下载掌阅APP,畅读海量书库
立即打开
评估过程从内部审计部门开始。在开始评估之前,最好先向审计团队提供有关敏捷审计的基础培训。要请专家提供培训,且不是基于肤浅理解的培训。一旦团队理解了敏捷审计的基础知识,就要识别审计团队的情绪,以确定他们对敏捷审计转型的恐惧、兴奋、犹豫和焦虑程度。在评估团队采纳敏捷审计意愿的同时,我们也必须考虑到我们的利益相关方以及转型的利弊。
接下来,我们应该考虑利益相关方。利益相关方包括审计委员会、被审计方以及组织中的其他确认合作伙伴。
审计委员会是我们的首要利益相关方。在开始转型之前,必须要咨询他们的意见。审计部门是审计委员会职能的延伸。由于他们关注组织的整体治理和整体风险,敏捷审计转型对他们来说是一项有意义的工作。
敏捷审计转型也会影响我们的被审计方。审计过程中他们可能会更多地参与沟通,并有很大可能面临审计通知时间缩短的情况。他们还将被要求在较短的时间内提供审计资料并抽出时间参加访谈。
我们还需要考虑更广泛的确认合作伙伴。正如你将在第9章中了解到的,一个成熟、敏捷的内部审计部门依赖于其他内部确认提供方(如风险、内控、合规等职能部门)的工作来覆盖更多风险。宜早不宜迟,我们需要尽早确认与风险团队、内控团队、合规团队等内部确认提供方的关系。同时,我们还需要了解他们对在敏捷环境中工作的意愿。
最后,我们要考虑敏捷审计转型可能带来的利弊。敏捷审计并不适合每一个人,也不存在“万能”的敏捷思维实施方法。评估内部审计部门的准备情况时,我们很容易沉浸在新想法带来的兴奋中。在进一步讨论之前,我们应该放慢脚步,考虑一下你可能不想向敏捷审计转型的原因。为了帮助大家理解,我们提供了一份利弊清单,帮助你参考正反两方面的观点。
回到第一章,我们讨论了敏捷审计的优势。通过敏捷审计可以获得的五大优势包括:
1.更符合管理层的预期。
2.在审计过程中获得并分享更深入的洞察。
3.在审计全生命周期中与被审计方增强互动。
4.及时、按预算、高质量地完成审计计划。
5.审计团队内部沟通得到改善。
除了这些优势,还有其他几点可以添加到优势列表中。
敏捷审计最重要的优势在于它在审计计划中允许保持灵活性。对于现代内部审计部门来说,制订一份需要董事会批准才能调整的年度审计计划的想法是不可接受的。敏捷审计的核心理念是审计那些对组织最重要的风险,而且这份按优先级排列的风险清单会持续变化。由于将审计部门用作一支战术团队来探索组织中最值得关注领域的控制环境符合审计委员会和高级管理层的最佳利益,因此他们很难对这种做法提出反对意见。
伴随灵活性而来的好处是拥有在获得洞察后能够选择终止审计项目的自由。在传统审计流程中,在发现控制设计存在缺陷后,我们往往仍要投入资源来测试控制执行的有效性。通过严格界定审计范围,并在了解风险和控制后选择终止审计项目,我们可以更加高效地利用有限的时间和资源。
敏捷审计以一到两周开展一次冲刺的节奏进行,每次冲刺结束时负责审计的人员都会与管理层一起复盘发现的问题。由于在整个审计过程中持续进行这一操作,最终的冲刺复盘实际上就代表了审计结束会议。此时,报告中的问题几乎没有什么可以争论或谈判的,因为这些问题已经讨论过了。
敏捷审计的一个重要优势是能够向审计委员会提供实时洞察。一旦所有的审计项目都以两周为一个周期运作,所有的冲刺复盘就会同时进行。这意味着每两周的周期结束时,就可以对问题进行报告和跟进。假设你已经建立了问题跟踪机制,问题发现后最多两周时间,就能近乎实时地准备好报告。当然,你可以为季度会议准备更正式的汇总报告,同时也可以选择提供更及时的洞察。
虽然敏捷审计是满足基于风险的审计要求的一种高效方法,但仍有合理的理由继续采用传统或交叉审计的方法。
最常见的反对敏捷审计的理由也许是需要开展监管要求或法定的审计项目。例如,在银行业,监管机构通常要求商业银行制订可以覆盖整个组织未来三年的审计计划,商业银行的季度审计计划无法支持以季度为周期制订敏捷审计计划的目标。对某些审计师来说,这意味着将审计计划分为监管要求的审计项目和基于风险的审计项目,而只有基于风险的审计计划才是敏捷的。
审计部门在转型期间需要对人员进行培训和指导,特别是对于年资长的审计师来说,敏捷审计转型与他们多年积累的传统审计方法的经验背道而驰。对一些审计师来说,这种改变可能太过剧烈。他们可能会感到沮丧,甚至选择离开审计部门。
许多审计师在向控制执行人员索要审计资料时都遇到过延迟提供的情况,有些审计资料不够充分,导致后续的审计需求不得不推迟。有时,你需要找的人正在休假。归根结底,审计时间在很大程度上取决于审计团队能否及时找到对的人和资料,但人的行为是不可预测的。由于敏捷审计冲刺时间短、审计范围狭窄,任何延误都可能打乱冲刺节奏。