在审计中实现敏捷:什么该做，什么不该做

作者: 斯皮罗斯·阿列克谢乌博士.D.， cisa, csx-f, cia
发表日期: 2022年1月6日
相关: 目标:敏捷审计|数字|英语

如今，敏捷是一种趋势. 即使是过去反对敏捷的人现在已经加入了这个潮流，并且积极地宣传敏捷，而不是总是理解这意味着什么，而且经常插入与他们相同的非敏捷障碍一直在实践他们的敏捷审计版本. 当适应敏捷实践，有必要首先，一套原则和价值观去理解它是什么，不是什么. 这也很有帮助对于希望成为更审计部门的人高效和交付更高价值的审核学习关于如何实施敏捷的实用技巧.

什么是敏捷?

敏捷范式是一种革命性的发明资讯科技项目的方法¹ 这是用来传递快速连续功能齐全，经过测试和期望的IT系统的可接受的版本，每一个包含更多功能的版本. 因此,它目前还不清楚它是否适用以及如何适用于 IT项目之外的领域. 尽管目的编写软件就是要有一个功能完备的系统这两种软件都不能让客户满意开发或被审核方满意度都是直接审核目标. 董事会不太可能成为客户参与实际事务:它依赖于审计; 在其他防御措施中，保持对风险区域的了解以及处理这些问题的实际方法. 然而,审计本质上是项目，而敏捷是关于项目的管理. 因此，似乎有些敏捷概念已经被证明是有效的项目管理可以延续到审计.

敏捷不是Scrum、看板或XP

Scrum、看板和极限编程(XP)可以是敏捷框架，但它们不是独立的敏捷. 敏捷是关于原则和价值观的. 它是不是特定的方法、工具、框架、配方或对某些具体工作方式的背书. It 不是告诉团队如何工作或替换现有的繁文缛节和经过认证的敏捷繁文缛节. 在相反，它的两个原则是:

围绕有动力的人建立项目，意思是给他们环境和支持他们需要并相信他们能够完成工作.
最好的架构、需求和设计从自组织团队中脱颖而出..

一个是敏捷，当你遵循敏捷的价值观和原则，而不是遵循特定的方法或框架. 例如，告诉审计团队他们必须使用sprint，这是Scrum术语的简称一段时间间隔(通常为两周) 预定义的目标集(软件中的功能) 必须达到开发或审核步骤(审核); 不完全遵循这些原则吗. 一些敏捷宣言的创始人是以下方面的支持者极限编程(XP)² 而不是Scrum. 组织或审核团队应该采纳关于原则和价值观的宣言非常务实的商业世界就是这些原则和价值观表明，它们可以做到这一点积极的结果.

及时完成一个有价值的产品是一项重要任务需求，包括IT软件和审计(其中产品是报告)，敏捷是由报告驱动的需要确保生产出有价值的产品在时间. 敏捷方法考虑到了这一需求账户. 例如，在Scrum中，项目是分开的在部分(冲刺)中，每天检查进度. 每个单独团队的进度报告成员必须简短，以免分散注意力生产活动和花费时间增加. 如果一个组织正在使用Scrum方法，比如 sprint，但是对于每个sprint，团队都必须解释给一个经理，他不参与项目，它可能会给过程增加额外的时间而不是使过程更有效率.e.,包括额外的一层人没有做实际的工作与敏捷原则完全相反). 敏捷方法论本身不会使过程变得敏捷，它们甚至可能适得其反.

主管不应该涉及到的细节实际审计，除非他们是一部分团队成员.

实施敏捷也意味着给予团队更多自由而不是微观管理. 原则12 敏捷宣言指出:“每隔一段时间，然后，团队反思如何变得更有效相应地调整它的行为.”³ 这意味着虽然主管们仍然发挥着作用(e.g.，设置目标审核，排除障碍，提出问题有了更高层次的管理(如果需要的话)，自由就是从主管转到团队. 监事是否应不参与细节的实际审核除非他们是团队的一员.

考虑一个敏捷审计的例子，其中团队使用由选择和组成的Scrum sprint 完成一些子任务并同意被审核方在一个期间内可能采取的措施然后决定下一个子任务新的冲刺. 在每次冲刺结束时，结果是是否与审核管理层讨论并达成一致先与被审核者谈，再审核管理决定下一个冲刺是什么. 但这可能不是采取最好的行动. 首先，冲刺使对于开发团队不依赖于外部方的IT项目来说，这是最有意义的. 为例如，如果一个IT开发团队的成员接受一项任务，并承诺交付一个经过全面测试的产品具备X功能的软件在两周内团队成员没有其他因素需要考虑除了它自己兑现承诺的能力功能. 不期望也不需要帮助，包括对其他方的依赖. 最多一个一定是同意了一套规格吗可能的接口.

审计的情况并非如此. 对于审计来说审计中被审计区域的一个子集将是在两周内完成是不可能完成的对审核组的控制或必要的生产力. 除非组织有自动化的过程来审核员可以访问任何数据的程度需要和不需要的信息是什么字段(很少有组织这样做，因为应该这样做) 作为单一的数据所有者，不希望共享数据对数据负责)，完成的是sprint 取决于被审核方合作的及时性.

此外，人们不知道数据有多广泛分析将是. 这是感知风险的函数，哪些只有在分析之后才能可靠地评估. 当然，风险可以而且应该在这个攻略，但大家应该记住这一点估计或多或少是被审核方的感觉通常高度乐观.

如果一个sprint无法完成，因为团队在等待数据或被审核方输入时，敏捷解决方案是什么要同时完成可以完成的任务，不管他们是否是当前冲刺的一部分 or not; therefore, if a delay occurs in one of the audit 子任务，没有时间浪费，因为所有的数据已经要求在需要时尽快交付出现后，团队就会处理所有的数据任何给定的时间，不管数据是否属于到当前sprint中测试的控件. 不用说，审计中需要的所有数据都应请求越早越好，不管他们到哪个sprint 属于. 如果一个组织希望在审计中做到敏捷，那么它可以做到必须接受这种灵活性. 如果团队有能力有了动力，它会优化自己的时间，而不需要填写文件，记录X的运动量在时间框架Y.

这是审计和软件之间的关键区别发展. 在软件开发中，团队对要编程的功能有充分的了解，并能准确地计划如何实现该功能. 在审计中，团队并不总是知道了最终的结果，目标就陈述得多了更广泛的术语:处理风险和有效性指定区域中控件的. 最重要的是IT 敏捷项目中的开发团队通常只有在任何给定的时间只做一个项目. 在审计, 事实未必如此，审计人员也可能如此同时在两个或多个团队中处理不同的审计.

使用sprint通常意味着输入as 完成可交付内容需要做很多工作截止日期前. 但当一个人有多次审计时，谈判严格的冲刺可能会成为一个问题而不是一个解决方案:当一个人沉浸在一个问题是，切换进出需要时间记住自己在哪里，在澳门赌场官方软件. 冲刺的好处到底是什么? 同意行动可能会更早开始? 通常，商定的审计补救行动比冲刺要长得多时间框架.

同样，如果审计管理没有实际参与审计时，它不应该干扰如何定义团队合作. 简而言之，借用一个框架敏捷和将其作为法律并不能使一个人变得敏捷.

有了敏捷审计，团队就没有了更需要开什么处方他们会事先检查(以及如何检查) 查看数据.

如何变得敏捷

虽然环境各不相同没有放之四海而皆准的解决方案，下面的一组指导方针可能会有用实现敏捷过程.

设定目标
一个组织，在这个例子中是审计部门，应该问问自己为什么需要成为敏捷和它希望通过变得敏捷来改进什么. If 它正在寻求提高效率和增长审计的质量，然后成为敏捷可行的选择. 通过减少或消除繁文缛节; parallelizing tasks; and abolishing the strict tollgate 规划、实地工作和报告的分离;⁴ 审计可以更快地完成，并专注于问题的物质. 有了敏捷审计，团队不再需要规定他们之前要检查什么(以及如何检查) 查看数据. 然而，敏捷并不是灵丹妙药这将解决所有问题. 例如，如果延迟是由于组织间的纠纷，有一个敏捷审计程序不会完全解决这个问题. 如果延误是主要是由于提取数据的困难从IT系统来看，敏捷将不再是核心解决方案，但是它可以通过请求极大地缩短处理时间将数据立即取出而不是当一个完成并有批准的审核程序. 一旦需要解决的问题是确定的接下来的步骤很明确:移除绊脚石.

能力与动机
敏捷原则可以帮助审计团队找到方法消除这些绊脚石，使审计更快更有效率.

例如，敏捷宣言的原则5要求: 我们的团队有能力和积极性吗? 我们吸引到我们真正想要的人了吗剩下的? 敏捷并不适用于非敏捷的团队有能力是因为有太多的指导和监管要求. 这一点在《澳门赌场官方下载》中也有说明国际内部审计师准则(IIA 《内部审计专业实践 “所需监管的程度将取决于内部审计师的熟练程度和经验约定的复杂性.”⁵ 这并不意味着所有的团队成员必须在所有方面都具有同等的能力方面，但每个成员必须能够胜任完成他们的任务. 能力是一个关键的组成部分敏捷宣言. 原则9明确指出持续关注技术精益求精设计提高敏捷性.”⁶

一旦建立了一个有能力的团队组织必须确保保持积极性. 团队成员应该在材料中得到奖励吗道路? 他们的工作质量应该表扬吗关键绩效指标(kpi)，如完成审核的次数用于评估团队和审核员的表现? 评估质量通常比bean计数复杂得多指示器:如果一个人评估了一些豆子，那么重点将是提供更多的豆子，而不是更好的豆子。. 因此，这不是一个有效的激励因素.

最终，拥有一个有能力的团队是理想的喜欢、自豪并相信自己的工作有不同的方法可以做到这一点. 例如，驱动式审计(i.e., compliance-type 审计，审计员填写复选框，没有深入探讨问题⁷^, ⁸)可能会受到鼓励那些重数量轻质量的人——有一个不是需要灵活地填写复选框.

敏捷审计管理: Auftragstaktik
Auftragstaktik，可以粗略地翻译为任务或契约战术，是一个二战德国人可以用来描述敏捷的军事词汇方法. 最高级别的指挥(如.g., 将军)设定目标(例如.g.(拿下那座山)但是离开了外勤人员.g.(船长)来决定确切的攻击方法. 类似地，在敏捷中，审计管理层设定目标(例如.g.，证券对组织的虚拟专用网进行审计 [VPN]，范围和资源)，但细节，包括哪些区域可以省略作为较少的材料，是一个高度称职的审计团队的责任. 如果团队需要在每个行动之前获得批准要么是审计管理的一部分团队或团队不应该使用敏捷审计.

敏捷代表灵活性，并且契约恰恰相反，因为它们代表了协议刚性更强.

Auftragstaktik 这并不意味着审核组是孤立的在野外. 就像船长可能会要求的那样炮击或空中支援时，可以攻击山丘审核组决定需要专家协助或计算机设备. 选择需要什么什么时候是由现场的人(e.g., 队长或审核小组)而不是管理层离田地很远吗. Auftragstaktik 也一般结果是更好的决策，作为责任失败的责任就落在了队长或审计团队和他们的身上决定，而不是别人. 这让团队一个更好的不失败的激励. 它也会带来更好的结果通过给团队成员机会来领导承担更多的责任，做更多的决定.

审计管理是否有作用?
一些审计经理可能不喜欢这种自由敏捷审计给他们的团队带来了什么，因为他们冒着风险去寻找过时了. 理想情况下，审计管理应该包括有能力理解自己的人团队和其主要目的是进行质量检查他们团队的研究结果. 敏捷审计的基本前提—— 或者任何敏捷项目——是团队的能力足够和信任来完成他们的任务，而不需要需要监督. 也就是说，管理不是可能很快就会消失，而且有充足的这是有历史先例的. 事实上，曼哈顿制造原子弹的项目⁹ 当然参与了非常有能力和积极性的团队，但它们仍然需要管理，而且都处于高位在关卡和细节设计上，有选择的地方关于实际执行的问题.

审核管理的作用包括:

与组织的管理层沟通— 审计委员会通常倾向于这样做有一个单一的接触点来保留一些保密. 例如，如果管理是关心系统X的安全问题，这通常不会传达给整个团队组织，但首席审计执行官(CAE) 是否应该意识到这些问题并加以指导审计小组到那个区域. 这仍然是有效的敏捷管理功能.
消除障碍-取决于组织、被审核员可给予较高的优先级对他们上司的要求审计人员. 他们的主管可能会给更高的薪水优先考虑CAE的要求，而不是审计员的要求. 这也是一个有效的管理功能敏捷，但是，取决于组织结构和文化，这可以由较低的审计管理功能，不一定 CAE，他可以作为最后的手段.
在团队中充当仲裁者-这可能是例如，当不同的方法时是有益的提出了哪些建议，但并不是所有的建议都能实现或在质量检查期间确保有报告是正确的，可以理解的，在某些情况下，保持正确的政治平衡. 这不是在技术层面上与敏捷团队合作因为团队可以提供质量控制他们拥有审计的所有权. 决策能否在团队内部处理，如由多高级审计师. 因为CAE并不总是具有技术能力(特别是对于IT) 审计)，这实际上可能是必要的.
对审核员进行人员配备和培训——自从敏捷审计以来尤其严重依赖于审计师的能力，理想情况下，CAE或类似的审计经理需要能够雇佣和培训相应的员工.

什么时候不应该采用敏捷

敏捷并不总是答案. 敏捷几乎不赚钱对于没有经验的审核员或审核员来说缺乏技术能力. 此外，常见的采用敏捷的绊脚石是合同和法律义务. 敏捷代表灵活性和契约是完全相反的，因为它们代表协议刚性更强. 例如，如果不同的法律实体参与项目并获得报酬根据花了多少天，那么敏捷就变成了有问题的. 审计团队通常没有 control over such budgetary issues; therefore, it can 由团队组成的团队很难实施敏捷来自不同法人实体的人员.

有些案例声称在某些领域是敏捷的以合同为主，如采购.¹⁰^, ¹¹ 原则上，采购是一个非常不灵活的领域因为通常会涉及到合同. 固定价格是否已商定交付固定和商定功能齐全，交付完全令人满意产品内容太模糊，不能写在合同上代表潜在的无限供应商责任. 因此，敏捷采购实际上是敏捷的内部约束条件. 组织可以做得更多或者在给定的约束条件下不那么敏捷在采购的情况下，这可以参考使用采购小组(i).e.，创建小型团队来自不同部门的专家，而不是不同独立工作的部门)¹². 值得注意的是这有时更像是一种标签.

另一个关于采购的更敏捷的标签可能是成本加成合同(i.e.，合同收取实际发生的费用加上差额利润). 这样的成本加成合同使敏捷性在团队成员中是他们的一部分供应商有动机专注于生产产品的质量和初心是开放的规范或设计，知道自己的努力会得到奖励. 但这种灵活性并非如此 for a fixed price contract; however, cost of the end 产品可以显著超过预测. 被完全敏捷并不总是一个现实的选择.

另一种情况是敏捷不太可能带来的好处是合规审计(i.e.，审计，其中现状与理想是直接比较的情境和异常只有在它们不同时才会被提出，不管差异的实质还是效率)，因为主动性少而少团队需要做出的决定. 高层 competence is also typically not required; hence, 灵活性并不那么重要.

审计工作不是在真空中进行的. 审计团队必须与组织的其他部分协作. 根据敏捷宣言的原则4， “业务人员和开发人员必须一起工作在整个项目中每天.”¹³ 然而，这并不有效如果每个答案都需要被审核员的批准他们提供了. 简而言之，有一个敏捷岛审计，当组织的其他部分不是敏捷的时候，会破坏敏捷的有效性.

在审计中有一个敏捷孤岛，当组织的其他人是不是不敏捷，破坏了敏捷的有效性.

结论

随着审计部门努力变得更加敏捷，必须明白，这本身并不是目的而是一种提高效率和交付的方法更高的价值. 这是实现时，有一个明确对组织正在努力改进的方面的看法以及敏捷如何帮助实现这一目标. 只是复制或在没有理解的情况下遵循敏捷框架采纳基本原则和价值观不能使审计变得敏捷，而且，在某些情况下，它能产生与目标完全相反的效果吗敏捷. 任何影响审计效率的因素而有效性是敏捷性的障碍. 敏捷审计就是简单地识别和删除——或者至少减轻障碍的不利影响.

消除这些障碍并成为敏捷的包括:

招聘或培训高能力的审核员
保持审核员的积极性
删除所有不必要的繁文缛节，如严格收费站分离(规划、实地调查、报告)
允许审计员在没有非生产性约束和提供帮助在需要的时候
避免盲目地采用敏捷框架，除非有具体的例子具体来说，这个框架将影响效率和有效性. 如果采用这种框架，重要的是要确保感知到的收益实现.

尾注

¹ 贝克,K.; 等.《澳门赌场官方软件》，2001; http://Agilemanifesto.org/
² 敏捷联盟，“极限编程(XP)” http://www.Agilealliance.org/glossary/xp/
³ Op cit 贝克
⁴ Alexiou,年代.; “敏捷 Audit,” ISACA^® 杂志,卷. 2, 2017, http://1bn.kingpaq.com/archives
⁵ 内部审计师协会(IIA)， 《澳门赌场官方下载》，美国，2016; http://na.theiia.org/standards-guidance/public%20documents/ippf-standards-2017.pdf
⁶ Op cit 贝克
⁷ 钱伯斯,R.; “Drive-By Auditing: Don’t Be Guilty of ‘Hit and Run,’” 内部审计人员2012年8月2日 http://iaonline.theiia.org/drive-by-auditing-dont-be-guilty-of-hit-and-run
⁸ 干了,.; R. Rampell; “Drive-by Audits Have Become Too Common and Too Dangerous,” 《澳门赌场官方下载》， 2002年8月9日 www.《澳门赌场官方下载》.com/articles/SB1028822538710052160
⁹ 原子遗产基金会，Leslie R. 园”, http://www.atomicheritage.org/profile/leslie-r-groves
¹⁰ GEP，“敏捷采购——超越传统采购”，2019年4月22日; http://www.《澳门赌场官方软件》.com/blog/strategy/敏捷-procurement-going-道路-beyond-traditional-procurement #: ~:文本=敏捷% 20采购% 20是基于% 20的% 20,% 20需要% 20 % 20 % 20采购
 ¹¹ 史,P.; “Better for Cost, 人才, 客户:奥地利A1电信集团的敏捷采购,麦肯锡公司, 2020年7月16日, http://www.mckinsey.com/business-functions/operations/our-insights/better-for-cost-talent-and-customer-Agile-procurement-at-a1-telekom-austria-group
¹² 同前.
¹³ Op cit 贝克

Spiros Alexiou博士.D.a、c、c、f、c

在过去的14年里一直担任大型澳门赌场官方下载的IT审计员. 他在IT系统方面有超过25年的经验，并编写了许多复杂的计算机程序. 可以通过电话联系到阿列克谢乌 spiralexiou@gmail.com.

前一篇文章

下一篇文章

首页 / 资源 / ISACA杂志 / 问题 / 2022 / 卷1 / 在审计中走向敏捷:什么该做，什么不该做