時間:2023-06-15 17:26:44
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇跟蹤審計要點,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著社會經濟的快速發展,建筑工程也在不斷發展,通過對建筑工程造價進行跟蹤審計,不僅能夠對相應的建設活動進行有效的規范,還能在一定程度上提升工程項目投資效益,從而推動建筑行業的持續發展。在此情況下,本文詳細論述了造價咨詢單位建筑工程跟蹤審計造價審核的要點,以供參考。
關鍵詞:
造價咨詢單位;建筑工程;跟蹤審計;造價審核;要點分析
隨著市場經濟的迅速發展,我國建筑行業也在不斷發展,這使得項目造價管理水平的重要性越來越明顯,其直接聯系著項目工程建設效果。工程造價跟蹤審核存在整個工程建設過程中,是一種具有較好經濟含量、較強的專業性等特征的工作,且工程造價咨詢單位是主要的實施單位,且其不僅是業主成本咨詢者,還能夠為政府的宏觀調控目標的實現提供幫助。基于此,必須深入的研究造價咨詢單位建筑工程跟蹤審計造價審核的要點。
1跟蹤審計主要內容分析
對于跟蹤審計主要內容,具體包括:①根據施工圖、招標文件,對招標工程量清單進行審核。②對于施工過程中存在的設計變更提出合理的建議。③對隱蔽工程及設計變更中需要現場收方的,在業主的組織下,同監理單位、施工單位一起對工程量進行確認。④對設計變更中設計新增材料部分進行市場核價,并向業主提出合理的價格建議,最終由幾方共同認知認價確認。⑤根據施工圖對現場實際實施情況進行復核,施工單位是否按圖施工。⑥對施工單位進度款進行審核。⑦對根據業主監理確認的,由施工單位報送的結算資料進行結算審核。
2咨詢方跟蹤審計中存在的問題
2.1授權局限問題大多數工程項目建設單位的成本管理意識都相對薄弱。同時,對于選擇性開放造價咨詢單位的成本管理權限,只是允許參與預決算編制、進度款審批等常規性咨詢工作,一般是無法實現項目咨詢跟蹤審計工作服務建設單位的目的。
2.2參與深度問題在對商業機密、咨詢行業誠信等方面進行綜合考慮的情況下,對于造價咨詢單位成本管理來說,建筑單位的參與范圍具有選擇性,例如:施工單位評審、目標成本編制、經濟標評審、分包單位資格預審等工作造價咨詢單位參與度不高,所以到目前為止都沒有真正的形成工程全過程跟蹤管理模式,這在很大程度上阻礙了造價咨詢單位專業性和技術經濟的充分發揮。
2.3責權對等問題一般情況下,作為以人力資源為主的勞動密集型服務行業,造價咨詢單位存在市場進入門檻低、惡意競爭激烈等不足,同時,其發展的速度也較為緩慢,發展也處于不均衡的狀態,這些現象的普遍存在導致造價咨詢單位的綜合實力、抵抗風險的能力、誠信度都存在一定的局限性,相比于有綜合實力較為雄厚的建設單位,以及其對造價咨詢單位在責任方面的期望,難免會存在較大的差異,從而導致造價咨詢單位承擔的責任與權利不相稱。
2.4現場簽證管理問題在建筑工程建設過程中,對于現場簽證的管理,其能夠將工程項目管理工作的實際水平直接反映出來。同時,在工程施工過程中,一些隱蔽工程與現場簽證會增加工程造價。此外,由于工程、監理、預算等有關部門及其人員職權分工不明、相關部門人員責任感不強、簽證制度不完善,在加上缺乏相互監督機制,所以常常會引發不實,甚至虛假簽證現象。
2.5與監理單位銜接問題造價咨詢單位可以代表業主參與工程項目各方就投資控制方面的協調,因此,其不僅要有效的管理項目施工、設計和供貨單位的價格以及合同,還要理清楚自身法工作與監理單位工作。特別是在建筑工程項目施工初期,施工單位剛進入施工現場時,因其對投資控制程序和協調環境不熟悉,所以對于施工后期裝修,以及安裝單位平行施工工種多、協調事項復雜的情況下,需要與監理單位合理溝通,從而及時驗收工程造價控制效果。
3跟蹤審計造價審核要點
3.1授權局限措施對于授權局限問題,工程項目建設單位需要改變其傳統的觀念,并通過咨詢合同來滿足造價咨詢單位全稱參與項目成本管理的要求。同時,造價咨詢單位作為具有民事權利能力和民事行為能力組織的,可依法獨立享有民事權利和承擔民事義務,但也需要承擔一定的經濟責任、社會責任。此外,通過營造一種造價咨詢單位全過程參與成本管理的環境,能夠實現咨詢效益最大化目標。
3.2參與深度措施通過不斷增強自身管理能力,向客戶提供優質的、高效的咨詢成果,再加上建設單位的支持、幫助,可構建造價咨詢單位專業性與誠信地位,具體措施如下:規范行業行為,加強行業管理,建立和維護造價咨詢單位專業性、客觀性、誠信的行業形象;在圓滿完成咨詢合同規定的工作要求外,積極提供超值服務;加強公司管理,增強企業自身實力,爭取能夠有足夠實力承擔較大的經濟風險和社會責任。
3.3責權對等措施通過對造價行業標準進行規范,構建完善的造價咨詢行業管理制度,杜絕惡性價格競爭,可提高造價咨詢單位的綜合實力,從而形成造價咨詢公司的誠信承擔責任,這樣一來,就有能力和有資格爭取到自身合法權益的良好市場環境,切實做到真正意義上的責權對等。
3.4現場簽證管理措施①真正落實簽證制度,并確定工程預算與工程監理等相關部分機器員工的職權分工,尤其是要確定工程監理工作實際職責范圍,然后還要嚴格的監督工程材料質量、施工質量、施工工期。②嚴格的審查工程施工中所涉及的簽證材料,并重視工程簽證辦理的及時性。③嚴格實行四方簽證制度,并確保只要是現場簽證,就必須經施工單位項目經理、總監理工程師、造價咨詢單位代表、業主代表四方共同簽字方為有效。對于簽證的內容,必須保證其符合實際情況。且還要確保簽證內容的正確性。
3.5與監理單位銜接措施①咨詢組定期參加由監理單位開展的工作例會,并參與重點部位及隱蔽工程驗收,然后就成本管理提供相關咨詢意見。②定期培訓、檢查監理人員的工程簽證辦理情況。③對于由成本部、工程部、監理單位下發的監理月報、工程指令等各類工程文件,應將其轉發到咨詢部備案,從而為之后的動態成本管理提供便利。
4案例分析某購物廣場項目總投資
6億元,建設工期1.5年,總建筑面積21萬m2,主要由5棟34層住宅、1棟20層酒店及配套商業裙樓等業態組成,某造價咨詢單位和建設單位簽訂咨詢合同,負責配合建設單位成本部參與全過程的成本管理工作。在項目建設過程中,通過咨詢方有效的跟蹤審計工作方法,取得了較好的咨詢成果,以下從獲取授權和參與度、現場簽證管理、協調監理單位三方面來分析造價咨詢單位的工程造價跟蹤審計工作:4.1授權局限、參與深度因此項建筑工程的建設單位是一家國有大型企業,所以其組織結構、項目管理模式均為典型的權責逐級分配的等級架構,這大大阻礙了全過程跟蹤審計權限操作及參與度,例如總包招標過程,只安排咨詢單位負責招標工程量清單、攔標價等尋常的造價管理工作,而投標單位資格預審、招標文件等均由建設單位完成。對于此項問題,該項工程采取了以下措施:造價咨詢單位在主動配合成本部分工作做好授權內部的工作的基礎上,通過結合該項目特點,提出了一些符合市場化規范項目管理的咨詢建議,例如編制出嚴謹全面的招標文件以及總包合同等。事后,建設單位在認可這些有效建議,逐步放開權限強化咨詢方的參與深度。
4.2現場簽證管理在進行該項建筑工程項目的建設時,成本部門仍然采用的過去落后的現場簽證管理制度,從而導致職權、分工不明確,以及簽證問題、監督機制問題頻繁發生,為工程帶來了虛假簽證風險。例如基坑支護工程的柴油發電機費用簽證中,咨詢單位發現建設單位簽證管理存在以下幾方面的問題:①簽證部門責任不明確。②簽證流程不規范。③簽證內容、工程量不規范。針對以上簽證問題,咨詢單位積極與項目部負責人進行了詳細的溝通,并采取了以下有效措施:①確定部門簽證工作分工、職責,監理單位、工程部只對實際發生的工程內容及工程量進行記錄和簽證,咨詢部負責對實際發生的工程量進行審核及費用計算,價格及費用由成本部負責簽證和辦理,最終決策權歸于項目負責人。②規范簽證程序、管理,對于優化之后的指令程序圖,具體如圖1所示。
4.3協調監理單位在工程造價控制管理過程中,監理單位的參與意識一直處于被動的狀態,大大降低了工程建設現場成本管理水平,例如該項目中,普遍存在商業內裝修工程現場實物工作量驗收滯后、簽證辦理積壓的現象,從而導致在完成了商業內裝修4個月之后,結算資料還存在缺失的現象,導致施工單位不能按期結算工程款。針對監理單位工作問題,咨詢部在接受可項目部負責人的委托之后,采取了以下措施:①咨詢單位應當定期參加監理單位例會,從而明確工作的部署。②由咨詢部全面負責工程的審計工作;同時,對于各類工程文件,都必須要到咨詢部進行備案。③對于監理單位發出的工程指令,應當由工程成本部門與咨詢部共同進行審核。④咨詢單位需要對監理人員的簽證工作等進行定期檢測。
5結語
總而言之,建設項目造價管理是一項復雜的、專業技術性較強的管理工作,基于此,工程造價咨詢單位應當不斷完善造價管理制度,并努力參與建設項目造價管理制度,與監理單位、業主單位協調工作,提高現場造價監督力度,最大限度發揮專業造價人員的成本控制及決策能力,促進投資效益最大化。
參考文獻
[1]萬里.全過程控制的建筑工程造價跟蹤審計研究[J].山西建筑,2011(23):230~232.
[2]陶迎春.全過程跟蹤審計在建筑工程造價中的應用探討[J].中國外資,2013(11):192.
【關鍵詞】油田企業;企業機制;內部審計;
油田企業的內部審計工作是減少浪費和經濟漏洞的關鍵所在。因此企業只有通過建立起長效的內部審計機制,才能夠促進企業保持良好的資金運作效率。
一、油田企業內部審計長效機制簡析
油田企業內部審計長效機制是一項系統性的機制,以下從機制應用目標、創新審計模式、合理進行跟蹤審計等方面出發,對于油田企業內部審計長效機制進行了分析。
1.機制應用目標
油田企業內部審計長效機制的目標在于通過審計發現企業管理漏洞。企業在建立內壁上審計機制的過程中首先應當將工作的重點放到有效的提高管理水平和防止資產損失上,從而能夠在此基礎上有效的杜絕虛假會計信息的出現并且能夠有效的提高會計信息質量。其次,企業在建立內壁上審計機制的過程中還應當努力的降低和防范管理風險,在這一過程中除了需要依賴審計人員個人能力外,油田審計制度建立的重點還在于提出更加具有前瞻性、適宜性和有效性的措施。
2.創新審計模式
創新審計模式的意義在于努力的構建出日常發現機制探索績效審計,并且以此為基礎來建立起卓有成效的問效尋因制度。油田企業在創新審計模式的過程中不僅僅應當關注到內部審計工作的經濟性與效率性,還需要在這一過程中關注到其實際上的決策效益和帶來的資源配置效益。其次,油田企業在創新審計模式的過程中應當將審查決策的重點依據設置為決策是否科學充分,并且決策的過程是否民主科學,以及決策執行的管理是否科學高效。與此同時,油田企業在創新審計模式的過程中還應當分析內部審計工作較深層次的體制性、機制性原因,從而能夠在此基礎上促進內部審計工作的宏觀發現。
3.合理進行跟蹤審計
合理進行跟蹤審計是實現全流程審計的必要基礎。合理進行跟蹤審計首先需要著眼于實施跟蹤審計,從而能夠在此基礎上建立起更加動態的監管制度。其次,油田企業在合理進行跟蹤審計的過程中應當建立起油田投資項目的季度、半年、年度預算執行審計,并且在這一過程中組織工作人員密切的跟蹤監督項目實施情況,從而能夠在此基礎上根據需要出具階段審計情況反映或審計報告,最終能夠有效的強化經濟責任審計和具體的審計效果。
二、建立油田企業內部審計長效機制要點
建立油田企業內部審計長效機制有著諸多的要點,以下從進一步深化審計內容、細化審計結果處理、增強聯動工作力度等方面出發,對于建立油田企業內部審計長效機制的要點進行了分析。
1.進一步深化審計內容
建立油田企業內部審計長效機制首先需要進一步深化審計的內容。油田企業在進一步深化審計內容的過程中首先應當努力的深化審計調查,并且在此基礎上進一步的建立起相應的服務決策制度。其次,油田企業在進一步深化審計內容的過程中還應當努力的加大審計調查實施力度,并且在這一過程中通過審計調查分析政策的合理性,同時還能夠剖析存在的普遍問題,最終能夠從體制與機制上提出審計建議。與此同時,油田企業在進一步深化審計內容的過程中還應當通過推行審計計劃公開制度來事前征求并且采納社會公眾的意見,最終能夠有效的確定年度審計計劃。
2.細化審計結果處理
建立油田企業內部審計長效機制離不開對于審計處理結果的有效細化。油田企業在細化審計結果處理的過程中首先應當著眼于構建出末端發現機制化審計問責,并且以此為基礎來進一步的建立起審計質詢制度。其次,油田企業在細化審計結果處理的過程中將問責情況公開并且通過邀請相關單位和利害人和有關民眾代表參加問責會議。與此同時,油田企業在細化審計結果處理的過程中應當
對于整改結果公開,然后以此為基礎來實行民主評議。在這一過程中當油田企業在推進開放和全面審計公開的過程中應當,合理的將經濟責任審計、專項資金審計納入審計結果公告的范圍內,最終可以起到取得良好效益的單位的成績和經驗。
3.增強聯動工作力度
增強聯動工作力度實際上就是努力的增強多方共同聯動的能力。油田企業在增強聯動工作力度的過程中首先應當著眼于建立起對口聯系制度。其次,油田企業在增強聯動工作力度的過程中還應當努力的為對口聯系單位提供日常咨詢服務,從而能夠在此基礎上幫助對口聯系單位完善規章制度并且可以進一步的促進規范管理。
三、結束語
油田企業內部審計長效機制的建立能夠起到良好的自我監督的效果。因此企業應當通過企業的順利建立與執行,從而能夠在此基礎上促進企業內部控制體系整體水平的不斷提升。
參考文獻:
[1]王宗秦.關于建立油田企業內部審計長效機制的設想[J].中國總會計師.20115,02(15):17-20.
[2]王婧婧.中石油XX油田公司資金鏈內審研究[D].重慶理工大學.2015,03.
[3]馬慶龍.石油企業建立風險導向內部控制體系的研究[D].中國石油大學.2014,04.
關鍵詞:建設工程;項目實施;跟蹤審計
0 前言
近幾年,全過程跟蹤審計工作越來越多的應用于工程建設領域,建設單位也逐漸認識到了這種審計模式的優點所在,并以此為基礎,尋找更為適用、合理和高效的跟蹤審計方法。本文就工程項目全過程跟蹤審計系統的含義、優勢、原則、內容和審計質量控制要點入手,著重分析了其在工程建設領域的具體應用。
1 審計含義和操作環境
(1)項目全過程跟蹤審計工作的含義和優勢
①全過程跟蹤審計的含義
工程建設項目的全過程跟蹤審計,是指相關審計部門以國家法律法規為依據,從建設項目的立項開始直至建設項目的竣工驗收,運用現代化的審計方法對與建設項目相關的項目設計、決策、招投標、施工和竣工驗收以及結算財務收支的合法性、有效性和真實性等方面分階段進行審計監督和評價,以維護國家和相關單位及業主的合法權益,促進廉政建設和科學管理工作的實施。
②全過程跟蹤審計的優勢
一方面,通過對工程建設過程的檢查和評價,可以很容易的發現施工過程中存在的建設問題并及時提出相關審計建議和意見,促進相關部門工作的進一步規范管理;另一方面,可以有效地控制投資規模和工程成本,進而保障工程資金正確合理的使用,提高項目工程的整體投資效益。全過程跟蹤審計立足全局,改變了傳統的只在工程竣工之后再集中進行結算審計的審計模式,實現了工程審計工作由靜轉動的模式轉化。
(2)項目全過程跟蹤審計工作所需的操作環境
建設工程項目全過程跟蹤審計有著涉及專業較廣、工作周期較長、責任風險較大和質量要求較高等特點。一個相對寬松的跟蹤審計環境,是做好全過程跟蹤審計工作的先決條件。對于內審機構,工作人員要在學習并掌握全過程跟蹤審計的概念、操作流程以及運行模式的基礎上結合公司對工程的特定審計程序,做好全過程跟蹤審計的流程再造和項目的宣傳匯報工作,并通過項目溝通,取得上層領導和有關部門的認可和重視,以確保項目全過程跟蹤審計工作的順利實施。
2 審計原則和審計內容
(1)審計原則
建設工程的項目建設不是某一單位可以單獨實施的,它是由多個單位和部門同時參與的一種綜合性建工活動。只有依靠各個參加者的相互配合、協調以及共同出力才能確保項目工程建設的順利進行。所以,必須要對工程項目進行科學合理的定位,在明確審計工作的目標后再開展項目全過程跟蹤審計工作,并需遵循以下原則:
①項目審計服從整體目標。工程項目的建設目標主要包括對項目的投資、項目的進度以及項目的建設質量達到規定的要求。在開展項目全過程跟蹤審計工作時必須要緊緊圍繞著工程項目的建設目標,在確立明確和具體的審計要求的同時加強審計過程中對各個項目建設目標的分析和評價,盡量做好各工程建設目標之間的優化和平衡。
②進行投資控制。建設工程項目全過程跟蹤審計工作的目標主要是控制投資額度,這也是全過程跟蹤審計工作的中心所在。在跟蹤審計過程中,要緊緊圍繞著這個中心來開展工作,在全方位監督建設資金的運用情況和對投資情況進行控制的同時,應用科學的價值工程理論對設計和施工方案進行一系列優化工作,并根據實際情況提出必要的合理化建議,以確保投資效益最大限度的發揮。
(2)審計內容
工程建設項目全過程跟蹤審計工作主要包括以下內容:
①對項目設計方案的優化和經濟比選、對項目預算的審查以及設計概算;
②對項目的工程施工合同、變更洽商、設備和材料、進度款項和費用索賠等的方面的審查和監控;
③對項目招投標底、招標文件以及投標報價的審查;
④對建設項目的投資估算和審核、對項目的可行性研究以及經濟評價;
⑤對工程最終結算的審查。
3 審計的質量控制
建設工程項目全過程跟蹤審計工作對于工程質量的控制可從事前控制、事中控制和事后控制三個方面進行。
(1)事前控制
①確定審計負責人和具體審計人員。在開展具體跟蹤審計工作前,審計部門要事先組成對項目工程專門的跟蹤審計小組,專人專職,責任到人。
②根據實際制定審計方案。在工程項目實施的各個階段,對于相關審計人員的工作內容、工作要點以及所需材料都要在審計方案中做出的明確規定,確保審計工作沒有疏忽和遺漏。
③聯合召開聯席會議。工程建設的每一個項目都是經過設計、施工建設等單位和部門協力完成的,由于全過程跟蹤審計就目前而言還是一種新生的事物,有的人會錯誤的理解其相關職能,甚至會產生抵觸情緒,而這些都不利于工程建設和審計工作的正常進行。為了便于工作的順利開展和讓大眾進一步的了解全過程跟蹤審計工作,在跟蹤審計之前要聯合相關職能部門共同召開一次聯席會議,討論具體的跟蹤審計方案,在聽取好的建議的同時也可以讓相關部門了解全過程跟蹤審計工作的職責,確保審計工作能在一個和諧的環境中有效開展。
(2)事中控制
在項目建設過程中,全過程跟蹤審計工作要緊緊圍繞控制投資這個工作核心,集中各部門的力量完成以下工作環節。
①設計階段。做出投資決策后,一個項目成敗的關鍵點就在于對項目的設計。在設計階段,跟蹤審計工作的具體工作內容是審查設計單位的資質,檢驗設計深度及工程質量能否滿足建設要求,設計費用是否在項目的計劃投資額度以內以及設計能否達到限額要求等。
②招標、投標階段。此階段的審計工作主要是審查工程量清單和參與標底答疑,具體即審查建設項目的工程量清單是否完整準確,項目招標的范圍是否完整、文字表達有無錯誤、評標辦法是否科學以及招標程序是否符合法律規定等。這一階段要特別注意合同文件、招標文件和投標文件的統一性,避免矛盾的產生。
③項目實施階段。即施工階段,這是對項目投資的具體實施,此時的跟蹤審計工作對能否降低投資成本具有重要意義。這一階段的審計重點是,工程投入資金的使用、設備和材料的采購使用、工程變更問題、工程施工的具體執行情況、工程簽證問題以及工程質量的審查與驗收等。
④結算審核階段。對于一個建設項目來說,工程結算是對此項目的投資匯總和最終造價費用的確定,此階段的結算方式需要和合同上約定的相一致。在具體審核前,要先熟悉各類項目文件,并根據文件明確可調整內容,然后再依相關資料審核定額套用、材料價格、工作量計算、費用計取以及讓利額度等是否符合相關規定。在審計時,要時時與相關部門保持溝通,在堅持原則、公正客觀的同時也要注意相應的工作方法,以確保工程的最終造價能得到最大限度的反映。在審計結果得到合同雙方的確認后,審計人員要出具相關的審計結果通知書。
(3)事后控制
在項目建設完成,出具審計結果通知書以后,還需要做好相關審計資料的歸檔工作。將審計底稿、招投標文件、中標通知書、施工合同及其附件等資料進行統一整理后登記歸檔,建立真實完整的審計項目檔案,做到一事一檔。
4 結語
在實際運作中,全過程跟蹤審計工作的開展還需要在具體的實踐中不斷發展和完善。工程審計需要實現傳統型審計模式向管理型審計模式的過渡和延伸,在全面、全過程的跟蹤審計中找出項目建設的薄弱環節,規范和提高工程建設的投資行為和相對應的管理水平,爭取創造和取得最佳的投資環境和投資效果。
參考文獻:
[1]林玉茹.建設項目全過程跟蹤審計研究[D].華南理工大學,2012(11).
[2]宋媛媛.建設工程項目全過程跟蹤審計分析[J].江蘇建筑,2009,(13).
[3]蔣炎.建設工程實施全過程跟蹤審計的基本做法[J].航天工業管理,2009,(06).
[4]周玉萍.基建工程項目審計存在的問題與對策[J].黑龍江科技信息,2008,(03).
【關鍵詞】風險導向 建設項目 跟蹤審計
一、建設項目跟蹤審計的現狀和問題
近年來,企業建設項目數量日益增多,資金投入越來越大,但立項調研和論證不充分、人為干預、條件不成熟盲目上馬等情況時有發生。因此推進建設項目跟蹤審計,加強對建設項目風險的過程控制,已成企業共識。寶鋼在加強投資活動管控方面明確要求,投資審計除繼續開展造價審計和決算審計外,更要強化投資項目的過程審計,避免投資決策失誤和過程管理失控導致的國有資產損失。
寶鋼國際是寶鋼股份的全資子公司和鋼材營銷平臺,公司近年不斷加大對直接服務終端用戶加工配送體系的建設投入,已在建設項目管理中出現了“建設項目多、建設點分散”(公司的新建、擴建項目長期保持在10~20項,投資額達20多億元,分布在全國10多個省市)及“項目建設內容相似”(建設項目以服務終端用戶的加工配送中心為主,項目廠房、辦公樓、設備等建設內容相似)等情況。
寶鋼國際從2005年開始探索建設項目跟蹤審計工作。最初是推進建設項目全過程審計,委托中介機構試點,從事前、事中、事后對建設項目進行全過程的監控,這樣的操作方式克服了竣工決算審計模式的缺點,但同時也存在審計周期長、人力投入多、費用高等問題,而公司專職從事建設項目審計工作僅有幾個人,公司內審的人員資源狀況不能支撐在全國各地所有的建設項目中全面開展全過程審計工作。
二、引入風險導向審計,創新建設項目跟蹤審計工作
風險導向審計是在對被審計單位或事項的重大差異或缺陷風險評估的基礎上,根據風險水平確定審計范圍及重點,有針對性地編制審計工作方案、設計審計程序,使有限的審計力量能在審計業務之間作出合理分配,既能有效利用審計資源,提高審計工作效率;又能使風險降低至可接受水平,從而有效控制審計項目的整體審計風險(徐宣興,2011),進一步采取后續審計的形式來落實審計意見或建議。
結合公司建設項目的建設內容相似以及審計工作主要委托中介機構完成的特點,我們在引入風險導向審計的同時又進一步優化創新。(1)結合對公司建設項目中各類問題的梳理,從整體上識別和評估公司建設項目管控的關鍵環節和風險點,梳理出12個主要環節共37項管控要點。(2)對管控關鍵環節和風險點進行審計分層管理,對諸如“施工合同”、“進度付款”和“造價結算”等涉及到重大資金風險的關鍵控制點,審計工作由事后向事中和事前延伸,盡可能從源頭上遏制工程造價糾紛和投資損失。(3)對每一個具體的建設項目,實行“標準+α”審計管理,“標準”即梳理出來的12個主要環節共37項主要風險點,經充分討論,固化審計流程和方法,審計需按照標準流程操作;“α”是指審計人員可根據項目具體特點和風險水平在一定程度內調整審計范圍及重點。
1.風險整體識別。從對建設項目影響和風險來看,越前期的業務環節對項目影響越大。例如投資立項環節決定了項目是否上馬;設計勘察環節決定了項目絕大部分的設計方案選擇等。可見,前期業務環節既是項目的起點,也在很大程度上決定了項目投資的成敗,管控要點都是對前期業務環節內容的具體落實。風險管控的關鍵點是“落實”,審計中最需關注的是項目單位各類既定方案的執行(初步設計方案符合經批準的可研報告及估算、項目實施符合經批準的初步設計方案)情況和對各類變更的管控情況。
同時,在37個管控要點中,雖然合同管理只占3個,但是從另一個角度看,當項目方案確定后,招投標活動是解決合同簽訂依據的問題;各項材料設備采購、前期準備、進度、質量和投資的控制依靠對合同有效執行;各類變更最終體現為相關合同的變更;項目風險的控制最主要的也是對合同付款風險的控制。因此,建設項目的風險管控從某種意義上可以看作對其所涉及一個個合同的風險管控,建設項目審計可以合同為切入點,取得合同臺賬,檢點環節的合同具體執行情況等。
關鍵詞:IIA 跟蹤審計 價值增值 工程物資 審計表單
一、IIA框架下工程物資審計的職能變遷
現階段工程物資審計還停留在主要是以核算物資采購為重點。隨著市場經濟的不斷發展,電力工程的投資與利益局面出現了多樣化,這就對電力工程的效益審計提出了更高要求與需要性。這種動態審計方式,不僅是對會計成果進行評價,還應對全過程進行跟蹤審計,才能事先發現問題并積極解決,有效避免財務風險,強調管理,改變以往審計工作介入的滯后性問題。即要對工程物資管理實施實時、全程的跟蹤審計。
跟蹤審計是在工程開工至竣工的整個施工期間,咨詢業的會計師、造價工程師根據國家的有關方針政策、現行的法律、法規和相關的技術經濟指標等,運用科學的計算方法、切合實際的計價依據及相應的技術規范,獨立、客觀、公正、公平、合理地確定和控制建設項目投資和質量的全過程。通過跟蹤審計,發現和評價工程管理程序和關鍵控制點中存在的問題,隨時幫助工程建設單位糾正偏差,實現對工程項目管理全過程的審計監督與控制。項目工程跟蹤審計的目的是促進建設單位加強管理,控制投資,節約投資,減少浪費,縮短建設周期,提高工程質量,保證建設資金合理、合法使用,從而提高投資效果。項目跟蹤審計包括建設項目前期、在建、竣工及投資效益等多環節、全方位、全過程的審計。
IIA(2009)在對內部審計的定義中突出了內部審計“咨詢服務”和“價值增值”的理念,劉家義(2008)審計長也提出了“免疫系統”的思想,都要求內部審計在查錯糾弊和防范風險的同時,提升內部審計的層次和范圍,將審計的重點轉向改善企業整體運營和促進企業價值增值方面。在此框架下工程物資審計等業務將在查錯糾弊和防范風險的基礎上,更加注重與優化資源配置和實現價值增值的目標。
在IIA框架下,工程物資審計需要在實現全程跟蹤審計的基礎上,優化資源配置,對于重要環節,優先配置資源重點監管;從價值角度和戰略高度,改進工程物資審計流程,豐富工程物資審計內容,強調事前審計和風險預警。工程物資審計的目的和核心:(1)控制工程成本,合理使用和管理建設資金,有效防范企業工程風險;(2)通過改善工程物資管理的效率和效果,加速資本運行和施工效率,提升企業的盈利能力,保障企業價值戰略的實現。IIA框架下工程物資審計的重點和內容發生轉移和拓展,為此,本文將對現行的工程物資審計的關鍵環節進行重新分析,再相應的調整和設計工程物資審計表單。
二、IIA框架下工程物資審計的關鍵環節分析
工程物資審計是指對項目建設過程中物資計劃、采購、驗收、保管等環節各項管理工作進行審查和評價。在IIA框架下物資管理審計目標主要包括:審查和評價物資管理環節內部控制管理的適當性、合法性和有效性;物資計價真實性;物資的所有權;采購資料依據的充分性與可靠性;采購環節各項經營管理活動的真實性、合法性和有效性等。在IIA框架下物資管理審計主要包括以下內容:一方面為建設方提供物資,包括:物資計劃、物資采購、物資驗收入庫、保管及維護;各項采購費用及會計核算;物資領用、物資出售、廢舊物資處理、盤盈盤虧等。另一方面為承建方供應物資,主要是審計是否符合甲乙雙方之間的約定等。
在IIA框架下,對電網工程物資管理實施全過程跟蹤審計應當重點監控以下四個主要環節:
(一)對工程物資計劃的審計。主要包括:(1)工程物資計劃可行性研究報告審計。對工程物資計劃的可行性研究主要包括兩點:一是進行初步可行性研究審計;二是進行經濟可行性研究審計。(2)工程物資需求狀況審計。需要從供需預測、需求計劃的編制、需求計劃的初步審查、需求計劃的批準、需求計劃的匯總、需求計劃的上報、需求計劃的變更和緊急需求計劃管理這幾個方面進行審計。(3)設計任務書審計。主要從設計單位資質,設計依據、標準、規范、定額,設計的深度和質量,設備采購計劃等方面進行審計,另外,還要對物資的供應商進行仔細審核。(4)工程物資采購項目概預算審計。主要審查工程物資項目概預算是否嚴格執行了有關規定,編制依據是否合法、合規,是否做到了限額設計,設計總概算是否控制在工程項目計劃投資額內,施工圖預算是否控制在概算內,投資、概算、預算是否相互控制,有無高估冒算的問題。
(二)對工程物資采購的審計。主要包括:(1)對物資采購全過程、全方位的監督。審計重點是對計劃制定、簽訂合同、質量驗收和結賬付款四個關鍵控制點的審計監督。(2)對物料需求和物資采購計劃的審計。關鍵控制點包括:企業采購部門物料需求;物資采購計劃的編制依據;調查預測;計劃目標;采購數量、采購目標、采購時間、運輸計劃、使用計劃、質量計劃。(3)對物資采購招標與簽約審計監督。包括對采購經辦部門履職情況;供貨方的生產狀況、質量保證、供貨能力、企業經營和財務狀況;每年是否對供應商進行一次復審評定;合同中規定的品種、規格、數量、質量、交貨時間、賬號、地址、運輸、結算方式等各項內容。按照合法性、可行性、合理性和規范性等標準,逐一進行審核。(4)對物資采購合同臺賬、合同匯總及信息反饋的審計。(5)對物資采購合同執行中的審計。包括審查合同的內容和交貨期執行情況,審查物資驗收工作執行情況,不合格品控制執行情況審計,管理審計還應重視對合同履行違約糾紛處理的審計等。(6)對物資采購績效的審計考核。
(三)對工程物資驗收環節和保管環節的審計。(1)對工程物資的驗收環節審計主要是審核物資材料價差和質量等是否真實。(2)對物資庫存管理的審計工作主要從以下三方面入手:物資入庫管理;物資出庫管理;庫存查詢。
三、IIA框架下工程物資審計的表單設計
基于上述分析,本文在IIA框架下重新設計了工程物資審計的表單,具體如下:
參考文獻:
1.鄧健.淺談電力工程物資采購成本的控制[J].經濟師,2011,(06):104.
2.樓秀君.電力工程審計要點和重點[J].農村電氣化,2009,(09):13-14.
3.李豐延.施工企業物資采購風險導向審計初探[J].新疆電力技術,2009,(03):66-68.
4.何瑾.淺析電網企業物資采購與管理措施[J].經營管理者,2010,(13):155-156.
工程項目跟蹤審計指審計部門自工程項目立項開始至工程項目竣工驗收,依法對與工程項目有關的財務收支的真實性、合法性、效益性,分階段進行跟蹤審計監督,跟蹤審計立足項目全過程的審計監督,實現了審計工作從靜態向動態轉化。
一、工程項目跟蹤審計的原則
開展工程跟蹤審計工作應遵循下列原則:一是服從項目總體建設目標。跟蹤審計時必須明確具體要求,圍繞工程項目建設目標開展工作,加強對各建設目標分析、評價、平衡與優化。二是以投資控制為中心。在進行跟蹤審計時應緊緊圍繞這個中心開展工作,監督建設資金的運用、投資的控制情況,提出合理化建議,以最大限度地發揮投資效益。
二、工程項目跟蹤審計的質量控制
1、跟蹤審計的事前控制
審計部門參與工程建設全過程跟蹤審計時,應派出專職審計人員進駐施工現場,全過程全方位的跟蹤監督與管理。審計人員應由造價審計人員、財務審計人員和工程技術人員組成。審計人員的工作要點、主要內容以及相關部門需要提供的審計資料在審計方案里都應做出明確規定。這樣,審計人員在工作中可對照審計方案檢查自己的工作是否做得完整、到位,有無疏忽遺漏。工程項目建設是一項綜合性強的技術經濟活動,涉及的部門和人員多,需要許多人和單位共同努力才能完成。因此,加強與相關職能部門的溝通十分必要。
2、跟蹤審計的事中控制
跟蹤審計的目的是規范管理,有效控制工程項目投資。審計工作必須緊緊圍繞經濟活動這個核心,項目實施過程中有關造價的環節是跟蹤審計的重點。因此,跟蹤審計應集中力量抓好以下幾個重要環節:
工程項目設計階段。在項目做出投資決策之后,控制項目投資的關鍵就在于設計,設計階段影響投資的因素很多,其中設計標準、設計方案、結構安全系數等都對工程造價影響很大。設計階段的跟蹤審計工作目標是確定設計單位資質是否符合規定,設計的深度和質量是否滿足要求,設計是否控制在工程項目計劃投資額內,設計是否達到限額設計要求。
招投標階段。審查工程量清單并參與標底答疑。現行的工程量清單招標實行量價分離,量的風險由甲方承擔,因此審計人員應根據招標文件及圖紙要求審查工程量清單是否完整、準確,以減少結算中因量的變化帶來造價的增減。審查招標文件并全過程參與工程招標。對于招標文件主要審查其招標范圍是否完整;文字表達是否準確;評標辦法是否科學;程序是否合法。審計人員參與招標過程,便于對評標過程全面的了解,特別是商務標部分,出現超低或超高價,審計人員應對這些“超常價”進行對比分析,找出原因。在評標過程中,施工單位的現場答疑及承諾,審計人員應要求以書面形式記錄備案,一旦其中標,將寫進合同條款合同簽訂階段。工程施工合同是承包人與發包人之間為完成商定的建設工程項目,確定雙方權利和義務的協議。它是工程建設質量、進度、投資的主要依據,在市場經濟條件下,甲乙雙方之間相互的權利義務關系主要通過合同確定。合同審查的重點是:合同主體是否合法;內容是否符合國家法律、法規;形式是否符合該工程特點;文字表達是否準確;合同條款是否完整。特別是投標時不考慮,而在結算時需調整的項目:如趕工措施費、優質工程獎等如何計取;在履約過程中出現的變更、簽證等如何處理;如何界定違約及相應的法律責任等。另外,還應特別注意的是合同文件與招標文件、投標文件三者之間的統一,避免產生矛盾。
施工階段。施工階段是項目投資的實施階段,加強對施工階段的審計對降低投資具有重大的意義。施工階段審計重點環節有:設備材料采購和使用、工程資金使用、工程施工執行情況、工程質量與驗收、工程變更和工程簽證、工程索賠。
決算審核階段。審核前,首先要熟悉合同和投標文件,弄清招標范圍,明確哪些內容可調整,哪些內容不可調整,對于可調整的部分,要與甲方、乙方、監理多溝通,以事實為依據,以法律為準繩,既要客觀公正、堅持原則,也要注意工作方法,最大限度的使工程造價得到準確反映。審計結果在得到甲乙雙方共同確認后,審計人員出具審計結果通知書,審計結果通知書中除了寫明審計結果、核減(增)額,還應把一些特殊事項交代清楚。
3、跟蹤審計的事后控制
工程審計結束后,必須及時將審計工作底稿、招標文件、投標文件、中標通知書、施工合同及附件、現場變更及簽證紀錄、審計結果通知書等資料整理登記歸檔,并對審計數據資料進行信息化處理,建立審計項目檔案。檔案資料必須真實完整,不得有遺漏,做到一事一檔,事完檔成。
三、工程項目跟蹤審計注意的問題
1、跟蹤審計工作的定位
作為工程項目建設中的一方,務必保持審計獨立性,處理好監督與服務的關系。在開展跟蹤審計過程中防止兩種傾向:一是越俎代庖,大包大攬。應保持審計的客觀性、獨立性、公正性,避免審計風險的發生。二是將跟蹤審計工作等同于傳統的事后審計,與工程建設的其他工作隔離開,不能為工程建設提供合理、有效的審計建議。
2、提高跟蹤審計人員的業務素質
傳統審計工作重點放在事后對數據和文字資料的審核上,審計人員很少深入施工現場,不了解新工藝和新材料而可能會導致審計結果失真。再加上部分審計人員對全過程跟蹤審計理論和方法缺乏了解,思想還停留在傳統審計模式,從而使跟蹤審計工作流于形式。因此,要高效地開展跟蹤審計工作,首先要提升審計人員的政治素質,強化審計人員的責任心和敬業精神,樹立崇高的工作責任感和職業道德;其次,改進工作方法,完善審計制度,讓審計人員充分了解建設工程全過程造價管理的理論,制定出工程項目全過程跟蹤審計制度和實施細則,保證跟蹤審計有效實施;最后,提高審計人員的專業水平,注重審計人員綜合能力的培養,以提高全過程跟蹤審計工作質量。
3、制定切實可行的審計方案
由于工程項目具有獨特性、復雜性和多樣性的特點,是一次性非重復性工作。因此,跟蹤審計方案必須與工程項目相適應,切忌生搬硬套,否則非但不能起到指導性作用,反而讓被審單位認為跟蹤審計只是走走過場,搞形式主義,降低了審計的權威性。因此應從實際出發,根據不同項目特征、不同施工方案,有針對性地制定跟蹤審計方案,使審計方案切實可行,真正對審計工作具有指導作用。
4、設置審計查證作業關鍵控制點
一、項目立項階段
主要審計項目建議書或可行性研究報告的內容是否完整,是否符合國家計委《關于投資項目可行性研究報告的試行管理辦法》的規定;審計查可行性研究報告論證是否充分,有無虛假,各項數據是否齊全,可信度如何;審查建設項目場地、規模、建設方案是否經過多方案比較;運用經濟評價、效益分析考核對投資估算和預計效益進行復核、分析、測評,是否進行動態、靜態分析及財務、效益分析,重大項目是否進行國民經濟評價;審查建設資金安排是否合理,估算和概算內容是否完整,指標選用是否合理,資金有無正當來源渠道,貸款有無償還能力,投資回收期是否正確。
二、設計(勘察)階段
在初步設計階段,是否推行工程限額設計;在設計招標過程中是否設置一個合理的投資控制目標,是否要求設計單位應用價值工程的原理和方法進行方案優化,提出至少一組方案參與競標;是否要求設計單位盡可能詳盡準確地編制每個方案的設計概算;設計單位是否重視工程投資控制,核查設計單位是否全面落實了限額設計目標。審查概算是否依據有關部門批準的可行性研究報告及投資估算進行編制,是否要根據已批準的項目報告書所規定的建設規模、建設內容來編制;對總概算投資超過批準估算10%以上的,是否查明原因,重新編制或調整概算上報審批;審查編制概算所依據、套用的概算定額、概算指標、價格定額、稅率是否適用,有無違反國家規定高套、混套定額,擅自提高取費標準。審查概算編制是否依據國家有關部門的現行規定進行編制,各種編制依據是否符合規定的適用范圍。
三、招標投標階段
對招標工程量清單位的審計要點。審計工程量清單包括的內容是否完整;審查分部分項工程量清單包括的內容是否全面準確,特別是關注項目特征的描述是否詳細準確,不留爭議。對招標控制價的審計要點。審查建設單位是否采用招標方法進行編制;工程量清單及招標控制價的編制內容和深度是否全面、準確和清晰;招標控制價中材料暫估價、專業工程暫作價的設置是否合理。
四、施工采購合同簽訂階段
審查合同的工程質量標準是否符合有關規定;審查合同工程造價計算原則,計費標準及其確定的辦法是否合理;審查所規定的付款和結算方式是否合適;審查合同規定的隱蔽工程的工程量的確認程序及有關內部控制是否健全,有無防范價格風險的措施;審查采購合同是否按公平競爭、優質廉價的原則來確定供應商;重點審查建設單位的材料及設備的采購是否通過真正意義的招標競價,采購價格是否合理;檢查采購合同是否明確材料設備的規格、品種、質量、數量、單價、包裝方式、結算方式、運輸方式、交貨地點、交貨時間、交貨方式;審查合同中是否明確付款時間、付款方式、驗收時間、驗收地點、驗收標準、驗收方式等;審查采購合同中是否明確保修方式、違約責任、和爭議處理方式。
五、工程施工階段
目前審計部門提倡的跟蹤審計主要內容集中在施工過程審計階段,績效審計主要以工程變更、簽證、價款調整和索賠為審計重點。工程變簽證的價款調整情況。工程變更是否經建設單位、監理單位、設計單位、現場跟蹤審計的代表簽字,手續是否完備;審查變更的必要性、合理性、效益性;審查簽證的程序是否到位,手續是否齊全,簽證的內容是否真實、準確;審查變更價款中的綜合單價、措施費調整及工程變更引起的合同價款的調整與支付是否符合合同約定。
六、竣工結算階段
審查工程量清單的數量計算是否符合有關規定,計價方式是否符合合同約定;清單項目單價是否按投標單價執行;工程量調整是否有依據,是否符合招標文件要求、投標承諾和合同約定;主要材料的消耗量計算是否正確,材料價格是否與報價相等,價格調整是否有依據;甲供材料的品種、數量和結算是否正確;措施費調整是否有依據,計費依據、計算結果是否正確;各種稅費和規費計取是否符合稅務和相關管理部門的規定;工程質量獎懲事項是否得到落實;工期獎懲事項是否得到落實。
七、竣工決算階段
1、招投標階段的造價跟蹤控制要點。工程招投標是按市場公平競爭方式以合理低價擇優選擇施工企業或供應商的一種有效機制,此階段工作結果直接影響工程建安造價。在此階段,造價咨詢單位協助建設單位制定招標計劃,編制招標文件、工程量清單和招標工程攔標價;協助評審投標書,提出評標建議;明確界定包干費、風險系數等特殊取費的內容和范圍,編寫招標文件;協助建設單位綜合考慮施工單位的信譽、人員素質、工程施工組織設計、質量保證措施等條件;特別注意施工方案對造價的影響及工程合同簽訂,明確工程項目的承包范圍、結算方式,合同價變更的規定,材料、設備的供應方式,分包工程的管理等方面的內容,避免“低報價、高索賠”的發生,提醒建設單位注意建設工期對工程造價的影響。
2、施工階段的造價跟蹤管理要點。施工階段是落實工程合同、實施投資控制的操作過程,是工程設計意圖最終實現并形成工程實物的階段。這一階段造價咨詢單位的控制重點是材料核價及工程簽證管理,應采取有效的措施加強該階段投資控制,具體如下。一是設備、材料核價。在業主確認的設備、材料品牌、生產廠家、型號、材料等級基礎上,各專業造價工程師核算、項目經理審核以及公司技術經理復核后向業主出具設備、材料批價單。此外,依據項目咨詢部建材及造價的數據庫系統為業主提供合理的設備、材料市場價格。二是設計變更的造價控制。設計變更是影響投資的重要因素,因此施工階段造價控制應始終將工程費用保持在受控狀態并做到可預控性。跟蹤審計特別需要注意的是非正常變更。即因設計失誤、遺漏而導致的變更,由設計單位向造價咨詢單位提交有關工程費用計算書,并附上“工作聯系單”,造價咨詢單位審核因設計失誤引起的費用增加后,及時向業主報告,由業主裁決。三是對現場簽證的管理。現場簽證的管理直接反映工程項目管理的水平,施工中的隱蔽工程、現場簽證是增加工程造價的重要因素。應嚴格簽證制度,明確工程、預算等部門及相關人員的職權分工,確保簽證質量、杜絕不實及虛假簽證。注意收集工程施工的有關資料,強調辦理工程簽證的及時性,對簽證的描述要求客觀、準確,簽證發生后應根據合同規定及時處理,要加強可預見性,盡量減少簽證發生。
3、竣工驗收階段的造價管理要點。竣工結算階段是投資控制全過程的最后一個環節。造價咨詢單位在竣工驗收階段應認真及時地進行審核結算工作,根據合同條款、圖紙、定額及工程預算書等,對工程變更、工程量增減、材料替換等逐項審核;仔細核對工程條款,檢查隱蔽工程驗收記錄,按竣工圖核實工程量,注意各項費用的計取,使竣工結算真實反映出工程造價;分析預決算報告的相關資料與指標,將竣工項目總造價和單方造價與預期的造價作對比分析,編制造價控制報告;建設項目在竣工驗收后的保修期內,應進行回訪,協助業主做好索賠;對項目投資效果進行考核,判斷最初的投資決策是否正確,分析其在使用過程中是否達到設計目的及成本控制,有利于以后同類項目進行投資控制分析。
二、咨詢方跟蹤審計中存在的問題
1、授權局限問題。由于很多建設單位成本管理意識淡薄,選擇性開放咨詢機構的成本管理權限,只是允許參與預決算編制、進度款審批等常規性咨詢工作,遠不能實現項目咨詢跟蹤審計工作服務建設單位的目的。
2、參與深度問題。基于商業保密及咨詢行業誠信等方面的考慮,建設單位對咨詢機構成本管理參與范圍有選擇性,比如施工單位評審、目標成本編制、經濟標評審、分包單位資格預審等工作咨詢機構參與度不高,沒有真正形成全過程跟蹤管理的模式,削弱了咨詢公司專業性和技術經濟的發揮。
3、責權對等問題。咨詢公司作為人力資源為主的勞動密集型服務行業,市場進入門檻較低,惡意競價較為激烈,其自身發展緩慢、不均衡,導致自身綜合實力、抗風險能力及誠信度有限,與建設單位雄厚的綜合實力,及其對咨詢公司責任的期望相比有巨大落差,導致咨詢機構承擔的責任與權利極不相稱。
4、現場簽證管理問題。現場簽證的管理直接反映工程項目管理的水平,施工過程中的隱蔽工程、現場簽證是增加工程造價的一個重要因素。由于工程、監理、預算等有關部門及人員職權分工不明、相關部門人員責任感不強、簽證制度不完善及缺乏相互監督機制常導致不實甚至虛假簽證的發生。
5、與監理單位銜接問題。造價咨詢工作代表業主在投資控制角度參與項目各方協調,造價咨詢單位除對項目施工、設計和供貨單位的價格及合同進行管理之外,還要明確與監理單位的工作分工。尤其在施工初期施工單位剛進場,對投資控制程序和協調環境不熟悉,施工后期裝修、安裝單位平行施工工種多、協調事項復雜的情況下與監理單位合理溝通,及時驗收對工程造價控制具有重要作用。
三、相關對策
1、授權局限問題對策。建設單位逐步轉變觀念,通過咨詢合同真正實現咨詢機構全過程、全程參與成本管理的目標,讓專業人做專業事。此外,咨詢機構作為具有民事權利能力和民事行為能力,依法獨立享有民事權利和承擔民事義務的組織,能夠承擔一定的經濟責任和社會責任。營造一種咨詢機構全過程參與成本管理的環境,真正實現咨詢效益的最大化。
2、參與深度問題對策。在建設單位的幫助和支持下,通過加強自身的管理,提供優質高效的咨詢成果來逐步建立咨詢機構的專業性和誠信地位,具體對策有:規范行業行為,加強行業管理,建立和維護咨詢機構專業性、客觀性、誠信的行業形象;在圓滿完成咨詢合同規定的工作要求外,積極提供超值服務;加強公司管理,增強企業自身實力,爭取能夠有足夠實力承擔較大的經濟風險和社會責任。
3、責權對等問題對策。規范造價行業標準,建立完善造價行業管理制度,堵截惡意價格競爭,提升咨詢公司綜合實力,形成造價公司有誠信承擔責任,有能力和有資格爭取到自己合法權益的良好市場環境,做到真正意義上的責權對等。
4、現場簽證管理問題對策。嚴格簽證制度,明確工程、預算、監理等有關部門及人員的職權分工,特別是明確監理的職責范圍,對工程材料質量、施工質量、工期進行全面的監督。對施工過程中的簽證材料進行嚴格的審查,分清責任,強調辦理工程圖1優化后的指令程序圖簽證的及時性,簽證發生后應根據合同規定及時處理。嚴格四方簽證制度,所有的現場簽證必須經施工單位項目經理、總監理工程師、咨詢單位代表、業主代表四方共同簽字方為有效。簽證內容必須與實際相符,簽證的范圍必須正確,切勿盲目簽證。
5、與監理單位銜接問題對策。要求咨詢單位在成本控制管理方面和監理單位之間要分工明確,緊密配合、及時溝通、定期協調。具體有效溝通措施有:咨詢組定期參加由監理單位召開的工作例會,參與重點部位及隱蔽工程驗收,從成本管理角度提供咨詢意見,定期對監理人員的工程簽證辦理進行培訓及檢查;成本部、工程部、監理單位下發的監理月報、工程指令等各類工程文件轉發咨詢部備案,便于動態成本管理。
四、案例分析
結合上述分析,以鐘祥購物廣場為例進行案例分析。該項目總投資6億元,建設工期1.5年,總建筑面積21萬m2,主要由5棟34層住宅、1棟20層酒店及配套商業裙樓等業態組成,某咨詢機構和建設單位簽訂咨詢合同,負責配合建設單位成本部參與全過程的成本管理工作。在項目建設過程中,通過咨詢方有效的跟蹤審計工作方法,取得了較好的咨詢成果,本文從獲取授權和參與度、現場簽證管理、協調監理單位三方面來分析咨詢方的工程造價跟蹤審計工作。
1、授權局限及參與深度。由于該建設單位屬于國有大型企業,其組織結構和項目管理模式屬于典型的權責逐級分配的等級架構,全過程跟蹤審計在實際操作中權限及參與度受到很大的阻礙,比如總包招標過程,僅安排咨詢方負責招標工程量清單、攔標價等一般性造價管理工作,而投標單位資格預審、招標文件等均由建設單位完成。咨詢單位在主動配合成本部做好授權內工作的同時,結合該項目特點提出了一些符合市場化規范項目管理的咨詢建議,比如編制出嚴謹全面的招標文件及總包合同等。建設單位在認可這些有效建議,逐步放開權限強化咨詢方的參與深度。
2、現場簽證管理。該項目成本部依然沿用過去落后的現場簽證管理制度,存在著職權和分工不明晰、簽證制度不完善及缺乏相互監督機制等問題導致的虛假簽證發生的風險。比如基坑支護工程的柴油發電機費用簽證中,咨詢方發現建設單位簽證管理存在諸多的問題:一是簽證部門責任不明;二是簽證流程不規范;三是簽證內容及工程量不規范。針對以上存在的簽證問題,咨詢方積極和項目部負責人溝通,采取了以下有效措施:一是明確部門簽證工作分工及職責,監理單位及工程部只對實際發生的工程內容及工程量進行記錄和簽證,咨詢部負責對實際發生的工程量進行審核及費用計算,價格及費用由成本部負責簽證和辦理,最終決策權歸項目負責人;二是規范簽證(工程指令)程序及管理,優化后的指令程序圖如圖1所示。
3、協調監理單位。監理單位在造價控制管理方面參與意識相對被動,現場成本管理水平較低,如該項目中商業內裝修工程現場實物工作量驗收滯后,簽證辦理積壓,導致商業內裝修竣工4個月后結算資料還缺失,施工單位不能按期結算工程款。咨詢部接受項目部負責人委托,針對監理單位工作問題采取有效措施:咨詢方定期參加監理單位例會,明確工作的部署;咨詢部全面負責審計工作,各類工程文件(監理周報及月報)都須到咨詢部備案;監理單位的工程指令需要成本及咨詢部進行審核;咨詢方定期檢測監理人員的簽證工作等。
五、結論
建設項目在開工前進行的立項決策、設計、概預算以及招投標等各項工作為前期的準備工作,而建設項目的前期審計監督是跟蹤審計的一項重要工作。
1設計概算審計的主要控制點設計概算審計是控制投資規模、實現投資效益的重要措施之一,設計概算審計主要控制點是審計概算編制方法是否正確,是否符合了規定的定額和指標,有錯套定額和不套定額的行為,各種取費文件是否符合國家、地方或行為的文件要求,取費基數是否正確;對高估冒算、多計、重列的概算投資予以核減;確需調整概算總投資的,督促修正、調整、追加概算,從而提高設計概算的正確性和嚴肅性。如某工程項目審計概算中發現零星項目工程費為直接費部分的3%,依據2011年上海市建筑和裝飾工程概算定額的相關說明及工程擴初設計深度的實際情況,審計提出零星工程費率調整為6%,確保設計概算合理、合規。
2施工圖預算審計的主要控制點施工圖預算審計是確定和控制投資額的有效手段,它的主要控制點是審計單項工程預算編制是否真實、準確;工程項目設計是否符合經批準的標準要求;設備、材料是否存在超標或不達標現象;工程取費是否執行相應計算基數和費率標準;利潤和稅金的計算基數、利潤率、稅率是否符合規定;復合、子母、交叉工程的費用內容是否正確;預算是否控制在概算允許范圍以內。
3招投標審計的主要控制點工程招標的合法性和規范性是跟蹤審計的主要控制點之一。招標文件是由招標人或受其委托的招標機構編制,并向投標人提供的為進行招標工作所必需的重要文件,它既是投標者編制投標文件的依據,又是招標人和中標單位商簽合同的基礎,對招投標雙方都具有約束力。主要控制點:①審計工程綜合說明是否完整和清楚。寫明擬建工程的合法性;對工程概況、招標方法、發包范圍、設計單位、現場的“四通一平”等情況是否作簡要的說明;對工程項目的結算辦法、保修工作承諾等是否明確。②審計技術文件是否規范和詳盡。技術文件應對工程要求做出詳盡的說明,對圖紙資料的說明要清楚,定標依據要公正、公平、合理。③審計是否明確責任,分清是非。應盡可能減少暫定項目,防止在工程施工階段工程造價的追加;要充分體現建設方的要求,主要材料的采購和設備的選用要經濟實惠;對設計變更和工程簽證而產生的投資失控,在招標文件中要明確約定其應承擔的責任。④審計對投標的要求是否明確,要告知投標者投標時應注意的各方面事項,要強調廢標的條件,明確廢標的認定標準和方法等。如在審計某大樓招標文件時,發現該工程項目合同價約1.2億,合同首付款達千萬元,但招標文件中對預付款、合同履約條款等并無擔保要求,學校將承擔很大的風險,為此審計提出要求:中標單位必須提供履約保函,規避學校的建設投資風險。
4工程量清單審計的主要控制點工程量清單是由招標人在招標時提供的,它包括了承包人完成工程施工的全部項目,其準確與否直接影響合同管理和費用的控制。審計的主要控制點是審計工程量計算的真實性、正確性和完整性,以及清單列報主材品牌和價格的審計。按照有關標準、規范,對照招標文件、圖紙、變更、答疑等資料,審計工程量計算方法和數據的準確性,是否存在工程量多報、清單的描述是否準確全面,是否存在錯項、漏項或重復計算等現象。如某工程因招標清單漏列通風項目,需追加達100多萬元,給造價的控制造成了一定的影響,因此認真細致的審計工程量清單的完整性非常有必要的。
5經濟合同審計的主要控制點建設經濟合同是貫穿整個項目的一條線,是約束雙方履行義務、享受權利的具有法律效力的文書,是跟蹤審計的重要依據。重點審計①合同施工內容、工程總造價、施工期限和工程質量等是否與中標的標書一致,投標單位的承諾在合同中體現是否充分。②審計合同價款內容組成是否與投標文件相符,合同條款是否明確的質量要求、決算條件、違約責任等,不允許以籠統的固定價款確立施工合同,以免合同價背離市場價或留下糾紛的隱患。③審計工程量清單漏項或設計變更引起新的清單項目處理的約定,條款是否約定單價的具體調整幅度;是否明確單價調整的前提條件和標準。④審計條款中是否約定工程保險的內容、保險費的支付,規避有意或疏忽產生的風險。
施工階段跟蹤審計的主要控制點
項目施工階段是工程的實質階段,此階段持續時間長、涉及人員廣,是控制工程造價、確保投資效益的關鍵階段。
1合同履行情況審計的主要控制點審計各項合同的執行情況的重點是該項目的中標單位及各供應商是否認真履行合同條款,有無違法分包、轉包工程;如有變更、增補、轉讓或終止情況,審計其真實性、合法性。
2主要材料、設備價格審計的主要控制點對國家、學校規定須通過招投標定價的設備、材料,審計是否實施招投標,未進行招標的,提出進行招標。自行采購的材料,是否選擇不少于三家的供應商實行報價,了解其比選情況,對其價格進行審計。對走核價程序的設備、材料特別是新材料和特殊設備,跟蹤審計要重點審計,通過市場詢價、比價、洽談,摸清市場行情、集體協商確定,減少部門、單位間的矛盾,提高工作效率,避免對工期產生影響。
3工程變更及簽證審計的主要控制點由于工程持續時間長、施工現場復雜或者是使用要求的調整,或多或少地將會有一些工程變更及簽證。此階段審計的重點是變更及簽證的責任性、必要性、真實性和完整性。施工單位“低價中標,高價結算”最主要的手段就是造就大量的工程變更及簽證。為了避免這種情況出現,過程中對變更簽證的審計尤為重要。為此,跟蹤審計人員應對證據可能會滅失的做好拍照、各方簽字確認等記錄,審計洽商變更簽證的及時性,所有變更必須在施工前經有關各方審定,任何補報補審的設計變更及洽商均無效;有無擅自擴大建設規模和提高標準等問題,任何設計變更應符合施工圖總體要求,不得超量、超標;對每一份變更及簽證作及時的審核。
4工程進度款支付審計的主要控制點工程進度款支付是施工階段審計應控制的重點之一。此階段審計的重點是按照合同規定的計量程序及付款比例進行控制;審計工程進度款與工程實際施工進度是否一致,有沒有超報超付的現象;審計抵扣的各種款項,如備料款、甲供材料等。每次支付都應有一個整體的觀念,避免局部失誤造成整體失控。
竣工結算階段跟蹤審計的主要控制點
竣工結算是完成建設單位和施工單位的合同及經濟關系的最后階段,是確定工程造價的依據,它反映了建筑安裝實物工程量的完成情況,也是考核投資及概預算的執行情況。
1竣工資料審計的主要控制點此階段審計的重點是竣工資料的真實性、合法性和完整性。對報送結算資料缺失或不全的負簽證(施工單位),需結合駐場時收集的資料與報審的資料進行對比,確保資料的真實、合法和完整性。
2竣工結算造價審計的控制點根據已審核過的竣工資料,對竣工結算價進行審計。審計主要控制點是要嚴格按照合同及招投標文件,做到獨立、公平、公正的審計。對工程量是否真實,定額套用及價格是否合理,計取的各項費用及執行文件、選用定額版本是否準確、合規;建設方直接采購供應的材料、設備是否在結算中扣除,有無冒算(甲)供料的現象。如某工程施工方結算報價因垃圾外運、臨時停水停電等措施費增加1.6萬元,依據招投標文件施工措施費包干使用,不做調整。維護了學校的合法權益,保障了工程結算的真實性。
審計分析總結的主要控制點
跟蹤審計是通過對工程項目的全過程動態的服務與監督,準確的把握項目成本控制的重要環節。審計總結重點①對項目結算造價與概算的對比、分析,剖析成本節約或超支的原因,指出工程管理中的薄弱點,提出審計意見及建議。②對項目經濟技術指標加以分析,正確評價投資效益,積累相關數據,為今后的工程項目建設提供參考。
總結
以“三個代表”重要思想為指導,認真貫徹落實黨的十七大精神,按照“全面審計,突出重點”的工作思路,緊緊圍繞衛生改革和發展這個主題,加強隊伍建設和制度建設,加大審計監督力度,進一步發揮內部審計在加強衛生經費管理、規范醫療衛生單位收支行為、提高衛生專項資金使用效益等方面的積極作用,促進衛生事業健康快速發展。
二、工作要點
(一)主要內容
1、積極開展預算執行和決算審計工作。根據年度部門預算,重點審計單位財務收支,重點審查預算編制及調整的撥款進度執行;檢查政府采購流程規范性,從源頭上制止資金使用的隨意性。
2、重點組織階段性專項檢查。年結合上級衛生、審計和財政等部門要求,重點開展票據管理、基本藥物制度執行情況、重點項目檢查及醫療收費等專項檢查。票據管理專項檢點是檢查各單位收費票據的領購、使用、核銷和作廢情況;基本藥物專項檢點是檢查各單位基本藥物網上采購和使用情況;項目重點檢查擴大內需建設資金及省級專項的使用、管理情況;醫療收費檢點是抽查各單位檢驗、放射等檢查收費項目。
3、嚴格落實后續審計。重點對年被審計局審計的單位對審計決定(意見)的執行和落實情況進行跟蹤督查。
(二)審計方式
采取自查與重點抽查相結合,重點抽查面為20%。當年被縣審計局、縣財政局審計的單位不在進行重復審計。
三、工作要求
一、以準則框架進行信息系統風險分類識別
(一)組織層面的IT風險
證券公司組織層面IT風險主要表現為以下方面:
1.缺乏明確的IT戰略目標、IT目標與公司整體戰略及業務目標不匹配造成的風險。
2.IT治理組織架構、授權機制、制度體系不健全對IT安全運行管理造成的風險。
3.IT部門人力資源管理(資質、培訓、保密要求等)、崗位設置與職責分工控制不力造成的風險。
4.IT與業務之間的聯系框架與工作機制運行不暢造成信息溝通、協作配合不良風險。
(二)一般層面的IT風險
證券公司一般層面的IT風險是指與IT網絡、操作系統、數據庫、應用系統及IT技術設施等IT基礎環境相關的風險,主要表現為以下方面:
1.信息安全管理政策、物理與邏輯訪問控制、用戶身份認證,職責分離等控制缺失或不當造成的風險。
2.由于IT系統變更、參數設置授權與審批,變更測試與移植等控制缺失或不當所造成的風險。
3.因IT系統開發和采購授權審批,開發、測試與生產環境的隔離,系統測試、審核、移植等工作環節控制缺失或不健全所造成的風險。
4.由信息技術資產管理、系統容量管理、系統物理環境控制,系統和數據備份及恢復管理,問題管理和系統的日常運行管理等操作所產生的風險。
(三)業務流程層面IT風險
證券公司業務流程層面的IT風險來自于信息系統對業務數據輸入、處理、輸出的處理過程,主要表現為以下方面:
1.由于IT系統的數據輸入授權、數據完整性與正確性檢查以及系統間數據傳輸等控制缺失或不健全所造成的風險,如關鍵業務系統用戶與權限管理風險(交易系統、清算系統、財務系統等)、重要業務操作授權、檢查與復核風險。
2.由于IT系統對數據處理過程中的控制缺失或不健全所造成的風險。
3.對IT系統輸出信息控制缺失或不健全所造成的風險,如信息存儲、傳輸的安全保密風險。
二、風險評估
通過風險識別,可以將企業IT風險的全貌進行分類展開并列示,風險評估過程是針對所列示的風險進行量化與排序的過程。如前文所述,我們通常將IT復雜性、控制水平以及可能造成的財務損害3個方面作為評價打分構成項目,并把這種方法稱為“綜合矩陣法”。
需要注意的是,IT風險評估是一個持續的過程,伴隨業務流程的不斷變化、技術的不斷進步、威脅隨著新弱點的出現不斷產生、監管要求不斷更新以及審計方法不斷改進等因素的影響,證券公司IT風險評估的技術與方法還需在實踐中不斷總結、探索與改進。
三、審計計劃
國際內部審計師協會(IIA)外部質量評審報告指出,建立一項適當的IT審計計劃成為內部審計活動中最重要的環節。不適當的IT審計計劃將影響整體審計工作的效果與質量。
在制訂時IT審計計劃應該遵循“覆蓋最大的風險和可以為組織增加最大價值的領域”原則。審計人員應在風險評估的基礎上制訂能夠實現審計目標的審計計劃。
審計計劃內容要素包括:審計范圍與目標、審計所涵蓋具體內容、審計適用的法規及審計準則、審計的方法與程序、審計的資源配置等方面。
在制訂信息系統審計計劃時,還需要注意以下問題:第一,審計資源預算對審計計劃具有重要的影響,審計項目負責人要根據人員配置、時間安排、需要重點開展的檢查與評價活動,合理匹配審計資源。其次,IT系統作為審計對象時,審計計劃中應涵蓋對每一風險層面的審查。如:在“ABC公司網上交易系統專項審計”與“ABC公司財務系統專項審計”兩個項目中均應對相關信息技術的組織層面、一般層面及業務流程層面的風險進行評估與檢查。
四、檢查測試
實施證券公司信息系統審計的檢查與測試過程可以分為一般性檢查、符合性測試與實質性測試3個階段。
其中符合性測試是對已有的關鍵控制要點的實際作用進行測試,而實質性測試是對系統處理生成的財務信息、業務信息等處理結果的合法性、真實性、準確性進行直接檢查或分析性復核。例如:證券營業部崗位隔離控制中要求交易系統管理員不得具有業務操作的職能。審計中對這種控制措施是否存在和有效執行的檢查過程,為符合性測試。經測試,營業部并沒有按照要求設置系統管理員權限,說明這種控制實際為無效,存在風險隱患,所以需要進一步在系統交易記錄中檢查系統管理員是否實施了違反規定的業務操作,這種檢查系統業務數據的過程則屬于實質性測試。
根據上例可以看出,對系統進行符合性測試的重點是在對內部控制初步評價的基礎上得出的,在進行實質性測試之前,應當先對這些控制點進行符合性測試,并根據測試結果判斷風險等級,確定實質性測試的要點與范圍。也就是說,在符合性測試中認為控制失效的領域,風險更高,審計中應加大實質性測試的樣本數量與審計檢查的力度,這也是基于風險導向型審計程序的實際應用。
在對信息系統檢查與測試工程中,審計人員除了運用詢問訪談、問卷調查、現場觀察、審閱文件、分析性復核等傳統審計方法外,還經常會用到繪制控制流程圖、穿行測試、并行模擬、滲透性檢測、嵌入式審計模塊等技術。
運用穿行測試將預先設計的測試數據輸入系統,并將系統輸出與預期的結果進行對比,檢查系統處理過程是否正確。而并行模擬是對實際業務的系統處理結果進行重新計算,以驗證系統計算準確性。例如為了驗證證券公司財務核算系統中的自營投資證券成本價計算結果,我們從投資交易系統導出中的證券交易流水,用EXECL表格進行并行模擬計算,并與財務核算系統結果進行比對。與穿行測試相比,并行模擬不會對生產系統產生任何影響。
信息系統審計人員應當在對相關審計程序充分理解的基礎上,采用適宜方法開展檢查與測試工作。審計人員對有些審計方法與工具的配置和使用時,除了考慮成本效益性之外,還應特別關注對生產安全的考慮,證券公司IT管理層一般情況下不允許審計工具對生產系統的直接訪問。因此,在證券公司信息系統審計中執行穿行測試、滲透性檢測等操作時,應與IT管理層充分討論并得到授權。
測試與檢查的過程中,審計人員需要根據實際情況進行持續的風險評估,并對評估發現的重要剩余風險開展進一步的檢查與測試。
五、溝通與報告
信息系統審計具有專業性、復雜性及IT與業務的關聯性等特征,為了提高審計質量與效果,有效溝通在其中發揮著重要的作用。溝通的作用主要表現在3個方面:首先,內部審計部門與董事會與管理層之間公開和詳細的溝通有助于改善公司IT審計效果;其次,內部審計將被審計部門作為“客戶”,雙方通過充分的溝通增進對審計發現問題理解與認同,為被審計部門有效改進IT薄弱環節提供幫助;第三,審計組人員的內部溝通是協調審計工作、達成審計目標的關鍵。
審計報告是審計工作的最后產品,也是發揮審計效能,體現審計價值的重要工具。在審計實施結束后,審計人員應以充分、可靠及相關的審計證據為依據形成審計結論與建議,出具有建設性的審計報告。
六、后續跟蹤
【關鍵詞】電子政務;平臺安全;建設中圖分類號:TP39
文獻標識碼:A
文章編號:1006-0278(2015)02-112-02
一、基于安全的平臺物理構架
數據安全的定義存在對立的兩個層而:一是針對數據本身的安全,數據本身的安全可以通過使用獨特的不為外人所知的密碼算法對數據信息進行加密;二是數據防護層而的安全,它的主要方法是利用先進的儲存方式對數據進行防護,目前常用的儲存方式有磁盤陣列、數據備份、異地容災等。通過對信息進行加密算法傳輸,并且采取先進的儲存方式,一般來講可以保證數據的安全。
在數據的處理過程中可能會出現因為電路故障引起的硬件障礙,服務中斷、程序的錯誤進行,以及人為的錯誤操作,或者外部網絡的黑客入侵、病毒感染等問題而導致數據丟失或者數據庫受到破壞。同時不同的數據只有擁有權限的人員才能瀏覽,而有些不具備權限的人員進行瀏覽之后,可能會出現數據外泄的情況。
數據儲存也應該具備安全性。一些數據庫的運行是公開的,這方而的編程人員通過一些常規手段,都能夠對數據庫中的信息進行瀏覽或閱讀,如果這些人中有人對數據進行了修改也是很正常的。而一旦這些信息落入了非法訪問者手中,那么就會使內部信息外泄,給整個系統帶來重大的威脅。
數據安全具備以下特點:
1.機密性(Confidentiality)。機密性,又稱保密性,是指信息的獲取需要一點的權限,不能被隨意獲得。在電腦程序中,網絡瀏覽器和一些網站都有加密設置,這樣的目的是為了保證用戶信息的安全;2完整性(Integrity)。完整性是指數據在傳送和儲存的過程中,數據信息不被非法用戶篡改或獲取,它是信息安全的二個基本要點之一。完整性和保密性往往容易被混淆。以普通RSA對數值信息加密為例,非法用戶如果沒有獲得授權,也能夠通過保密文件的線性計算來對數值的信息進行更改。為保證信息的安全,通過散列函數和數字簽名可以對文件進行保護;3可用性(Availability)。數據可用性是指數據的可讀性,它的設計理念是以使用者為中心,它的重點是根據使用者的要求對產品進行相應的設計。
對信息安全的認識經歷了的數據安全階段(強調保密通信)、網絡信息安全時代(強調網絡環境)和信息保障時代(強調不能被動地保護,需要有保護
檢測
反應
恢復四個環節)。
二、平臺網絡安全威脅
能夠對數據的安全帶來威脅的因素是五花八門的,而以下幾而方而的威脅是最為普遍的:
(一)硬盤驅動器損壞
硬盤驅動器一旦損壞,通過這一驅動器運行的數據就會丟失。而設備運行過程中的損耗、運行環境的破壞和存儲媒介的失效甚至是人為損害都會引起硬盤驅動器損壞。
(二)人為錯誤
人為操作錯誤的因素有可能造成系統運行參數的改變,誤刪除一些重要文件。
(三)黑客
黑客通過遠程操作計算機可能對電腦進行一些不安全的更改,從而威脅計算機數據的安全。
(四)病毒
病毒是大家目前熟悉的一種安全威脅,病毒能夠對計算機系統造成很大的破壞。這幾年各種病毒的產生,是大家對于病毒的危害的理解越來越深刻,病毒的強感染性和強的傳播性是其成為了威脅系統安全的主要元兇。
(五)信息竊取
信息的竊取是導致數據安全的又一大原因,因為復制、盜取等手段會對計算機的數據造成威脅。
(六)自然災害
地震、火災等無法預料的自然災害會造成整個系統的覆滅,從而帶來無法挽回的損失。
(七)電源故障
電力的不穩,例如突然的斷電等故障會使硬盤設施中的數據丟失。
(八)磁干擾
磁性較強的東西會對計算機數據造成毀滅性的的傷害。
三、平臺數據安全防護措施
電子數據安全審計是一個操作記錄,主要記錄的是用戶在系統中進行的操作,這種做法的目的是為了在發現違規操作后,能夠追查到責任人。
電子數據安全審計過程可分成二步來實現:第一步,整理用戶對系統進行的操作,對操作過程進行記錄;第二步,根據操作的記錄分析是否存在違規行為;第三步,發現問題,采取處理措施。
電子數據安全審計工作同防火墻等手段的意義是一樣的。用戶在系統內的計算機上進行的所有行為包括上下機的時間,與系統內的敏感的信息。數據的接觸都能夠在日志文件中查找到,這一措施是為了對操作行為進行分析同時一旦發現了不安全因素便于查找并確定事故責任,這也為增強系統安全提供了預防作用。
(一)審計技術
電子數據安全審計技術可分二種:系統技術的了解,驗證處理技術和處理結果的驗證。
1了解系統技術。審計人員可以借助閱讀相關的技術介紹和查閱程序表和控制流程來了解系統技術。
2.驗證處理技術。系統指令能夠正確的執行主要取決于這一技術。該技術由實際測試和性能測試兩部分組成,實現方法主要有:
(1)事務選擇。根據制定的審計標準的不同,審計人員可以選擇不同的事務樣板來進行認真的了解。樣板的選擇可以是隨機的,也可以通過操作系統的事務管理部件自動引用。
(2)測試數據。測試數據是程序測試的擴展,系統自動生成了準備處理的事務。審計人員可以通過一些方法來預測結果的正確性,并將得出的結果與實際的結果相對比。使用這種方法的時候,審計人員必須通過系統來檢驗處理過的檢測的數據。除了上述的方法,還可以使用事務標志、跟蹤、綜合測試等方法。
(3)并行仿真。審計人員主要借助某一應用程序來模擬操作系統的主要功能。將模擬出的數據和給出的實際的數據相比較。仿真的成本較高,可以通過高級語言使仿真模擬與實際的應用相接近。
(4)驗證處理結果技術。在這一過程中,審計人員的工作重點不是對于數據的處理而是數據本身,這里有兩個方而需要重點考慮:一是數據的選取。將審計數據收集技術結合到應用程序審計模塊中,應用程序審計模塊的功能是依據給定的標準來收集數據;建立全部的審計跟蹤;借用于日志恢復的備份庫;借助審計庫的記錄來抽取設施,它能夠隨機的選擇屬性值相似的文件進行記錄,并將其放在工作文件中,為以后的分析提供便利;利用數據庫管理系統的查詢設施抽取用戶數據。二是數據內容的尋找目標。一旦選定了數據,審計人員可以對控制信息進行檢查;檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在整個應用系統中,審計是與其他系統獨立的。審計主要涉及的范圍是對操作系統和其他應用系統的審計。
對操作系統進行審計是為了檢測和判定操作對系統的滲透程度并且對誤操作進行識別。這一過程的基本功能為:選擇審計對象;對審計的文件進行分類并且完成自動轉換;對文件的系統完整性進行定時檢測;對信息儲存的格式和輸出的媒介進行審計;報警閥值的設置與選擇;對每日操作行為進行審計并對數據的安全性進行保護等。
應用程序審計子系統的主要功能是:針對被作為審計對象的應用程序的某些操作進行監控并且進行記錄,對記錄的記過進行分析,用以判斷是否應用程序是否受到攻擊并別修改,同時能夠判斷程序和數據的完整性;采用身份驗證和口令驗證等方法來保證應用程序的正常運行。
(三)審計跟蹤
審計跟蹤與日志恢復從本質上來講是有區別的,但是經常可以結合在一起使用。它們的主要區別是審計跟蹤能夠進行記錄,而日志恢復通常不對操作進行記錄;但根據實際的需要,審計跟蹤可以從日記恢復中得到所需要的審計信息。如果將告警功能與審計功能結合起來,那么就可以在違規的或者不合法的操作進行的當時向程序人員發出警告,以使他們能夠以最快的速度做出反應,及時的采取解決的對策,使損失降到最低。審計記錄所包含的內容主要有:操作進行的地點和時間;進行操作的用戶;事件的類型;事件結果。
根據訪問控制的類型,數據庫對于審計跟蹤的請求不加以限定。獨立的審計跟蹤保密性更強,審計人員可以對時間進行限定,但是成本比較高。
(四)審計的流程
