一、前言
2009年3月6日,溫家寶在《政府工作報告》中指出,2009年要實施總額4萬億元的兩年投資計劃,提高國民經(jīng)濟整體競爭力。如此大規(guī)模的投資短時間內(nèi)到位,如何保障投資項目的真實、合法?如何監(jiān)督資金在項目建設(shè)、監(jiān)理、使用全過程中的安全?在信息化條件下,傳統(tǒng)的基礎(chǔ)設(shè)施建設(shè)項目審計模式面臨著新的挑戰(zhàn):如何利用計算機技術(shù),實現(xiàn)對大型基礎(chǔ)設(shè)施建設(shè)項目過程中的資金流進行跟蹤審計,有效提高審計效率并最大程度地避免重大錯報,成為亟待解決的嶄新課題。
目前關(guān)于大型基礎(chǔ)設(shè)施建設(shè)投資已有相關(guān)的理論研究與實務(wù)應(yīng)用。(一)理論研究方面逐步從事后審計向全過程跟蹤審計轉(zhuǎn)變,強調(diào)對建設(shè)項目全過程進行動態(tài)審計,參與投資決策,審計意見直接影響工程進度。目前在國內(nèi)大型投資項目如T3航站樓項目、汶川抗震救災(zāi)專項資金審計項目中均已采用,收到了一定的效果。(二)計算機審計技術(shù)研究目前還處于初步探討階段,部分學(xué)者的研究成果有一定借鑒意義。如Steve Schlarman闡述了企業(yè)IT審計風(fēng)險概念及其運行機理和發(fā)展階段。但計算機審計技術(shù)尚局限于數(shù)據(jù)審計,沒有拓展到項目建設(shè)的全過程及信息系統(tǒng)。
二、基礎(chǔ)設(shè)施建設(shè)項目跟蹤審計技術(shù)方面存在的問題
隨著全過程跟蹤審計理論及應(yīng)用的發(fā)展,我國開始實施從正式立項到竣工決算的全部建設(shè)過程的審計,如北京奧運會財務(wù)收支和奧運場館建設(shè)項目的跟蹤審計、首機場T3航站樓的全過程跟蹤審計等。全過程跟蹤審計對于防止舞弊、提高質(zhì)量、降低造價、規(guī)避風(fēng)險有了更好地控制,是一種動態(tài)的、事先的、主動的造價控制,但是在技術(shù)層面也存在一定的不足之處。
(一)多頭管理,缺乏統(tǒng)一協(xié)調(diào)機制保障實施
大型工程項目涉及投資、施工、監(jiān)理、審計、財務(wù)等各個部門,各有各的管理權(quán)限。跟蹤審計是動態(tài)審計,審計主體介入時間較早,切入工程現(xiàn)場的時間較長;而工程項目往往是立體交叉推進,與審計的單維度線索跟蹤進度存在進度差別。通常情況下,審計工作不該影響施工進度,但審計人員要對工程定價預(yù)算等內(nèi)容進行審計,會與相關(guān)審批部門產(chǎn)生沖突甚而可能會延誤工期。跟蹤審計是與施工作業(yè)同時進行的,隨時可能發(fā)現(xiàn)一些問題,隨時需要有關(guān)部門和單位予以糾正,如果對審計中的發(fā)現(xiàn)仍按常規(guī)程序進行,那么有很多事項就會失去糾正時機,跟蹤審計的效果和作用就會減弱。
(二)信息安全審計缺失
被審計單位現(xiàn)有的財務(wù)信息、業(yè)務(wù)信息大都通過會計信息系統(tǒng)或?qū)S玫臉I(yè)務(wù)信息系統(tǒng)實現(xiàn)了數(shù)據(jù)的電子化。但被審計單位的信息化給審計人員帶來的挑戰(zhàn)就是如何保障數(shù)據(jù)的真實性、合法性、完整性、機密性。被審計單位提供的某一時點的電子數(shù)據(jù)與紙質(zhì)數(shù)據(jù)核對不一致的情況時有發(fā)生,其中不少都是舞弊行為。為避免“假賬真查”,審計人員首先要對被審計單位的財務(wù)信息系統(tǒng)、業(yè)務(wù)信息系統(tǒng)等進行審計。而目前我國在這方面的審計尚不到位,更多地體現(xiàn)在對數(shù)據(jù)的關(guān)注,對信息系統(tǒng)安全性關(guān)注相對較少。
(三)數(shù)據(jù)審計技術(shù)與方法運用的局限性
目前,被審計單位采用的會計信息系統(tǒng)、項目管理信息系統(tǒng)五花八門,對審計人員來講,從被審計單位獲取電子數(shù)據(jù)、并按照審計要求,快速確定跟蹤審計點,可以達到事半功倍的效果。實現(xiàn)對電子數(shù)據(jù)中審計線索的篩查、跟蹤是關(guān)鍵技術(shù),并且要選擇對工程質(zhì)量、投資、進度影響較大,且事后不能審計或?qū)徲嬰y度較大的內(nèi)容進行跟蹤審計。而目前審計人員面對被審計單位復(fù)雜多樣的信息系統(tǒng)常常是束手無策,無法驗證數(shù)據(jù)的完整性,無法驗證不同系統(tǒng)獲取數(shù)據(jù)的可靠性,難以很好地確定跟蹤審計點。
(四)審計人員技術(shù)水平欠缺
工程審計涉及的部門多,加之審計人員對專業(yè)知識不是很了解,對于工程估價準(zhǔn)確性不能得到保證;需要專業(yè)人員在建設(shè)項目管理、資金管理、概算執(zhí)行、工程造價控制甚至工程技術(shù)等方面具有豐富的審計經(jīng)驗才能駕輕就熟。同時跟蹤審計涉及及時整改的要求,審計鑒證的意見可能直接影響下一步的工程決策,審計人員介入建設(shè)現(xiàn)場、監(jiān)控招標(biāo)過程及相關(guān)簽證環(huán)節(jié),容易代替建設(shè)單位的管理職責(zé),間接實現(xiàn)對建設(shè)過程中的合同、質(zhì)量、招標(biāo)、資金、造價等的管理和控制。
三、大型基礎(chǔ)設(shè)施建設(shè)項目流程分析
為更好地實施大型基礎(chǔ)設(shè)施建設(shè)項目審計任務(wù),有必要對大型基礎(chǔ)設(shè)施建設(shè)項目投資至竣工決算過程中的信息流、數(shù)據(jù)流進行系統(tǒng)分析(如圖1所示),以更好地確定審計跟蹤的關(guān)鍵控制點和審計線索的追蹤。
(一)資金流
在大型基礎(chǔ)設(shè)施建設(shè)項目審計過程中,常有一些政府或上級投資的項目。這時,項目使用方與投資方之間存在著立項、審批、預(yù)算申報及審批、資金撥付等一系列的過程。基礎(chǔ)設(shè)施項目審計通常要從立項開始進行全過程審計,跟蹤審計中對內(nèi)部控制的審計重點可通過這一部分的實施窺得一斑。
(二)信息流
在現(xiàn)代化審計環(huán)境中,信息流的傳遞過程是非常關(guān)鍵的環(huán)節(jié)。如圖1所示,大型基礎(chǔ)設(shè)施建設(shè)項目跟蹤審計涉及到投資方、使用方、施工方、監(jiān)理方、驗收方、設(shè)計方、供應(yīng)商等多個主體;各個主體均有信息交換,并且信息交換會通過文檔、合同、電子數(shù)據(jù)等方式保存在各主體。各主體大都實現(xiàn)了財務(wù)系統(tǒng)的信息化,業(yè)務(wù)系統(tǒng)也有采用金算盤、廣聯(lián)達等項目管理軟件逐步實現(xiàn)信息化過程。信息化數(shù)據(jù)在各不同系統(tǒng)中也有勾稽關(guān)系。為此,必須清楚了解各信息系統(tǒng)后臺數(shù)據(jù)存儲方式以及內(nèi)部控制約束策略的制訂。
四、大型基礎(chǔ)設(shè)施建設(shè)投資計算機跟蹤審計框架設(shè)計
一般意義上的跟蹤審計,只是在數(shù)據(jù)審計層面實現(xiàn)了部分環(huán)節(jié)的跟蹤,卻沒有解決信息系統(tǒng)及系統(tǒng)控制方面的跟蹤審計。為了避免盲人摸象式的審計過程,需要建立完善的審計流程及技術(shù)體系完善跟蹤審計理論和技術(shù)方法。
為了避免多頭管理,統(tǒng)一協(xié)調(diào)和保障大型基礎(chǔ)設(shè)施建設(shè)項目審計,有必要建立完善的跟蹤審計策略,從內(nèi)部控制層面保障系統(tǒng)安全性的實施;為了避免信息系統(tǒng)審計職能的缺失,有必要擴大信息系統(tǒng)審計范圍;為了進一步提高審計人員技術(shù)水平,強化信息系統(tǒng)審計技術(shù)應(yīng)用效果,有必要完善數(shù)據(jù)審計技術(shù)、加強跟蹤取證手段。只有從內(nèi)部控制跟蹤、信息系統(tǒng)跟蹤、數(shù)據(jù)跟蹤、取證跟蹤四個層面建立審計框架,才能更高效地實現(xiàn)鑒證職能。
(一)內(nèi)部控制跟蹤審計
建立內(nèi)部控制的跟蹤審計戰(zhàn)略,從制度審計、系統(tǒng)實施兩個維度進行。
首先,在宏觀管理的制度審計維度上,審計人員要對企業(yè)管理制度、內(nèi)部控制流程進行梳理,將企業(yè)組織結(jié)構(gòu)、部門管理權(quán)限、人員崗位設(shè)計等內(nèi)容綜合考慮,形成內(nèi)部控制管理流程圖。重點審計各部門之間的協(xié)調(diào)管理,明確審計管理設(shè)計上的不足及漏洞。
其次,在微觀應(yīng)用的系統(tǒng)實施維度上,審計人員要對信息流轉(zhuǎn)進行梳理,畫出企業(yè)采用的各種信息系統(tǒng),明確各系統(tǒng)功能及數(shù)據(jù)文檔流轉(zhuǎn)過程,對涉及信息系統(tǒng)的管理人員、各業(yè)務(wù)崗位職責(zé)權(quán)限及其功能作用進行分類整理,對系統(tǒng)投入使用之前的角色分配及權(quán)限設(shè)計進行審計,查找有無權(quán)限分配上的不合理,有沒有實現(xiàn)系統(tǒng)對不相容業(yè)務(wù)的相應(yīng)控制功能,審計在程序設(shè)計環(huán)節(jié)的控制思想有無得到應(yīng)用,審計系統(tǒng)開發(fā)有無漏洞、有無后門、有無內(nèi)嵌特別模塊或?qū)崿F(xiàn)超級管理員權(quán)限的內(nèi)容。
信息系統(tǒng)內(nèi)部控制的跟蹤審計重點體現(xiàn)在通過日志審計來實現(xiàn)對事件的實時監(jiān)控和關(guān)聯(lián),自動監(jiān)控策略違反事件、識別并應(yīng)對違反事件提交合規(guī)數(shù)據(jù),從而顯示重要IT控制的效果。日志審計需要分析多個系統(tǒng)之間的IT控制,同時對比網(wǎng)絡(luò)環(huán)境中什么該發(fā)生和什么確實在發(fā)生之間的認知差距;并且通過對日志顯示的實時安全性事件管理和跟蹤監(jiān)控,實現(xiàn)對系統(tǒng)內(nèi)部的身份識別和系統(tǒng)管理監(jiān)控。并且應(yīng)該針對使用者、網(wǎng)絡(luò)和應(yīng)用程序事件,審計潛在威脅及快速的回應(yīng)機制的完整性。通過宏觀的內(nèi)部控制審計與微觀的系統(tǒng)內(nèi)部控制審計,可有效地鎖住重大風(fēng)險領(lǐng)域,有重點、有針對性地進行下一步的跟蹤審計工作,并可協(xié)助企業(yè)建立嚴(yán)格的安全性與規(guī)范遵循方案。
(二)信息系統(tǒng)跟蹤審計
為更好地審計電子數(shù)據(jù),在內(nèi)部控制審計基礎(chǔ)上,要對被審計單位的信息系統(tǒng)進行跟蹤審計,以確保對方提供給審計人員的數(shù)據(jù)真實、合法、有效、完整。信息系統(tǒng)跟蹤審計應(yīng)采用信息系統(tǒng)審計的一系列標(biāo)準(zhǔn)如ISO27001、COBIT、ITIL等,按照規(guī)范化的要求,對信息系統(tǒng)開發(fā)、維護、網(wǎng)絡(luò)結(jié)構(gòu)、機房環(huán)境、災(zāi)備、IT服務(wù)、技術(shù)支持、信息資產(chǎn)保護等各方面分別進行跟蹤審計,以獲取被審計單位信息系統(tǒng)不存在重大錯報的合理保證。
(三)數(shù)據(jù)跟蹤審計
在進行完包含計算機內(nèi)部控制在內(nèi)的符合性測試后,要為下一步的實質(zhì)性測試準(zhǔn)備環(huán)境,此時需要對被審計單位的數(shù)據(jù)進行審計。被審計單位的電子數(shù)據(jù),首先需要審計人員根據(jù)審計需求,對相關(guān)數(shù)據(jù)進行采集、分析、清理、驗證,并與被審計單位提供的數(shù)據(jù)進行對比分析,以此獲得審計線索。數(shù)據(jù)跟蹤審計可先執(zhí)行分析性程序,采用趨勢分析法、比率分析法、結(jié)構(gòu)分析法等對年度數(shù)據(jù)、行業(yè)數(shù)據(jù)、被審計單位數(shù)據(jù)進行分類分析,構(gòu)建系統(tǒng)模型、類別模型和個體模型,采用數(shù)據(jù)挖掘、多維分析等技術(shù)實現(xiàn)對海量數(shù)據(jù)中審計特征的快速獲取。
(四)計算機跟蹤取證
電子數(shù)據(jù)的易篡改性、無痕性加大了審計證據(jù)的獲取難度。因此,在大型基礎(chǔ)設(shè)施建設(shè)項目跟蹤審計過程中,更要利用先進的反篡改、反刪除、反修改、反造假技術(shù)保證審計證據(jù)的安全完整。可利用信息安全檢測軟件、數(shù)據(jù)恢復(fù)軟件、哈希摘要、加密技術(shù)等實現(xiàn)對審計證據(jù)的獲取和保護。計算機的跟蹤取證技術(shù)貫穿大型基建項目跟蹤審計始終。
五、結(jié)論
為有效實現(xiàn)對大型基礎(chǔ)設(shè)施建設(shè)項目的跟蹤審計,對大型建設(shè)項目流程進行了初步分析,指出了現(xiàn)階段跟蹤審計中存在的問題,建立了內(nèi)部控制計算機跟蹤審計、信息系統(tǒng)跟蹤審計、數(shù)據(jù)跟蹤審計、計算機跟蹤取證四層跟蹤審計框架體系。大型建設(shè)項目審計在可以預(yù)見的將來,其發(fā)展趨勢必然是在全方位的審計監(jiān)管模式下,利用企業(yè)信息化平臺,采用計算機跟蹤審計方法來提高審計效率,提高社會經(jīng)濟運行的免疫力。
