一、前言

2009年3月6日,温家宝在《政府工作报告》中指出,2009年要实施总额4万亿元的两年投资计划,提高国民经济整体竞争力。如此大规模的投资短时间内到位,如何保障投资项目的真实、合法?如何监督资金在项目建设、监理、使用全过程中的安全?在信息化条件下,传统的基础设施建设项目审计模式面临着新的挑战:如何利用计算机技术,实现对大型基础设施建设项目过程中的资金流进行跟踪审计,有效提高审计效率并最大程度地避免重大错报,成为亟待解决的崭新课题。

目前关于大型基础设施建设投资已有相关的理论研究与实务应用。(一)理论研究方面逐步从事后审计向全过程跟踪审计转变,强调对建设项目全过程进行动态审计,参与投资决策,审计意见直接影响工程进度。目前在国内大型投资项目如T3航站楼项目、汶川抗震救灾专项资金审计项目中均已采用,收到了一定的效果。(二)计算机审计技术研究目前还处于初步探讨阶段,部分学者的研究成果有一定借鉴意义。如Steve Schlarman阐述了企业IT审计风险概念及其运行机理和发展阶段。但计算机审计技术尚局限于数据审计,没有拓展到项目建设的全过程及信息系统。

二、基础设施建设项目跟踪审计技术方面存在的问题

随着全过程跟踪审计理论及应用的发展,我国开始实施从正式立项到竣工决算的全部建设过程的审计,如北京奥运会财务收支和奥运场馆建设项目的跟踪审计、首机场T3航站楼的全过程跟踪审计等。全过程跟踪审计对于防止舞弊、提高质量、降低造价、规避风险有了更好地控制,是一种动态的、事先的、主动的造价控制,但是在技术层面也存在一定的不足之处。

(一)多头管理,缺乏统一协调机制保障实施

大型工程项目涉及投资、施工、监理、审计、财务等各个部门,各有各的管理权限。跟踪审计是动态审计,审计主体介入时间较早,切入工程现场的时间较长;而工程项目往往是立体交叉推进,与审计的单维度线索跟踪进度存在进度差别。通常情况下,审计工作不该影响施工进度,但审计人员要对工程定价预算等内容进行审计,会与相关审批部门产生冲突甚而可能会延误工期。跟踪审计是与施工作业同时进行的,随时可能发现一些问题,随时需要有关部门和单位予以纠正,如果对审计中的发现仍按常规程序进行,那么有很多事项就会失去纠正时机,跟踪审计的效果和作用就会减弱。

(二)信息安全审计缺失

被审计单位现有的财务信息、业务信息大都通过会计信息系统或专用的业务信息系统实现了数据的电子化。但被审计单位的信息化给审计人员带来的挑战就是如何保障数据的真实性、合法性、完整性、机密性。被审计单位提供的某一时点的电子数据与纸质数据核对不一致的情况时有发生,其中不少都是舞弊行为。为避免“假账真查”,审计人员首先要对被审计单位的财务信息系统、业务信息系统等进行审计。而目前我国在这方面的审计尚不到位,更多地体现在对数据的关注,对信息系统安全性关注相对较少。

(三)数据审计技术与方法运用的局限性

目前,被审计单位采用的会计信息系统、项目管理信息系统五花八门,对审计人员来讲,从被审计单位获取电子数据、并按照审计要求,快速确定跟踪审计点,可以达到事半功倍的效果。实现对电子数据中审计线索的筛查、跟踪是关键技术,并且要选择对工程质量、投资、进度影响较大,且事后不能审计或审计难度较大的内容进行跟踪审计。而目前审计人员面对被审计单位复杂多样的信息系统常常是束手无策,无法验证数据的完整性,无法验证不同系统获取数据的可靠性,难以很好地确定跟踪审计点。

(四)审计人员技术水平欠缺

工程审计涉及的部门多,加之审计人员对专业知识不是很了解,对于工程估价准确性不能得到保证;需要专业人员在建设项目管理、资金管理、概算执行、工程造价控制甚至工程技术等方面具有丰富的审计经验才能驾轻就熟。同时跟踪审计涉及及时整改的要求,审计鉴证的意见可能直接影响下一步的工程决策,审计人员介入建设现场、监控招标过程及相关签证环节,容易代替建设单位的管理职责,间接实现对建设过程中的合同、质量、招标、资金、造价等的管理和控制。

三、大型基础设施建设项目流程分析

为更好地实施大型基础设施建设项目审计任务,有必要对大型基础设施建设项目投资至竣工决算过程中的信息流、数据流进行系统分析(如图1所示),以更好地确定审计跟踪的关键控制点和审计线索的追踪。


(一)资金流

在大型基础设施建设项目审计过程中,常有一些政府或上级投资的项目。这时,项目使用方与投资方之间存在着立项、审批、预算申报及审批、资金拨付等一系列的过程。基础设施项目审计通常要从立项开始进行全过程审计,跟踪审计中对内部控制的审计重点可通过这一部分的实施窥得一斑。
(二)信息流

在现代化审计环境中,信息流的传递过程是非常关键的环节。如图1所示,大型基础设施建设项目跟踪审计涉及到投资方、使用方、施工方、监理方、验收方、设计方、供应商等多个主体;各个主体均有信息交换,并且信息交换会通过文档、合同、电子数据等方式保存在各主体。各主体大都实现了财务系统的信息化,业务系统也有采用金算盘、广联达等项目管理软件逐步实现信息化过程。信息化数据在各不同系统中也有勾稽关系。为此,必须清楚了解各信息系统后台数据存储方式以及内部控制约束策略的制订。

四、大型基础设施建设投资计算机跟踪审计框架设计

一般意义上的跟踪审计,只是在数据审计层面实现了部分环节的跟踪,却没有解决信息系统及系统控制方面的跟踪审计。为了避免盲人摸象式的审计过程,需要建立完善的审计流程及技术体系完善跟踪审计理论和技术方法。

为了避免多头管理,统一协调和保障大型基础设施建设项目审计,有必要建立完善的跟踪审计策略,从内部控制层面保障系统安全性的实施;为了避免信息系统审计职能的缺失,有必要扩大信息系统审计范围;为了进一步提高审计人员技术水平,强化信息系统审计技术应用效果,有必要完善数据审计技术、加强跟踪取证手段。只有从内部控制跟踪、信息系统跟踪、数据跟踪、取证跟踪四个层面建立审计框架,才能更高效地实现鉴证职能。

(一)内部控制跟踪审计

建立内部控制的跟踪审计战略,从制度审计、系统实施两个维度进行。

首先,在宏观管理的制度审计维度上,审计人员要对企业管理制度、内部控制流程进行梳理,将企业组织结构、部门管理权限、人员岗位设计等内容综合考虑,形成内部控制管理流程图。重点审计各部门之间的协调管理,明确审计管理设计上的不足及漏洞。

其次,在微观应用的系统实施维度上,审计人员要对信息流转进行梳理,画出企业采用的各种信息系统,明确各系统功能及数据文档流转过程,对涉及信息系统的管理人员、各业务岗位职责权限及其功能作用进行分类整理,对系统投入使用之前的角色分配及权限设计进行审计,查找有无权限分配上的不合理,有没有实现系统对不相容业务的相应控制功能,审计在程序设计环节的控制思想有无得到应用,审计系统开发有无漏洞、有无后门、有无内嵌特别模块或实现超级管理员权限的内容。

信息系统内部控制的跟踪审计重点体现在通过日志审计来实现对事件的实时监控和关联,自动监控策略违反事件、识别并应对违反事件提交合规数据,从而显示重要IT控制的效果。日志审计需要分析多个系统之间的IT控制,同时对比网络环境中什么该发生和什么确实在发生之间的认知差距;并且通过对日志显示的实时安全性事件管理和跟踪监控,实现对系统内部的身份识别和系统管理监控。并且应该针对使用者、网络和应用程序事件,审计潜在威胁及快速的回应机制的完整性。通过宏观的内部控制审计与微观的系统内部控制审计,可有效地锁住重大风险领域,有重点、有针对性地进行下一步的跟踪审计工作,并可协助企业建立严格的安全性与规范遵循方案。

(二)信息系统跟踪审计

为更好地审计电子数据,在内部控制审计基础上,要对被审计单位的信息系统进行跟踪审计,以确保对方提供给审计人员的数据真实、合法、有效、完整。信息系统跟踪审计应采用信息系统审计的一系列标准如ISO27001、COBIT、ITIL等,按照规范化的要求,对信息系统开发、维护、网络结构、机房环境、灾备、IT服务、技术支持、信息资产保护等各方面分别进行跟踪审计,以获取被审计单位信息系统不存在重大错报的合理保证。

(三)数据跟踪审计

在进行完包含计算机内部控制在内的符合性测试后,要为下一步的实质性测试准备环境,此时需要对被审计单位的数据进行审计。被审计单位的电子数据,首先需要审计人员根据审计需求,对相关数据进行采集、分析、清理、验证,并与被审计单位提供的数据进行对比分析,以此获得审计线索。数据跟踪审计可先执行分析性程序,采用趋势分析法、比率分析法、结构分析法等对年度数据、行业数据、被审计单位数据进行分类分析,构建系统模型、类别模型和个体模型,采用数据挖掘、多维分析等技术实现对海量数据中审计特征的快速获取。

(四)计算机跟踪取证

电子数据的易篡改性、无痕性加大了审计证据的获取难度。因此,在大型基础设施建设项目跟踪审计过程中,更要利用先进的反篡改、反删除、反修改、反造假技术保证审计证据的安全完整。可利用信息安全检测软件、数据恢复软件、哈希摘要、加密技术等实现对审计证据的获取和保护。计算机的跟踪取证技术贯穿大型基建项目跟踪审计始终。

五、结论

为有效实现对大型基础设施建设项目的跟踪审计,对大型建设项目流程进行了初步分析,指出了现阶段跟踪审计中存在的问题,建立了内部控制计算机跟踪审计、信息系统跟踪审计、数据跟踪审计、计算机跟踪取证四层跟踪审计框架体系。大型建设项目审计在可以预见的将来,其发展趋势必然是在全方位的审计监管模式下,利用企业信息化平台,采用计算机跟踪审计方法来提高审计效率,提高社会经济运行的免疫力。