下载掌阅APP,畅读海量书库
立即打开
随着越来越多的审计部门开始探索敏捷审计,敏捷审计的定义变得越来越清晰。软件开发人员和项目经理常用“敏捷”来描述一种思维模式,即基于不断变化的需求和优先级更快产出结果。我们认为,敏捷审计是一种以客户为中心的计划和实施审计项目的方法,它聚焦组织最重要的风险,用更短的审计生命周期(从风险评估到出具审计报告)获取并与管理层分享风险洞察。我们可以在整个审计生命周期中应用敏捷审计的方法,包括风险评估、审计计划、现场审计和出具审计报告四个阶段。在本书中,我们将使用该定义来探讨敏捷转型如何重塑审计部门。
为了全面理解敏捷审计的概念,让我们从该概念的源头开始探讨。在过去40年里,“零库存”“六西格玛”“全面质量管理”和“精益”等理念推动业务运营更加高效。2001年初,一群IT专业人士起草了《敏捷宣言》
,里面阐述了敏捷的价值观和原则。从那时起,许多组织(包括内部审计)为了满足它们部分或全部业务的需要,已采纳并转向敏捷思维模式。
初始建立敏捷思维模式,关键是要创建一套价值观和原则。下面这四个价值观强调了在敏捷审计环境下最为重要的因素(见图1-1)。作为审计师,我们也根据需要采纳并更新了我们的价值观和原则。
图1-1 敏捷审计价值观
利益相关方互动高于刻板和政治。 在任何组织中,刻板地遵守沟通时间表和内部政治规矩,限制了内部审计向依赖审计工作的管理层和利益相关方传递信息。通过更重视与利益相关方的互动,我们向利益相关方传递更多信息。
提供洞察高于正式报告。 内部审计提供了对组织风险敞口的深刻洞察。遗憾的是,当被审计方与审计管理层就审计报告的措辞争论不休时,这些信息往往就被冲淡或忽视了。当我们专注于提供洞察时,信息的实质就重于形式。
管理协同高于问题博弈。 在大多数审计过程中,控制的薄弱环节会暴露出来。我们不应把时间浪费在问题博弈上,而应通过与管理层的团队协作来更好地为组织服务。内部审计的优势在于我们知道应该让哪些人参与跨部门的整改行动。
风险响应高于实体覆盖。 内部审计的目标是为组织提供风险洞察。要实现这一目标,审计范围、风险评估和审计计划必须基于风险,而非实体。
为了让敏捷审计价值观更具体,我们还制定了敏捷审计原则。以下是我们将遵循的12条敏捷审计原则。这些原则保持了初始敏捷原则的精神,每一条原则对于敏捷审计部门都至关重要。
1.我们的首要任务是通过审计关键风险和新兴风险来支持管理层实现目标。
2.即使在执行审计计划期间,也要拥抱不断变化的需求。为了组织利益最大化,敏捷审计接受变化。
3.定期提供审计洞察,在审计过程中提供实时结果,至少每季度向审计委员会报告,报告的时间周期越短越好。
4.在整个审计项目中,业务经理和审计师必须每天协同工作。
5.以积极主动的审计师为中心构建审计团队。为他们提供必要的环境和支持,并相信他们能完成任务。
6.面对面交谈是向管理层和审计团队传递信息最有效的方式。
7.敏捷审计成功的最终衡量标准是向高层领导提供风险和控制环境的洞察。
8.敏捷审计有助于及时了解运营风险。三道防线之间应保持开放沟通并共享结果。
9.持续关注技术技能和行为技能可以提升审计项目的敏捷性。
10.简化,即在不扩大审计范围的情况下了解风险和控制环境,至关重要。
11.最佳的风险评估、审计项目和审计洞察来自能够自我管理的审计团队。
12.审计团队定期反思如何更有效地工作,并进行相应的培训和流程优化。