【正文】 檢查內(nèi)控制度建立、執(zhí)行情況。檢查項目概算執(zhí)行情況。檢查項目實施單位是否認真履行合同條款，有無違法分包、轉(zhuǎn)包工程情況。同時，還應特別注意合同與招標文件、投標文件三者之間的統(tǒng)一。審核工程項目相關(guān)設計、施工、監(jiān)理合同。檢查招投標程序及其結(jié)果是否合法、有效。再次，項目全過程跟蹤審計相對于竣工結(jié)算審計工作，審計過程更多地帶有咨詢性、服務性特點。與單一的工程竣工結(jié)算審計比較，后者屬于事后審計，缺乏超前防范功能。從項目立項開始，到設計、施工，直至辦理竣工結(jié)算，整個過程審計人員都要介入，通過事前和事中控制，較好地達到預期控制目標。如何解決人員少、業(yè)務技能不足的矛盾，筆者認為完全可以從熟悉全過程跟蹤審計的特點及把握立項、設計、施工、竣工、結(jié)算等各個階段主要審計內(nèi)容入手，抓住重點領(lǐng)域、關(guān)鍵環(huán)節(jié)，以點帶面，達到對工程實施全部經(jīng)濟活動真實性、合法性和效益性進行有效審計監(jiān)督的目標。關(guān)鍵詞：內(nèi)部審計 工程項目 全過程 跟蹤審計一、內(nèi)部審計實施工程項目全過程跟蹤審計的必要性內(nèi)部審計部門實施工程項目全過程跟蹤審計，可以較好地利用內(nèi)部審計工作優(yōu)勢，將審計監(jiān)督關(guān)口前移，通過檢查和評價工程建設過程中存在的問題，及時提出審計意見和建議，較好地履行內(nèi)部審計監(jiān)督和服務職能。第四篇：淺論內(nèi)部審計如何實施工程項目全過程跟蹤審計摘 要：工程項目全過程跟蹤審計是現(xiàn)代審計的發(fā)展方向之一。（4）就內(nèi)部控制缺陷，向被審計單位管理當局提出改進建議。（3）針對內(nèi)部控制的缺陷，確定實質(zhì)性測試的時間、范圍和程序。（2）重新調(diào)整內(nèi)部控制的可依賴程度，若發(fā)現(xiàn)部分內(nèi)部控制沒有得到有效執(zhí)行，就應對內(nèi)部控制風險估計水平和可靠性重新進行調(diào)整。同時，就要對被審計單位的內(nèi)部控制風險估計水平充分利用專業(yè)判斷進行調(diào)整并做出綜合評價，然后利用評價結(jié)果制定出實質(zhì)性審計方案。評價內(nèi)部控制的強弱，評價控制風險，確定在內(nèi)部控制薄弱的領(lǐng)域擴展審計程序，制定實質(zhì)性審計方案。（4）重復執(zhí)行法。審計人員抽取一定數(shù)量的賬表、憑證等書面證據(jù)和其他有關(guān)證據(jù)，檢查是否認真執(zhí)行相關(guān)控制制度，以判斷內(nèi)部控制是否得到有效貫徹執(zhí)行。如審計人員親門到現(xiàn)場觀察材料驗收和入庫情況，就可知道材料是否嚴格驗收，并及時入庫，庫存材料是否有序擺放，是否安全存放。例如，審計人員通過詢問計算機管理人員，就可以知道未經(jīng)授權(quán)的人員是否接觸計算機文件、（2）觀察法。被審計單位的控制設計的再好，還必須靠有效的執(zhí)行來發(fā)揮作用。符合性測試是為了確定內(nèi)部控制制度的設計和執(zhí)行是否有效而實施的審計程序。通過對內(nèi)部控制進行初步評價，可基本掌握被審計單位內(nèi)部控制的強弱環(huán)節(jié)，為進行符合性測試確定一個前提。（1）相關(guān)內(nèi)部控制可能防止或發(fā)現(xiàn)和糾正重大錯弊，（2）擬進行符合性測試。初步評價實際上就是評價企業(yè)會計與內(nèi)部控制在防止或發(fā)現(xiàn)和糾正錯弊中的有效性的過程，通常出現(xiàn)以下情況之一時，應將重要賬戶或交易類別的某些或全部認定的控制風險評估為高水平：（1）企業(yè)內(nèi)部控制失效；（2）難以對內(nèi)部控制的有效性做出評價；（3）不擬進行符合性測試。確認內(nèi)部控制風險，確定內(nèi)部控制是否可依賴。通過查閱復核以前的審汁情況，可以了解以前審計時所發(fā)現(xiàn)的問題產(chǎn)生的原因以及是否已得到糾正和改進，通過查閱相關(guān)規(guī)章制度、方針及政策等文件，查看組織機構(gòu)系統(tǒng)圖，和相關(guān)人員交談對內(nèi)部控制獲得足夠的了解，以便進行程序設計和制定運用方案。這是內(nèi)部控制制度審計的第一步，其主要目的是通過一定手段，了解被審計單位已經(jīng)建立的內(nèi)部控制制度及執(zhí)行的情況，并做出記錄、描述。二、內(nèi)部控制審計的程序與方法主要有四個步驟。如財產(chǎn)物資的保管、清點、驗收、領(lǐng)用、計劃、合同、單據(jù)等各個環(huán)節(jié)，都應實行專人管理。財產(chǎn)、憑單管理制度。它是經(jīng)濟組織內(nèi)部為實現(xiàn)經(jīng)營目標而實現(xiàn)生產(chǎn)經(jīng)營和管理所必須經(jīng)過的環(huán)節(jié)和業(yè)務操作的控制制度：如成本控制、購銷控制、物資控制、生產(chǎn)經(jīng)營過程的控制制度等。主要是通過賬證、賬賬、賬表之間的相符關(guān)系，檢查會計數(shù)據(jù)的可靠性；通過賬實核對檢查賬實是否相符，以保證會計數(shù)據(jù)的真實性；通過嚴格的復核審批制度，以保證會十十業(yè)務處理的合法性；通過定期編制計算平衡表檢查所有數(shù)據(jù)的正確性等。會計控制制度。內(nèi)部牽制制度是為了保證會計資料的正確性、可靠性及保護財產(chǎn)而形成的種制度。主要是檢查各部門和經(jīng)辦人員的職責是否經(jīng)過恰當授權(quán)，各種崗位責任制賦予各職能部門和經(jīng)辦人員的責任是否達到分工明確，職責分明的目的。內(nèi)部控制審計的程序和方法一、內(nèi)部控制制度審計的主要內(nèi)容內(nèi)部控制制度審計的對象是被審計單位的內(nèi)部控制制度，對這些制度的檢查、測試也就構(gòu)成了內(nèi)部控制制度審計的基本內(nèi)容，主要體現(xiàn)在以下管理制度的檢查、測試中：責任控制制度。審計結(jié)果報告需經(jīng)審計部門負責人簽字，再提交審計機構(gòu)主管領(lǐng)導審簽。項目主審對審計小組成員提交的審計工作底稿進行復核；審計組長對項目主審提交的初步審計結(jié)論進行復核；審計部門負責人對審計結(jié)果報告進行復核。也是提高審計質(zhì)量的前提條件。審計小組在進駐被審計單位后，公布審計事項、審計內(nèi)容、審計時間、審計地點、審計組人員及聯(lián)系電話等，接受群眾反映意見，同時公布審計工作紀律和審計人員廉政紀律，接受被審計單位的監(jiān)督；審計人員辦理審計事項，與被審計單位或被審計事項有利害關(guān)系的，應按照國家有關(guān)審計規(guī)定，應予回避。審計組在進行審計實施前，應做好前期調(diào)查研究，了解掌握被審計單位的基本情況，收集與審計項目有關(guān)的法律、法規(guī)、制度、文件、資料等，制定審計工作方案，防范審計風險。組長和主審對審計項目的審前調(diào)查、資料收集、人員分工、項目完成時間等審計質(zhì)量基礎工作負責，并對審計小組成員的審計工作進行監(jiān)督和檢查。在具體實施審計過程中，應注意加強以下幾個制度方面的控制：。如何加強內(nèi)部審計程序控制內(nèi)部審計工作的程序是指內(nèi)部審計機構(gòu)在承辦審計項目的過程中，應遵循的工作次序與要求。第十三條 內(nèi)部審計應當恰當?shù)赜涗浵嚓P(guān)的信息以支持審計結(jié)論和審計結(jié)果。審計人員應通過定期回訪方式，檢查被審計單位整改情況，并編寫后續(xù)審計報告，總結(jié)審計效果。變更或撤銷原審計決定的，必須經(jīng)董事會批準。第十一條 被審計單位和個人對審計決定和審計報告不服，可以向?qū)徲嫴可暾垙妥h，復議期間原審計決定繼續(xù)執(zhí)行。執(zhí)行過程中需要公司其他有關(guān)單位協(xié)助的，有關(guān)單位應當予以協(xié)助、配合。第十條 審計部根據(jù)審計報告草擬審計決定或?qū)徲嬕庖姡瑘蠊径聲凸芾韺訉忛?。審計部應在查明后采納或維持原報告。第九條 審計外勤工作結(jié)束后十四個工作日內(nèi)，擬定審計報告初稿，并送達被審計單位征求意見。第七條 實施審計的過程中，審計人員應與被審計單位及有關(guān)人員進行充分的交流和溝通，充分聽取被審計單位及有關(guān)人員的說明、解釋和意見，確保審計結(jié)論準確、公正、客觀。第六條 審計人員可要求被審計單位或有關(guān)人員在其提供的書面證據(jù)上簽章。第五條 審計人員可以用檢查、觀察、詢問、盤點、監(jiān)盤、計算、分析性復核等方法實施審計，及在了解內(nèi)部控制狀況的基礎上進行符合性測試和實質(zhì)性測試，通過規(guī)范方法獲得必要的證據(jù)材料。被審計單位應當配合審計部門的工作并提供必要的工作條件。第二條 審計部按照審計工作計劃實施審計時，應當對被審計單位進行審前調(diào)查，確定審計人員，制定審計方案，明確審計范圍、內(nèi)容、方式和時間。缺點，編制難度大，時間長，由于猜到答案，不能的到真是答案，回答籠統(tǒng)，受結(jié)構(gòu)影響不能包括所有需要了解的問題c 檢查清單：結(jié)構(gòu)化方法，采用標準格式收集，優(yōu)點全面，檢查工作底稿時作用大，收集數(shù)據(jù)一致，就是列出需要檢查的內(nèi)容以及被審單位提供的資料。79 2000個項，抽樣100，抽出樣本總值10000元，單個樣本值＝10000/100＝100元總體樣本值＝2000100＝200000，精確度范圍177。代表性：樣本的特征具有總體特征臵信水平：風險5％ 臵信水平95％（衡量希望抽樣結(jié)果達到的可靠程度）臵信區(qū)間：臵信水平99％ 臵信區(qū)間寬 可接受的精確程度低臵信水平80％ 臵信區(qū)間窄 可接受的精確程度高計算：樣本的平均值75 標準離差 14 平均值的標準差2 樣本量50 臵信區(qū)間＝75177。操作系統(tǒng)審計要點：系統(tǒng)信息收集、用戶權(quán)限、資源訪問、系統(tǒng)安全存儲、維護記錄 系統(tǒng)主機的審計包括：容量管理程序和性能評價硬件采購計劃硬件可靠性及使用狀態(tài)應用軟件a應用軟件認證 ：認證是證明身份用戶的過程，授權(quán)則是標識用戶可訪問資源的過程復合認證技術(shù)：只有你知道的事情，如賬號、密碼（訪問控制）只有你擁有的東西，如身份證、工作證只有你具有的特征，如指紋、聲音、虹膜審計內(nèi)容：測試安全性、隱蔽性，檢查認證變動情況，包括非法用戶撤銷 b系統(tǒng)開發(fā)方法 生命周期法：自上而下，優(yōu)點：系統(tǒng)性、規(guī)范性、嚴密性，缺點：周期長，變化慢 原型法：根據(jù)用戶一個最基本的需求，開發(fā)一個實驗模型，交用戶使用，啟發(fā)其需求稱為快速應用開發(fā)法，嚴密性不如生命周期法面向?qū)ο蟮拈_發(fā)方法：把握相對固定事件的本質(zhì)開發(fā)軟件，不管用戶不斷變化的需求固定不變的部分稱為對象（如通用軟件）系統(tǒng)開發(fā)活動：系統(tǒng)分析、系統(tǒng)設計、測試、轉(zhuǎn)換、運行與維護審計重點：組織要建立規(guī)范的開發(fā)過程c變動控制：變動管理控制是指計算機系統(tǒng)的任何變動只有經(jīng)過管理層的批準后才能進行，包括硬件和程序變動控制對變動管理的的審計，升級主機軟件程序版本，利于全網(wǎng)絡用戶同步對程序變動控制審計，是防止私自開發(fā)軟件系統(tǒng)最有效方法，建立良好的變動控制程序，測試庫程序緊急投入使用的風險是:未經(jīng)進一步測試就永久的投入運行，保護計算機程序庫的安全最佳方式：限制對程序庫的物理和邏輯訪問d終端用戶通訊：系統(tǒng)的終端用戶在沒有和只有很少技術(shù)專家證實協(xié)助的條件下，自行完（EUC）成系統(tǒng)開發(fā)的策略，主要審計內(nèi)容是這樣做的風險，因為自行開發(fā)系統(tǒng)整體分析功能考慮不全，建議成立信息中心負責用戶咨詢，制定相應規(guī)章制度數(shù)據(jù)和網(wǎng)絡通訊：遠程用戶溝通，進行信號傳輸基礎通信網(wǎng)絡：PSTN 公共電話交換網(wǎng)絡 DDN 數(shù)字數(shù)據(jù)網(wǎng)絡 FR 幀中繼ISDN 綜合服務數(shù)字網(wǎng)ADSL 非對稱用戶數(shù)字環(huán)線審計重點：通訊網(wǎng)絡控制，設計、標準和規(guī)范，選擇網(wǎng)絡是否考慮成本/效益原則，以太網(wǎng)的數(shù)據(jù)傳輸量比電話線大，軟件初始化不正確，可能造成網(wǎng)絡反映遲緩語音通訊：（PBX）通過電話交換機進行語音溝通，主要承載：PSTN/ISDN/IP/無線移動語音黑客通過專用分組（交換機）PBX攻擊調(diào)制解調(diào)器和訪問數(shù)據(jù)網(wǎng)，如果防止語音郵件舞弊控制也帶來系統(tǒng)功能降低系統(tǒng)安全系統(tǒng)控制：一般控制，通用的控制手段和技術(shù)，是基礎控制，有效性不受應用控制的影響，審計應首先確認已建立完善的一般控制，包括：管理控制、運行控制（計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制、物理設備控制）應用控制，特定為保障應用程序正確運行而設定的控制，如輸入、處理、輸出控制，包括：輸入控制、處理控制、輸出控制）工作站腳本：建立終端運行環(huán)境，登錄時起作用自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會批量總額檢查測試有利于輸入的完整性和正確性應急計劃：災難后果處理，計劃包括減少破壞事件的后果，及時恢復、增強數(shù)據(jù)中心靈活性和可用性（移植、升級，不中斷業(yè)務）審計內(nèi)容：計劃的標準和法律實效適用性測試災難發(fā)生后恢復有效性異地存儲的適當性（遠離現(xiàn)場的保存較好）員工災難發(fā)生時的反映能力（培訓、救助能力）數(shù)據(jù)庫：層次型數(shù)據(jù)庫：樹狀結(jié)構(gòu) 網(wǎng)狀型數(shù)據(jù)庫：網(wǎng)絡中的元素之間通過指針進行連接關(guān)系型數(shù)據(jù)庫：以表的形式表示，每個記錄用字段表示數(shù)據(jù)庫管理系統(tǒng)（DBMS）審計要點：設計：圖表描述業(yè)務與其是否一致訪問：訪問被適當控制管理：訪問級別設臵、災難恢復管理、處理過程一致和完整界面：信息保密性、可靠性及完整性便利性：只要有可能應用結(jié)構(gòu)化查詢語言SQL 數(shù)據(jù)庫規(guī)范化：目標是減少數(shù)據(jù)沉余，保證關(guān)系型數(shù)據(jù)庫的二維表特征數(shù)據(jù)中心運行：負責軟硬件日常工作審計要點：網(wǎng)絡操作控制（職能部門管理）、信息系統(tǒng)操作（事件日志）、緊急狀態(tài)操作（電壓調(diào)整器：防止電力浪涌，保證硬件設備安全）、問題處理報告（提供防止病毒服務）網(wǎng)絡基礎設施：運行在操作系統(tǒng)平臺上的網(wǎng)絡服務器和應用服務器審計要點：提供網(wǎng)絡服務器和應用服務器的性能和可靠性檢查迅速排除故障的能力檢查時時性能狀態(tài)監(jiān)控，保證提供歷史報告和公共數(shù)據(jù)輸入 SSL安全協(xié)議：提供數(shù)據(jù)加密、服務器身份驗證、消息完整性和客戶身份驗證功能，網(wǎng)上通過安裝一個數(shù)字證書數(shù)字被加密傳輸，加密在后臺，不需要用戶交互操作（如網(wǎng)上銀行下載密碼證書）小程序：從WWW服務器下載到客戶機上，威脅最大的是從客戶機建立與網(wǎng)絡連接的小程序0、軟件許可：使用盜版軟件的風險、建立防止非法軟件的管理制度、發(fā)現(xiàn)非法軟件使用降低盜版法律風險方法：保存購臵記錄對計算機使用的軟件進行鑒別建立軟件使用政策（提供正版安裝）正版拷貝備份為合法，拷貝多人使用為非法上千臺計算機工作站遵守軟件許可調(diào)查起點，是看軟件安裝是否集中管理實施咨詢業(yè)務內(nèi)部控制培訓：審計對相關(guān)人員在內(nèi)控方面的培訓經(jīng)營過程檢查（BPR）：對組織的業(yè)務流程和程序進行檢查（電話費用控制方法的制定）基準比較法：與最優(yōu)（標桿企業(yè)）比較，組織內(nèi)部也有最優(yōu)情況信息技術(shù)與系統(tǒng)開發(fā)業(yè)績測評系統(tǒng)的設計實施咨詢業(yè)務的原則：a 委托業(yè)務更適合保證業(yè)務，就應當做保證業(yè)務b 章程中含有此項業(yè)務，并制定相應政策和程序c 一人從事咨詢業(yè)務一年內(nèi)，不能作保證業(yè)務，處理方法：派另一人、建立獨立監(jiān)督機制、闡明結(jié)果、披露認定的損害，要管理層明白d 避免不必要的超出業(yè)務范圍和脫離原定的目標管理責任職業(yè)謹慎：了解咨詢動機和原因，確定范圍，工作技巧，潛在影響，組織從中獲什么益處 如何處理目標：審計目標優(yōu)于管理人員特殊要求，如何協(xié)調(diào)： 將額外目標納入咨詢業(yè)務中記錄額外目標，最后溝通時，報告觀察結(jié)果將額外目標納入后續(xù)保證業(yè)務中咨詢計劃：包括業(yè)務目標、范圍、完成目標的技術(shù)手段結(jié)果溝通：要求清楚的報告業(yè)務性質(zhì)、存在的局限性、引起主意的地方越過服