建设项目跟踪审计作为工程审计的一种创新手段,在实践中已彰显出它的优越性和广阔的应用前景,具有以下优点:
从静态向动态转化
一方面,传统审计模式是在工程竣工后集中进行一次结算审计,这时要面对如在施工阶段各个施工程序中发生的大量签证。而跟踪审计可以分时段分内容地进行动态审计,使审核思路更清晰,可缓解短时间内处理大量数据的压力。另一方面,跟踪审计可以分析前后阶段互相影响的关联因素,可以动态地监督全寿命过程各阶段的运作。
从事后审计向与事前、事中相结合
审计转变
在传统的事后审计时因隐蔽工程或多次变更部位的一些细节记录不详,很难区分清楚、判定正确。跟踪审计可从源头上解决此类现象的发生,如在施工阶段审计人员已及时深入现场,在隐蔽工程掩盖前或变更过程中作好记录取证,准确掌握工程过程中各种有效信息,减少与施工方的矛盾与纠纷,为后期确认签证、审核结算作好准备。
减少时耗,提高工效
如在施工阶段跟踪审计人员在施工现场汇同建设方、监理方、施工方签字认可了实测记录后,可立即计算出相应的工程数据,避免了推诿和以往长期不签证,大量积压的弊病,将较长的传统审计周期提前压缩消化在事中阶段,使过去过于集中的量尽可能均匀分散在施工阶段,从而加快了结算审核速度,加大了审核力度,提高了经济效益。
(四)以施工阶段的审计为重点向前期决策阶段、设计阶段和招投标阶段延伸
传统审计模式以建设项目开工到竣工的施工阶段为审计重点。跟踪审计是对建设项目从筹建时起至竣工验收时为止所发生的技术经济活动过程进行的审计与监督,它不但强调施工阶段的造价控制,而且已注重对前期决策工作的跟踪审计,深入开展对设计质量的跟踪审计,积极介入招投标阶段的跟踪审计,使审计工作向多元化发展。
跟踪审计的主要内容有:
1、前期阶段:参与招投标文件的审核和工程合同签订的审核,避免以后发生合同的纠纷。出具相应的意见单。
2、工程实施阶段:参与隐蔽工程的收方签证、避免事后审计没法审核,及时解决工程中遇到与结算有关的分弃,参与工程施工期间工程材料价格的审核,并给业主方提出相应的意见单。
3、工程竣工阶段:协助业主方办理工程的结算,并提出相应的意见和建议。
(2)跟踪审计扩展资料
为了确保审计跟踪数据的可用性和正确性,审计跟踪数据需要受到保护,因为不正确的数据也是没用的。
而且,如果不对日志数据进行及时审查,规划和实施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要(经常由安全事件触发)定期审查、自动实时审查、或两者兼而有之。
系统管理人和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据,其中包括系统内保存的和归档保存的数据。
一、作用不同
1、工程跟踪审计
全面促进和提高建设单位管理水平;促进监理各尽职守,完成本职工作;通过跟踪审计,促进招投标市场规范。
2、监理
根据法律法规、工程建设标准、勘察设计文件及合同,在施工阶段对建设工程质量、造价、进度进行控制,对合同、信息进行管理,对工程建设相关方的关系进行协调,并履行建设工程安全生产管理法定职责的服务活动。
二、工作性质不同
1、工程跟踪审计
一方面,传统审计模式是在工程竣工后集中进行一次结算审计,这时要面对如在施工阶段各个施工程序中发生的大量签证。
而跟踪审计可以分时段分内容地进行动态审计,使审核思路更清晰,可缓解短时间内处理大量数据的压力。另一方面,跟踪审计可以分析前后阶段互相影响的关联因素,可以动态地监督全寿命过程各阶段的运作。
2、监理
工程监理单位是建筑市场的主体之一,建设工程监理是一种高智能的有偿技术服务。在国际上把这类服务归为工程咨询(工程顾问)服务。我国的建设工程监理属于国际上业主方项目管理的范畴。
三、工作原则不同
1、工程跟踪审计
在工程项目跟踪审计的理论研究中,研究的对象也有差异,有的研究工程项目全过程跟踪审计,有的则仅限于施工阶段跟踪审计。
2、监理
1)监理工作以委托监理合同为依据,实施监理前必须签订书面合同。
2)工程建设监理实行总监负责制。
3)应“公正,独立,自主”的开展工作,维护建设方与不损害承包方的合法权益。
问:审计公司是做什么的
答:审计公司顾名思义,审计就是主要的工作内容。
审计最终的目的是发现问题,涉及钱款、权利的工作岗位都有可能滋生腐败,审计说白了就是监督财务方面的真实性以及合规性。一般性的审计公司是独立于被审计单位的机构,企业做的审计一般性都需要请第三方审计机构进行审计。
审计是指由专设机关依照法律对国家各级政府及金融机构、企业事业组织的重大项目和财务收支进行事前和事后的审查的独立性经济监督活动。
“内部审计是一种独立、客观的保证与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取一种系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”
急速通关计划 ACCA全球私播课 大学生雇主直通车计划 周末面授班 寒暑假冲刺班 其他课程
审计是指由专设机关依照法律对国家各级政府及金融机构、企业事业组内织的重大项目容和财务收支进行事前和事后的审查的独立性经济监督活动。
审计员的工作内容:
1、审查企业各项财务制度的落实情况,协助审计主管拟订审计计划或方案 2、负责完成资产、负债、收入、成本、费用、利润等单项业务的审计工作
3、按照审计程序和审计方案,获得充分的审计证据,支持审计发现和审计建议,为企业运营提供增长服务 4、审查财务收支项目、费用开支与报销等工作 5、审查发票、凭证、账册、报表的真实性以及其填制是否符合企业财务制度的要求
6、检查、复核审计证据,做出单项审计评价意见
7、针对所有涉及的审计事项,编写内部审计报告,提出处理意见和建议
8、进行企业保密工作,按规定使用所获取的财务资料 急速通关计划 ACCA全球私播课 大学生雇主直通车计划 周末面授班 寒暑假冲刺班 其他课程
跟踪审计的主要内容如下:
1、前期阶段:参与招投标文件的审核和工程合同签专订的审核,避免属以后发生合同的纠纷。出具相应的意见单。
2、工程实施阶段:参与隐蔽工程的收方签证、避免事后审计没法审核,及时解决工程中遇到与结算有关的分弃,参与工程施工期间工程材料价格的审核,并给业主方提出相应的意见单,给业主的签证提供参考的依据。
3、工程竣工阶段:协助业主方办理工程的结算,并提出相应的意见和建议。
什么是跟踪审计什么?
是跟踪审计就是指:对专项建设项目从立项开始到项科目竣工完成的“脚跟脚”的监督审查过程。
在建设项目开工前阶段,跟踪审计的主要内容主要包括:
1.检查建设项目的审批文件。包括项目建议书、可行性研究报告、环境影响评估报告、概算批复、建设用地批准、建设规划及施工许可、环保及消防批准、项目设计及设计图审核等文件是否齐全。
2.检查招投标程序及其结果是否合法、有效。
3.检查与各建设项目相关单位签订的合同条款是否合规、公允,与招标文件和投标承诺是否一致。
4.检查建设项目的资金来源是否落实到位、是否合理、是否专户存储,建设资金能否满足项目建设当年应完成工作量的需要。对使用国债的建设项目,要严格规定其***作程序和使用范围,并作为建设资金审计的重点。
5.检查各种规费是否按规定及时缴纳;减、缓、免手续是否完善,是否符合有关规定。
6.检查征地或拆迁补偿费是否符合有关规定,有关评估、计价是否合规、合理。有无擅自扩大拆迁范围、提高标准或者降低标准等问题。
在建设项目施工阶段,跟踪审计的主要内容包括:
1.检查履行合同情况。检查与建设项目有关的单位是否认真履行合同条款,有无违法分包、转包工程。如有变更、增补、转让或终止情况,应检查其真实性、合法性。
2.检查项目概算执行情况。检查有无超出批准概算范围投资和不按概算批复的规定购置自用固定资产,挤占或者虚列工程成本等问题。
3.检查内控制度建立、执行情况。检查建设单位是否建立健全并执行了各项内控制度。如工程签证、验收制度;设备材料采购、价格控制、验收、领用、清点制度;费用支出报销制度等。应督促、指导建立完善的管理制度,保证项目建设规范运行、建设资金合法使用。
4.检查工程设计变更、施工现场签证手续是否合理、合规、及时、完整、真实。
5.检查工程成本核算及账务处理是否符合《国有建设单位会计制度》的要求,是否有利于建设项目的管理及竣工决算的需要。
6.检查建设资金到位情况是否与资金筹集计划或投资进度相衔接,有无大量资金闲置、或因资金不到位而造成停工待料等损失浪费现象。
7.检查建设资金是否专款专用。是否按照工程进度付款,有无挤占、挪用建设项目资金等问题。对往来资金数额较大且长时间不结转的预付工程款、预付备料款要查明原因,防止出现超付工程款现象。
8.检查建设单位管理费的计取范围和标准是否符合有关规定,费用支出是否符合“必须、节约”的原则,有无超出概算控制金额的情况。
9.加强设备、材料价格控制,尤其要对建设单位关联企业所供设备、材料的价格进行检查,防止从中加价。对已购设备、材料因故不能使用的,要分析原因,分清责任,并督促建设单位及时处理,避免造成更大的损失。
10.检查国家、省、市优惠政策的落实情况。检查各级政府给予该项目的优惠政策,相关部门是否贯彻执行;建设单位是否将优惠政策全部用于建设项目上,有无以各种形式转移优惠政策从而加大建设项目成本的情况。
建设项目跟踪审计,是指独立的审计机构和审计人员(含配合审计部门协审的社会中版介机构和专业人员)运用审计权技术,依据国家的有关法律、法规和制度规范,对建设项目从投资立项到竣工交付使用各阶段经济管理活动的真实、合法、效益进行审查、监督、分析和评价的过程。目的是有效控制和真实反映工程造价,维护合法权益,完善建设项目管理,提高投资效益。
建设项目跟踪审计分为开工前审计、施工期审计、竣工结算审计和财务决算审计。
审计跟踪提供了实现多种安全相关目标的一种方法,这些目标包括个人职能、事件重建、入侵探测和故障分析。
个人职能
审计跟踪架构个人职能(indivial accountability)
审计跟踪是管理人员用来维护个人职能的技术手段。通过告知用户应该为自己的行为负责,通过审计跟踪记录用户的活动,管理人员可以改善用户的行为方式。如果用户知道他们的行为被记录在审计日志中,他们就不太会违反安全策略和绕过安全控制措施。
逻辑访问控制是用于限制对系统资源的访问,允许用户访问特定资源意味着用户通常要通过这种访问完成他们的工作。当然,被授权的访问也会被滥用,这种情况下审计跟踪就能发挥作用。当无法阻止用户通过其合法身份访问资源时,审计跟踪就可以用于检查他们的活动。比方说人事部的某员工需要访问他们所负责的员工的人事记录,通过审计跟踪发现该员工对人事记录的超常打印,这也许意味着盗卖人事数据。再比方说某工程师需要通过使用计算机来设计新产品,通过审计跟踪发现在该工程师在设计结束前通过调制解调器进行了可疑的对外通信,这可以用来协助调查公司的专利数据被非法泄漏给其它公司的事件。
事件重建
事件重建(reconstruction of events)
在故障发生后,审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如,当系统失败或文件的完整性受到质疑时,通过对审计跟踪的分析就可以重建系统、用户或应用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下,就能够避免未来发生此类系统中断的情况。而且,在发生技术故障(如数据文件损坏)时,审计跟踪可以协助进行恢复(通过更改记录可以重建文件)。
入侵探测
入侵探测(intrusion detection)
如果用审计跟踪记录适当的信息,也可以用来协助入侵探测工作。如果在审计记录产生时就进行检查(通过使用某种警告标志或提示),就可以进行实时的入侵探测,不过事后检查(定时检查审计记录)也是可行的。
实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系统性能。
事后鉴别可以标示出非法访问的企图(或事实)。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。
故障分析
故障分析(problem analysis)
在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监控。如果操作系统或应用系统对公司的业务非常重要,可以使用实时审计对这些进程进行监控。
系统可以同时维护多个审计跟踪。有两种典型的审计记录(1)所有键盘敲击的记录,通常称为击键监控,和(2)面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。
审计跟踪应该包括足够的信息,以确定事件的内容和引起事件的因素。通常,事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的。
击键监控
击键监控(keystroke monitoring)
击键监控用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计跟踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符,阅读用户的电子邮件以及检查用户敲入的其它信息。
有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。
审计日志
面向事件的审计日志(event-oriented audit logs)
系统审计日志一般用于监控和微调系统性能。应用审计跟踪可以用于辨别应用程序中的错误和对安全策略的违背。用户审计记录通常用于将用户的行为和职能联系起来。分析用户审计记录可以发现各种不安全的事件,如安装木马或获取非法权限。
系统本身都会有诸如文件和系统访问的约束性的策略。对用于实施这些策略的系统配置文件更改的监控非常重要。如果特定的访问(如安全管理员的访问)用于修改配置文件,那么系统应该在这种访问发生时产生相应的审计记录。
有时比系统审计跟踪更详细的记录也是需要的。应用审计跟踪就可以提供更详细的记录。如果应用是很关键的,那么就不但要记录应用的发起者,还要记录每一个用户的具体细节。例如电子邮件应用,可能要记录发件人、收件人和信息长度。再比如数据库应用,应该记录数据库的访问者以及其具体读取(或更改、删除)哪个表的哪个行或列,而不是仅仅记录数据库程序的执行。
用户审计跟踪通过记录用户启动的事件(如访问文件、记录和字段;使用调制解调器)来监控和记录系统或应用中该用户的活动。
适应性是审计跟踪的关键特性。理想(从安全角度看)的情况是系统管理员能够监控所有的系统和用户活动,又能有选择地记录系统和应用的特定功能。至于日志记录的数量和需要审查的数量取决于相关应用或数据敏感性,应该由职能部门经理或应用所有者在系统管理员和计算机安全管理人的指导下根据日志的性价比确定。通常审计日志包含隐私内容。用户应该熟悉使用环境下和隐私相关的现行法律、法规和政策。
(A)系统级审计跟踪
系统级审计要求审计跟踪至少要能够记录登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括和安全无关的信息,如系统操作、费用记帐和网络性能。
系统级审计跟踪应该能够鉴别登录的成功和失败,在系统不能限制失败登录的尝试次数时尤其需要这样。遗憾的是,有些系统级审计跟踪无法探测登录尝试,所以无法进行记录以便日后检查。这样的审计跟踪只能监控和记录成功的登录及其登录后的活动。记录失败的登录尝试对于有效的入侵探测是必须的。
(B)应用级审计跟踪
系统级审计跟踪可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感,这些应用的审计跟踪应该记录数据修改前后的数据快照。
(C)用户审计跟踪
用户审计跟踪通常记录(1)用户直接启动的所有命令,(2)所有的鉴别和认证尝试,和(3)所访问的文件和资源。
如果连同命令的选项和参数一同记录将会更有用。因为知道用户想要删除日志文件(以掩盖非法访问)比仅仅知道用户使用了删除命令更有价值。
