第2节
基本概念和基本术语

提要

·　持续审计是根据实现控制的6个步骤进行讨论的。

·　通过使用分层的持续审计金字塔模型，审计可以提供逐步的风险消除和缓解。

·　持续审计金字塔中的层结构可以用来分配持续审计的所有权。

阅读指南

本节在讨论持续审计的概念之前，首先定义基本概念和基本术语。

一、基本概念

本部分介绍了两个与持续审计有关的基本概念，即持续审计金字塔和持续控制，这两个概念通过一系列将在下一部分定义的术语进行描述。

1．持续审计金字塔

本书的这部分强调了基于6个步骤的持续审计概念：

（1）确定范围（目标运营模式）

（2）选择目标

（3）识别风险

（4）设计并实施控制措施

（5）建立并适时调整对控制措施的监控

（6）评估控制措施的有效性

图1.2.1以持续审计金字塔的形式对这些步骤进行了概述。金字塔各层宽度体现了执行该步骤所需的精力。在这里，“做什么”这个问题会逐渐演变为“怎么做”的问题，这正如史蒂夫·乔布斯（Steven Jobs）的著名言论：“设计这个词很有意思。一些人认为设计指的是外观，但是，如果你深挖这个概念，会发现它指的是产品是如何运作的。”这句话也适用于持续审计金字塔的设计。

2．持续控制

图1.2.2展示了持续控制模型。从该模型可以看出，必须根据已确定的风险（风险转化）将目标转化为控制措施。我们应该使用短期（领先监控）的测量来衡量控制的有效性。如果发现偏差，可以收集更多的测量数据来强化控制措施。

为了观察长期效应，短期测量数据将被汇总（滞后监控）。若目标被证实不切实际，可进行相应调整。对汇总后测量数据的分析亦可能导向控制的调整。

二、基本术语

本部分定义了与持续审计相关的基本术语，并首先讨论了持续审计金字塔的步骤。

1．持续审计金字塔

（1）确定范围

目标运营模式（Target Operating Model, TOM）是理想的方案，也被称为未来状态（Soll）。TOM的目标是提高财务价值和社会价值。该方法通过迁移路径（Migration path）逆转当前状态（Ist）以实现未来状态。Ist–Soll–迁移路径建模通常是架构师基于组织的使命、愿景和战略定义而设计的。一旦使命、愿景或战略发生变化，通常也需要调整TOM。TOM由一个或多个价值链组成，每个价值链又包含多个价值流。在过去的30年中，TOM的信息规划已经从5年加速到1年甚至更短，它的变异率仍是相对较低的。持续审计的范围是在TOM内根据选定的价值流，特别是那些产生最大成果增长的价值流来选择的。

（2）选择目标

为了监控战略的实现和成果的增长，我们需要设定目标。这些目标通常是通过平衡计分卡等可视化工具来制定。如今，精益指标也越来越多地用于监控成果改进。最终，每个目标都必须以增长成果为目的。然而，一些不可控因素（外部影响因素）作为成果增长的前提条件，也需要被纳入目标设定中。例如，GDPR立法和ISAE 3402标准就属于这类因素。由于强制性的法律法规，它们也必须被纳入目标设定过程。

组织也可以选择遵循某个标准来更好地吸引客户，例如ISO 27001:2013标准，它表明信息安全符合独立定义的标准。

（3）识别风险

任何目标的达成都存在一定风险。这些风险可能性质各异，并高度取决于设定的目标。

（4）确定控制措施

面对风险，我们可以选择承担或者控制，但不应该忽视它。承担风险意味着不采取任何措施，任由风险发生；而控制风险则必须采取应对措施来消除或减轻（降低概率或影响）风险。衡量标准的选择取决于组织的风险偏好（愿意承担多少风险）和雄心壮志（愿意为了达到目标承担多少工作量）。

（5）确定监控措施

风险管理的有效性应通过衡量控制措施的运作情况来确定。

（6）确定证据

控制的有效性需要通过客观证据来确认。这种证据必须由独立方客观地获取，并用来向利益相关方证明控制能够在多大程度上保护目标。

2．价值链

1985年，迈克尔·波特（Michael Porter）在其著作《竞争优势：创造和维持卓越绩效》（1998年版）中提出了价值链的概念，见图1.2.3。

波特认为，一个组织通过一系列具有战略意义的活动为客户创造价值，这些活动从左到右看就像一条链条，随着链条的延伸，组织及其利益相关方的价值创造也不断增加。波特认为，一个组织的竞争优势源于它在其价值链活动的一个或多个方面做出的战略选择。

该价值链与下一小节描述的价值流模型具有几个显著的不同之处。这些差异主要体现在以下方面：

·　价值链被用来支持企业战略决策。因此，它的应用范围是总体的公司层面。

·　价值链展示了生产链中哪些环节创造了价值，哪些环节没有。价值从左到右增加，每个环节都依赖于之前的环节（链条左侧）。

·　价值链是线性的、操作性的，旨在体现价值的累积过程，并不适用于流程建模。

3．价值流

价值流概念并没有明确的来源。但许多组织已经在不知不觉中应用了这一概念，例如丰田汽车的丰田生产系统（Toyota Production System, TPS）。价值流是一种可视化流程的工具，描述了组织内一系列增加价值的活动。它是按时间顺序排列的商品、服务或信息流，逐步增加累积价值。

尽管价值流在概念上与价值链类似，但也有重要区别。我们可以通过以下方面进行对比：

·　价值链是一个决策支持工具，而价值流则提供了更细致的流程可视化。在价值链的某一环节，如图1.2.3中的“服务”，可以识别出多个价值流。

·　与价值链一样，价值流是商业活动的线性表述，在不同的层面上发挥作用。原则上不允许分叉和循环，但对此没有严格的规定。

·　价值流经常使用精益指标，例如前置时间、生产时间和完成度/准确度，但这在价值链层面并不常见。不过这并不排除为价值链设定目标的可能性。将平衡计分卡层层分解到价值链和价值流是合理的。

·　与价值链不同，价值流可以识别具有多个步骤的分阶段生产过程。

4．DVS、SVS和ISVS

在ITIL 4中，定义了服务价值体系（Service Value System, SVS），为服务组织提供了实质性内容。SVS的核心是服务价值链。SVS可放置在图1.2.3中“技术”层的支持活动。这是整个波特价值链的递归。这意味着价值链的所有部分都以服务价值链的形式复制到SVS中，如图1.2.4所示。

这种递归并不是新概念，因为在《信息系统管理》（2011年版）中已将其视为递归原则。业务流程（R）被递归地描述为管理流程。类似于SVS，信息安全价值体系（Information Security Value System, ISVS），即ISO 27001:2013中定义的信息安全管理体系（Information Security Management Sytem, ISMS），也可以被视为波特价值链的递归。这同样适用于定义系统开发价值流的开发价值体系（Development Value System, DVS）。

另一种递归可视化如图1.2.5所示。

两种可视化的区别是，图1.2.5假设价值链具有波特结构，而ITIL 4中定义的SVS没有波特结构。因此将价值链定义为图1.2.4所示则更为合适。

作为ITIL 4 SVS核心的服务价值链有一个运营模型，用作指示价值流的活动框架。服务价值链模型是静态的，只有当价值流贯穿其中、共同创造和交付价值时，才会产生价值。

5．持续审计定位

图1.2.4表明，在波特价值链中可以识别出若干价值体系，即SVS、DVS和ISVS。图1.2.6表明，这3个价值体系由原则、实践、治理、持续改进和价值链组成。

原则上，价值链是波特价值链的一种应用，如图1.2.3所示，价值链的目的体现了其应用。

对于SVS来说，这是运维层面的TOM设计；对于DVS来说，这是开发层面的TOM设计；而对于ISVS来说，这是信息安全层面的TOM设计。

价值链由价值流组成，价值流由价值系统提供的实践组成。例如，ITIL 4提供了构建SVS价值流的管理实践，而ISO 27002:2013则为ISVS的价值流提供了最佳实践，《持续万物》（2022年版）一书提供了DVS和SVS的DevOps实践。

图1.2.7示意性地展示了业务价值链的结构。

对于持续审计，如今有各种各样的控制保障措施可供选择。其中一种方法是定义一套新的审计价值体系（Audit Value System, AVS）。在此基础上，可以细化构成审计价值流的原则、实践、治理、持续改进和审计价值链。另一种方法是将控制纳入相关的价值体系，即SVS、DVS和ISVS。

由于AVS基于持续审计金字塔，其控制纯粹聚焦于审计，从而提升了控制的重要性，因此优先推荐使用这种方法。此外，由于信息安全是持续审计的一个重要方面，我们还可以选择将ISVS与AVS集成。本书的这一部分为设计AVS提供了基础。 noJbAO0JbVqqzCwC2dsuoAcGdm/g+pTb6H7K+kPUAdxVbSe/apV/Rq6gweDEPDuN