IT风险和IT审计之间存在着明显的伙伴关系, 但这很难实现,因为每个人都很忙. 风险有其自身的优先级,审计也是如此. 将两个团队聚集在一起以简化工件收集或提取跨团队数据等事情,有时似乎比每个人都必须要做的事情要好得多.
就我个人而言, 在完成这些类型的计划时,我已经看到了很多成功,使用的是迭代的方法而不是正式的项目. 随着时间的推移,小而持续的胜利是有影响力的,不会妨碍优先考虑的事情.
建立一个临时团队是一种鼓励跨团队合作而不占用太多时间的好方法. 一支由第一、第二和第三防线的代表组成的队伍是理想的. 第一行可以讨论他们在被审计或为风险评估提供输入时所面临的痛点,同时还提供关于如何收集或自动化工件的见解. 二线的人可以谈谈共同的趋势, 他们在整个组织中看到的差距和最佳实践. 最后, 审核团队成员可以讨论工件必须包含的内容, 例如由实体提供的信息(IPE)和用于执行控制的信息(IUC)。, 这使得内部和外部审计都可以依赖工件.
虽然临时团队不应该承担额外Scrum事件带来的开销, 比如频繁的回溯和每天的scrum, 有一个共享的板子或地方来记录用户故事(或交付物)并确定优先级是有好处的。. 然后, 通过对用户故事进行薄切片,在一个sprint中实现, 客户和利益相关者将看到他们在审计和风险评估方面的持续改进. 这些用户场景可能包含诸如自动化控制或对风险或审计程序进行更新之类的内容. 确保每个用户描述都能在一个sprint内完成,这是重申该团队重要性的关键,因为它将导致持续改进,并增加风险评估和审计满意度.
这一切听起来都很棒,但如果你没有得到领导层的支持,这基本上是无用的. 如果风险评估和审计是每个人的热情和优先事项就好了, 我们将有时间和资源来相当快地完成这些事情. 不幸的是,事实并非如此. 领导层需要理解这种协作努力的重要性, 向领导人提供数据可以强调这些活动的重要性. 影响数据的一些例子包括:
- 减少审计和风险评估时间
- 通过减少差旅或外部审计时间节省成本
- 增加与审计和风险评估相关的客户满意度
- 更少的技术债务或产品团队积压的开销
交叉协作使组织受益是显而易见的. 但获得支持和资源来实现这一目标可能具有挑战性. 使用数据来获得领导的支持将鼓励跨职能团队的形成. 然后, 使用这些团队来完成增量但强大的结果将导致所有三道防线的改进.
编者按: 想要进一步了解这个话题,请阅读本杰明·巴茨最近在《澳门赌场官方软件》上发表的文章, “资讯科技风险与资讯科技审计携手合作,减轻澳门赌场官方下载负担” ISACA杂志,第5卷,2023年.
