• 审计敏捷的三板斧

      •   当今社会节奏加快,风险环境不断变化。各种内部或外部因素(或两者兼而有之)对企业发展的影响愈加明显,战略运营风险亦不断增加,从而导致风险升级速度比以往任何时候都更加快速。内部审计团队也正面临新的挑战。为了给企业的发展保驾护航,审计团队所做的不再只是被动地检查过往事件。针对企业在宏观层面面临的挑战和当前的风险环境,审计团队必须有更深刻的见解,才能为管理层和审计委员会提出应对这些挑战更有建设性的建议。
         
          随着风险管理压力的增加,股东对保证提供方的期望也与日俱增。在这种情况下,我们更加需要认真地评估“传统审计方法”的固有弱点,以及如何重新设计审计元素才能实现更大的公司价值。Touchstone 内部审计研究显示,70% 以上的公司正在计划采用或实施更敏捷的审计方法。
         
          审计团队总是因为结果的及时性不够而备受诟病。审计结果通常以报告形式呈现,但是这要很长时间才能交付,这令股东很沮丧。鉴于风险形势瞬息万变,高级管理层通常无法忍受必须等到审计结束才能收到正式的审计报告。对他们来说,越早收到审计报告,越能迅速做出响应。
         
          我们身处一个协作的时代,审计师作为“值得信赖的顾问”,运用的审计方法却是“自上而下”而不是协作性的。就工作性质而言,这种审计方法适用于欺诈调查。但是,对于审计而言,协作性地参与或许意味着审计师们需要有经验丰富的向导来帮助他们梳理不熟悉的业务流程。针对任何保证性的活动都运用“自上而下”的审计方法,其结果,往好了说,会造成审计和客户互相抵触,往坏了讲,则可能导致双方冲突。不管怎样,这样的结果无论对于内部审计“值得信赖的顾问”的定位,还是对于公司抵御风险的能力而言都是灾难性的。
         
          传统审计面临的挑战包括,其特有的、冗长的退出流程,确定调查结果的细节,接收并确定管理层的回应等,欠缺及时性也是一个问题。按照传统的审计方法,通常只有在审计结束的时候才会与管理层对话。实际上,这样做只不过是进一步推迟了审计报告完成的时间和增值开始的时间,即:实施管理决策的时间。总的来说,这种审计流程带来的结果就是:知道风险在哪里,但是没有降低,以及(或者)内部控制欠缺的问题在更长的时间内得不到解决。这样的结果不仅会让审计团队和管理人员有挫败感,也会让股东大失所望。更重要的是,公司目标面临更大的风险。
         

         
          平均而言,沟通审计结果大约需要五周的时间。
          发布报告草稿需要两周
          接收管理层回复需要两周
          发布最终报告需要一周
         

         
          若要以协作的方式提供及时而又有价值的审计结果,审计团队应当考虑采用敏捷的审计方法,其基础就是敏捷软件开发宣言中提出的 12 条敏捷原则。
         
          审计部门只需做三件事就可以变得更加敏捷:
         
          1.提高风险评估更新的频率
          基于风险的审计方法本身就源自风险评估。敏捷的审计部门通过不断发现新的风险来应对风险环境的变化。公司通常是每年进行一次风险评估。但是,考虑到当前瞬息万变的风险形势,一年只做一次风险评估已经过时,而且还可能危及审计计划的相关性。
         
          为了提供相关的保证,审计团队必须变得更加敏捷,努力进行风险评估,使之能不断地反映出那些让高级管理层彻夜难眠的问题。这意味着必须更加频繁地更新和增加风险评估,至少每年超过一次。
          根据 Touchstone 内部审计研究,61% 的受访者每年都会更新其风险评估,而采用敏捷方法的审计部门会更频繁地更新这些评估。采用敏捷审计方法的团队中,只有28% 的团队每年仅进行一次风险评估,大部分都是至少每个季度评估一次。
         

         
          2.采用真正基于风险的审计方法
          公司管理层一直在严格地审查各项支出,即使是内部审计也不能幸免于此。因此,在日益复杂的环境中,审计团队必须通过更广泛的保证和咨询服务来证明自己的价值。管理层和审计委员会也希望审计部门能更多地关注公司内部的高风险领域,进而做出更科学的判断。
         
          更多地关注重大风险领域能够使目标更明确。真正基于风险的方法也是效率的基石。有了一套明确而完善的目标后,敏捷的审计团队会基于风险评估中发现的风险来设计和执行一个审计程序,但不止于此。在此过程中,审计团队需要在合理的保证承诺、风险状况、资源和附加值之间取得平衡。
         
          Touchstone 内部审计研究还表明,采用敏捷方法的审计团队会先确定要覆盖的风险范围,然后重点关注最高风险。
         
          使用敏捷方法的价值在于,审计团队能够迅速将工作重点转向风险更大的领域。参与审计的管理层和运营人员的负担也减轻了,不需要在低风险业务的审计流程上花费太多精力。审计委员会更希望审计团队能够将宝贵的时间和精力花在更具附加值的保证活动上。敏捷的方法采用灵活的审计规划,通过为公司提供有价值且相关的保证来提高审计委员会的满意度和信心。
         
          40% 的敏捷团队和业务团队一起确定审计范围
         
          1.力求频繁沟通和紧密合作
          审计团队正朝着敏捷的方向发展,从而可以更多地专注于价值创造。审计结果的价值会随着时间的推移而急剧下降,因为公司面临的风险虽然已经确定,但是并没有得到缓解,而且威胁到目标的达成。敏捷的工具和流程能确保团队及时地沟通和实施其整改计划,从而保留其价值。
         
          敏捷的团队通常会围绕关键或高级别的风险把他们的工作分成有时间限制的“冲刺” (sprint)。该方法包含了一些刻意的活动,其目的是确保审计团队和公司之间能够进行频繁的沟通,并促进两者之间的紧密合作。
         
          在每一个“冲刺”期间,审计团队通常会在报告起草前就着手讨论和 / 或解决问题,并列出可报告的问题。每次“冲刺”结束的时候,审计团队会将审计结果共享给管理层。这样,管理层就可以在最终报告发布前筹划响应方式,甚至解决这些问题。
         
          最终审计结果的交付取决于两项关键活动:
          a)发布报告草稿
          b)收到管理层回复
          Touchstone 内部审计研究将传统审计团队和敏捷团队进行比较后发现,在一个星期内发布报告草稿的团队增加了 16%。
          Touchstone 内部审计的研究还显示,针对 29% 没有实施敏捷活动的团队,采用的方法是将估计 / 计划用时和实际用时进行对比。尽管这可能有助于计算利用率和完成审计的时间,但还是不能很透明地向公司反映已完成的工作和风险结论。
         
          敏捷的审计团队还会经常使用看板,有时甚至会和公司共享看板,以使进行中的工作可视化。这样更容易识别“路障”。看板可简单,也可复杂。力求敏捷的团队可以利用现有的工具来实现可视化效果,从而为团队内部及与公司间的合作奠定基础。
         

         
          一周内发布报告草稿的团队
         

         
          一周内收到管理层回复的团队
         

         
          一周内发布最终报告的团队
          与管理层建立协作关系,并与之频繁沟通是敏捷方法的核心所在。两者并用可以帮助更多的团队在一周内收到管理层的回复,并发布最终审计报告。
          希望变得更加敏捷的审计团队可以和管理层进行更频繁,更开放的交流,并建立协作文化,进而能够更及时地传达其宝贵的审计意见。
         

         
          Sio Naidoo
          作者: Sio Naidoo - 亚太区 TeamMate产品经理
          Sio Naidoo,现任 Wolters Kluwer 亚太区 TeamMate产品经理,主要负责确保TeamMate 审计信息化解决方案与亚太地区客户的需求保持一致。