第5节
持续审计架构

提要

·　持续审计金字塔是对构成持续审计的各个组成部分进行分类的一种方法。

·　基于持续审计金字塔的持续审计工具自上而下地实施了持续审计。

·　持续审计金字塔各层内容为不同利益相关方从不同角度考量持续审计提供了实质性的参考。

阅读指南

本节描述了持续审计的架构原则和架构模型，即持续审计金字塔模型和持续控制模型。

一、架构原则

在变更模式的4个步骤中涌现出了一系列的架构原则，本节将介绍这些内容。为了更好地组织这些原则，我们将它们划分为3个方面，即PPT。

1．总则

除了针对单个PPT要素的特定架构原则外，还存在涵盖PPT 3个方面的要素的架构原则，见表1.5.1。

2．人员

持续审计存在以下关于人员的架构原则。如表1.5.2所示。

3．流程

持续审计存在以下关于流程的架构原则。如表1.5.3所示

4．技术

持续审计存在以下关于技术的架构原则，如表1.5.4所示。

二、架构模型

本节使用两种持续审计的架构模型，分别是持续审计金字塔模型和持续审计控制模型。图1.5.1展示了形成AVS基础的持续审计金字塔。

这个模型的层级结构为DevOps 8字环的各个阶段的完整解释，如图1.5.2所示。

1．持续审计金字塔模型的设计

在图1.5.3中，包含了前文所描述的持续设计金字塔。

基于多种原因，需要给这个用作持续审计框架的金字塔提供实质内容。

在构建持续审计金字塔的过程中，下面这些考虑因素发挥了重要作用：

·　持续审计必须与业务有密切的关系，并为实现成果改进提供有效支持。

·　业务价值链是整个金字塔的锚点，因为它直观地展示了价值增长的过程。

·　将SVS、DVS和ISVS等嵌入价值体系很重要，因为它们为业务价值链提供支持性的基础服务，是业务价值链的先决条件。

·　持续审计需要更多的可交付成果。金字塔的各个层次显示了其内在一致性。

·　金字塔的各层也可用于定义任务、职责和权限。

·　金字塔的层级可视化了工作量从上到下的增加，部分原因是需要执行的工作的频率不同。

2．控制模型

图1.5.4展示了持续控制模型，该模型是将持续审计金字塔首次转化为AVS实施方案。目标来自于“选择目标”，控制来自于“实现控制”，而领先监控和滞后监控来自于“监控控制”，这一分析为“证据有效性”提供了实质内容。

3．质量控制和保证模型

图1.5.5展示了业务目标监控（步骤1至9）与价值系统支持（步骤10至18）之间的关系。两者都以步骤1和10中相关价值流的目标作为起点。

步骤3和步骤12定义了无法实现目标的风险，这些风险通过在产品和服务中实施控制（步骤4和13）进行管理。

监控控制需要相关证据（步骤7和16），这些证据必须符合特定的标准（步骤5和14），然后由监控系统（步骤6和15）提供。基于这些测量值和分配给它们的标准，可以分析哪些风险已经得到了充分的控制（步骤8和17），最终可以编制关于业务价值流目标（步骤1）和支持价值流目标（步骤10）的控制程度报告（步骤9和18）。

为了实现业务价值流的成果改进，SVS、DVS、ISVS和AVS的支持价值流目标必须在合规性、信息安全和信息提供质量领域避免风险。除了保障功能外，支持价值流还可以通过提供竞争地位的改进等方式增加业务成果。 4sK0UnBLkoL+C3S1b54jeTcCURcHgSw/t/je0uu5we4NrFFD5EN1o8ixOyXzFWaY