1.5.6 敏捷审计

任何信息系统审计职能的目标都是提供更快、更高效的方法来进行信息系统审计，从而为利益相关方提供价值。实现这一目标的方法之一是利用敏捷概念。

敏捷审计概述

“敏捷”一词通常指软件开发，强调个人和交互（而非流程和工具）、工作软件（而非全面的文档）、客户协作（而非合同谈判），以及响应变化（而非遵循计划）。[7]另一方面，传统的信息系统审计采用严格的标准和框架，导致审计业务约束相当刻板，其本质上相当于项目。IT项目也有类似的不灵活模型。然而，它们已经从正式的瀑布模型演变为不太正式但通常更高效的模型，通常统称为“敏捷”模型。

在敏捷模型中，设计和规范文档保持在所需的最低限度，文档的主要部分为系统生命周期后期的运营和支持而创建（例如用户手册）。在信息系统审计的背景下，这将导致规划和现场工作阶段之间的时间分隔变得模糊甚至完全消失。因此，敏捷审计能克服许多审计中的主要瓶颈。

举例而言，当审计师仍在完成剩余的审计方案步骤时，受审方可请求并准备必要的数据（例如，来自系统的系统用户列表或授权数据库或文件）。此外，审计师可以在等待审计团队安排与其他受审方或团队成员的规划阶段会议时，分析已收集的数据。消除规划和现场工作之间的严格时间分隔要求将提高审计的效率。任务可以同时执行（例如，在受审方收集所需数据的同时进行规划，或在召开会议以解决剩余规划问题的同时开展现场工作）。

敏捷审计的优势

敏捷方法通过快速生成审计结果、避免孤立的审计和客户团队、近乎实时的沟通以及与受审方的有效协作，令审计部门受益匪浅。敏捷还通过以下方式确保IT审计业务更加成功：

• 减少端到端规划。由于缩短的冲刺周期和小规模的迭代方法，敏捷将规划流程减少到几周甚至几天，而不是耗费几个月规划审计业务。

• 简化审计业务。将规划、现场工作和报告阶段合并到有凝聚力的单一业务中，避免了在较长的交付周期内执行不同的审计阶段。

• 直接客户协作。在审计业务冲刺开始时就让客户参与敏捷Scrum（即每日立会），使他们有机会参与讨论。这种参与进一步鼓励他们提供意见，并指导工作，从而为所有相关方实现有效且高度有益的审计结果。

• 灵活的审计范围。随着审计师收到或发现新信息，敏捷有助于实时调整审计范围。当识别到潜在的范围调整时，审计师应继续获得审计管理层的批准，并准备好在审计客户发现或提供新信息时调整测试重点。

• 实时鉴证。直接客户协作意味着客户将在审计师识别到审计发现或控制弱点时就收到通知，而不是在审计业务结束时收到审计报告草案。审计师应向审计客户提供潜在发现的最新信息，或在测试揭示出缺陷时进行控制。

• 频繁的审计计划更新。敏捷IT审计加快了工作的速度，为重新处理审计积压和年度计划并更频繁地进行修订提供了机会。与每年审查的审计计划不同，由于采用敏捷迭代方法开展审计业务，敏捷审计计划将每季度（或在某些情况下更频繁）审查一次。

敏捷审计与既定鉴证标准的比较

图1.15显示了敏捷如何补充ISACA ITAF标准中的通用、执行和报告标准和准则。图1.15中的比较显示了敏捷审计技术如何补充对标准的遵守。

图1.15 敏捷审计技术与ITAF的互补关系

资料来源：ISACA，Destination：Agile Auditing，USA，2021