敏捷审计方法在商业银行内部审计中的应用研究

姚瑶

[编者按]根据《中国内部审计协会2021年内部审计理论研讨实施方案》的部署，中国内部审计协会于2021年2月至7月组织开展了以“内部审计为本组织统筹发展和安全发挥增值作用”为主题的群众性理论研讨活动。研讨共征集到论文422篇，协会组织学术委员会委员依据论文评审标准对符合要求的377篇论文进行了评审，评出一等论文12篇，二等论文48篇，三等论文133篇。本刊从2022年第1期开始，选取部分一、二等论文予以展示，以激励广大内部审计工作者积极探索内部审计理论与实践，促进内部审计工作在新的一年里创新业、开新篇。

[摘要]商业银行是国家金融体系的重要组成部分。维护商业银行稳健运营的同时推动高质量发展，是统筹发展和安全的必然要求，也是新发展阶段商业银行内部审计的重要使命。本文基于工商银行近年来对敏捷审计方法的运用进行分析研究，提出了敏捷审计应用模式的架构思路。

[关键词]敏捷审计   信息化   内部审计   增值

当前，我国金融发展和安全的内涵与外延极为丰富，面临的挑战同样复杂深刻，商业银行的内外部环境都在发生剧变。为适应业务快速增长和风险高度集中二者并行的局面，商业银行内部审计部门积极创新，基于提升价值的目标，将软件开发的敏捷理念引入审计实践中，通过建立统一平台、引入远程办公、构建柔性团队等多种途径，改进项目流程，提升协作效能，确保审计目标得到快速落实。课题组以工商银行近年来在敏捷审计方法运用中的具体实践探索为基础开展研究，对敏捷审计在商业银行内部审计体系中运用的重要性、方法途径及成效进行了总结分析，为内部审计在新发展阶段下如何实现高质量发展、推动组织统筹发展和安全发挥增值作用提供参考。

一、文献调研及回顾

“敏捷”这一概念最早由软件开发行业提出，是指通过功能模组增量、滚动迭代开发等方式提高效率、快速交付的一种软件项目管理方法。如今全球多数大型科技企业都已经采用敏捷方法。这一理念在软件领域的成功引起广泛关注研究，其他多个领域开始交叉运用敏捷的理念及方法。但目前对敏捷方法在内部审计领域运用的研究非常少。现国内仅有对敏捷审计组织架构的研究（刘国华等，2020）以及对个别特定敏捷框架审计应用的研究（吴则建，2020）。但现有研究中未对敏捷审计内涵进行明确定义，且实践论述较少。为进一步丰富完善敏捷审计理论框架，本文采用归纳比较分析对敏捷审计内涵作出定义，并基于大型国有商业银行的实践经验研究，尝试构建具有通用意义的基础架构模型。

二、敏捷审计内涵构建

（一）敏捷的价值观

敏捷（Agile）是一种通过在混沌无序状态中迅速做出应对并获得优势的能力，其目标是通过项目流程优化来适应多变的市场环境。如今，敏捷理念已经渗透运用于多个行业领域，包括先进制造、金融创新、风险管理、医学研发、公共政策法等。

敏捷的本质是一种价值观。它是赖以作出决策的原则性、方向性思维，而非一种具体的方法论。因此，要将敏捷方法运用于审计之中，生搬硬套软件工程的一些框架并不会成功，关键在于审计理念的改变。如表1所示，两组价值观一一对应，但并非不能共存。但若两种价值观目标出现冲突，那么敏捷方法始终优先考虑实现左侧价值观。

从内部审计的发展趋势看，敏捷的诸多理念与内部审计是不谋而合的。比如，“客户沟通优先于合同谈判”这一理念，映射在内部审计中，就是指内部审计部门与监管部门、公司治理层、被审计机构等服务对象之间的持续互动及良好协同，应当高于对既定审计计划或安排的遵循。

这也正是内部审计关注的耦合联动机制探索，即通过内部审计部门与服务对象良好的沟通反馈来实现耦合增益效应。一方面，服务对象的需求和意见及时得以更新时，审计部门可以紧随变化做出调整;另一方面，独立的审计意见为服务对象修正风险认知、缓释信息不对称提供了路径依据。

（二）敏捷开发模式与瀑布开发模式比较

敏捷开发的概念通常与瀑布开发对应。瀑布开发是指以工程化原则和方法進行项目管理的模式，是目前审计常用的项目管理方法。瀑布开发通过严格控制过程来实现开发目标，其实现路径是线性的。而敏捷开发则是基于多个小型开发周期的滚动迭代，对基础版本进行持续升级，从而不断趋近开发目标，其实现路径是曲线式的，如图1所示。

表2对两种开发模式的详细特征做了归纳比较。表中归纳的特征模型映射在内部审计行业，可用于规划敏捷方法在内部审计的适用范围。

（三）敏捷审计与传统审计的内涵及比较

目前国内研究尚未有对敏捷审计内涵的明确定义。本文在研究提炼软件开发等行业实践的基础上，采用比较分析方法，基于对传统审计内涵的对比，初步构建敏捷审计模式内涵，分析说明如下：

1. 传统审计内涵。传统模式即“瀑布式”审计模式，是严格按照“计划—执行—报告”流程，在审计项目的每个阶段将所有工作完成后才开始下一阶段工作的项目运作模式。该模式具有周期长、流程固定、前后步骤耦合度高的特点，严格按照计划与方案执行，直到最后阶段才能看到审计结果，如图2所示。“瀑布式”审计模式在传统大型审计项目中应用较多，优势是有利于参与人员较多的审计项目整体推进，保证项目实施过程中所有人员操作行为的一致。

2. 敏捷审计内涵。基于对其他行业敏捷理论实践的归纳提炼，并与传统审计模式进行比较分析，本文对敏捷审计内涵初步定义为：敏捷审计是一种不断迭代、循序渐进的项目运作模式，其并不追求完美前期设计、完美前期工作，而是以审计结果为目标，力求在很短的周期内实现审计目标，然后在后续周期内按照新的需求不断升级，完善审计结果，如图3所示。敏捷审计每次迭代都是基于一个最主要的审计需求，交付一个增量审计结果，并在每次迭代后都完成一次改进，适合“小、精、专”类审计项目。

三、统筹发展和安全背景下运用敏捷审计的重要性

（一）适应风险形势变化的需要

信息技术爆发及数字经济发展推动下，当前金融风险呈现出高度关联的特征，表现为国内外高度关联、主体间高度关联、公司与个人高度关联等突出现象。尤其当前全球金融市场正处于疫情防控常态化时期，不确定性因素激增，风险突发系数不断上升，商业银行资产劣变的压力进一步加大，但处置的困难程度较疫情之前有增无减。在这样的客观环境下，快速评估风险、揭示风险和预警风险是商业银行统筹发展和安全的现实需求，也是内部审计部门的重要使命。内部审计部门需要探索新的应对模式，以适应外部风险动态复杂的演变过程。

（二）适应监管要求从严的需要

近年来，银行业“严监管、强监管、深监管”已经常态化。仅2020年银保监系统共向银行业各类机构和个人开出2607张罚单，合计罚没金额约13.09亿元。面对趋于严格的监管形势，内部审计部门作为监管与银行间的联动前沿，必须首先精准把握监管机构的合规导向及政策方向，并向组织内部进行正确有效传导，从而促进组织建立长效机制，打造合规文化，实现发展与规范并重。这需要内部审计与监管机构间保持有效的沟通互动，以敏捷行动对监管关切领域及时排查，对监管关注事项快速回应，对监管建议意见积极落实。内部审计部门需要积极探索新的监审联动响应体系，以适应监管环境持续从严的变化趋势。

（三）适应提高审计效率的需要

当前，商业银行内部审计的功能和作用不断提升，但同时审计资源和效率也遇到巨大挑战。一是资源紧张。风险防控需求持续提升，对内部审计要求也在不断提高，对现有资源力量形成压力。二是多任务并行。突发性、临时性审计任务持续增加，如风险事件调查、外部监督配合、高管层关注等，对审计原定计划构成影响，易造成临时性资源不足。三是精品审计配置不足。内部审计要打造精品审计，就需要将精力和资源集中于重点领域及关键环节。但既定计划下较低风险的常规性项目所占用资源，与高风险领域项目相比并无明显区别。内审部门需要探索新的管理方法，以满足治理结构质效并重的发展要求。

（四）适应实现整改闭环的需要

审计整改是风险防控的最终成果，是内部审计有效性及增值性的体现。但目前整改实践中仍然存在大量难整改、弱整改、整改不到位的现象。深层次原因在于整改闭环机制有效性不足，如重审轻改意识、整改环节滞后、沟通效果不足、责任理解偏差等问题，让整改效果弱化甚至失效。整改闭环的实现必须基于有效沟通和快速处理，促进整改环节前移、整改进度加快，形成聚焦时效、即查即改、边查边改的模式，从而及时关闭问题清单，避免问题升级和隐患扩大。内部审计部门需要探索新的整改机制以实现审计价值增值的落地。

（五）适应提升审计价值的需要

商业银行正面临着一个百年未有之大变局下的转型发展期。风险与增长是商业银行的一体两面特性，新发展阶段这种矛盾统一性就更为突出。为推动组织统筹发展和安全，实现防风险和稳增长均衡的高质量发展，内部审计部门必须发挥“免疫系统”功能，将审计监督从事后向事中、事前推动，从查弊堵漏向揭示预警风险推动。这需要从底层逻辑上开展革新突破，提升内生动力。敏捷价值观与内审时代需求相互契合。敏捷会带来要素和组织重构的机会，催生出广泛有深度的协作互动，打造优秀的团队，为内部审计从统筹意义上进行创新发展提供架构及基础。

四、敏捷审计的探索运用实例

近年来，工商银行内部审计部门抓住金融科技迅猛发展的窗口时机，建立起基于人工智能、大数据、云计算等新兴技术的审计工作平台系统，并全面运用于风险监测、资源配置、项目管理、数据挖掘、远程办公、信息共享等多个审计领域。同时，持续探索推进审计组织体系灵活性建设，构建了“1+1+M+N+P”的多维度、集成化审计体系，以适应各种场景的审计任务。“1+1+M+N+P”含义是：“1”为机构审计，即针对10家重点分支机构（部门、子公司）开展的全面评估;“1”为各专业核心审计;“M”为核心审计实施过程中同步开展的多个附加审计;“N”为非现场分析;“P”为各内审分局专项分析。高度集成平台和灵活审计体系，为敏捷审计运用提供了良好的实施基础。本着提效增值的根本目标，工商银行内部审计部门在实际工作中对敏捷审计运用开展了多样化的实践探索。

（一）远程审计：统一平台+深度线上协作

如图4所示，内部审计统一平台集成了项目管理、模型开发、云端协作等多项功能，是內部审计整合资源、集中力量，充分发挥统筹协调能力和敏捷反应能力的强有力技术支撑。在各项远程技术支持下，敏捷方法在工商银行机构审计、境外审计这类大型审计项目的过程控制中，通过实施阶段性项目管理，发挥了提质增效的作用。

以境外审计为例，审计区域在境外的特殊性叠加疫情因素，远程审计方式成为首选。境外机构全面经营评价审计涉及专业包括财会、信贷、信息、反洗钱等多个方面，属于全局性、战略性项目，然而审计对象在境外，审计团队分散全国各地，如何实现远程高效协同是必然要解决的问题。基于统一平台功能，境外审计项目运用了多项敏捷工具及方法：

1. 云端协作。即全球共享的云文档平台。既可用于境外审计对象上传资料，也可用于项目团队下载资料，实现实时同步。云端协作平台帮助不同物理地点的团队统筹资源和节奏，促进远程项目的统一、公开和一致。

2. 进度看板。大型项目中，由于瀑布运作方法，上一环节的隐患通常在下一环节运转不灵时才会被发现。但借助敏捷方法可以在大型项目的子项目中提早“排雷”，如境外审计就通过在云端平台发布敏捷进度看板的方法来查找问题。看板由团队成员共同维护更新，过程中任何难点都支持用便签形式呈现，通过尽早发现问题来避免隐患搁置，如图5所示。

3. 线上会议。远程审计中，线上会议广泛运用在项目前期培训、进场交流、团队例会等方面。线上会议的多终端系统进一步深化团队成员参与度，加快了循环反馈速度，线上会议系统基于主机、移动等多样化端口整合搭建，并与内部审计统一工作平台挂接，线上会议事务的流程和议程可以直接映射在平台中形成记录。同时，审计人员在线上会议环境中，可以根据主题领域随时组成导向明确的工作团队，相较现实会议程序，线上会议在流程层面及时空维度的干扰都大幅减少。线上会议的主要效果体现在提升交互效率，一方面提升团队成员之间深度交流的体验，另一方面作用于缓冲周边环境干扰，集中项目资源。

（二）房地产新政专项审计：基于Scrum的实践

2020年12月31日，中国人民银行及中国银行保险监督管理委员会发布《关于建立银行业金融机构房地产贷款集中度管理制度的通知》，宣布将根据银行业金融机构资产规模及机构类型，分档对房地产贷款集中度进行管理。对此，工商银行内部审计快速反应，在2021年1月初专题开展了房地产新政实施对住房贷款业务影响情况的专项分析，如图6所示。

专项分析的主要步骤如下：一是建立问题清单。二是组建团队，由信贷领域专业审计人员组成团队，人员控制在3人。三是分解分析问题，将核心问题解构为更细化的分析框架，并确定优先顺序。审计团队将核心问题“房地产新政对本行的影响”分解成3个核心问题，即本行现有房地产相关贷款的情况、根据新政存在多大程度的偏离、房地产贷款调整会造成何种影响，然后针对问题逐条提出解决方案，列出所需关键业务数据及获取来源，如图7所示。在此基础上，团队将细化的线索问题分配至每位审计师，开展一周数据分析。过程画布将抽象的核心问题解构为多个具体的可操作细节，帮助审计流程快速推进。审计团队每天进行15分钟以内的短暂沟通，实时交流审计发现。四是形成成果报告并交付评审，通过运用敏捷审计方法，该专项分析于2021年1月中旬完成了评审和报告提交，获得了管理层高度肯定。从新政颁布到专项分析完成，全过程配置审计人员3名以内，耗时仅10个工作日左右，基本解答了核心问题。

上述审计专项分析快速完成后，各内审分局持续审计紧跟展开，迭代覆盖区域扩大至全国各重点城市，关注内容扩展至信贷资金流向、房产大户风险、房贷业务结构等多个相关领域，如图8所示。

（三）整改闭环：动态交互方法的实践

从持续风险管理角度看，目前的审计整改问题集中于以下方面：一是问题性质未划分。整改问题性质可以区分为限期整改和持续整改。二者整改方式不同、整改期限不同、验收要求也不同。通常做法往往是将审计问题一揽子发送被审计单位。被审计单位将两类问题混合一起、不区分性质地加以整改，这样就可能形成整改不到位的情况，即限期整改问题效率不高，而持续整改问题则屡查屡犯。二是沟通交流不充分。整改中发生理解不统一、责任不到位、执行不准确等现象是常见的。一揽子整改的传统模式下，沟通机制本身不顺畅，即便开展了沟通，成效也难以从整体进度中直观体现，容易导致整改执行松懈、拖延回避等。三是监督机制不完善。主要是后续跟踪机制不够健全。整改初期若未作问题性质的区分赋值，则可能导致后续跟踪重点可能把握不准或时间线容易模糊，错过适当的跟踪频率和督促时机。而巩固或修正整改成效的时间窗口一旦错过，就容易出现屡查屡犯等问题，使审计成果无法发挥应有效应。

在信息化平台搭建并持续完善的过程中，工商银行内部审计部门围绕整改闭环、成果落地的审计目标，将敏捷理念引入整改工作，改善工作流程及应用模块，形成了内外部动态交互、赋值管理、持续循环的整改闭环模式，如图9、图10所示。

将敏捷开发中统一建模思维（Unified  Modeling），

即动态交互理念运用到审计整改中，可以梳理多部门协作关系，将主体、责任、时间、标准等要素落实到清晰的可视化板块中，并增强审计部门和审计对象间沟通互动。具体工作方法如下。

1. 问题赋值，解构细分。外部交互中，将整改问题逐个细化分解到具体部门，落实到最小单位;不再下发一揽子问题方案，只要可以开展整改的问题，即审即改，随时关闭;整改反馈也不再集中上报，而是即改即报，整改一个，上报一个。内部交互中，对审计问题赋值，分“限时整改”和“持续整改”。限时整改问题效果直观，主要依据时限审核;持续整改问题效果具有延后性，依据综合性成果，如制度修改情况、流程改进记录、培训方案等作阶段性审核。

2. 动态销号，有效关闭。审计部门在发送整改问题的同时，在工作平台建立清单，实行动态销号管理。外部交互中，整改部门提交整改报告，审计部门审核认为符合要求，从动态清单中对该问题进行销号;如果存在偏差，则发回继续整改直至问题关闭。内部交互中，审计部门对限时整改问题和持续整改问题执行差别销号。限时整改问题销号后即告结束，问题关闭;持續整改问题执行阶段性销号，保留跟踪提醒。这样既优化资源，不在已关闭问题上重复投入，又确保对机制性问题保持关注。

3. 持续跟踪，严格纠偏。安排持续整改跟踪计划。在内部交互中，对持续性问题在阶段性销号同时就打好时间标签，通过信息平台生成持续跟踪时间轴。根据计划频率有序开展“回头看”监督治理，核实持续整改达标情况，及时巩固整改成效，修正偏差，确保审计成果落地。

五、敏捷审计的基础架构设计

（一）敏捷审计转型的基础支持

基于商业银行实践总结，课题组认为，传统审计向敏捷审计转型过程中，以下基础资源的支持能够更好发挥敏捷审计的功能。

1. 有效模型支持。有效模型的支持在于改善迭代效率。敏捷方法中，将大型项目解构为多个聚焦主要问题的小型项目，主要目的在于提高交付速度，留出改进时间。若海量数据信息不能经由模型开发方式，精确指导支持小型项目快速形成结论，则快速交付也无法实现。因此，能够支持快速迭代的有效模型是必要基础。

2. 全量数据支持。全量数据是对有效模型的补充进阶，决定了在有效模型开发基础上，每次迭代得出的结论是否准确。敏捷审计重视快速开发，每次开发结论都不是完整全面的，需多次迭代不断充实论证，若基础数据存在偏误，则迭代结论的准确性难以得到保证，敏捷的质效更难以实现。

3. 专项分析支持。一定数量的专项分析可以支持敏捷过程持续开展。在较短时间内尽可能交付成果，解决传统审计资源消耗大及交付效率低的问题，促进敏捷审计落地。同时也是培养敏捷团队的必经途径。人是核心因素，熟练掌握敏捷方法的团队是转型关键。团队是否具有自适应性，能否应对快速交付的压力，合理控制迭代时间及成本，掌握好项目进度，需要大量“小精专”分析能力的积累和提升。

4. 即时评估支持。即时评估是敏捷审计的闭环过程。在传统审计中，即时评估往往难以实现，原因在于传统审计交付的通常为多因子的复杂结论，很难做快速评估。但敏捷审计交付的成果集中于核心问题，并支持多个维度的细分方法论，天然具有快速评估属性。即时风险评估，既是敏捷审计的迭代节点闭环，也是整改评价的动态开展，是敏捷方法与审计行业结合的特色。

（二）有效敏捷审计模式特征

从敏捷审计的运用实践看，基于提升内部审计在统筹组织发展和安全中的价值增值作用这一目的，有效的敏捷审计应用模式应当具备以下特点。

1. 持续迭代。敏捷审计通常每次只针对一个较小单元的审计需求开展项目，在大型审计项目中逐步交付成果。每次成果都在上一次成果基础上进行延伸或提升，最终实现全面完整的交付。

2. 资源优化。敏捷审计强调在开发过程中及时修正，减少失误。因此每个小的迭代过程都需要具有快速开发、过程可调、重要优先的特征。这种模式降低了传统过程中因个别失误全盘停滞的风险，从而减少过程冗余及资源浪费。

3. 防控前移。敏捷方法的灵活性有效提高审计部门的响应能力。基于敏捷理念所开发的各类管理工具运用，可以帮助团队在复杂问题中快速找到切入点，从而在风险管理体系中实现防控前移。

4. 沟通紧密。敏捷审计持续迭代的特点，使审计团队在过程中与审计对象保持互动，持续确认更新目标需求。即便项目过程中需要调整，敏捷审计仍能以滚动开发的方式快速响应。

（三）敏捷审计通用基础架构模型

基于对商业银行的行业实践研究以及对敏捷审计的理论探索，课题组尝试构建了敏捷审计模式通用基础架构模型，如图11所示，为敏捷审计方法在其他领域的运用提供参考。该架构包括了敏捷审计持续迭代的基本方法、要素、路径以及开展思路。

六、结语

在大数据、区块链、物联网等新兴技术快速发展的环境下，积极探索现代审计模式，有助于内部审计部门协助组织在前行过程中统筹发展和安全，增强竞争能力，抢占发展机遇。进入新发展阶段，商业银行业作为服务协调全社会的基础性行业，风险和机遇空前聚集。商业银行内部审计必须寻找能够适应内外部形势的审计方法和治理框架，有效防范风险，实现高质量发展。而只有内部审计自身深刻理解新技术、新形式的底层逻辑和演变特征，才能充分认知信息化审计面临的新问题和审计效率价值的提升问题，从而探索出转型有方、行之有效的路径和措施。

（作者单位：中国工商银行内部审计局南京分局，邮政编码：210019，电子邮箱：376761534@qq.com）

主要参考文献

[1]陈志祥，马士华，陈荣秋.敏捷化供应链系统的分析、设计与重构[J].管理工程学报， 2001（1）：1-4

[2]劉国华，朱帆.业务风险研究驱动下的敏捷内部审计[J].中国内部审计， 2021（2）：35-39

[3]王景华.后疫情时代银行内部审计履职增效的实践思考[J].现代金融导刊， 2020（11）：20-24

[4]吴则建.Scrum敏捷框架在内部审计中的应用[J].中国内部审计， 2020（10）：50-53