1、目 錄一、現場跟蹤的方式31、現場跟蹤方式32、現場跟蹤主要內容4二、施工組織設計的造價管理61、編制施工組織設計的主要內容62、施工組織設計造價管理的主要內容7三、設計變更、現場簽證的審核與管理81、設計變更的審核工作程序82、洽商簽證的審核與管理113、工程量簽證的造價審核程序與內容134、材料價格簽證的審核程序與內容145、綜合單價簽證的管理與審核16四、主要隱蔽工程及工程驗收的審核與管理171、內容172、隱蔽工程造價管理的工作程序18五、主要材料及設備價格的審核與管理191、內容192、工作程序19六、工程進度款的審核與管理201、內容202、工作程序20七、索賠費用的審核與管理21

2、1、索賠費用的管理212、索賠的內容213、索賠的分類234、索賠的程序255、索賠的依據256、索賠方案的確定26嶺秀城WS1、WS2施工階段全過程造價控制與管理工作方案衷心感謝清能置業各級領導對湖北眾華的信賴和厚愛！珠海正邦嶺秀城WS1、WS2項目已經過招標，同F1項目，合并簽訂了施工合同。根據這個特征，我公司為業主制定了施工全過程的造價控制與管理方案，即將原來的結算審計事后審計的時間、空間進行了科學地調整，把事后審計變為事前或事中審計；把結算中以辦公室為空間的審計搬到駐現場審計；把事后結算一攬子解決造價問題改換成即時發現問題即時處理；類似體育比賽中的“貼身防守”，在為業主處理設計變更、合

3、同跟蹤、隱蔽工程、索賠等方面做好扎實的基礎工作，為業主控制投資，造價管理方面起到貼身護衛的作用。方案如下：施工階段的造價控制與管理一、現場跟蹤的方式：1、現場跟蹤是施工階段造價控制的基礎工作，根據項目的特點，確定以下跟蹤方式：我方審計人員從控制工程造價的角度，在施工合同履行的整個時期對現場進行跟蹤核查、記錄。我方將適時地派駐有關建筑、結構、裝飾、給排水、電氣、暖通等各專業的造價師對各專業所用的材料規格、數量與施工圖、設計變更單及工程實物進行對照核查，通過現場測量、取證、拍照等方式，做好備查記錄，作為變更簽證計價和結算審計的真實造價依據。特別對隱蔽工程部分或有可能索賠或反索賠等方面，在現場跟蹤過

4、程中我公司會特別關注。我們將竭力做好：第一、專業造價師及時跟蹤現場，并承諾每周不少于5次，每次不少于1人，必要時全天跟蹤（如隱蔽工程和其它需要連續跟蹤的部位）；第二、做好跟蹤日志，記錄每天發生的與造價相關的事件，作為處理造價管理的基礎資料；第三、參加本工程有關造價管理的會議；第四、對于索賠事件，要重點記錄與跟蹤。派專家把關，成果堅持三級復核。2、現場跟蹤主要內容（1）現場跟蹤的準備階段熟悉本項目施工圖紙等設計文件及工程施工招、投標文件，施工合同補充協議等有關計價的其它文件。協助業主對設計方、監理方、施工方的溝通協調，對作為工程結算依據的相關設計變更、現場簽證有效性提供咨詢。參加業主、監理組織的

5、圖紙會審工作，對其中因變更而增加的費用部分進行咨詢準備。提供非承包商原因所致設備或材料未及時送達引起的誤工費用、工期延誤等索賠的咨詢。提供應業主要求承包商采取非常規施工措施而增加費用的評估咨詢。（2）施工合同跟蹤跟蹤工程實施階段參加與工程造價及合同相關的會議，并作好記錄。審核的施工合同主要包括：施工總承包合同以及合同額大于10萬元的甲方直接分包（或委托）合同。主要審核：合同主體的合法性，合同內容的完整性，結算及價款調整條款的內容表述是否準確、完整。總價或單價包干合同的包干總價或包干單價須事前審計。對現場設計變更及簽證進行造價咨詢。A、提供業主方發出現場圖紙變更引起費用變動的計算咨詢。B、提供業

6、主方確認的現場圖紙修改而引起費用，工期變動的估算咨詢。C、計算設計修改的增減值，并協助業主與承包商達成費用上的增減協議及制訂工程變更清單。D、其他與項目成本變動有關的咨詢服務，如工程造價控制及優化分析。；E、提供因市場材料價格的浮動偏大，引起費用增加的施工方要求索賠費用的咨詢。F、對承包商的施工報價及材料報價會同業主進行市場調研分析確認。 工程進度款審批的造價咨詢A、定期根據施工方的進度款申報計劃（每月），提交一份進度款審核工程造價報告，該報告內容是對整個已投資成本作相應的明細分析。B、根據合同約定，提供在工程實施過程中應扣減工程款的咨詢建議。C、協助業主按合同支付進度款，核審付款報審表。竣工

7、驗收及工程索賠咨詢A、協助業主處理施工索賠，審核已經認定索賠事實的造價費用。B、協助業主對施工方違約的工期、質量等收集證據，進行反索賠。二、施工組織設計的造價管理施工組織設計的造價管理，就是對施工過程中各種生產要素的合理安排和有效配置的一種咨詢管理。施工組織設計是正確處理人與物、時間與空間、質量與數量、工藝與設備、供應與消耗、生產與管理的各種矛盾。科學合理、計劃有序、周密均衡地組織施工生產的一種技術組織措施。1、編制施工組織設計的主要內容（1） 編制依據（2） 工程概況（3） 施工部署（4） 施工準備（5） 施工總平面布置（6） 施工總進度計劃（7） 主要分項工程施工方法（8） 主要資源需用計

8、劃 （9） 質量管理及保證措施（10）技術資料管理及保證措施 （11）工期保證措施（12）現場文明施工管理及保證措施（13）環保、環衛管理及保證措施（14）安全管理及保證措施（15）消防保衛管理及保證措施（16）季節性施工措施（17）成本管理及降成本措施（18）新技術推廣應用2、施工組織設計造價管理的主要內容（1）施工部署審查施工部署是否能按業主的總體進度要求完成施工任務，各主要施工節點是否銜接，工序的交叉是否合理。施工組織中勞動力組織和施工機械的配置是否能滿足施工的要求。（2）施工準備施工準備中是否分項分部編制實施性的施工組織設計方案，針對重點關鍵工序是否組織專項技術攻關措施。施工機械準備是

9、否已經完成，設備型號規格、數量、時間上能否滿足施工計劃要求，是否有易損件配置。勞動力準備，勞動力后備資源是否充分，各工種能否滿足施工技術要求。物資準備，物資部分是否編制材料需用量計劃，對各種材料是否進行供應商考察。（3）新技術推廣應用新技術推廣應用是否采用建筑業推廣應用的新技術、新工藝、新材料，已往項目作業中對縮短工期、降低成本、節能、環保、創造優質工程方面應用效果如何。三、設計變更、現場簽證的審核與管理工程實施階段，業主的工作重點在于過程的有效控制，使設計變更、簽證等得到有效的掌控；我公司作為中介方，工作重點在于協助業主利用自己的專業知識對變更、簽證、索賠進行有效的審核。對工程簽證等管理實行

10、量價分離的二級約束機制，規定現場監理工程師僅對簽證事件的真實性和工程量數據的準確性確認，對其可能引起的費用變化或工期變化要求承包商另行填寫費用洽商申請表或工期臨時延期申請表，由業主經營部和委派的造價咨詢企業的造價工程師獨立審核，形成了二層次管理，相互制約的機制，最大限度地降低了工程簽證可能帶來的工程造價失控風險。1、設計變更的審核工作程序（1）設計變更的審核程序：設計變更的必要性審核：對影響工程造價的設計變更、簽證，應從專業技術需要的角度，提出合理化建議方案，供業主選擇。A、工程設計變更按其影響造價的程度，可分為 a、b、c三類。a類變更：這類變更不涉及變更設計原則，不影響質量和安全經濟運行，

11、且不增加或減少工程費用（或合同價款）。b類變更：這類變更工程內容有變化，造價有增減，但變更價款在合同規定的承包商包干費用范圍內。c類變更：這類變更涉及變更設計原則，變更設計方案及主要結構和布置，修正主要尺寸及主要原材料和設備代用，且變更價款在合同規定的可追加或減少費用的范圍內。B、各類工程變更的處理程序：a類變更：由監理工程師簽認，但需向造價工程師備案。b類變更：必要時（合同結算規則要求按分項、分部工程計算費用；或業主要求提供考核設計變更增加的費用），造價工程師要對工程變更申請表的估算費用進行核查，并記入核查記錄，同時按分項、分部工程進行統計。否則，與a類變更的處理方法相同。c類工程變更：屬c

12、類變更的，由施工方提出申請估價和提交變更價款預算單，由業主經營部門委托造價公司進行核查并與承包商協商后確定價款，填寫核查記錄，同時按分項工程進行統計。對于通過設計變更擴大建設規模，提高建設標準的，要看是否有原審批部門的批準；運用價值工程理論，對變更的技術可行性，經濟合理性進行必要的論證與綜合評價后再決定進行變更。設計變更的合規性審核：審核設計變更手續是否合理合規，是否符合甲乙雙方的事前約定。根據變更引起造價變更的數額實行分級審批制，明確審批權限，加速變更工作的進展。同一原因引起的、數額較大的變更項目不能肢解為多個變更項目申報而逃避審批。A、必要的變更應先作工程量和造價的增減分析，經業主同意，設

13、計單位審查簽章，出具相應的圖紙和說明方可發變更通知。B、對不符合程序的口頭變更、便條變更的工程量不予認可。C、監理公司發現設計圖中的問題，需要進行變更時，必須征求業主和設計單位的意見。對監理公司和施工單位擅自更改設計圖的，不予認可。設計變更的真實性審核：A、審核設計變更是否真實存在。為分析變更的原因，明確責任，應對變更進行分類管理，一般可以分為施工類、設計類、業主管理類，并制定相應的獎罰措施。a由于施工不當，或施工錯誤造成的變更，監理工程師應注明原因，此變更費用不予處理，由施工單位自負，若對工期、質量、投資效益造成影響的，還應進行反索賠。b由設計部門的錯誤或缺陷造成的變更費用，以及采取的補救措

14、施，如返修、加固、拆除所生的費用，這部分費用按c類變更處理后由監理單位協助業主與設計部門協商是否對設計部門索賠。c由于監理部門責任造成損失的，該部分費用按c類變更處理后應扣減監理費用。B、審核變更中涉及的其數量及計價的真實性。a審核設計變更部位的工程量增減是否正確，是否得到了如實反映。b審核變更部位的定額套用是否合理。設計變更應視作原施工圖紙的一部分內容，所發生的費用計算應保持一致，并根據合同條款按國家有關政策進行費用調整。材料的供應及自購范圍也應同原合同內容相一致。c審核設計變更計算過程是否規范。審核工程量的計算是否按合同中約定的計量規則進行計算，有無高估冒算。2、洽商簽證的審核與管理（1）

15、洽商簽證的必要性簽證對造價的影響程度，洽商簽證于設計變更相同，按其對造價的影響程度，亦分為a、b、c三類。a類簽證：這類簽證不涉及設計原則的變化，不影響質量和安全運行，且不增加或減少工程費用（或合同價款）。b類簽證：這類簽證涉及工程內容，造價有增減，但變更價款在合同規定的包干費用范圍之內。c類簽證：這類變更涉及合同約定的工程內容變化，或屬合同約定的范圍之外的工程內容，且變更價款在合同約定的追加或減少費用范圍之內。各類簽證的處理方法以上a、b、c各類簽證的處理方面同各類工程變更的處理方法，見第7頁，不在此重復。（2）審核洽商簽證的真實性審查洽商簽證的程序是否規范。審查程序是否符合甲乙雙方事先約定

16、的簽證程序。審查洽商簽證手續是否齊全。洽商簽證必須分別由監理公司、業主單位、施工單位共同簽字確認，如果只有一方簽字或缺少某一方簽字，說明洽商簽證的手續不全，也必然影響洽商簽證的真實性。審核材料簽證的市場調查。涉及材料價格的簽證應在業主組織下，造價公司會同承包方赴市場，確定本工程所監控主要建筑材料的品種、規格和單價。審查洽商簽證內容與竣工圖、隱蔽工程記錄和完工項目的內容是否一致。如果不一致，說明洽商簽證的內容存在虛假情況，必須糾正。（3）審查洽商簽證的有效性審查開始后，必須封存施工單位移交的所有資料，包括洽商簽證，不允許施工單位補辦任何洽商簽證，特別是隱蔽工程項目的洽商簽證，凡是審查開始后補辦的

17、洽商簽證一律無效。審查施工日記、監理日記、值班日記與洽商簽證的時間是否一致。如果不一致，說明洽商簽證的時效性存在問題，必須進一步查清。審查洽商簽證的內容有無重復，尤其要注意工程項目整體辦理洽商簽證后，是否又以單項辦理洽商簽證。預算中包含的項目不得進行簽證，已簽證的工程量，應予扣除；（4）審核洽商簽證的正確性審查洽商簽證的數量，包括個數、面積、體積、重量的計算是否正確。審查洽商簽證的單價、金額計算是否正確。結合業主與施工單位簽訂施工合同的內容，特別是洽商簽證的一些優惠條款，查洽商簽證是否可以列入工程結算。工程變更與工程現場簽證審核的依據應充分，設計變更手續、簽證程序應齊全，內容與實際情況應相符，

18、所選用的計價方式應合理并符合施工合同規定。工程設計變更及現場簽證價格的審核與確定應由相關的專業造價工程師簽發。3、工程量簽證的造價審核程序與內容簽證審核的步驟分三步：真實性審核、合理性審核、實質性審核。（1）真實性審核一般簽證書面材料中應有甲方現場代表、乙方、監理工程師的簽字蓋章。簽證有無雙方單位蓋章，印章是否偽造，復印件與原件是否一致等是真實性審核的重要內容。簽證是甲方與乙方之間在工程實施過程中對已訂合同的一種彌補或動態調整，與主體合同具有同等法律效力，因而在形式上應該是雙方簽章齊全真實。審核時復印件應與原件核對，簽證的印章應與投標書中印章相比對，以保證簽證形式合法、內容翔實合理。以防止簽證

19、上虛增材料數量、工程量、費用等。簽證真實性的審核要重點審查簽證單所附的原始資料。對簽證中的數量一定要現場核實。現場核實工作量要求甲方、乙方、中介方三方同時到場，咨詢單位審核人員一般安排二人以上參加，認真測量并做好勘測記錄。勘測記錄由甲、乙方和審核人員簽字認可，作為調整結算的依據，并與結算書等一并歸檔備查。（2）合理性審核：一些乙方為了中標，在招標時采取壓低造價，在施工中又以各種理由，采取洽商簽證的方法想盡辦法補回經濟損失。所以對乙方簽證的合理性必須認真審核。（3）實質性審核：對于工程量的簽證，審核時必須到現場逐項丈量、計算，逐筆核實。特別是對裝飾工程和附屬工程的隱蔽部分應作為審核的重點。因為這

20、兩部分往往沒有圖紙或者圖紙不很明確，而事后勘察又比較困難。在必要的情況下，審核人員在征得甲方和乙方雙方同意的情況下，進行破壞性檢查，以核準工程量。4、材料價格簽證的審核程序與內容一般來說，設計圖紙對一些主材、裝飾材料只能指定規格與品種，而不能指定生產廠家。目前市場上偽劣產品較多，即使是正規廠家，不同的廠家和品牌，價格差異比較大，特別是一些高級裝飾材料，施工方以劣充優，以國產品牌冒充進口品牌，若業主簽字確認之后會給結算審核造成麻煩。材料簽證的造價跟蹤主要注意以下幾個方面：（1）注意簽證的時間市場經濟條件下，價格信息是時時刻刻變化的，掌握價格變動規律，審核中關注簽證材料的購買時間，是一個很重要又容

21、易忽視的問題。（2）材料價格簽證確認的方法相對于其他簽證來說，材料價格簽證的確認是比較難的。客觀上，各地區價格信息對普及性材料有明確指導價，而對裝飾材料的價格沒有明確指導，由于其品種、質量、產地的不同，導致了價格的千差萬別，甲方也不能清晰、具體地提供材料的詳細資料。比較可行的辦法是：組織雙方人員，走向市場，尋求最接近實際情況的價格，以有力的事實證據取得雙方的一致認可。調查材料價格信息的方法A、市場調查。B、電話調查。C、上網查詢。D、當事人調查。取定材料價格的方法。調查取得價格信息資料后，就要對這些資料進行綜合分析、平衡、過濾，從而取定最接近客觀實際并符合審價要求的價格。A、應考慮調查價格與實

22、際購買價格的差異。B、參考其他價格信息。取定材料價格時還應綜合考慮下面幾種價格資料：a參考信息價。b參考發票價。參考乙方的購貨發票，雖然可能存在假、虛、空等問題，但在市場調查的基礎上，可作為參考的依據之一。c參考口頭價。這里的水分可能更大一些，更應慎重取舍。d參考定額價。定額價格是加權平均價，具有較強的指導作用，一般來說土建材料與市場差異不大，但許多裝飾材料則可能出入較大，應分別對待。e其他工程中同類建材價格。在同期建設的工程中，已審定工程中所取定的材料價格，可作為在審工程材料價格取定參照，甚至可以直接采用。5、綜合單價簽證的管理與審核（1）清單計價方法下，單價的使用原則。一般，在工程設計變更

23、和工程外項目確定后7天內，設計變更、簽證涉及工程價款增加的，由乙方向甲方提出，涉及工程價款減少的，由甲方向乙方提出，經對方確認后調整合同價款。變更合同價款按下列方法進行：當投標報價中已有適用于調整的工程量的單價時，按投標報價中已有的單價確定。當投標報價中只有類似于調整的工程量的單價時，可參照該單價確定。當投標報價中沒有適用和類似于調整的工程量的單價時，由乙方提出適當的變更價格，經與甲方或其委托的代理人（甲方代表、監理工程師）協商確定單價；協商不成，報工程造價管理機構審核確定。（2）清單計價方式下，單價的報審程序。換算項目。在工程實施中，難免出現材料調整，如面磚的規格調整，在定額計價模式下，只要

24、進行子目變更或換算即可，但在清單模式下，特別是固定單價合同，單價的換算必須經過報批。四、主要隱蔽工程及工程驗收的審核與管理1、內容（1）主要隱蔽工程一般包括：預埋工程，包括鐵件、管線預埋等，審核其是否與施工圖紙、規范要求一致；屋面工程，主要審核屋面基層處理、防水、保溫隔熱做法是否符合規范，與所采用的圖集是否相符；裝飾工程，主要跟蹤其基層做法是否與圖集、清單項目一致，實際消耗量如何。（2）主要隱蔽工程驗收內容主要包括：地基驗槽記錄，指基槽土方開挖完成后的驗收，主要核查基槽的幾何尺寸、土質類別、老墻腳開挖、排水類型（結構排水、地表排水、雨季排水）、土方的運輸方式、運距及各種引起索賠的書面證明材料；

25、基礎結構驗收，指正負零以下結構完成后的驗收，主要核查砼墊層、砼基礎、磚基礎以及回填土的實際尺寸。正負零標高的確定和回填土的運距。為了控制造價，必須選用合理的運輸機械；中間結構驗收，指主體結構完成后在開展室內、外裝修之前的驗收，主要核查構件的運距、屋面防水做法、隔熱材料的厚度以及墻砌體使用材料，依據設計圖、變更圖及變更洽商進行逐項逐層核對，分析變更產生的原因；工程竣工驗收，指工程完工后交付業主之前的驗收，主要核查設計變更、實際工期、材料認證及有關索賠的書面證明資料。2、隱蔽工程造價管理的工作程序（1）對隱蔽工程，要隨工程的進度及時跟蹤，以檢查綜合單價中的項目特征、工作內容是否發生改變，實際施工是

26、否與圖紙或變更相一致，作為計算實際工程量，調整綜合單價的依據。（2）對跟蹤審核過程中發現的重大問題，提醒和協助業主及時辦理相應的簽證洽商，以免日后產生糾紛。（3）施工單位在通知工程監理公司實施正常監理隱蔽工程驗收時，應提前通知我公司，并提供驗收的部位及內容，我公司相關專業工程師參與驗收。（4）我公司工程師采用多種手段對隱蔽工程及其他工程實際施工進行跟蹤，包括現場進行測量，使用數碼相機對現場情況直觀記錄，必要時使用儀器對相關部位進行復核等。（5）我公司工程師對現場實際所使用的材料在必要時進行取樣。（6）我公司工程師對隱蔽工程應結合隱蔽工程審核與管理內容詳細記錄，填制“隱蔽工程跟蹤審核記錄表”。（

27、7）我公司工程師建立項目跟蹤審核日志，對施工中的實際情況如實記錄。五、主要材料及設備價格的審核與管理1、內容（1）招標文件中對主要材料和大型設備沒有明確“廠家、規格”，但材料單價已明確的，在進場使用前由施工單位提供“廠家、規格、單價”，業主現場代表、監理工程師和我公司共同對“廠家、規格、單價”進行核實，如果實際價格低于投標價格以上的5%，由業主現場代表、監理公司、我公司和施工單位共同定價和洽商確認。（2）招標文件中沒有確定的材料、設備以及暫估價，定價方式同第條。（3）建設單位供貨或指定材料，由我公司協助業主詢價后共同確定。（4）施工單位自行采購的材料和設備，未經確認已使用在本工程，業主現場代表

28、和監理工程師有權要求現場剝離檢查，對剝離所發生的費用由施工單位承擔，價格由四方派代表到市場詢價，按市價的低價結算。2、工作程序（1）對符合“主要材料及設備價格審核與管理”內容的材料及設備，由施工單位提供材料品種、規格、質地、生產廠家、供應單位報價及擬采用的單價等相關資料。（2）業主、監理單位、施工單位對材料的用量、質量、價格與設計圖要求進行初步確認審核，并填寫“材料價格洽商單”，經三方簽字后提前7天送我公司進行審核；我公司7天內將審核（詢價）結果書面反饋給業主。（3）實施公開招標的材料，我公司可參與全過程并提供咨詢意見。六、工程進度款的審核與管理1、內容跟蹤審核過程中密切注意實際進度與計劃進度

29、的偏差，分析由此引起的對工期及工程造價的影響。2、工作程序（1）施工單位應按合同專用條款約定的時間，提交當月（或節點）完成形象進度，監理公司、業主有關部門在規定的時間內核實已完工程量。對合同范圍內的工程量和變更的工程量分別洽商認可。 （2）施工單位根據工程量檢驗認可的證明、編制當月的工程量完成統計報表（按合同要求）及工程價款結算書，報項目管理公司初審后送給我公司復審。（3）我公司對工程價款進度結算書進行審核，首先對工程量核定確認，然后審核洽商記錄的真實性、合法性；審核工程子目綜合單價是否與清單報價一致；實物工程量與圖紙不符、施工情況與施工合同不符、施工用料發生變化必須獲取必要的洽商，審核時據實

30、調整。（4）審核的結果由我公司在7天內出具審核意見，并填寫工程項目進度付款建議表。七、索賠費用的審核與管理1、索賠費用的管理施工索賠是在施工過程中承包商根據合同和法律的規定，對并非由于自己的過錯造成的損失或承擔了合同規定之外的工作所付的額外的支出，承包商向業主提出在經濟或時間上要求補償的權利。（1）我公司協助業主及時、快速地處理索賠糾紛，通過收集的記錄、照片、錄像等證據，幫助業主把索賠損失減少到最小。（2）階段性地、及時地收集因施工方原因造成工期、質量違約的證據，協助業主進行反索賠，以維護業主利益，提高自身防范能力。2、索賠的內容（1）業主沒有按合同規定的時間交付設計圖紙數量和資料，未按時交付

31、合格的施工現場等，造成工程拖延和損失。（2）工程地質條件與合同規定、設計文件不一致。（3）業主或監理工程師變更原合同規定的施工順序，擾亂了施工計劃及施工方案，使工程數量和施工困難有較大的增加。（4）業主指令提高設計、施工、材料的質量標準。（5）由于設計錯誤或業主、工程師錯誤指令，造成工程修改、返工、窩工等損失。（6）業主和監理工程師指令增加額外工程或指令工程加速。（7）業主未能及時交付工程款。（8）物價上漲、匯率浮動，造成材料價格、人工工資上漲，承包商蒙受較大損失。（9）國家政策、法令修改。（10）不可抗力因素等。 3、索賠的分類序號分類標準索賠類別說 明1按索賠的目的分工期延長索賠由于非承包

32、商方面原因造成工程延期時，承包商向業主提出的推遲竣工日期的索賠費用損失索賠承包商向業主提出的，要求補償因索賠事件發生而引起的額外開支和費用損失的索賠2按索賠的原因分延期索賠由于業主原因不能按原計劃的時間進行施工所引起的索賠主要有：發包人未按照約定的時間和要求提供材料設備、場地、資金、技術資料或設計圖紙的錯誤和遺漏等原因引起停工、窩工工程變更索賠由于對合同中規定施工工作范圍的變化而引起的索賠主要是由于發包人或監理工程師提出的工程變更，由承包人提出但經發包人或監理工程師同意的工程變更；設計變更，或設計錯誤、遺漏工程變更，工作范圍改變施工加速索賠（又稱趕工索賠勞動生產率損失索賠）如果業主要求比合同規

33、定工期提前或因前段的工程拖期，要求后一段彌補已經損失的工期，使整個工程按期完工，需加快施工速度而引起的索賠（1）一般是延期或工程變更索賠的結果（2）施工加速應考慮加班工資，提供額外監管人員、雇傭額外勞動力、采用額外設備、改變施工方法造成現場擁擠、疲勞作業等使勞動生產率降低不利現場條件索賠因合同的圖紙和技術規范中所描述的條件與實際情況有實質性不同或合同中未作描述，但發生的情況是一個有經驗的承包商無法預料的時候，所引起的索賠如復雜的現場水文地質條件或隱藏的不可知的地面條件等3按索賠的合同依據分合同內索賠（1）索賠依據可在合同條款中找到明文規定的索賠（2）這類索賠爭議少，可由監理工程師直接處理。合同

34、外索賠（1）索賠權利在合同條款內很難找到直接依據，但可來自普通法律，承包商須有豐富的索賠經驗方能實現（2）索賠表現多為違約或違反擔保造成的損害（3）此項索賠由監理工程師提供現場依據，業主決定是否索賠。道義索賠（又稱額外支付）（1）承包商對標價估計不足，雖然圓滿完成了合同約定的施工任務，但期間由于克服了巨大困難而蒙受重大損失，為此向業主尋求優惠性質的額外付款（2）這是以道義為基礎的索賠，既無合同依據，又無法律依據（3）這類索賠監理工程師無權決定，只是在業主通情達理，出于同情時才會超越合同條款給予承包商一定的經濟補償4按索賠處理方式分單項索賠（1）在一項索賠事件發生時或發生后的有效期內，立即進行的

35、索賠（2）索賠原因單一，責任單一，處理容易總索賠（又稱一攬子索賠）（1）承包商在竣工之前，就施工中未解決的單項索賠，綜合起來提出的總索賠（2）總索賠中的個單項索賠常常是因為較復雜而遺留下來的，加之各單項索賠事件相互影響，使總索賠處理難度大，金額也大 4、索賠的程序承包商監理工程師業主審核（造價工程師）索賠事件發生在28天內發出索賠意向通知列出索賠理由列出索賠帳單列出索賠證明正式提出索賠申請書提出索賠報告及有關文件審閱分析評審質疑談判審閱評審談判審閱索賠資料，提出索賠意見監理工程師提出索賠處理意見協商談判調解仲裁訴訟索賠結束無效經審核（造價工程師）確認后會同有關部門進行索賠無效無效無效成功成功成

36、功成功成功施工索賠程序示意圖對施工方的索賠要求28天之內未以回復，則視為同意施工方的索賠意見未在28天內提出索賠則視為不主張索賠計算工期延長計算成本費用尋找索賠理由提出法律依據提出合同依據搜集索賠證據5、索賠的依據（1）合同；（2）證據：現場記錄；項目往來函件；照片、錄音、錄像等；權威部門的資料；公開發布的信息；財務上的有關索賠依據及證明；其他與索賠相關的報告、復函、記錄等。（3）計算方法與要素：數量；價格；時間。6、索賠方案的確定（1）定性。（2）定量。（3）途徑。我國信息系統審計規范體系的框架結構根據構建信息系統審計規范體系所應考慮的因素，在借鑒國內信息系統審計相關規范框架的基礎上，綜合考

37、慮信息系統審計規范的制度形成機制。審計法規信息系統審計質量控制準則其它信息系統審計規范信息系統審計職業道德信息系統審計準則自然法（基本價值觀與倫理道德）基本準則具體準則基本準則審計指南作業程序基本原則/概念框架具體準則法人團體的信息系統審計規章制度潛在影響 我國的信息系統審計規范體系結構信息系統審計準則目錄項目內容基本準則總則（包括信息系統審計的定義、本質、目標以及審計假設以及其它相關規定）；審計章程；審計計劃（包括審計重要性、審計計劃、審計計劃中風險評估的運用等）；審計實施；審計報告；后續審計；附則等審計指南審計章程；利用其它審計人員的成果；審計取證；信息系統審計技術；信息系統業務外包情況下

38、的審計；信息系統審計中的重要性概念；審計文檔；不正當行為的審計考慮；審計抽樣；信息系統控制的效果；審計計劃中風險評估的運用；應用系統評審；審計計劃修訂；第三方對信息系統控制的影響；IT治理；審計報告；企業資源規劃系統評審；B2C電子商務審核；系統開發生命周期審核；網絡銀行；對虛擬專用網絡的審核；企業流程再造項目審核；移動計算；計算機取證；執行后的評審；業務連續性計劃的審核；對網絡使用的總體考慮；后續審計；指紋識別控制；配置管理過程；訪問控制；IT組織；安全管理實踐評審等等信息系統審計質量指標信息系統審計計劃審前調查制定實施方案信息系統審計實施內部控制審計信息系統生命周期審計信息系統安全審計信息

39、系統軟硬件審計信息系統審計報告出具報告項目歸檔信息系統后續審計信息系統審計資源審計人員軟件資源硬件資源審計方法審計技術審計規范數據文件質量控制與復核質量控制與復核質量控制與復核質量控制與復核信息系統審計質量控制模型圖信息系統審計質量控制基本準則內部控制審計質量控制準則系統生命周期審計質量控制準則信息系統軟硬件審計質量控制準則信息系統安全審計質量控制準則其它審計質量控制準則信息系統審計的質量控制準則體系信息系統審計準則委員會中國內部審計協會審計準則委員會審計準則委員會授權資金授權資金協調信息系統審計規范與信息系統審計相關的審計指南審計人員反饋反饋信息系統審計準則制定的組織關系圖信息系統審計準則委

40、員會、中國內部審計協會（參與者）；審計規范制定的組織關系；權力（資源依賴關系）；信息系統審計規范在互動的過程中行使相應的權力；在共同的社會環境下進行協調與溝通審計規范的制定制定與頒布新的信息系統審計規范以及為配合信息系統審計的內部信息技術審計指南根據新的信息系統審計規范更新信息系統審計規范體系信息系統審計規范制定體系協調制定與頒布新的審計規范行動信息系統審計準則制定機構之間的協調機制案例分析TALLAHASSEE市審計局對本市局域網的邏輯安全審計 案例背景、審計目標和范圍、審計方法、基本審計結論、審計發現及建議與管理層回復參見錢嘯森主編，國外信息系統審計案例，中國時代經濟出版社，2006：P3

41、6-P43一、案例背景美國TALLAHASSEE市依賴計算機和電子數據為市民提供服務，包括警察局，消防局，該市的水、電、氣和垃圾處理，公共事業運營擴容管理和審批，公共管理和財政報告等。目前，TALLAHASSEE正處于從集中的主機環境到客戶/服務器環境的轉變。客戶/服務器的設計將原來主機的功能，包括程序和數據等，主要分散到服務器，其余分散到客戶機，因此，他以協同處理的方式增強客戶端的工作彈性和處理能力。這種分布式的客戶/服務器是通過局域網運行的。隨著通訊技術的發展，用戶連接到服務器的方式變得越來越多。雖然互相連接的系統為提高政府職能提供了很多益處，但這種系統比較容易受到非法入侵者的攻擊。侵入者

42、可能操縱數據、實施舞弊、獲取敏感或機密數據、嚴重擾亂系統運行。因此，對系統安全的控制變得非常重要。本次審計是對TALLAHASSEE市信息資源安全進行的第二次審計。第一次審計是在2000年12月針對局域網的物理安全進行的。二、審計目標和范圍（一）審計目標1、全面了解網絡運行和進入網絡邏輯路徑的基本情況；2、為安全控制管理提供適當的保證；3、評估管理者改善安全控制措施的適當性；4、確定關于防范非法進入該市局域網的政策和程序的充分性；5、確定有關防范非法進入該市局域網的控制措施的充分性；6、確定存儲在該市局域網的機密信息是否容易接近。（二）審計范圍此次審計的范圍包括所有已知的進入該市局域網路徑的邏

43、輯安全，需要說明的是：1、盡管進行了基本薄弱點評價，但這種評估并不完整，未進行穿透性測試；2、未進行詳細的數據庫安全測試。三、審計方法此次審計開始管理層即介紹了現有的邏輯進入控制和他們認為還需要改進的方面。審計組結合該信息確定了審計目標和方法。具體審計程序包括：1、為了了解網絡運行和邏輯進入路徑情況，審計組會見了負責邏輯進入安全和該市信息系統服務部門的主要人員，檢查了相關網絡結構文件和圖表。2、在檢查安全控制管理時，審計組檢查了密碼軟件特征和實際設定，通過測試確定用戶如何獲得邏輯進入權限，是否及時取消。3、在確定防范非法進入該市局域網的政策和程序的充分性方面，審計組查閱了有關的佛羅里達法令，該

44、市條例、政策、程序以及邏輯安全的行業標準。4、確定有關防范非法進入該市局域網的控制措施充性，和確定存儲在該市局域網的機密信息是否容易接近時，審計組調查了不同部門的管理，以了解機密和敏感信息存儲在該市應用系統的哪些系統中，測試特殊權限用戶的進入入權限是否適當，測試包含機密數據的應用和數據系統的進入權限是否恰當限制，部分測試了易受攻擊的調制解調器，即有可能提供未授權進入該市局域網的調制解調器。四、基本審計結論信息的安全性不夠充分，主要是管理問題。確保充分的信息安全需要管理層對風險和控制的實效進行持續關注和監測。管理層面臨的最大難題是能否將數據安全管理視為該市整體運行的重要組成部分：1、關注用于支持

45、程序運作的所有計算機和電子通訊技術；2、根據預期的風險成本確定可接受風險水平，然后權衡潛在的成本收益；3、運用充分資源檢測控制，并保證將風險控制在可接受的范圍內。管理層需要嚴格執行預防、發現和糾正信息安全缺陷的政策、標準和程序。五、審計發現及建議（一）安全管理和監測方面存在的問題及審計建議1、缺乏有關網絡邏輯安全的政策和程序。該市尚未建立有關信息技術資源邏輯安全的書面政策和程序，盡管ISS已經起草了相關文檔，但尚未正式完善、批準并執行。審計組建議應該建立保證網絡邏輯安全的政策和程序，政策和程序包括的內容有用戶的權利和職責、管理員的權利和職責、定義密碼控制的最低要求、操作系統設定的安全規則、網絡

46、構架、安全檢測、安全教育、病毒、遠端撥號連接、英特網/電子郵件的使用、應用程序和數據安全以及備份等。2、缺乏負責信息安全活動的信息安全經理目前該市對信息安全的管理狀況是由ISS處理網絡安全問題，而另一些執行人員負責應用系統的安全，缺乏負責整體的信息安全經理。審計組建立管理層正式任命安全經理負責信息資源安全，向高級管理層匯報。此人應獨立于管理和維護信息系統的部門，并對信息系統安全的要求非常熟悉。（二）用戶進入控制方面存在的問題及審計建議1、員工離職后未及時刪除其網絡賬號目前，尚未安裝將網絡賬號及時刪除的有效程序，同時用戶名和密碼存在共享的情況。2、遠端進入控制不完善沒有安裝及時刪除離職員遠端登錄

47、的程序；未對遠端進入用戶進行持續監督，系統日志不能提供ISS通過呼入方式進入的可疑軌跡；遠端用戶密碼缺乏有效保護，所有DNS職員都能接觸那些密碼；對遠端進入未設置完善的密碼控制；由調制解調器連接的個人電腦能通過ISS設定的路徑繞過控制進入局域網。3、密碼控制有待改善雖然ISS啟用了新的密碼軟件，增加了密碼時限和嘗試登陸次數限制功能，但依然存在如下問題：盡管密碼軟件的安全設定功能已經成功啟用，但通過修改操作系統中的安全規則能使這些設定名存實亡；未安裝保證ISS員工驗證需求部門的密碼軟件；盡管已經設定了用戶賬號和密碼操作程序，由于尚未建立充分的監控機制，無法保證這些程序一貫遵循。審計組建議ISS開

48、發和應用充分的用戶進入權限控制，以確保無論是直接還是無端，只有經過授權的人員才能夠進入網絡。這種控制應該存在于分配、刪除用戶賬號和密碼，共享用戶賬號和密碼，對密碼的最低要求，定期監控未授權用戶的登陸，以及管理和控制調制解調器的使用等各個方面。同時建議所有的撥號接入方式均通過ISS的專門調制解調器中心通道，避免使用模擬調制解調器。4、特殊權限的用戶授權存在不足審計發現一些用戶擁有不必需的特殊權限，如管理員權限，讓這些用戶能增加或刪除用戶，變更安全文件和設定，進入網絡的每個區域，包括操作系統、程序和儲存在網絡上的數據。同時發現供應商和非ISS員工也被無意分配了部分特殊權限。審計組建議限制分配特殊進

49、入權限；終止共享個人賬戶；刪除不再擁有授權的供應商的權限；對用戶的活動定期監測，保證只進入授權領域、執行相應的操作。5、未按法律規定保護保密數據弗羅里達州法令第119章對所有公共檔案的查閱、檢查和拷貝提供了規范。經過檢查應用系統存儲、傳輸機密資料，發現在這方面存在許多薄弱環節，如對能源服務和城市公交系統的文件夾/目標未加以適當保護，無法防止未授權用戶的進入；警察局部分應用系統的用戶賬號被共享等等。審計建議首先確定系統中根據州、聯幫和地方法律應受保護的機密數據，并將其從公共記錄中分離出來。然后，各部門應該對此數據進行有效保護，防止泄露。六、管理層回復TALLAHASSEE市局域網管理部門的管理層

50、根據審計局所提出改進意見，對本市局域網的邏輯安全問題進行了改進，并將改進的行動計劃、責任人及目標日期反饋給審計局。七、案例分析通過分析TALLAHASSEE市審計局對本市局域網進行邏輯安全審計項目可以發現，國外信息系統審計實踐是在信息系統規范的指導下有序進行的。總體而言，本文認為通過分析上述案例并結合其它國外的信息系統案例可以反映出國外信息系統審計規范體系如下幾個方面的特點：1、國外信息系統審計規范來源于審計實踐ISACA是美國的信息系統審計準則制定機構，其基本準則自1997年12月25日后陸續生效，審計指南自1998年6月1日后陸續生效，審計程序自2002年7月1日后陸續生效。雖然ISACA

51、基本準則生效的最早時間為1997年12月25日，但這并沒有防礙美國的信息系統審計實踐。例如，美國審計署1996年11月對美國聯邦存款保險公司時間和出勤處理系統進行了審計，并出具了審計報告。在此次審計實踐中，審計人員有明確的審計目標、審計范圍等，這與ISACA后來所頒布的基本準則審計計劃（S5）中的規定基本一致，即在S5中要求“信息系統審計師必須起草并以書面形式記錄一份審計計劃書，詳述審計目標及其性質、審計時間和范圍、以及所需相關資源”。同時美國審計署還針對美國聯邦存款保險公司時間和出勤處理系統的開發情況，提出了系統開發需要完善的流程，并在1998年再次對美國聯邦存款保險公司中止開發時間和出勤處

52、理系統的具體情況進行了審計。美國審計署對該項目的后續跟蹤也蘊涵著ISACA所頒布的基本準則后續工作（S8）的基本思想，即在報告審計發現和建議后，信息系統審計師必須獲取和評估相關信息，對管理層是否已及時采取恰當的措施做出結論。因此，雖然不能說ISACA所頒布的基本準則、審計指南和作業程序全部來自于審計實踐，但可以肯定的是，ISACA所頒布的準則中部分來自于信息系統審計實踐。這種信息系統審計規范制定的模式是值得我國借鑒的，我國在完善信息系統審計規范體系的過程中，除了借鑒國外先進的信息系統審計規范之后，還以從國家審計、注冊會計師審計以及內部審計的實踐中發掘有價值的審計規范，使其成為信息系統審計規范的

53、成文法典，引導和約束信息系統審計行為。2、存在權威的信息系統審計規范指導審計實踐國外信息系統審計規范體系雖然不存在成熟的信息系統審計質量控制準則，但存在著完善的信息系統審計準則、指南和作業程序。從TALLAHASSEE市審計局對本市局域網邏輯安全的審計項目可以看出，審計組在整個審計過程中有明確的審計目標、審計范圍、審計方法，同時審計組還會根據審計過程中發現的問題提出有建設性的改進意見。管理層在整個審計過程中也并非置身事外，在審計工作開始階段與審計組人員交換意見，介紹現有的邏輯進入控制，提出認為還需要必進的方面，在后續審計階段，根據審計組所提的建議進行整改，并將整改結果回復給TALLAHASSE

54、E市審計局。在整個審計過程中，ISACA的審計準則、審計指南與作業程序都能為其提供從審計計劃、實施、審計報告和后續審計方面的指導，如在審計過程中，審計組成員要進行薄弱點評價，而ISACA所頒布的作業程序安全性評估-穿透測試和弱點分析（P8）可以引導審計人員進行薄弱點分析，而不致于讓審計人員在審計過程中處于無序狀態。3、信息系統審計涵蓋的范圍廣ISACA所頒布的信息系統審計準則不僅僅是為了滿足更好的進行財務審計的需要，這也決定了國外在執行信息系統審計時所涵蓋的范圍廣泛。如，2001年澳大利亞聯邦政府互聯網安全的審計，2003年多倫多審計局對該市政府的ORACLE數據庫安全問題進行了審計，加拿大審

55、計署對2002年加拿大政府IT安全審計的后續審計等，這些信息系統審計實踐不是依附于財務審計的信息系統審計，而是完全意義上的信息系統審計。這同我國信息系統審計出于“其實、合法、效益”的審計目標相比，信息系統審計的范圍擴大了許多。我國信息系統審計實踐與國外信息系統審計實踐在這方面的差異，除了在信息系統審計的人力、物力等方面趕不上諸如美國、加拿大等西方國家之后，最主要的原因還是我國不存在相對完善的信息系統審計規范，信息系統審計還處于依附財務審計的狀態。（四）缺乏信息系統審計項目的質量控制 信息系統審計項目質量控制，即對具體審計項目實施階段的各環節進行質量控制，并明確不同審計人員的權責。因此，具體審計

56、項目質量控制分為四個階段，審計計劃階段質量控制、審計實施過程中的質量控制、審計報告階段質量控制和后續審計階段的質量控制準則沒有監督的權力，容易滋生腐敗，同樣沒有監督的信息系統審計，也會出現權力尋租的行為。審計質量是信息系統審計的生命，審計質量達不到規定要求，信息系統審計較強的技術性也使得沒有人敢去相信經審計人員審計過的信息系統是質量好的信息系統，而把它當成一個被審計過的巨大“檸檬”。健全完善的質量控制制度是保證信息系統審計人員遵守法律法規、職業道德規范以及信息系統審計程序的保障。國外的財務審計質量控制準則相對于信息系統審計的質量控制準則而言是相對比較完善的，信息系統審計的質量控制準則，除了在I

57、SACA所頒布的審計指南審計章程（G5）中有粗略的闡述之外，還基本上處于空白狀態。信息系統審計較強的技術性決定了審計人員掌握的信息會優于委托人，更容易導致在注冊會計師審計中審計人員與被審計機構勾結欺騙委托人，被審計過的信息系統并不一定會被認可為質量好的信息系統，會產生高質量的信息，內部沒有嵌入非法的內部控制規范等等。這種猜疑會促使人們認為信息系統審計人員是“檸檬”的制造者，從而失去對信息系統審計的信任。因此，為確保信息系統審計的質量，審計規范制定機構不僅僅是要制定信息系統審計準則，而且還要加快制定信息系統審計質量控制準則的步伐。A航空公司信息系統審計項目 案例背景，案例過程，參見劉汝焯、任有泉

58、主編，計算機審計情景案例選，清華大學出版社，2006：P181187。一、案例背景在信息化環境下，要實現“真實、合法、效益”的審計目標，審計人員必須關注信息系統，而且數據審計的開展也需要以信息系統審計為基礎。因此，如何開展信息系統審計已成為一個現實而迫切的問題。本案例介紹了在A航空公司審計項目中，從分析數據發現線索，到跟蹤數據流程發現非法模塊，逐步深入的一個信息系統審計案例。二、案例過程A航空公司的審計項目是2005年的重點審計項目之一，打造精品項目是大家共同的目標。開展信息系統審計是抓住該集團特點，培育項目亮點，把這個項目做成精品的重要舉措之一。信息系統到底怎么審，怎么評價，審計人員想找一條

59、別人走過的路子，照貓畫虎。但查閱信息系統審計的相關資料，看到的基本上都是國外對信息系統審計的理解與做法，與我們的審計有較大的差別，如果直接硬套過來，只能是東施效顰；詢問相關的專業人員，大家都沒有類似的經驗。經過幾次討論，審計組決定首先找對A航空公司信息系統實施管理的規則發展部、信息技術中心兩個部門的領導進行一次深談，聽聽他們對A航空公司信息系統的評價，希望從中理出一些思路，再進一步確定具體工作方案。與被審計單位部門領導談話進行比較順利，審計人員也漸漸理出了自己的工作思路：企業的信息系統體現的是企業的管理理念。這次信息系統審計應該主要抓住幾個方面：首先是該航空集團信息系統的規劃、建設、管理與整個

60、公司的發展是否相適應，信息系統資源的整合是否能夠跟上公司其他資源高速整合的步伐；其次是公司信息系統的功能是否能夠滿足業務特點的要求；第三是結合在數據審計中發現的大量數據問題，特別是數據整理中再現的問題，來考察信息系統中存在的問題。但在實際問題的處理過程中也存在著諸多困難，也無現成的案例和信息系統審計規范可借鑒。為了確保審計目標的實現，審計組開展了信息系統審計。在系統審計的探索中，審計人員根據調查了解的情況，在數據分析的基礎上，通過跟蹤被審計單位的業務過程和數據處理流程，發現了被審計單位收入結算系統中存在的非法銷售暗扣處理模塊，具體過程如下所述。（一）數據分析，發現問題線索在航空公司中，收入結算

61、不僅是一個重要的業務環節，而且與財務核算密切相關。因此，審計人員重點關注A航空公司的收入結算系統，對該系統的情況進行了認真的調查了解。審計人員在前臺觀察過程中，發現客票錄入、修改等界面包含了：銷售類型、代理人、出票日期、承運人、航班號、日期、毛運價、手續費、凈運價、實收款、面額、批號等眾多信息。為了全面、深入地了解該系統，提出有效的數據需求，審計人員要求該公司先提供少量分析數據（即包含系統各界面信息的2004年12月份的數據）。取得12月份數據后，審計人員對這些數據進行了認真的分析。在分析過程中，審計人員發現數據中面額與毛額（毛運價）或毛額之和均相等，而毛額（毛運價）則是大于或等于凈額（凈運價

62、）。對此，審計人員就產生了疑問：為什么會有小于毛額的凈額？系統是否會以凈額生成運輸報告，存在凈價結算的問題呢？因為，一方面，從調查了解的情況看，航空公司為了提高市場份額，可能存在暗扣銷售和凈價結算行為；另一方面，從業務關系上看，收入結算系統生成運輸報告后，傳遞到財務系統，財務人員依據運輸報告確認運輸收入。如果收入結算系統按凈價結算，以凈額生成運輸報告，那么財務確認的收入就是不完整的，會影響收入的真實性并存在漏稅問題。（二）通過數據對比，難證問題線索為了解除上述疑問，審計人員根據業務關系，將財務數據與收入結算數據進行了對比分析，以此來驗證該系統是否以凈額生成運輸報告。在數據采集、整理完成后，審計

63、人員首先從財務數據中提取了2002-2004年的運輸收入數據，然后從收入結算數據中提取了2002至2004年的機票而額、毛額和凈額數據，進行對比分析。由于財務系統中確認的運輸收入，除了收入結算系統提供的客運收入外，還有少部分的其他收入，如公務機收入等。因而，財務系統中的運輸收入應該略高于運輸報告中的數據。而分析數據顯示，運輸收入低于面額和毛額，而正好略高于凈額，所以審計人員判斷收入結算系統是以凈額生成運輸報告的。在此基礎上，與航空公司溝通后，證實了該公司以凈額與代理人結算，且凈額與毛額之間的差額就是銷售暗扣。（三）跟蹤業務過程，發現暗扣代碼文件確認上述問題后，審計人員一方面積極構建審計模型，統

64、計核實暗扣金額，落實問題。另一方面又進行深層次的思考：國家的有關法規規定，收入確認應當按實際收入核算，為什么該公司的系統能夠按凈額生成運輸報告呢？這預示可能在這個系統中存在著違犯國家有關規定的非法模塊。為了查找系統原因，審計人員首先對收入結算系統涉及的業務過程進行了跟蹤。在收入結算環節，圍繞收入結算系統開展的業務主要有以下4項：一是數據信息的輸入，即由錄入人員和數據采集人員將紙質或電子的機票信息輸入到收入結算系統中；二是數據審計，主要有銷售審核（根據銷售報告對機票會計聯信息進行審計）和配比審計（對配比前差異的會計聯和乘機聯進行審核）；三是系統主文件維護，由維護人員對系統的各個主文件進行及時的更

65、新維護，確保系統運行所需要的基礎數據完整、正確；四是財務記賬，由財務人員依據系統定期生成的運輸報告，確認運輸收入。在對上述業務的跟蹤過程中，審計人員發現維護人員維護的主文件中，除了運價信息、航線信息、代理個人信息等文件外，還有一個暗扣信息文件。經過查看、詢問，得知該文件中包含了各個代理人的暗扣代碼信息，如表6.5所示。航空公司通過該文件的維護，可以將各種暗扣信息輸入到系統中。表6.5 暗扣代碼文件暗扣代碼航段代理人員起始日期結束日期暗扣比例Z03PZICTUCSX08038XXX20041231200503246.00Z03XICCTUCSX08038XXX20041231200503246.

66、00Z05CSXBJS08046XXX20041231200503248.00Z04CSXCTU08046XXX20041231200503247.00Z04CSXCKG08046XXX20041231200503247.00（四）跟蹤數據處理流程，發現暗扣模塊發現暗扣代碼文件后，為了進一步弄清該系統是如何使用暗扣代碼信息，又如何將面額轉變為毛額乃至凈額等關鍵問題。審計人員對該系統的數據處理過程進行了跟蹤。通過跟蹤和分析，發現了該系統中存在非法暗扣處理模塊，收入結算對國內機票數據處理流程如圖6.8所示。機票的電子數據導入或手工錄入機票信息紙質機票票號、面額、航線、出票日期、代理人號等票價航段分

67、攤規則按航段分攤票面價值暗扣代碼文件票號、面額、航段1、航段2、毛額1、毛額2、出票日期、代理人號等代理人員、航段是否在暗扣代理文件中存在翻譯暗扣代碼、進行暗扣計算按3%比例計算手續費票號、面額、航段1、航段2、毛額1、毛額2、凈額1、凈額2、暗扣1、暗扣2、手續費1、手續費2、出票日期、代理人號等是否圖6.8 收入結算系統的國內機票數據處理流程1、通過手工錄入或數據導入方式進行系統中的原始數據（機票信息）主要有“票號”、“面額”、“航線”、“代理人號”等。2、系統提取主文件中的票價分攤信息，對上述原始數據進行處理，將面額按航段分攤規則分解為毛額1和毛額2。3、將分解后的數據信息，與暗扣代碼信

68、息對比，如果數據中的代理人號、航段等信息在暗扣代碼文件中存在，那么，系統內的暗扣處理模塊就依據暗扣代碼文將暗扣代碼翻譯成具體的暗扣比例，并用此比例計算出相應的暗扣金額；如果不存在，則系統按正常的3%的比例計算代理人的銷售手續費。4、系統對有銷售暗扣的機票數據，由毛額減去暗扣得到凈額；對沒有銷售暗扣的機票數據，凈額等于毛額。經過上述處理過程，進入系統的原始數據就由面額逐步轉變為毛額和凈額，系統以最后的凈額與代理人結算，并生成運輸報告傳遞到財務系統確認收入，從而實現了航空公司暗扣銷售和凈份結算。至此，該系統中存在非法模塊的問題得到查證落實。三、案例分析由上述案例過程可知，我國對企業信息系統審計還處

69、于探索階段，在審計實務中到底如何開展信息系統審計還缺乏有說服力的案例和行之有效的辦法，更不要說具有可操作的完整信息系統審計規范體系。總體來講，筆者認為從上述案例可以反映出當前我國信息系統審計規范體系還存在著如下幾個方面的缺陷：（一）沒有完整可借鑒由權威機構制定的信息系統審計規范信息系統審計規范是信息系統審計經驗的總結，是對審計活動內在規范的反映，審計人員按照信息系統審計規范所確定的程序、步驟、技術和方法開展工作，能夠少走彎路，提高信息系統審計效率，保障信息系統審計工作科學、有序、高效地運行，全面實現信息系統審計目標，降低信息系統風險，同時也可降低財務審計、績效審計以及環境審計等的風險。而我國信

70、息系統審計尚處于探索階段，在信息系統審計實踐中經驗缺乏有服務力的案例，在此基礎上，根本談不上完善的信息系統審計規范體系，而在國外卻存在如ISACA這樣的機構提供完整的信息系統審計準則、指南和審計程序。因此，國家相關部門應整合信息系統審計規范制定的實踐與理論資源，在借鑒國外信息系統審計規范的基礎上，推進我國信息系統審計規范體系制定的進程。2、信息系統審計的開展缺乏計劃，不存在后續審計階段對信息系統的審計是一個過程，就包括信息系統審計計劃、實施、審計報告以及后續審計階段，而在上述案例，對信息系統的審計是一個摸索的過程，根本談不上信息系統審計計劃。凡事預則立，不預則廢。無論是國家審計，還是注冊會計師

71、審計，同樣需要制定信息系統審計計劃。內部審計具體準則第28 號信息系統審計中指出，內部審計人員在執行信息系統審計之前，需要確定審計目標并初步評估審計風險，估算完成信息系統審計或專項審計所需的資源，確定重點審計領域及審計活動的優先次序，明確審計組成員的職責，并以此制定信息系統審計計劃，除此之外第28號具體準則沒有做詳細深入的闡述。在ISACA的審計準則體系中，關于審計計劃的基本準則有審計計劃（S5）、審計計劃中風險評估的運用（S11）和審計重要性（S12），審計指南有信息系統審計中的重要性概念（G6）、審計計劃中風險評估的運用（G13）以及信息系統審計的計劃（G15），審計程序中有信息系統風險評

72、估（P1）等可供借鑒與參考，并且ISACA對審計計劃的相關準則、指南和程序進行了詳細深入的闡述以利于引導和約束審計人員的審計行為。信息系統后續審計，無論是對于企業，還是政府都是相當重要的。審計報告的簽署并不意味著信息系統審計的終結。在ISACA的審計準則體系中，在后續審計方面的準則包括基本準則后續工作（S8）以及審計指南后續工作（S35）等。根據ISACA審計標準，審計人員對于在信息系統審計中發現信息系統的重大問題和漏洞，并提出改進意見后，可對被審單位所采取的糾正措施及效果進行后續審計。如果審計建議如期落實，則實現了信息系統審計的目標，也意味著信息系統審計意見得到了被審計單位的認可；如果審計建

73、議沒有落實，應耐心聽取被審計人員的反饋意見，對于落實的難點問題，審計部門應反映給高級管理層，請其協助落實。此外，對于不切實際的審計建議，審計組成員應該分析原因，以利于下一次審計項目的改進。因此，后續審計階段對于信息系統審計同樣重要，而在上述審計案例中，對A航空公司收入結算系統的審計根據不存在后續審計階段。（三）信息系統審計出于“其實、合法、效益”的審計目標我國開展的信息系統審計與西方的信息系統審計在目標上存在著差異，我國審計部門開展信息系統審計主要是為“真實、合法、效益”的審計目標服務的，主要關注信息系統影響被審計單位的合法經營、財務核算、經營益等方面的問題，還沒有達到審查信息系統安全、可靠、

74、有效和效率以及能否有效地使用組織資源、實現組織目標的層次。因此，對于信息系統審計，主要是在很大程度上主要是根據數據審計的需要開展。出于“真實、合法、效益”審計目標的信息系統審計已經無法適應信息系統審計內容多樣化的需求。隨著企業信息化、政務信息化等的發展，信息系統的安全審計、生命周期審計以及軟硬件審計等變得越來越重要，其重要程度在很多時候已經超過了出于“真實、合法、效益”審計目標的信息系統審計。2005年2月，美國銀行（Bank of American）宣布丟失了一批重要的磁帶，上面存放了120萬名政府職員（其中包括60名參議員）的個人資料和信息卡信息，雖然沒有任何跡象表明這批數據已經外泄，不過

75、，經歷了這次事件之后，美國銀行已經元氣大傷，信譽跌到了低谷 美國銀行丟失120萬政府雇員資料數據磁帶，02/27/content_1949876.htm，2005年2月27日。由此可見，我國信息系統審計及規范的發展不能只是停留在出于“真實、合法、效益”審計目標的基礎上。這樣只能限制信息系統審計的范圍，我國的信息系統審計實踐也沒有辦法拓展到對信息安全保護、軟件系統開發、信息系統計劃組織以及商業流程評估及風險管理等的審計實踐上來。（四）缺乏信息系統審計項目的質量控制準則同樣我國在信息系統審計項目方面的質量控制準則尚處于空白狀態。雖然國家審計署、中注協和內部審計協會都頒布了一些關于審計質量控制的準則或規范，但這些規范不是針對財務審計的，就是針對會計師事務所質量控制的，而專門針對信息系統審計項目的質量控制基本上還處于空白狀態。因此，上述案例在信息系統審計過程中，基本上不存在任何質量控制措施，這也對我國提出了盡早制定與頒布信息系統審計質量控制方面相關的規范。