于提高审计过程的全面性和效率,从而提高审计结果的质量,并确保对组织的内部控制、风险和合规性的全面评估。

结论

组织面临着以动态技术变革、法规、政策和程序为特征的不断演变的风险环境,以及其他挑战。在这种多变的背景下,内部审计必须适应各种干扰,并理解其对组织的影响。通过采用迭代和渐进的方式,敏捷方法可无缝集成到内部审计流程中。

在Scrum敏捷中,不同审计团队的智慧、能力和观点汇集在一起,以实现不断发展的审计目标。这种集体智慧的运作基于这样一种信念,即跨职能审计团队的协作努力超越了其成员的个人能力。集体智慧的体现是通过协作努力、透明沟通和对取得卓越审计成果的共同承诺来实现的。由具备不同技能和专业知识的个人组成的跨职能审计团队能够更好地应对审计中遇到的各种风险因素,而不会过度依赖个别专家。

敏捷审计有助于改变和适应不断变化的风险和优先事项。Scrum敏捷的迭代特性允许审计团队不断学习、调整和改进,利用集体智慧提高审计绩效。敏捷方法旨在通过适应及时反馈,为客户提供早期价值。必须说明的是,敏捷并不是一种一刀切的审计解决方案;相反,当审计人员具备适应性并及时响应客户需求时,审计就能在瀑布式、敏捷式或混合式的环境中取得成功。重点应放在完成影响较大的任务上,同时认识到并放弃审计过程中不太重要的方面。

敏捷框架提供了一个需要定制的基础,以适应从事审计工作的组织和审计团队的独特需求。它承认根据每项审计工作的具体情况调整敏捷原则的重要性,在追求不断变化的审计目标时提高灵活性和适应性。敏捷作为一种思维方式,超越了具体的流程和方法---它强调通过互动和协作利用利益相关方的集体智慧。这种转变将人们的注意力从遵守僵化的审计流程转移到培养一种文化和领导风格上,这种文化和领导风格能够让个人在工作中脱颖而出。

编者注:本文出自ISACA Journal 2024年第3期。尾注略。文章内容仅代表作者本人观点。

作者:THOMAS J. BELL III, PH.D., CISA, CRISC, COBIT 2019, LEAN SIX SIGMA GREEN BELT, ITIL V4, PMI-SP, PMP, PSM, PSPO

他是德克萨斯卫斯理大学(美国德克萨斯州沃斯堡)的工商管理教授,在IT系统领域拥有三十多年的经验。

翻译:王岩(Liam Wong),CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员

校对:王亮(Lionel Wang),CISA,ISACA微信公众号特邀通讯员,致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究