一、前言
2009年3月6日,溫家寶在《政府工作報(bào)告》中指出,2009年要實(shí)施總額4萬(wàn)億元的兩年投資計(jì)劃,提高國(guó)民經(jīng)濟(jì)整體競(jìng)爭(zhēng)力。如此大規(guī)模的投資短時(shí)間內(nèi)到位,如何保障投資項(xiàng)目的真實(shí)、合法?如何監(jiān)督資金在項(xiàng)目建設(shè)、監(jiān)理、使用全過(guò)程中的安全?在信息化條件下,傳統(tǒng)的基礎(chǔ)設(shè)施建設(shè)項(xiàng)目審計(jì)模式面臨著新的挑戰(zhàn):如何利用計(jì)算機(jī)技術(shù),實(shí)現(xiàn)對(duì)大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目過(guò)程中的資金流進(jìn)行跟蹤審計(jì),有效提高審計(jì)效率并最大程度地避免重大錯(cuò)報(bào),成為亟待解決的嶄新課題。
目前關(guān)于大型基礎(chǔ)設(shè)施建設(shè)投資已有相關(guān)的理論研究與實(shí)務(wù)應(yīng)用。(一)理論研究方面逐步從事后審計(jì)向全過(guò)程跟蹤審計(jì)轉(zhuǎn)變,強(qiáng)調(diào)對(duì)建設(shè)項(xiàng)目全過(guò)程進(jìn)行動(dòng)態(tài)審計(jì),參與投資決策,審計(jì)意見(jiàn)直接影響工程進(jìn)度。目前在國(guó)內(nèi)大型投資項(xiàng)目如T3航站樓項(xiàng)目、汶川抗震救災(zāi)專項(xiàng)資金審計(jì)項(xiàng)目中均已采用,收到了一定的效果。(二)計(jì)算機(jī)審計(jì)技術(shù)研究目前還處于初步探討階段,部分學(xué)者的研究成果有一定借鑒意義。如Steve Schlarman闡述了企業(yè)IT審計(jì)風(fēng)險(xiǎn)概念及其運(yùn)行機(jī)理和發(fā)展階段。但計(jì)算機(jī)審計(jì)技術(shù)尚局限于數(shù)據(jù)審計(jì),沒(méi)有拓展到項(xiàng)目建設(shè)的全過(guò)程及信息系統(tǒng)。
二、基礎(chǔ)設(shè)施建設(shè)項(xiàng)目跟蹤審計(jì)技術(shù)方面存在的問(wèn)題
隨著全過(guò)程跟蹤審計(jì)理論及應(yīng)用的發(fā)展,我國(guó)開(kāi)始實(shí)施從正式立項(xiàng)到竣工決算的全部建設(shè)過(guò)程的審計(jì),如北京奧運(yùn)會(huì)財(cái)務(wù)收支和奧運(yùn)場(chǎng)館建設(shè)項(xiàng)目的跟蹤審計(jì)、首機(jī)場(chǎng)T3航站樓的全過(guò)程跟蹤審計(jì)等。全過(guò)程跟蹤審計(jì)對(duì)于防止舞弊、提高質(zhì)量、降低造價(jià)、規(guī)避風(fēng)險(xiǎn)有了更好地控制,是一種動(dòng)態(tài)的、事先的、主動(dòng)的造價(jià)控制,但是在技術(shù)層面也存在一定的不足之處。
(一)多頭管理,缺乏統(tǒng)一協(xié)調(diào)機(jī)制保障實(shí)施
大型工程項(xiàng)目涉及投資、施工、監(jiān)理、審計(jì)、財(cái)務(wù)等各個(gè)部門(mén),各有各的管理權(quán)限。跟蹤審計(jì)是動(dòng)態(tài)審計(jì),審計(jì)主體介入時(shí)間較早,切入工程現(xiàn)場(chǎng)的時(shí)間較長(zhǎng);而工程項(xiàng)目往往是立體交叉推進(jìn),與審計(jì)的單維度線索跟蹤進(jìn)度存在進(jìn)度差別。通常情況下,審計(jì)工作不該影響施工進(jìn)度,但審計(jì)人員要對(duì)工程定價(jià)預(yù)算等內(nèi)容進(jìn)行審計(jì),會(huì)與相關(guān)審批部門(mén)產(chǎn)生沖突甚而可能會(huì)延誤工期。跟蹤審計(jì)是與施工作業(yè)同時(shí)進(jìn)行的,隨時(shí)可能發(fā)現(xiàn)一些問(wèn)題,隨時(shí)需要有關(guān)部門(mén)和單位予以糾正,如果對(duì)審計(jì)中的發(fā)現(xiàn)仍按常規(guī)程序進(jìn)行,那么有很多事項(xiàng)就會(huì)失去糾正時(shí)機(jī),跟蹤審計(jì)的效果和作用就會(huì)減弱。
(二)信息安全審計(jì)缺失
被審計(jì)單位現(xiàn)有的財(cái)務(wù)信息、業(yè)務(wù)信息大都通過(guò)會(huì)計(jì)信息系統(tǒng)或?qū)S玫臉I(yè)務(wù)信息系統(tǒng)實(shí)現(xiàn)了數(shù)據(jù)的電子化。但被審計(jì)單位的信息化給審計(jì)人員帶來(lái)的挑戰(zhàn)就是如何保障數(shù)據(jù)的真實(shí)性、合法性、完整性、機(jī)密性。被審計(jì)單位提供的某一時(shí)點(diǎn)的電子數(shù)據(jù)與紙質(zhì)數(shù)據(jù)核對(duì)不一致的情況時(shí)有發(fā)生,其中不少都是舞弊行為。為避免“假賬真查”,審計(jì)人員首先要對(duì)被審計(jì)單位的財(cái)務(wù)信息系統(tǒng)、業(yè)務(wù)信息系統(tǒng)等進(jìn)行審計(jì)。而目前我國(guó)在這方面的審計(jì)尚不到位,更多地體現(xiàn)在對(duì)數(shù)據(jù)的關(guān)注,對(duì)信息系統(tǒng)安全性關(guān)注相對(duì)較少。
(三)數(shù)據(jù)審計(jì)技術(shù)與方法運(yùn)用的局限性
目前,被審計(jì)單位采用的會(huì)計(jì)信息系統(tǒng)、項(xiàng)目管理信息系統(tǒng)五花八門(mén),對(duì)審計(jì)人員來(lái)講,從被審計(jì)單位獲取電子數(shù)據(jù)、并按照審計(jì)要求,快速確定跟蹤審計(jì)點(diǎn),可以達(dá)到事半功倍的效果。實(shí)現(xiàn)對(duì)電子數(shù)據(jù)中審計(jì)線索的篩查、跟蹤是關(guān)鍵技術(shù),并且要選擇對(duì)工程質(zhì)量、投資、進(jìn)度影響較大,且事后不能審計(jì)或?qū)徲?jì)難度較大的內(nèi)容進(jìn)行跟蹤審計(jì)。而目前審計(jì)人員面對(duì)被審計(jì)單位復(fù)雜多樣的信息系統(tǒng)常常是束手無(wú)策,無(wú)法驗(yàn)證數(shù)據(jù)的完整性,無(wú)法驗(yàn)證不同系統(tǒng)獲取數(shù)據(jù)的可靠性,難以很好地確定跟蹤審計(jì)點(diǎn)。
(四)審計(jì)人員技術(shù)水平欠缺
工程審計(jì)涉及的部門(mén)多,加之審計(jì)人員對(duì)專業(yè)知識(shí)不是很了解,對(duì)于工程估價(jià)準(zhǔn)確性不能得到保證;需要專業(yè)人員在建設(shè)項(xiàng)目管理、資金管理、概算執(zhí)行、工程造價(jià)控制甚至工程技術(shù)等方面具有豐富的審計(jì)經(jīng)驗(yàn)才能駕輕就熟。同時(shí)跟蹤審計(jì)涉及及時(shí)整改的要求,審計(jì)鑒證的意見(jiàn)可能直接影響下一步的工程決策,審計(jì)人員介入建設(shè)現(xiàn)場(chǎng)、監(jiān)控招標(biāo)過(guò)程及相關(guān)簽證環(huán)節(jié),容易代替建設(shè)單位的管理職責(zé),間接實(shí)現(xiàn)對(duì)建設(shè)過(guò)程中的合同、質(zhì)量、招標(biāo)、資金、造價(jià)等的管理和控制。
三、大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目流程分析
為更好地實(shí)施大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目審計(jì)任務(wù),有必要對(duì)大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目投資至竣工決算過(guò)程中的信息流、數(shù)據(jù)流進(jìn)行系統(tǒng)分析(如圖1所示),以更好地確定審計(jì)跟蹤的關(guān)鍵控制點(diǎn)和審計(jì)線索的追蹤。
(一)資金流
在大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目審計(jì)過(guò)程中,常有一些政府或上級(jí)投資的項(xiàng)目。這時(shí),項(xiàng)目使用方與投資方之間存在著立項(xiàng)、審批、預(yù)算申報(bào)及審批、資金撥付等一系列的過(guò)程。基礎(chǔ)設(shè)施項(xiàng)目審計(jì)通常要從立項(xiàng)開(kāi)始進(jìn)行全過(guò)程審計(jì),跟蹤審計(jì)中對(duì)內(nèi)部控制的審計(jì)重點(diǎn)可通過(guò)這一部分的實(shí)施窺得一斑。
(二)信息流
在現(xiàn)代化審計(jì)環(huán)境中,信息流的傳遞過(guò)程是非常關(guān)鍵的環(huán)節(jié)。如圖1所示,大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目跟蹤審計(jì)涉及到投資方、使用方、施工方、監(jiān)理方、驗(yàn)收方、設(shè)計(jì)方、供應(yīng)商等多個(gè)主體;各個(gè)主體均有信息交換,并且信息交換會(huì)通過(guò)文檔、合同、電子數(shù)據(jù)等方式保存在各主體。各主體大都實(shí)現(xiàn)了財(cái)務(wù)系統(tǒng)的信息化,業(yè)務(wù)系統(tǒng)也有采用金算盤(pán)、廣聯(lián)達(dá)等項(xiàng)目管理軟件逐步實(shí)現(xiàn)信息化過(guò)程。信息化數(shù)據(jù)在各不同系統(tǒng)中也有勾稽關(guān)系。為此,必須清楚了解各信息系統(tǒng)后臺(tái)數(shù)據(jù)存儲(chǔ)方式以及內(nèi)部控制約束策略的制訂。
四、大型基礎(chǔ)設(shè)施建設(shè)投資計(jì)算機(jī)跟蹤審計(jì)框架設(shè)計(jì)
一般意義上的跟蹤審計(jì),只是在數(shù)據(jù)審計(jì)層面實(shí)現(xiàn)了部分環(huán)節(jié)的跟蹤,卻沒(méi)有解決信息系統(tǒng)及系統(tǒng)控制方面的跟蹤審計(jì)。為了避免盲人摸象式的審計(jì)過(guò)程,需要建立完善的審計(jì)流程及技術(shù)體系完善跟蹤審計(jì)理論和技術(shù)方法。
為了避免多頭管理,統(tǒng)一協(xié)調(diào)和保障大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目審計(jì),有必要建立完善的跟蹤審計(jì)策略,從內(nèi)部控制層面保障系統(tǒng)安全性的實(shí)施;為了避免信息系統(tǒng)審計(jì)職能的缺失,有必要擴(kuò)大信息系統(tǒng)審計(jì)范圍;為了進(jìn)一步提高審計(jì)人員技術(shù)水平,強(qiáng)化信息系統(tǒng)審計(jì)技術(shù)應(yīng)用效果,有必要完善數(shù)據(jù)審計(jì)技術(shù)、加強(qiáng)跟蹤取證手段。只有從內(nèi)部控制跟蹤、信息系統(tǒng)跟蹤、數(shù)據(jù)跟蹤、取證跟蹤四個(gè)層面建立審計(jì)框架,才能更高效地實(shí)現(xiàn)鑒證職能。
(一)內(nèi)部控制跟蹤審計(jì)
建立內(nèi)部控制的跟蹤審計(jì)戰(zhàn)略,從制度審計(jì)、系統(tǒng)實(shí)施兩個(gè)維度進(jìn)行。
首先,在宏觀管理的制度審計(jì)維度上,審計(jì)人員要對(duì)企業(yè)管理制度、內(nèi)部控制流程進(jìn)行梳理,將企業(yè)組織結(jié)構(gòu)、部門(mén)管理權(quán)限、人員崗位設(shè)計(jì)等內(nèi)容綜合考慮,形成內(nèi)部控制管理流程圖。重點(diǎn)審計(jì)各部門(mén)之間的協(xié)調(diào)管理,明確審計(jì)管理設(shè)計(jì)上的不足及漏洞。
其次,在微觀應(yīng)用的系統(tǒng)實(shí)施維度上,審計(jì)人員要對(duì)信息流轉(zhuǎn)進(jìn)行梳理,畫(huà)出企業(yè)采用的各種信息系統(tǒng),明確各系統(tǒng)功能及數(shù)據(jù)文檔流轉(zhuǎn)過(guò)程,對(duì)涉及信息系統(tǒng)的管理人員、各業(yè)務(wù)崗位職責(zé)權(quán)限及其功能作用進(jìn)行分類整理,對(duì)系統(tǒng)投入使用之前的角色分配及權(quán)限設(shè)計(jì)進(jìn)行審計(jì),查找有無(wú)權(quán)限分配上的不合理,有沒(méi)有實(shí)現(xiàn)系統(tǒng)對(duì)不相容業(yè)務(wù)的相應(yīng)控制功能,審計(jì)在程序設(shè)計(jì)環(huán)節(jié)的控制思想有無(wú)得到應(yīng)用,審計(jì)系統(tǒng)開(kāi)發(fā)有無(wú)漏洞、有無(wú)后門(mén)、有無(wú)內(nèi)嵌特別模塊或?qū)崿F(xiàn)超級(jí)管理員權(quán)限的內(nèi)容。
信息系統(tǒng)內(nèi)部控制的跟蹤審計(jì)重點(diǎn)體現(xiàn)在通過(guò)日志審計(jì)來(lái)實(shí)現(xiàn)對(duì)事件的實(shí)時(shí)監(jiān)控和關(guān)聯(lián),自動(dòng)監(jiān)控策略違反事件、識(shí)別并應(yīng)對(duì)違反事件提交合規(guī)數(shù)據(jù),從而顯示重要IT控制的效果。日志審計(jì)需要分析多個(gè)系統(tǒng)之間的IT控制,同時(shí)對(duì)比網(wǎng)絡(luò)環(huán)境中什么該發(fā)生和什么確實(shí)在發(fā)生之間的認(rèn)知差距;并且通過(guò)對(duì)日志顯示的實(shí)時(shí)安全性事件管理和跟蹤監(jiān)控,實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)部的身份識(shí)別和系統(tǒng)管理監(jiān)控。并且應(yīng)該針對(duì)使用者、網(wǎng)絡(luò)和應(yīng)用程序事件,審計(jì)潛在威脅及快速的回應(yīng)機(jī)制的完整性。通過(guò)宏觀的內(nèi)部控制審計(jì)與微觀的系統(tǒng)內(nèi)部控制審計(jì),可有效地鎖住重大風(fēng)險(xiǎn)領(lǐng)域,有重點(diǎn)、有針對(duì)性地進(jìn)行下一步的跟蹤審計(jì)工作,并可協(xié)助企業(yè)建立嚴(yán)格的安全性與規(guī)范遵循方案。
(二)信息系統(tǒng)跟蹤審計(jì)
為更好地審計(jì)電子數(shù)據(jù),在內(nèi)部控制審計(jì)基礎(chǔ)上,要對(duì)被審計(jì)單位的信息系統(tǒng)進(jìn)行跟蹤審計(jì),以確保對(duì)方提供給審計(jì)人員的數(shù)據(jù)真實(shí)、合法、有效、完整。信息系統(tǒng)跟蹤審計(jì)應(yīng)采用信息系統(tǒng)審計(jì)的一系列標(biāo)準(zhǔn)如ISO27001、COBIT、ITIL等,按照規(guī)范化的要求,對(duì)信息系統(tǒng)開(kāi)發(fā)、維護(hù)、網(wǎng)絡(luò)結(jié)構(gòu)、機(jī)房環(huán)境、災(zāi)備、IT服務(wù)、技術(shù)支持、信息資產(chǎn)保護(hù)等各方面分別進(jìn)行跟蹤審計(jì),以獲取被審計(jì)單位信息系統(tǒng)不存在重大錯(cuò)報(bào)的合理保證。
(三)數(shù)據(jù)跟蹤審計(jì)
在進(jìn)行完包含計(jì)算機(jī)內(nèi)部控制在內(nèi)的符合性測(cè)試后,要為下一步的實(shí)質(zhì)性測(cè)試準(zhǔn)備環(huán)境,此時(shí)需要對(duì)被審計(jì)單位的數(shù)據(jù)進(jìn)行審計(jì)。被審計(jì)單位的電子數(shù)據(jù),首先需要審計(jì)人員根據(jù)審計(jì)需求,對(duì)相關(guān)數(shù)據(jù)進(jìn)行采集、分析、清理、驗(yàn)證,并與被審計(jì)單位提供的數(shù)據(jù)進(jìn)行對(duì)比分析,以此獲得審計(jì)線索。數(shù)據(jù)跟蹤審計(jì)可先執(zhí)行分析性程序,采用趨勢(shì)分析法、比率分析法、結(jié)構(gòu)分析法等對(duì)年度數(shù)據(jù)、行業(yè)數(shù)據(jù)、被審計(jì)單位數(shù)據(jù)進(jìn)行分類分析,構(gòu)建系統(tǒng)模型、類別模型和個(gè)體模型,采用數(shù)據(jù)挖掘、多維分析等技術(shù)實(shí)現(xiàn)對(duì)海量數(shù)據(jù)中審計(jì)特征的快速獲取。
(四)計(jì)算機(jī)跟蹤取證
電子數(shù)據(jù)的易篡改性、無(wú)痕性加大了審計(jì)證據(jù)的獲取難度。因此,在大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目跟蹤審計(jì)過(guò)程中,更要利用先進(jìn)的反篡改、反刪除、反修改、反造假技術(shù)保證審計(jì)證據(jù)的安全完整。可利用信息安全檢測(cè)軟件、數(shù)據(jù)恢復(fù)軟件、哈希摘要、加密技術(shù)等實(shí)現(xiàn)對(duì)審計(jì)證據(jù)的獲取和保護(hù)。計(jì)算機(jī)的跟蹤取證技術(shù)貫穿大型基建項(xiàng)目跟蹤審計(jì)始終。
五、結(jié)論
為有效實(shí)現(xiàn)對(duì)大型基礎(chǔ)設(shè)施建設(shè)項(xiàng)目的跟蹤審計(jì),對(duì)大型建設(shè)項(xiàng)目流程進(jìn)行了初步分析,指出了現(xiàn)階段跟蹤審計(jì)中存在的問(wèn)題,建立了內(nèi)部控制計(jì)算機(jī)跟蹤審計(jì)、信息系統(tǒng)跟蹤審計(jì)、數(shù)據(jù)跟蹤審計(jì)、計(jì)算機(jī)跟蹤取證四層跟蹤審計(jì)框架體系。大型建設(shè)項(xiàng)目審計(jì)在可以預(yù)見(jiàn)的將來(lái),其發(fā)展趨勢(shì)必然是在全方位的審計(jì)監(jiān)管模式下,利用企業(yè)信息化平臺(tái),采用計(jì)算機(jī)跟蹤審計(jì)方法來(lái)提高審計(jì)效率,提高社會(huì)經(jīng)濟(jì)運(yùn)行的免疫力。
