基于Scrum敏捷框架的審計整改追蹤模式研究

孫希榮 王海萍

（中國財政科學研究院 北京 100142 山東交通學院經濟與管理學院 山東 濟南 250357）

一、引言

內部審計是組織實現完善治理、規范管理、防控風險的重要制度設計，是組織安全、穩定、健康運轉的有力保障和支撐。內部審計發現問題的整改追蹤是內部審計工作的落腳點，是實現內部審計價值、確保組織目標實現的重要保障。

傳統的內部審計整改追蹤模式是瀑布審計模式。瀑布模式來源于軟件開發領域，由溫斯頓·羅伊斯（Winston Royce）在1970年提出。瀑布模式是將軟件開發分為若干階段，并規定逐次推進的順序，如同瀑布，逐級下落。與之相類似，瀑布整改追蹤模式假設所有的需求都被清楚的描述，并據此制定整改追蹤方案，流程相對固定，并嚴格按照預定方案進行，周期較長，審計成果物在最后階段才提交。敏捷方法也起源于軟件工程領域，是一種應對快速變化的需求的新型軟件開發方法，強調以客戶滿意為核心、快速迭代、循序漸進、頻繁交付。與之相對應，敏捷整改追蹤模式要求及時響應變化，連續迭代、動態調整整改追蹤待辦事項，頻繁交付成果物，每次迭代持續改進。隨著經濟社會發展環境日益復雜多變，瀑布整改追蹤模式存在靈活性不足、難以根據內外部環境變化即時作出調整等缺陷，不利于審計整改追蹤工作的有效推進和整改追蹤模式的不斷優化，也難以提出富有建設性的建議，限制了內部審計價值增值作用的發揮。

Beerbaum（2020）認為，敏捷審計在內部審計的效率和有效性方面具有瀑布審計所不具有的獨特優勢。除此之外，與保持價值相比，內部審計敏捷方法還意味著創造價值的新機會。敏捷方法包括Lean、Scrum和Kanban等，其中，Scrum方法使用最為廣泛，是最為主流的方法。因此，本文在Scrum敏捷框架下討論重構審計整改追蹤模式的意義及實現途徑，以期審計整改追蹤能在統籌發展和安全中實現更大程度的除弊興利、價值增值，更好地促進組織目標的實現。

二、基于敏捷框架重構審計整改追蹤模式的意義

（一）是克服現有審計整改追蹤模式存在的不足，更好地促進內部審計結果運用的必然選擇

審計整改是審計程序的重要組成部分，但是過去很長一段時間內，內部審計存在“重查輕改”的問題。近年來，審計整改越來越受到重視。2018年《審計署關于內部審計工作的規定》（中華人民共和國審計署令第11號）新增設“第四章審計結果運用”，對加強審計整改做了較為明確的規定。2019年12月中國內部審計協會專門召開“內部審計結果運用”典型案例展示工作交流總結大會，中國內部審計協會鮑國明會長強調“審計整改是審計結果運用的重要抓手，是體現審計價值的最直接方式?！?/p>

但是在審計整改追蹤方面，不少組織的內部審計部門仍然沿用瀑布模式，即為完成既定審計整改追蹤目標，首先整理、更新審計問題臺賬并制訂審計整改追蹤方案，然后收集整改證明材料，進而對照問題和整改證明材料對是否整改到位作出分析和評價，最后形成審計整改追蹤報告并運用。整個流程必須按事前確定好的順序向前遞進，如同瀑布流水，逐次進行。審計整改最終過程嚴格按照審計整改追蹤方案進行，方案的質量在很大程度上決定了審計整改追蹤的質量。審計追蹤程序是為了解決整改不到位的風險而設計的，但是一些風險因素可能在整改追蹤期間而不是在制定方案時被具體化。此外，由于強有力的整改過程控制，原先被確定為主要的風險可能被證明是次要的或根本不存在，而被認為低得多或根本不被考慮的風險反而可能是最大的風險因素。另外，隨著現場整改追蹤工作的進展，可能會發現以前沒有考慮到的風險。由此可知，審計整改追蹤任務推進過程中，內外部環境的實時變化無法被快速感知并迅速作出反應，審計整改追蹤時間跨度越長，矛盾越明顯，使得審計整改追蹤質量難以得到根本提高。敏捷框架的提出是為了解決動態、快速變化的環境與靜態不變的工作計劃之間的矛盾，是與時俱進的體現。敏捷整改追蹤模式強調根據原先審計發現問題的不同的風險變化狀況，迅速作出反應，不完全遵循事前制定的整改追蹤方案，從而能更好地促進內部審計結果運用。

（二）是新發展階段內部審計更好發揮統籌發展與安全職能的迫切要求

新發展階段要求內部審計轉變職能定位。當前，我國已進入新發展階段，隨著政治、經濟、文化、社會、生態文明等方面的進步和發展環境變化，組織經營發展也面臨著新的發展基礎、發展任務、發展環境、發展困難。如果內部審計還囿于傳統理論“第三道防線”的風險管理職能定位，僅在防范風險、保障安全方面發揮作用，而不重視幫助組織抓機遇、促發展方面的作用，必然無法為組織、社會、國家實現更安全、更高質量的發展做出應有貢獻。

鑒于內部審計職能定位發生了轉變，引入敏捷框架對提升審計整改追蹤工作的有效性和時效性具有積極意義。首先，敏捷框架可有效促進內部審計實現角色轉變。審計人員通過對審計問題風險狀況變化的動態掌握，有利于促進其與業務經營部門換位思考，以審計整改追蹤為抓手，積極主動作為、靠前站位，在深入挖掘問題產生根源的同時了解基層業務部門的迫切需求、解決業務部門痛點，使審計建議更接地氣，避免整改追蹤工作流于形式、整改措施浮于表面。其次，敏捷框架要求根據不斷變化的內外部環境對整改追蹤任務進行拓展，使審計整改追蹤工作實現舉一反三。審計整改不僅局限于某一業務環節的糾錯糾偏，而是將整改任務拓展到深層次分析問題根源、從主觀方面查找管理缺陷、有針對性采取根治措施。由此可見，敏捷框架下的整改追蹤能更好地統籌業務發展和風險防控，幫助組織實現更大的價值。

三、審計整改追蹤中Scrum敏捷框架的含義

最早在軟件開發領域得到運用的敏捷方法由于其較為顯著的優點和普適意義，迅速在制造業、金融業及其他領域得到廣泛應用。敏捷的意思即是根據不斷變化的形勢，靈活、動態、及時調整方式方法，不拘泥于僵硬的事前計劃，并持續改進。敏捷框架下的審計整改追蹤模式是指圍繞促進審計成果的充分有效運用，將一次審計整改追蹤的全流程劃分為多個相互聯系但又獨立運行的子流程。每個子流程作為一個迭代周期，每個迭代周期的工作內容和工作方法根據不斷變化的內外部環境因素和風險狀況動態調整，從而維護不斷更新的整改追蹤待辦事項列表。各個迭代周期分別完成并交付具有及時性、相關性、可讀性和可視性的增量成果物，一次迭代完成后整改追蹤團隊總結可以改進的余地從而完成一次流程的改進。

在審計整改追蹤中，敏捷框架指引內部審計人員將主要的時間和精力聚焦于對組織實現目標影響最大的問題和風險，從而提高目標清晰度，并據此指導審計整改追蹤現場工作和整改追蹤報告的撰寫。在整改追蹤過程中審計人員將審計發現的問題和風險進行優先級劃分，這有利于審計團隊識別所需資源，并且重點關注對組織價值和目標影響更大的問題。除此之外，在敏捷框架下可采用更加簡練的文字交付更簡潔、及時的成果物，報告中提出的建議不能只局限于具體問題的整改，更要著眼于經營管理中的難點、痛點，充分發揮內部審計提供管理咨詢的職能，將在審計整改追蹤中發現的有關管理層關心的組織管理方式、成本控制、績效考核、業務發展中的問題提出深刻的洞見，從而在促進發展和防控風險方面體現內部審計的價值。

Scrum敏捷框架下審計整改追蹤的目標是在最短的時間內交付最高質量的成果物，框架主要由3個角色、3個工件、4個活動組成，其中，3個角色分別為審計人員、主審和組長；3個工件分別為整改待辦事項列表、整改迭代事項列表和燃盡圖；4個活動分別為整改迭代計劃會議、整改每日站會、整改迭代評審會議和整改迭代回顧會議。

四、基于Scrum敏捷框架的審計整改追蹤模式

如前所述，敏捷框架下的審計整改追蹤模式可以很好地解決瀑布整改追蹤模式面臨的問題。在敏捷框架下，審計整改追蹤強調個體和高效互動高于審計整改追蹤方案、高質量的審計見解和建議高于冗長的整改追蹤報告、多次階段性成果物交付高于最終一個成果物交付、快速響應變化高于遵循方案。敏捷審計整改追蹤模式見圖1。

圖1 敏捷審計整改追蹤模式

Scrum敏捷審計整改追蹤中的3個角色——審計人員、主審、組長，組成一個敏捷整改追蹤團隊。其中組長要確保審計整改追蹤工作的價值，確保所做的整改追蹤工作是為組織目標服務的，要隨時關注內外部環境變化對問題風險演變的影響，與整改責任單位、審計部負責人、主審、審計成員等利益相關方保持持續溝通。組長還擁有對待辦事項列表更新、排序、刪除的決定權。主審是整個團隊的支持者和保障者，負責維持團隊的敏捷秩序，并排除無關因素打擾，對審計人員的整改工作把關。團隊中的審計人員通過識別、分析、評估等程序，完成審計整改待辦事項，并在每次迭代結束時交付一份可用的審計成果物。同時，團隊是一個自我管理的團隊，各類信息在敏捷團隊內部充分共享。待辦事項列表是為評估整改的過程，基于風險的方法得出的一系列整改追蹤待辦事項，并且已進行了優先級排序。待辦事項主要由審計人員、主審、組長充分討論后，由組長決定，并在迭代過程中根據持續變化的風險狀況不斷更新、不斷重新排序。具體流程見圖2。

圖2 Scrum敏捷審計整改追蹤流程

（一）第一次整改追蹤迭代

迭代開始前，敏捷整改追蹤團隊要召開迭代計劃會議，根據重要性、緊迫性對本次迭代的待辦事項確定工作優先級，待辦事項至少包括明確整改收集問題的范圍、更新整改問題臺賬、統一整改標準、收集整改報告及整改證據、撰寫整改追蹤方案等。在迭代計劃會議上要確定迭代待辦列表及本次迭代計劃。在迭代計劃會議上，團隊首先要基于整改追蹤目標形成共識。這些共識至少包括以下幾個方面。第一，確定整改收集問題的范圍至少包括上次應整改而未整改或部分整改的問題、上次整改以來內外部檢查所發現的問題，從而建立問題清單，更新問題臺賬。第二，對問題進行科學分類。至少要按問題可能產生的影響，即考慮可能造成的聲譽風險、監管風險、財務風險、道德風險、法律風險以及是否屬于案件，將問題分為一般類問題和重大類問題，從而有區別、有重點地進行整改追蹤，提高整改追蹤的效率和效果。第三，統一整改標準。整改標準可確定為：風險化解到位，即整改責任單位已糾正或終止錯誤行為，消除或能夠有效控制問題所造成的不良影響；風險防控到位，即整改責任單位通過采取修改完善制度、加強培訓等措施旨在防范同類問題再次發生；責任追究到位，即已按照有關規定對責任單位及各相關責任人給予了適當的處理處罰，并起到了警示作用。錯誤行為無法糾正，但風險控制到位、責任追究到位的，視同已整改；錯誤行為已糾正，且窮盡了風險補救措施、責任追究到位的，視同已整改。

進入整改追蹤迭代周期后，團隊在每日固定時間召開審計人員與主審參加的每日站會，建議組長參加。會議要確認整改追蹤迭代待辦事項中哪些事項已完成，哪些正在處理，有無必要調整待辦事項的優先順序以及如何調整等。除此之外，審計人員與主審要溝通下次會議前審計人員計劃完成的任務，對目前遇到的困難進行討論并尋求解決方案，并用燃盡圖來控制進度。每日站會后將得到最新整改追蹤迭代待辦事項列表、最新燃盡圖和需要克服困難的事項。

整改追蹤迭代后期，召開迭代評審會議，團隊成員全員參加。會議要評審本次迭代整改追蹤待辦事項是否已完成，以及是否達到事前確定的標準，尤其要對本次迭代交付的成果物如整改問題臺賬、整改追蹤方案等進行討論。組長對于已完成事項及其質量要給出評價和反饋，這些反饋應反映在待辦事項列表中，并在進入下一次迭代前對這些待辦事項重新進行優先級排序并給出理由。

每次迭代結束后要召開迭代回顧會議，總結迭代的經驗以及可以改進的地方，以提高團隊水平。每個團隊成員都要回答“本次迭代中我做的最重要的事情是什么？”“我成功的經驗有哪些”以及“我在哪些地方有進一步完善的余地”。針對可以改進的地方，團隊成員可給出改進建議，并討論建議的可行性，團隊成員共同確保該建議在下一次迭代中得到采納并實施。

（二）第二次整改追蹤迭代

本次迭代開始前，敏捷整改追蹤團隊要在迭代計劃會議上確定本次迭代待辦事項的優先級，待辦事項至少包括對問題按照產生原因進行分類、按照整改標準認定整改狀態等，并形成本次迭代計劃。本次迭代應就下述問題達成共識。第一，整改工作應遵循有錯必糾原則，責任落實原則，標本兼治原則，及時性、真實性、有效性原則，持續改進原則等。第二，統一認定“屢查屢犯”問題的標準，即“同一機構、同一業務類型、同類問題再次發生”，并且至少對風險分類為重大的問題進行再抽樣，以驗證問題是否存在屢查屢犯。第三，將問題按產生的原因進行分類，不同類別的問題應采取不同的整改措施。問題按產生的原因可分為：目標任務類問題，指因經營目標或任務指標設定不合理導致的問題，應采取的針對性整改措施為修訂目標、任務；制度流程類問題，指因制度流程沖突、缺失或不完善而導致的問題，應采取的針對性整改措施為修訂完善制度、流程或廢除不合理的規定；組織保障類問題，指因組織架構不合理、激勵約束機制不健全、隊伍建設不到位、組織實施不嚴密、支持保障不得力等原因導致的問題，應采取的針對性整改措施為調整組織機構及其職責、建立健全激勵約束機制、組織人員培訓、調整有關崗位人員；產品工具類問題，指因業務、產品以及信息系統等存在漏洞或缺陷而導致的問題，應采取的針對性整改措施為調整更新產品、系統、技術工具或進行升級換代；業務操作類問題，指因違規操作、操作不規范或失誤而導致的問題，應采取的針對性整改措施為改變操作方式，合規操作，或將差錯率高的人員調整崗位。第四，確定整改率的計算標準。應根據整改狀態賦予不同的整改權重系數，已整改指整改結果符合全部三項整改要求的，權重設為1；部分整改，指整改結果符合三項整改要求中的一項，且至少有一項未達到整改要求的，權重設為0.5；未整改，指任何一項均未達到整改要求的，權重設為0；風險擴大情形，權重系數設為-1。風險擴大情形指以下三種情形之一：（1）整改不力或不及時，致使原問題的風險加劇、損失擴大的。（2）虛假整改或違規整改，致使原問題的風險未得到改善、有延續或擴大趨勢的。（3）由于未執行完善制度或流程的整改要求，導致原問題形成案件的或造成其他重大損失的。整改率=（已整改問題個數+部分整改問題個數×0.5-風險加大或同類新增問題個數）/問題總數×100%。

在整改追蹤迭代周期中，團隊同樣要在每日站會中確認待辦事項的完成情況及其完成質量、優先順序、完成過程中遇到的難點及處理建議等。迭代后期的迭代評審會議中要評審本次迭代待辦事項的完成狀況及完成質量，尤其要對本次迭代交付的成果物，如整改認定審計確認書及整改責任單位的反饋等進行討論，爭取與整改責任單位的意見達成一致。要根據組長對于已完成事項及其質量的反饋對下一次迭代的待辦事項的優先級重新排序。本次迭代結束后的迭代回顧會議上要總結本次迭代的經驗及不足，團隊成員提出改進建議并在下一次迭代中付諸實踐。

（三）第三次整改追蹤迭代

迭代開始前，敏捷整改追蹤團隊要在迭代計劃會議上決定的本次迭代待辦事項至少包括整改追蹤報告的框架及內容、整改追蹤的結果運用等，并對優先級進行排序，形成迭代計劃。迭代應就下述問題達成共識。第一，整改追蹤報告的內容框架至少包括整改追蹤基本情況、整改認定結果、整改追蹤評價、未整改到位事項及原因、審計建議等。第二，整改追蹤的結果至少要運用到以下方面：評價某一整改責任單位的內部控制水平，從而與其績效考核掛鉤；整改追蹤確認為部分整改、未整改以及出現風險加大的問題，團隊應持續追蹤，督促整改，并將此作為日常監管檢查的重點，直至問題整改完畢；整改結果可作為年度審計計劃安排的參考依據之一，對整改率較高的單位可以適當減少審計項目安排或頻次，對整改率較低的單位應加大審計力度。

在整改追蹤迭代過程中，團隊同樣要充分發揮每日站會的作用。迭代后期的迭代評審會議中要評審整改追蹤報告的完成質量，即是否實事求是地反映審計整改事項，客觀評價整改責任單位的整改措施；是否邏輯清晰、主次分明、重點突出，定性準確等。除此之外，還要對整改責任單位對整改追蹤報告的反饋進行討論，爭取與其達成一致意見。同樣，本次迭代結束后的迭代回顧會議要總結本次迭代可以優化的余地，并持續改進。

五、結語

早在1999年國際內部審計師協會（IIA）就將咨詢認定為內部審計的職能。當前審計整改追蹤更加側重于對問題整改狀態的確認，相對忽視咨詢功能的發揮。在敏捷框架下的審計整改追蹤將提出高質量的審計建議放在突出的地位，強調根據整改難點分析問題產生的原因，從而發現業務發展的阻礙，就制約業務發展的因素提出審計建議，并貫穿于整改追蹤的各個迭代階段，從而更好地兼顧風險防范和業務發展。這也是敏捷整改追蹤模式相較于瀑布整改追蹤模式的一大優勢。

當然，實現敏捷整改追蹤可能比預想的更加困難，這涉及思維模式和觀念的變革，但其優點也是顯而易見的，包括減少整改追蹤時間、提高整改追蹤質量、更容易獲得利益相關者認可的建議、提高內部審計部門的地位等。隨著環境的變化，包括敏捷整改追蹤在內的敏捷審計已是內部審計的重要發展方向，它能更好地發揮內部審計的確認和咨詢功能，促進組織在防范風險的同時更好地發展業務，從而在促進組織目標實現過程中發揮更大的作用。