敏捷審計方法在商業銀行內部審計中的應用研究

姚瑤

[編者按]根據《中國內部審計協會2021年內部審計理論研討實施方案》的部署，中國內部審計協會于2021年2月至7月組織開展了以“內部審計為本組織統籌發展和安全發揮增值作用”為主題的群眾性理論研討活動。研討共征集到論文422篇，協會組織學術委員會委員依據論文評審標準對符合要求的377篇論文進行了評審，評出一等論文12篇，二等論文48篇，三等論文133篇。本刊從2022年第1期開始，選取部分一、二等論文予以展示，以激勵廣大內部審計工作者積極探索內部審計理論與實踐，促進內部審計工作在新的一年里創新業、開新篇。

[摘要]商業銀行是國家金融體系的重要組成部分。維護商業銀行穩健運營的同時推動高質量發展，是統籌發展和安全的必然要求，也是新發展階段商業銀行內部審計的重要使命。本文基于工商銀行近年來對敏捷審計方法的運用進行分析研究，提出了敏捷審計應用模式的架構思路。

[關鍵詞]敏捷審計? ?信息化? ?內部審計? ?增值

當前，我國金融發展和安全的內涵與外延極為豐富，面臨的挑戰同樣復雜深刻，商業銀行的內外部環境都在發生劇變。為適應業務快速增長和風險高度集中二者并行的局面，商業銀行內部審計部門積極創新，基于提升價值的目標，將軟件開發的敏捷理念引入審計實踐中，通過建立統一平臺、引入遠程辦公、構建柔性團隊等多種途徑，改進項目流程，提升協作效能，確保審計目標得到快速落實。課題組以工商銀行近年來在敏捷審計方法運用中的具體實踐探索為基礎開展研究，對敏捷審計在商業銀行內部審計體系中運用的重要性、方法途徑及成效進行了總結分析，為內部審計在新發展階段下如何實現高質量發展、推動組織統籌發展和安全發揮增值作用提供參考。

一、文獻調研及回顧

“敏捷”這一概念最早由軟件開發行業提出，是指通過功能模組增量、滾動迭代開發等方式提高效率、快速交付的一種軟件項目管理方法。如今全球多數大型科技企業都已經采用敏捷方法。這一理念在軟件領域的成功引起廣泛關注研究，其他多個領域開始交叉運用敏捷的理念及方法。但目前對敏捷方法在內部審計領域運用的研究非常少。現國內僅有對敏捷審計組織架構的研究（劉國華等，2020）以及對個別特定敏捷框架審計應用的研究（吳則建，2020）。但現有研究中未對敏捷審計內涵進行明確定義，且實踐論述較少。為進一步豐富完善敏捷審計理論框架，本文采用歸納比較分析對敏捷審計內涵作出定義，并基于大型國有商業銀行的實踐經驗研究，嘗試構建具有通用意義的基礎架構模型。

二、敏捷審計內涵構建

（一）敏捷的價值觀

敏捷（Agile）是一種通過在混沌無序狀態中迅速做出應對并獲得優勢的能力，其目標是通過項目流程優化來適應多變的市場環境。如今，敏捷理念已經滲透運用于多個行業領域，包括先進制造、金融創新、風險管理、醫學研發、公共政策法等。

敏捷的本質是一種價值觀。它是賴以作出決策的原則性、方向性思維，而非一種具體的方法論。因此，要將敏捷方法運用于審計之中，生搬硬套軟件工程的一些框架并不會成功，關鍵在于審計理念的改變。如表1所示，兩組價值觀一一對應，但并非不能共存。但若兩種價值觀目標出現沖突，那么敏捷方法始終優先考慮實現左側價值觀。

從內部審計的發展趨勢看，敏捷的諸多理念與內部審計是不謀而合的。比如，“客戶溝通優先于合同談判”這一理念，映射在內部審計中，就是指內部審計部門與監管部門、公司治理層、被審計機構等服務對象之間的持續互動及良好協同，應當高于對既定審計計劃或安排的遵循。

這也正是內部審計關注的耦合聯動機制探索，即通過內部審計部門與服務對象良好的溝通反饋來實現耦合增益效應。一方面，服務對象的需求和意見及時得以更新時，審計部門可以緊隨變化做出調整;另一方面，獨立的審計意見為服務對象修正風險認知、緩釋信息不對稱提供了路徑依據。

（二）敏捷開發模式與瀑布開發模式比較

敏捷開發的概念通常與瀑布開發對應。瀑布開發是指以工程化原則和方法進行項目管理的模式，是目前審計常用的項目管理方法。瀑布開發通過嚴格控制過程來實現開發目標，其實現路徑是線性的。而敏捷開發則是基于多個小型開發周期的滾動迭代，對基礎版本進行持續升級，從而不斷趨近開發目標，其實現路徑是曲線式的，如圖1所示。

表2對兩種開發模式的詳細特征做了歸納比較。表中歸納的特征模型映射在內部審計行業，可用于規劃敏捷方法在內部審計的適用范圍。

（三）敏捷審計與傳統審計的內涵及比較

目前國內研究尚未有對敏捷審計內涵的明確定義。本文在研究提煉軟件開發等行業實踐的基礎上，采用比較分析方法，基于對傳統審計內涵的對比，初步構建敏捷審計模式內涵，分析說明如下：

1. 傳統審計內涵。傳統模式即“瀑布式”審計模式，是嚴格按照“計劃—執行—報告”流程，在審計項目的每個階段將所有工作完成后才開始下一階段工作的項目運作模式。該模式具有周期長、流程固定、前后步驟耦合度高的特點，嚴格按照計劃與方案執行，直到最后階段才能看到審計結果，如圖2所示。“瀑布式”審計模式在傳統大型審計項目中應用較多，優勢是有利于參與人員較多的審計項目整體推進，保證項目實施過程中所有人員操作行為的一致。

2. 敏捷審計內涵。基于對其他行業敏捷理論實踐的歸納提煉，并與傳統審計模式進行比較分析，本文對敏捷審計內涵初步定義為：敏捷審計是一種不斷迭代、循序漸進的項目運作模式，其并不追求完美前期設計、完美前期工作，而是以審計結果為目標，力求在很短的周期內實現審計目標，然后在后續周期內按照新的需求不斷升級，完善審計結果，如圖3所示。敏捷審計每次迭代都是基于一個最主要的審計需求，交付一個增量審計結果，并在每次迭代后都完成一次改進，適合“小、精、專”類審計項目。

三、統籌發展和安全背景下運用敏捷審計的重要性

（一）適應風險形勢變化的需要

信息技術爆發及數字經濟發展推動下，當前金融風險呈現出高度關聯的特征，表現為國內外高度關聯、主體間高度關聯、公司與個人高度關聯等突出現象。尤其當前全球金融市場正處于疫情防控常態化時期，不確定性因素激增，風險突發系數不斷上升，商業銀行資產劣變的壓力進一步加大，但處置的困難程度較疫情之前有增無減。在這樣的客觀環境下，快速評估風險、揭示風險和預警風險是商業銀行統籌發展和安全的現實需求，也是內部審計部門的重要使命。內部審計部門需要探索新的應對模式，以適應外部風險動態復雜的演變過程。

（二）適應監管要求從嚴的需要

近年來，銀行業“嚴監管、強監管、深監管”已經常態化。僅2020年銀保監系統共向銀行業各類機構和個人開出2607張罰單，合計罰沒金額約13.09億元。面對趨于嚴格的監管形勢，內部審計部門作為監管與銀行間的聯動前沿，必須首先精準把握監管機構的合規導向及政策方向，并向組織內部進行正確有效傳導，從而促進組織建立長效機制，打造合規文化，實現發展與規范并重。這需要內部審計與監管機構間保持有效的溝通互動，以敏捷行動對監管關切領域及時排查，對監管關注事項快速回應，對監管建議意見積極落實。內部審計部門需要積極探索新的監審聯動響應體系，以適應監管環境持續從嚴的變化趨勢。

（三）適應提高審計效率的需要

當前，商業銀行內部審計的功能和作用不斷提升，但同時審計資源和效率也遇到巨大挑戰。一是資源緊張。風險防控需求持續提升，對內部審計要求也在不斷提高，對現有資源力量形成壓力。二是多任務并行。突發性、臨時性審計任務持續增加，如風險事件調查、外部監督配合、高管層關注等，對審計原定計劃構成影響，易造成臨時性資源不足。三是精品審計配置不足。內部審計要打造精品審計，就需要將精力和資源集中于重點領域及關鍵環節。但既定計劃下較低風險的常規性項目所占用資源，與高風險領域項目相比并無明顯區別。內審部門需要探索新的管理方法，以滿足治理結構質效并重的發展要求。

（四）適應實現整改閉環的需要

審計整改是風險防控的最終成果，是內部審計有效性及增值性的體現。但目前整改實踐中仍然存在大量難整改、弱整改、整改不到位的現象。深層次原因在于整改閉環機制有效性不足，如重審輕改意識、整改環節滯后、溝通效果不足、責任理解偏差等問題，讓整改效果弱化甚至失效。整改閉環的實現必須基于有效溝通和快速處理，促進整改環節前移、整改進度加快，形成聚焦時效、即查即改、邊查邊改的模式，從而及時關閉問題清單，避免問題升級和隱患擴大。內部審計部門需要探索新的整改機制以實現審計價值增值的落地。

（五）適應提升審計價值的需要

商業銀行正面臨著一個百年未有之大變局下的轉型發展期。風險與增長是商業銀行的一體兩面特性，新發展階段這種矛盾統一性就更為突出。為推動組織統籌發展和安全，實現防風險和穩增長均衡的高質量發展，內部審計部門必須發揮“免疫系統”功能，將審計監督從事后向事中、事前推動，從查弊堵漏向揭示預警風險推動。這需要從底層邏輯上開展革新突破，提升內生動力。敏捷價值觀與內審時代需求相互契合。敏捷會帶來要素和組織重構的機會，催生出廣泛有深度的協作互動，打造優秀的團隊，為內部審計從統籌意義上進行創新發展提供架構及基礎。

四、敏捷審計的探索運用實例

近年來，工商銀行內部審計部門抓住金融科技迅猛發展的窗口時機，建立起基于人工智能、大數據、云計算等新興技術的審計工作平臺系統，并全面運用于風險監測、資源配置、項目管理、數據挖掘、遠程辦公、信息共享等多個審計領域。同時，持續探索推進審計組織體系靈活性建設，構建了“1+1+M+N+P”的多維度、集成化審計體系，以適應各種場景的審計任務。“1+1+M+N+P”含義是：“1”為機構審計，即針對10家重點分支機構（部門、子公司）開展的全面評估;“1”為各專業核心審計;“M”為核心審計實施過程中同步開展的多個附加審計;“N”為非現場分析;“P”為各內審分局專項分析。高度集成平臺和靈活審計體系，為敏捷審計運用提供了良好的實施基礎。本著提效增值的根本目標，工商銀行內部審計部門在實際工作中對敏捷審計運用開展了多樣化的實踐探索。

（一）遠程審計：統一平臺+深度線上協作

如圖4所示，內部審計統一平臺集成了項目管理、模型開發、云端協作等多項功能，是內部審計整合資源、集中力量，充分發揮統籌協調能力和敏捷反應能力的強有力技術支撐。在各項遠程技術支持下，敏捷方法在工商銀行機構審計、境外審計這類大型審計項目的過程控制中，通過實施階段性項目管理，發揮了提質增效的作用。

以境外審計為例，審計區域在境外的特殊性疊加疫情因素，遠程審計方式成為首選。境外機構全面經營評價審計涉及專業包括財會、信貸、信息、反洗錢等多個方面，屬于全局性、戰略性項目，然而審計對象在境外，審計團隊分散全國各地，如何實現遠程高效協同是必然要解決的問題。基于統一平臺功能，境外審計項目運用了多項敏捷工具及方法：

1. 云端協作。即全球共享的云文檔平臺。既可用于境外審計對象上傳資料，也可用于項目團隊下載資料，實現實時同步。云端協作平臺幫助不同物理地點的團隊統籌資源和節奏，促進遠程項目的統一、公開和一致。

2. 進度看板。大型項目中，由于瀑布運作方法，上一環節的隱患通常在下一環節運轉不靈時才會被發現。但借助敏捷方法可以在大型項目的子項目中提早“排雷”，如境外審計就通過在云端平臺發布敏捷進度看板的方法來查找問題。看板由團隊成員共同維護更新，過程中任何難點都支持用便簽形式呈現，通過盡早發現問題來避免隱患擱置，如圖5所示。

3. 線上會議。遠程審計中，線上會議廣泛運用在項目前期培訓、進場交流、團隊例會等方面。線上會議的多終端系統進一步深化團隊成員參與度，加快了循環反饋速度，線上會議系統基于主機、移動等多樣化端口整合搭建，并與內部審計統一工作平臺掛接，線上會議事務的流程和議程可以直接映射在平臺中形成記錄。同時，審計人員在線上會議環境中，可以根據主題領域隨時組成導向明確的工作團隊，相較現實會議程序，線上會議在流程層面及時空維度的干擾都大幅減少。線上會議的主要效果體現在提升交互效率，一方面提升團隊成員之間深度交流的體驗，另一方面作用于緩沖周邊環境干擾，集中項目資源。

（二）房地產新政專項審計：基于Scrum的實踐

2020年12月31日，中國人民銀行及中國銀行保險監督管理委員會發布《關于建立銀行業金融機構房地產貸款集中度管理制度的通知》，宣布將根據銀行業金融機構資產規模及機構類型，分檔對房地產貸款集中度進行管理。對此，工商銀行內部審計快速反應，在2021年1月初專題開展了房地產新政實施對住房貸款業務影響情況的專項分析，如圖6所示。

專項分析的主要步驟如下：一是建立問題清單。二是組建團隊，由信貸領域專業審計人員組成團隊，人員控制在3人。三是分解分析問題，將核心問題解構為更細化的分析框架，并確定優先順序。審計團隊將核心問題“房地產新政對本行的影響”分解成3個核心問題，即本行現有房地產相關貸款的情況、根據新政存在多大程度的偏離、房地產貸款調整會造成何種影響，然后針對問題逐條提出解決方案，列出所需關鍵業務數據及獲取來源，如圖7所示。在此基礎上，團隊將細化的線索問題分配至每位審計師，開展一周數據分析。過程畫布將抽象的核心問題解構為多個具體的可操作細節，幫助審計流程快速推進。審計團隊每天進行15分鐘以內的短暫溝通，實時交流審計發現。四是形成成果報告并交付評審，通過運用敏捷審計方法，該專項分析于2021年1月中旬完成了評審和報告提交，獲得了管理層高度肯定。從新政頒布到專項分析完成，全過程配置審計人員3名以內，耗時僅10個工作日左右，基本解答了核心問題。

上述審計專項分析快速完成后，各內審分局持續審計緊跟展開，迭代覆蓋區域擴大至全國各重點城市，關注內容擴展至信貸資金流向、房產大戶風險、房貸業務結構等多個相關領域，如圖8所示。

（三）整改閉環：動態交互方法的實踐

從持續風險管理角度看，目前的審計整改問題集中于以下方面：一是問題性質未劃分。整改問題性質可以區分為限期整改和持續整改。二者整改方式不同、整改期限不同、驗收要求也不同。通常做法往往是將審計問題一攬子發送被審計單位。被審計單位將兩類問題混合一起、不區分性質地加以整改，這樣就可能形成整改不到位的情況，即限期整改問題效率不高，而持續整改問題則屢查屢犯。二是溝通交流不充分。整改中發生理解不統一、責任不到位、執行不準確等現象是常見的。一攬子整改的傳統模式下，溝通機制本身不順暢，即便開展了溝通，成效也難以從整體進度中直觀體現，容易導致整改執行松懈、拖延回避等。三是監督機制不完善。主要是后續跟蹤機制不夠健全。整改初期若未作問題性質的區分賦值，則可能導致后續跟蹤重點可能把握不準或時間線容易模糊，錯過適當的跟蹤頻率和督促時機。而鞏固或修正整改成效的時間窗口一旦錯過，就容易出現屢查屢犯等問題，使審計成果無法發揮應有效應。

在信息化平臺搭建并持續完善的過程中，工商銀行內部審計部門圍繞整改閉環、成果落地的審計目標，將敏捷理念引入整改工作，改善工作流程及應用模塊，形成了內外部動態交互、賦值管理、持續循環的整改閉環模式，如圖9、圖10所示。

將敏捷開發中統一建模思維（Unified? Modeling），

即動態交互理念運用到審計整改中，可以梳理多部門協作關系，將主體、責任、時間、標準等要素落實到清晰的可視化板塊中，并增強審計部門和審計對象間溝通互動。具體工作方法如下。

1. 問題賦值，解構細分。外部交互中，將整改問題逐個細化分解到具體部門，落實到最小單位;不再下發一攬子問題方案，只要可以開展整改的問題，即審即改，隨時關閉;整改反饋也不再集中上報，而是即改即報，整改一個，上報一個。內部交互中，對審計問題賦值，分“限時整改”和“持續整改”。限時整改問題效果直觀，主要依據時限審核;持續整改問題效果具有延后性，依據綜合性成果，如制度修改情況、流程改進記錄、培訓方案等作階段性審核。

2. 動態銷號，有效關閉。審計部門在發送整改問題的同時，在工作平臺建立清單，實行動態銷號管理。外部交互中，整改部門提交整改報告，審計部門審核認為符合要求，從動態清單中對該問題進行銷號;如果存在偏差，則發回繼續整改直至問題關閉。內部交互中，審計部門對限時整改問題和持續整改問題執行差別銷號。限時整改問題銷號后即告結束，問題關閉;持續整改問題執行階段性銷號，保留跟蹤提醒。這樣既優化資源，不在已關閉問題上重復投入，又確保對機制性問題保持關注。

3. 持續跟蹤，嚴格糾偏。安排持續整改跟蹤計劃。在內部交互中，對持續性問題在階段性銷號同時就打好時間標簽，通過信息平臺生成持續跟蹤時間軸。根據計劃頻率有序開展“回頭看”監督治理，核實持續整改達標情況，及時鞏固整改成效，修正偏差，確保審計成果落地。

五、敏捷審計的基礎架構設計

（一）敏捷審計轉型的基礎支持

基于商業銀行實踐總結，課題組認為，傳統審計向敏捷審計轉型過程中，以下基礎資源的支持能夠更好發揮敏捷審計的功能。

1. 有效模型支持。有效模型的支持在于改善迭代效率。敏捷方法中，將大型項目解構為多個聚焦主要問題的小型項目，主要目的在于提高交付速度，留出改進時間。若海量數據信息不能經由模型開發方式，精確指導支持小型項目快速形成結論，則快速交付也無法實現。因此，能夠支持快速迭代的有效模型是必要基礎。

2. 全量數據支持。全量數據是對有效模型的補充進階，決定了在有效模型開發基礎上，每次迭代得出的結論是否準確。敏捷審計重視快速開發，每次開發結論都不是完整全面的，需多次迭代不斷充實論證，若基礎數據存在偏誤，則迭代結論的準確性難以得到保證，敏捷的質效更難以實現。

3. 專項分析支持。一定數量的專項分析可以支持敏捷過程持續開展。在較短時間內盡可能交付成果，解決傳統審計資源消耗大及交付效率低的問題，促進敏捷審計落地。同時也是培養敏捷團隊的必經途徑。人是核心因素，熟練掌握敏捷方法的團隊是轉型關鍵。團隊是否具有自適應性，能否應對快速交付的壓力，合理控制迭代時間及成本，掌握好項目進度，需要大量“小精專”分析能力的積累和提升。

4. 即時評估支持。即時評估是敏捷審計的閉環過程。在傳統審計中，即時評估往往難以實現，原因在于傳統審計交付的通常為多因子的復雜結論，很難做快速評估。但敏捷審計交付的成果集中于核心問題，并支持多個維度的細分方法論，天然具有快速評估屬性。即時風險評估，既是敏捷審計的迭代節點閉環，也是整改評價的動態開展，是敏捷方法與審計行業結合的特色。

（二）有效敏捷審計模式特征

從敏捷審計的運用實踐看，基于提升內部審計在統籌組織發展和安全中的價值增值作用這一目的，有效的敏捷審計應用模式應當具備以下特點。

1. 持續迭代。敏捷審計通常每次只針對一個較小單元的審計需求開展項目，在大型審計項目中逐步交付成果。每次成果都在上一次成果基礎上進行延伸或提升，最終實現全面完整的交付。

2. 資源優化。敏捷審計強調在開發過程中及時修正，減少失誤。因此每個小的迭代過程都需要具有快速開發、過程可調、重要優先的特征。這種模式降低了傳統過程中因個別失誤全盤停滯的風險，從而減少過程冗余及資源浪費。

3. 防控前移。敏捷方法的靈活性有效提高審計部門的響應能力。基于敏捷理念所開發的各類管理工具運用，可以幫助團隊在復雜問題中快速找到切入點，從而在風險管理體系中實現防控前移。

4. 溝通緊密。敏捷審計持續迭代的特點，使審計團隊在過程中與審計對象保持互動，持續確認更新目標需求。即便項目過程中需要調整，敏捷審計仍能以滾動開發的方式快速響應。

（三）敏捷審計通用基礎架構模型

基于對商業銀行的行業實踐研究以及對敏捷審計的理論探索，課題組嘗試構建了敏捷審計模式通用基礎架構模型，如圖11所示，為敏捷審計方法在其他領域的運用提供參考。該架構包括了敏捷審計持續迭代的基本方法、要素、路徑以及開展思路。

六、結語

在大數據、區塊鏈、物聯網等新興技術快速發展的環境下，積極探索現代審計模式，有助于內部審計部門協助組織在前行過程中統籌發展和安全，增強競爭能力，搶占發展機遇。進入新發展階段，商業銀行業作為服務協調全社會的基礎性行業，風險和機遇空前聚集。商業銀行內部審計必須尋找能夠適應內外部形勢的審計方法和治理框架，有效防范風險，實現高質量發展。而只有內部審計自身深刻理解新技術、新形式的底層邏輯和演變特征，才能充分認知信息化審計面臨的新問題和審計效率價值的提升問題，從而探索出轉型有方、行之有效的路徑和措施。

（作者單位：中國工商銀行內部審計局南京分局，郵政編碼：210019，電子郵箱：376761534@qq.com）

主要參考文獻

[1]陳志祥，馬士華，陳榮秋.敏捷化供應鏈系統的分析、設計與重構[J].管理工程學報， 2001（1）：1-4

[2]劉國華，朱帆.業務風險研究驅動下的敏捷內部審計[J].中國內部審計， 2021（2）：35-39

[3]王景華.后疫情時代銀行內部審計履職增效的實踐思考[J].現代金融導刊， 2020（11）：20-24

[4]吳則建.Scrum敏捷框架在內部審計中的應用[J].中國內部審計， 2020（10）：50-53