继续观看
基于Scrum敏捷框架的审计整改追踪模式研究
福建省内部审计协会
内部审计是组织实现完善治理、规范管理、防控风险的重要制度设计,是组织安全、稳定、健康运转的有力保障和支撑。而内部审计发现问题的整改追踪是内部审计工作的落脚点,是实现内部审计价值、确保组织目标实现的重要保障。
瀑布模型来源于软件开发领域,是将软件开发分为若干阶段,并规定逐次推进的顺序,如同瀑布,逐级下落。与之相对应,现行的整改追踪模式也可称为瀑布模式,该模式假设所有的需求都被清楚地描述,并据此制定整改追踪方案,流程相对固定,并严格按照预定方案进行,周期较长,审计成果物在最后阶段才提交。敏捷整改追踪模式与之相反,强调快速进行迭代,及时响应变化,动态调整整改追踪待办事项,频繁交付成果物,每次迭代持续改进。随着我国进入新发展阶段,经济社会发展环境日益复杂多变,瀑布整改追踪模式存在灵活性不足、难以根据内外部环境变化即时作出调整的缺陷,不利于审计整改追踪工作的有效推进和整改追踪模式的不断优化,也难以提出富有建设性的建议,限制了内部审计价值增值作用的发挥。
美国学者Beerbaum的研究也认为,敏捷审计在内部审计的效率和有效性方面具有瀑布审计所不具有的独特优势。除此之外,与保持价值相比,内部审计敏捷方法还意味着创造价值的新机会。而在包括Lean、Scrum和Kanban等敏捷方法中,Scrum方法使用最为广泛,是最为主流的方法。因此,本文在Scrum敏捷框架下讨论重构审计整改追踪模式的意义及实现途径,以期整改追踪能在统筹发展和安全过程中实现更大程度的除弊兴利、价值增值,更好地促进组织目标的实现。
(一)是克服现有审计整改追踪模式存在的不足,更好地促进内部审计结果运用的必然选择
审计整改是审计程序的重要组成部分,也是实现审计目标的“最后一公里”,但是过去很长一段时间内,内部审计存在“重查轻改”的问题。近些年审计整改得到的重视程度已经大为提高。2018年《审计署关于内部审计工作的规定》(中华人民共和国审计署令第11号)新增设“第四章审计结果运用”一章,对加强审计整改做了较为明确的规定。2019年12月中国内部审计协会专门召开“内部审计结果运用”典型案例展示工作交流总结大会,中国内部审计协会鲍国明会长强调“审计整改是审计结果运用的重要抓手,是体现审计价值的最直接方式。”
但是在审计整改追踪方面,不少组织内部审计部门仍然沿用瀑布模式,即为完成既定审计整改追踪目标,首先整理、更新审计问题台账并制订审计整改追踪方案,然后收集整改证明材料,进而对照问题和整改证明材料对是否整改到位作出分析和评价,最后形成审计整改追踪报告并运用,具体流程见图1。整个流程必须按事前确定好的顺序向前递进,如同瀑布流水,逐次进行。审计整改最终过程严格按照审计整改追踪方案进行,方案的质量在很大程度上决定了本次审计整改追踪的质量。审计追踪程序是为了处理整改风险而设计的,但是一些风险因素可能在整改追踪期间而不是在制定方案时被具体化。此外,由于强有力的整改过程控制,原先被确定为主要的风险可能被证明是次要的或根本不存在,而被认为低得多或根本不被考虑的风险可能被认为是最大的风险因素。另外,随着现场整改追踪工作的进展,可能会意识到以前甚至没有考虑到的风险。从而审计整改追踪任务推进过程中,内外部实时环境的变化无法被快速感知并迅速作出反应,审计整改追踪时间跨度越长,矛盾越明显,使得审计整改追踪质量难以得到根本提高。敏捷框架的提出本就是为了解决动态、快速变化的环境与静态不变的工作计划之间的矛盾,是与时俱进的体现。敏捷整改追踪模式强调根据原先审计发现问题的不同的风险变化状况,迅速作出反应,不完全遵循事前制定的整改追踪方案,从而能更好地促进内部审计结果运用。
(二)是新发展阶段内部审计更好发挥统筹发展与安全职能的迫切要求
新发展阶段要求内部审计转变职能定位。根据党的十九届五中全会精神,2021年起我国已进入新发展阶段,随着经济、政治、文化、社会、生态文明等方面的进步和发展环境变化,组织经营发展也面临着新的发展基础、发展任务、发展环境、发展困难。在这样的宏观环境下,如果内部审计还囿于传统理论“第三道防线”的风险管理职能定位,仅在防范风险、保障安全方面发挥作用,而不重视帮助组织抓机遇、促发展方面的作用,必然无法为组织、社会、国家实现更安全、更高质量的发展做出应有贡献。
鉴于内部审计职能定位发生了转变,引入敏捷框架对提升审计整改追踪工作的有效性和时效性具有较强的积极意义。首先,敏捷框架可有效促进内部审计实现角色转变。审计人员通过对审计问题风险状况变化的动态掌握,有利于促进其与业务经营部门换位思考,以审计整改追踪为抓手,积极主动作为、靠前站位,在深入挖掘问题产生根源的同时了解基层业务部门的迫切需求、解决业务部门痛点,使审计建议更接地气而不是空中楼阁,避免整改追踪工作流于形式、整改措施浮于表面。其次,敏捷框架要求根据不断变化的内外部环境对整改追踪任务进行拓展,使审计整改追踪工作实现举一反三。审计整改不仅局限于某一业务环节的纠错纠偏,而是将整改任务拓展到深层次分析问题根源、从主观方面查找管理缺陷、有针对性采取根治措施。由此可见敏捷框架下的整改追踪能更好地统筹业务发展和风险防控,帮助组织实现更大的价值。
最早在软件开发领域得到运用的敏捷方法由于其较为显著的优点和普适意义,迅速在制造业、金融业以及其它领域得到广泛应用。敏捷的意思即是根据不断变化的形势,灵活、动态、及时调整方式方法,不拘泥于僵硬的事前计划,并持续改进。敏捷框架下的审计整改追踪模式即为围绕促进审计成果的充分有效运用,将一次审计整改追踪的全流程划分为多个相互联系但又独立运行的子流程。每个子流程作为一个迭代周期,每个迭代周期的工作内容和工作方法根据不断变化的内外部环境因素和风险状况动态调整,从而维护不断更新的整改追踪待办事项列表。各个迭代周期分别完成并交付具有及时性、相关性、可读性和可视性的增量成果物,一次迭代完成后整改追踪团队总结可以改进的余地从而完成一次流程的改进。
在审计整改追踪中,敏捷框架指引内部审计人员将主要的精力和时间聚焦于对组织实现目标影响最大的问题和风险,从而提高目标清晰度,并据此指导审计整改追踪现场工作和整改追踪报告的撰写。在整改追踪过程中审计人员将审计发现问题和风险进行优先级划分,这有利于审计团队识别所需资源,并且重点关注对组织价值和目标影响更大的问题。除此之外,在敏捷框架下可采用更加简练的文字交付更简洁、及时的报告,在报告中要提炼富有价值的建议。建议不能只局限于具体问题的整改,更要着眼于经营管理中的难点、痛点,充分发挥内部审计提供管理咨询的职能,将在审计整改追踪中发现的有关管理层关心的组织管理方式、成本控制、绩效考核、业务发展中的问题提出深刻的洞见,从而在促进发展和防控风险方面体现内部审计的价值。
Scrum敏捷框架下审计整改追踪的目标是在最短的时间内交付最高质量的成果物,框架主要由3个角色、3个工件、4个活动组成,其中3个角色分别为审计人员、主审和组长;3个工件分别为整改待办事项列表、整改迭代事项列表和燃尽图;4个活动分别为整改迭代计划会议、整改每日站会、整改迭代评审会议和整改迭代回顾会议。
如前所述,敏捷框架下的审计整改追踪模式可以很好地解决瀑布模式面临的问题。在敏捷框架下,审计整改追踪强调个体和高效互动高于审计整改追踪方案、高质量的审计见解和建议高于冗长的整改追踪报告、多次阶段性成果物交付高于最终一个成果物交付、快速响应变化高于遵循方案。敏捷审计整改追踪模式见图2。
Scrum敏捷审计整改追踪中的3个角色分别为审计人员、主审、组长,这组成一个敏捷整改追踪团队。其中组长要确保审计整改追踪工作的价值,确保所做的整改追踪工作是为组织目标服务的。他要随时关注内外部环境变化对问题风险演变的影响,与整改责任单位、审计部负责人、主审、审计成员等利益相关方保持持续沟通。组长还拥有对待办事项列表更新、排序、删除的决定权。主审是整个团队的支持者和保障者,负责维持团队的敏捷秩序,并排除无关因素打扰,对审计人员的整改工作把关。团队中的审计人员通过识别、分析、评估等程序,完成审计整改待办事项,并在每次迭代结束时交付一份可用的审计成果物。同时,团队是一个自我管理的团队,各类信息在敏捷团队内部充分共享。待办事项列表是为评估整改的过程,基于风险的方法得出的一系列整改追踪待办事项,并且已进行了优先级排序。待办事项主要由审计人员、主审、组长充分讨论后,由组长决定,并在迭代过程中根据持续变化的风险状况不断更新、不断重新排序。具体流程见图3。
迭代开始前,敏捷整改追踪团队要召开迭代计划会议,根据重要性、紧迫性对本次迭代的待办事项确定工作优先级,待办事项至少包括明确整改收集问题的范围、更新整改问题台账、统一整改标准、收集整改报告及整改证据、撰写整改追踪方案等。在迭代计划会议上要确定迭代待办列表及本次迭代计划。在迭代计划会议上,团队首先要基于整改追踪目标形成共识。这些共识至少包括以下几个方面。第一,确定整改收集问题的范围至少包括上次应整改而未整改或部分整改的问题、上次整改以来内外部检查所发现的问题,从而建立问题清单,更新问题台账。第二,对问题进行科学分类。至少要按问题可能产生的影响,即考虑可能造成的声誉风险、监管风险、财务风险、道德风险、法律风险以及是否属于案件,将问题分为一般类问题和重大类问题,从而有区别、有重点地进行整改追踪,提高整改追踪的效率和效果。第三,统一整改标准。将整改标准可确定为:风险化解到位,即整改责任单位已纠正或终止错误行为,消除或能够有效控制问题所造成的不良影响;风险防控到位,即整改责任单位通过采取修改完善制度、加强培训等措施旨在防范同类问题再次发生;责任追究到位,即已按照有关规定对责任单位及各相关责任人给予了适当的处理处罚,并起到了警示作用。错误行为无法纠正,但风险控制到位、责任追究到位的,视同已整改;错误行为已纠正,且穷尽了风险补救措施、责任追究到位的,视同已整改。
进入整改追踪迭代周期后,团队在每日固定时间召开审计人员与主审参加的每日站会,建议组长参加。会议要确认整改追踪迭代待办事项中哪些事项已完成,哪些正在处理,有无必要调整待办事项的优先顺序以及如何调整等。除此之外,审计人员与主审要沟通下次会议前审计人员计划完成的任务,对目前遇到的困难进行讨论并寻求解决方案,并用燃尽图来控制进度。每日站会后将得到最新整改追踪迭代待办事项列表、最新燃尽图和需要克服的困难的事项。
整改追踪迭代后期,召开迭代评审会议,团队成员全员参加。会议要评审本次迭代整改追踪待办事项是否已完成,以及是否达到事前确定的标准,尤其要对本次迭代交付的成果物如整改问题台账、整改追踪方案等进行讨论。组长要对于已完成事项及其质量给出评价和反馈,这些反馈要反映在待办事项列表中,并在进入下一次迭代前对这些待办事项重新进行优先级排序并给出理由。
每次迭代结束后要召开迭代回顾会议,总结迭代的经验以及可以改进的地方以提高团队水平。每个团队成员都要回答“本次迭代中我做的最重要的事情是什么?”、“我成功的经验有哪些”以及“我在哪些地方有进一步完善的余地”。针对可以改进的地方,团队成员可给出改进建议,并讨论建议的可行性,团队成员共同确保该建议在下一次迭代中得到采纳并实施。
本次迭代开始前,敏捷整改追踪团队要在迭代计划会议上确定本次迭代待办事项的优先级,待办事项至少包括对问题按照产生原因进行分类、按照整改标准认定整改状态等,并形成本次迭代计划。本次迭代应就下述问题达成共识。第一,整改工作应遵循以下原则:有错必纠原则、责任落实原则、标本兼治原则、及时性、真实性、有效性原则、持续改进原则等。第二,统一认定问题“屡查屡犯”的标准,即“同一机构、同一业务类型、同类问题再次发生”,并且至少对风险分类为重大的问题进行再抽样,以验证问题是否存在屡查屡犯。第三,将问题按产生的原因进行分类,不同类别的问题应采取不同的整改措施。问题按产生的原因可分为目标任务类问题,指因经营目标或任务指标设定不合理导致的问题,应采取的针对性整改措施为修订目标、任务;制度流程类问题,指指因制度流程冲突、缺失或不完善而导致的问题,应采取的针对性整改措施为修订完善制度、流程或废除不合理的规定;组织保障类问题,指因组织架构不合理、激励约束机制不健全、队伍建设不到位、组织实施不严密、支持保障不得力等原因导致的问题,应采取的针对性整改措施为调整组织机构及其职责、建立健全激励约束机制、组织人员培训、调整有关岗位人员;产品工具类问题,指指因业务、产品以及信息系统等存在漏洞或缺陷而导致的问题,应采取的针对性整改措施为调整更新产品、系统、技术工具或进行升级换代;业务操作类问题,指指因违规操作、操作不规范或失误而导致的问题,应采取的针对性整改措施为改变操作方式,合规操作,或将差错率高的人员调整岗位。第四,确定整改率的计算标准。应根据整改状态赋予不同的整改权重系数,已整改指整改结果符合全部三项整改要求的,权重设为1。部分整改,指整改结果符合三项整改要求中的一项,且至少有一项未达到整改要求的,权重设为0.5。未整改,指任何一项均未达到整改要求的,权重设为0。风险扩大情形,权重系数设为-1。风险扩大情形指以下三种情形之一:1、整改不力或不及时,致使原问题的风险加剧、损失扩大的。2、虚假整改或违规整改,致使原问题的风险未得到改善、有延续或扩大趋势的。3、由于未执行完善制度或流程的整改要求,导致原问题形成案件的或造成其他重大损失的。整改率=(已整改问题个数+部分整改问题个数*0.5-风险加大或同类新增问题个数)/问题总数*100%。
在整改追踪迭代周期中,团队同样要在每日站会中确认待办事项的完成情况及其完成质量、优先顺序、完成过程中遇到的难点及处理建议等。迭代后期的迭代评审会议中要评审本次迭代待办事项的完成状况及完成质量,尤其要对本次迭代交付的成果物整改认定审计确认书及整改责任单位的反馈等进行讨论,争取与整改责任单位的意见达成一致。要根据组长对于已完成事项及其质量的反馈对下一次迭代的待办事项的优先级重新排序。本次迭代结束后的迭代回顾会议上要总结本次迭代的经验及不足,团队成员提出改进建议并在下一次迭代中付诸实践。
迭代开始前,敏捷整改追踪团队要在迭代计划会议上决定的本次迭代待办事项至少包括整改追踪报告的框架及内容、整改追踪的结果运用等,并对优先级进行排序,从而形成迭代计划。迭代应就下述问题达成共识。第一,整改追踪报告的内容框架至少包括整改追踪基本情况、整改认定结果、整改追踪评价、未整改到位事项及原因、审计建议等。第二,整改追踪的结果运用至少要运用到以下方面:评价某一整改责任单位的内部控制水平,从而与其绩效考核挂钩;整改追踪确认为部分整改、未整改以及出现风险加大的问题,团队应持续追踪,督促整改,并将此作为日常监管检查的重点,直至问题整改完毕;整改结果可作为年度审计计划安排的参考依据之一,对整改率较高的单位可以适当减少审计项目安排或频次,对整改率较低的单位应当加大审计力度。
在整改追踪迭代过程中,团队同样要充分发挥每日站会的作用。迭代后期的迭代评审会议中要评审整改追踪报告的完成质量,即是否实事求是地反映审计整改事项,客观评价整改责任单位的整改措施;是否逻辑清晰、主次分明、重点突出,定性准确等。除此之外,还要对整改责任单位对整改追踪报告的反馈进行讨论,争取与其达成一致意见。同样,本次迭代结束后的迭代回顾会议总结本次迭代可以优化的余地,并持续改进。
早在1999年国际内部审计师协会(IIA)就将咨询认定为内部审计的职能。当前审计整改追踪更加侧重于对问题整改状态的确认,相对忽视咨询功能的发挥。在敏捷框架下的审计整改追踪将提出高质量的审计建议放在突出的地位,强调根据整改难点分析问题产生的原因,从而发现业务发展的阻碍,就制约业务发展的因素提出审计建议,并贯穿于整改追踪的各个迭代阶段,从而更好地兼顾风险防范和业务发展。这也是敏捷整改追踪模式相较于瀑布模式的一大优势。
实现敏捷整改追踪可能比预想的更加困难,这涉及思维模式和观念的变革,但其优点也是显而易见的,包括减少整改追踪时间、提高整改追踪质量、获得更容易获得利益相关者认可的建议、提高内部审计部门的地位等。随着当前环境的急剧变化,包括敏捷整改追踪在内的敏捷审计已是内部审计重要发展方向,它能更好地发挥内部审计确认和咨询的功能,促进组织在防范风险的同时获得业务更好的发展,从而在促进组织目标实现过程中发挥更大的作用。
来源:2021年度全国内部审计理论研讨三等奖优秀论文
