信息系统审计也能“敏捷”吗？——从瀑布到敏捷的审计新思路

摘要：如何以更快、更高效的方式完成审计工作，并向利益相关方展示审计部门所能提供的核心价值。为此，不少审计团队已经开始尝试将“敏捷”概念引入到审计过程中，逐步改变传统的审计模式，从而提升整体效率和质量。本文将结合软件开发领域的敏捷实践与传统的信息系统审计方式，探讨如何

如何以更快、更高效的方式完成审计工作，并向利益相关方展示审计部门所能提供的核心价值。为此，不少审计团队已经开始尝试将“敏捷”概念引入到审计过程中，逐步改变传统的审计模式，从而提升整体效率和质量。本文将结合软件开发领域的敏捷实践与传统的信息系统审计方式，探讨如何通过“敏捷审计”来应对当下的信息系统审计挑战。

传统信息系统审计的局限

在传统的信息系统审计流程中，审计人员往往需要严格遵循各种审计标准和框架。整个审计项目一般会被拆分为规划阶段和现场工作阶段等固定步骤，每个阶段都有严格的任务和时间节点，类似于软件开发中的瀑布模型。这虽然在一定程度上保证了审计质量，但也带来了以下不足：

灵活性有限
由于阶段之间存在明显的先后顺序，审计流程难以快速调整，难以应对信息系统的动态变化以及突发的需求变动。

沟通成本较高
审计规划与现场工作的割裂，导致审计师和受审方的沟通较为集中且密集，一旦某个阶段延迟，就会导致后续工作无法及时展开。

效率较低
审计计划往往要等前期文档和流程全部确认后才能启动现场工作，审计团队在等待期间难以有效利用时间，造成不必要的资源浪费。

“敏捷”概念的启示

“敏捷”概念最初应用于软件开发领域，强调个体与互动而非流程与工具、可工作的软件而非完备文档、客户协作而非合同谈判，以及响应变化而非遵循计划。这些核心价值理念最早体现在《敏捷软件开发宣言》中（可访问英文原文）。http://agilemanifesto.org/

在敏捷实践中，开发团队通常采用迭代、增量式的方式推进项目，并在过程中保留最必要的文档和流程，以便在需求发生变化时能快速调整。与传统的瀑布模型相比，敏捷模型更注重快速交付和持续反馈，适合在不确定性较高或需求变化频繁的项目环境中应用。

敏捷审计：信息系统审计的高效新路径

那么，信息系统审计为什么也需要“敏捷”呢？要知道，信息系统审计本质上也是一个“项目”，且审计目标和审计范围常常在执行中不断演进。将敏捷理念融入信息系统审计，能够带来以下好处：

减少阶段性等待
在敏捷审计中，审计规划与现场工作之间的时间隔离大幅缩短甚至消失。审计团队可以在完成部分规划的同时，直接开始与受审方沟通并收集数据。一旦出现新的需求或发现，需要调整审计方案时，也能更快地做出反应。

提高资源利用率
在传统模式中，审计团队常常在等待关键数据或排期会议的过程中陷入空闲。敏捷审计允许团队并行推进不同任务：一边等待受审方提供数据，一边对已收集到的信息进行分析或安排后续访谈计划，从而最大化地利用团队资源，提升整体效率。

加强沟通与协作
敏捷强调“个体与互动”，审计团队与受审方、与其他审计团队成员之间的沟通更加频繁、开放和及时。在遇到突发需求或需要深入分析某个审计领域时，可以迅速调整任务优先级，第一时间与利益相关方协商解决方案。

适应快速变化的IT环境
企业IT环境随着新技术和新系统的快速迭代而不断变化。传统审计方法若跟不上变更节奏就会失去时效性。敏捷审计可以在较短的时间周期内，对关键系统和流程进行评估，并及时形成审计结论，帮助企业在激烈竞争中保持合规和安全。

敏捷审计的实施要点

最小化文档，不减少专业度
敏捷审计并不意味着忽视必要的文档，而是确保仅保留关键文档。审计过程中仍需根据相关标准（如ISACA、COBIT等）把控质量，只是在实施层面更加灵活，更侧重于与受审方的沟通和互动。

分阶段、持续反馈
将审计工作分解成多个小的可管理阶段（如Sprint），在每个阶段结束时与受审方进行反馈交流，及时发现问题并调整审计优先级。避免一开始就做“一锤定音”的长期规划，而是在不断的沟通和迭代中完善审计流程。

并行开展规划和现场工作
在保证审计思路清晰的前提下，可以同时进行方案细化和基础数据采集。例如，当审计师还在梳理审计目标和步骤时，受审方已经开始准备授权数据库、系统用户列表等必要信息；同时，审计团队也可对已获取的数据进行分析，做到边规划、边执行。

注重团队协同与工具支持
敏捷审计同样需要合适的协作工具来保障信息透明和进度可视化。可借助看板（Kanban）或其他项目管理软件，让团队和受审方对任务状态和目标一目了然，形成更高效的协作模式。

信息系统审计在技术与业务高度融合的新形势下，需要快速响应和灵活调整的审计方式。将“敏捷”理念引入审计项目，正是顺应这一趋势的明智选择。敏捷审计通过缩短规划与现场工作之间的时间差、并行任务处理、加强沟通协作等方式，为审计团队带来了更高的灵活性和效率，也为企业利益相关方提供了更及时、更有价值的审计成果。

随着IT环境的不断进化，审计工作的复杂度与重要性只会持续上升。敏捷审计能够帮助审计师及其团队适应不断变化的信息系统生态，并为组织提供稳固且持续的合规与安全保障。虽然从传统审计模式过渡到敏捷审计并非一日之功，但只要我们积极拥抱“迭代、反馈与协作”的敏捷精神，就一定能让信息系统审计在未来发挥更大的价值。

参考：

《敏捷软件开发宣言》

ISACA审计标准、COBIT框架

CIA ·CISA ·审计师考试

题库|课程|复习|冲刺|代报名|注册|报考|继续教育

注册报名学习备考中遇到任何问题

可随时了解咨询

信息系统审计也能“敏捷”吗？——从瀑布到敏捷的审计新思路

呗呵在线 - CIA丨CISA丨审计师考试丨审计方向职业发展业态的支持平台

来源：天哥教育

标签：敏捷审计瀑布

本文地址：http://news.43b.com.cn/a/541661.html