1、目 录一、现场跟踪的方式31、现场跟踪方式32、现场跟踪主要内容4二、施工组织设计的造价管理61、编制施工组织设计的主要内容62、施工组织设计造价管理的主要内容7三、设计变更、现场签证的审核与管理81、设计变更的审核工作程序82、洽商签证的审核与管理113、工程量签证的造价审核程序与内容134、材料价格签证的审核程序与内容145、综合单价签证的管理与审核16四、主要隐蔽工程及工程验收的审核与管理171、内容172、隐蔽工程造价管理的工作程序18五、主要材料及设备价格的审核与管理191、内容192、工作程序19六、工程进度款的审核与管理201、内容202、工作程序20七、索赔费用的审核与管理212、1、索赔费用的管理212、索赔的内容213、索赔的分类234、索赔的程序255、索赔的依据256、索赔方案的确定26岭秀城WS1、WS2施工阶段全过程造价控制与管理工作方案衷心感谢清能置业各级领导对湖北众华的信赖和厚爱！珠海正邦岭秀城WS1、WS2项目已经过招标，同F1项目，合并签订了施工合同。根据这个特征，我公司为业主制定了施工全过程的造价控制与管理方案，即将原来的结算审计事后审计的时间、空间进行了科学地调整，把事后审计变为事前或事中审计；把结算中以办公室为空间的审计搬到驻现场审计；把事后结算一揽子解决造价问题改换成即时发现问题即时处理；类似体育比赛中的“贴身防守”，在为业主处理设计变更、合3、同跟踪、隐蔽工程、索赔等方面做好扎实的基础工作，为业主控制投资，造价管理方面起到贴身护卫的作用。方案如下：施工阶段的造价控制与管理一、现场跟踪的方式：1、现场跟踪是施工阶段造价控制的基础工作，根据项目的特点，确定以下跟踪方式：我方审计人员从控制工程造价的角度，在施工合同履行的整个时期对现场进行跟踪核查、记录。我方将适时地派驻有关建筑、结构、装饰、给排水、电气、暖通等各专业的造价师对各专业所用的材料规格、数量与施工图、设计变更单及工程实物进行对照核查，通过现场测量、取证、拍照等方式，做好备查记录，作为变更签证计价和结算审计的真实造价依据。特别对隐蔽工程部分或有可能索赔或反索赔等方面，在现场跟踪过4、程中我公司会特别关注。我们将竭力做好：第一、专业造价师及时跟踪现场，并承诺每周不少于5次，每次不少于1人，必要时全天跟踪（如隐蔽工程和其它需要连续跟踪的部位）；第二、做好跟踪日志，记录每天发生的与造价相关的事件，作为处理造价管理的基础资料；第三、参加本工程有关造价管理的会议；第四、对于索赔事件，要重点记录与跟踪。派专家把关，成果坚持三级复核。2、现场跟踪主要内容（1）现场跟踪的准备阶段熟悉本项目施工图纸等设计文件及工程施工招、投标文件，施工合同补充协议等有关计价的其它文件。协助业主对设计方、监理方、施工方的沟通协调，对作为工程结算依据的相关设计变更、现场签证有效性提供咨询。参加业主、监理组织的5、图纸会审工作，对其中因变更而增加的费用部分进行咨询准备。提供非承包商原因所致设备或材料未及时送达引起的误工费用、工期延误等索赔的咨询。提供应业主要求承包商采取非常规施工措施而增加费用的评估咨询。（2）施工合同跟踪跟踪工程实施阶段参加与工程造价及合同相关的会议，并作好记录。审核的施工合同主要包括：施工总承包合同以及合同额大于10万元的甲方直接分包（或委托）合同。主要审核：合同主体的合法性，合同内容的完整性，结算及价款调整条款的内容表述是否准确、完整。总价或单价包干合同的包干总价或包干单价须事前审计。对现场设计变更及签证进行造价咨询。A、提供业主方发出现场图纸变更引起费用变动的计算咨询。B、提供业6、主方确认的现场图纸修改而引起费用，工期变动的估算咨询。C、计算设计修改的增减值，并协助业主与承包商达成费用上的增减协议及制订工程变更清单。D、其他与项目成本变动有关的咨询服务，如工程造价控制及优化分析。；E、提供因市场材料价格的浮动偏大，引起费用增加的施工方要求索赔费用的咨询。F、对承包商的施工报价及材料报价会同业主进行市场调研分析确认。 工程进度款审批的造价咨询A、定期根据施工方的进度款申报计划（每月），提交一份进度款审核工程造价报告，该报告内容是对整个已投资成本作相应的明细分析。B、根据合同约定，提供在工程实施过程中应扣减工程款的咨询建议。C、协助业主按合同支付进度款，核审付款报审表。竣工7、验收及工程索赔咨询A、协助业主处理施工索赔，审核已经认定索赔事实的造价费用。B、协助业主对施工方违约的工期、质量等收集证据，进行反索赔。二、施工组织设计的造价管理施工组织设计的造价管理，就是对施工过程中各种生产要素的合理安排和有效配置的一种咨询管理。施工组织设计是正确处理人与物、时间与空间、质量与数量、工艺与设备、供应与消耗、生产与管理的各种矛盾。科学合理、计划有序、周密均衡地组织施工生产的一种技术组织措施。1、编制施工组织设计的主要内容（1） 编制依据（2） 工程概况（3） 施工部署（4） 施工准备（5） 施工总平面布置（6） 施工总进度计划（7） 主要分项工程施工方法（8） 主要资源需用计8、划 （9） 质量管理及保证措施（10）技术资料管理及保证措施 （11）工期保证措施（12）现场文明施工管理及保证措施（13）环保、环卫管理及保证措施（14）安全管理及保证措施（15）消防保卫管理及保证措施（16）季节性施工措施（17）成本管理及降成本措施（18）新技术推广应用2、施工组织设计造价管理的主要内容（1）施工部署审查施工部署是否能按业主的总体进度要求完成施工任务，各主要施工节点是否衔接，工序的交叉是否合理。施工组织中劳动力组织和施工机械的配置是否能满足施工的要求。（2）施工准备施工准备中是否分项分部编制实施性的施工组织设计方案，针对重点关键工序是否组织专项技术攻关措施。施工机械准备是9、否已经完成，设备型号规格、数量、时间上能否满足施工计划要求，是否有易损件配置。劳动力准备，劳动力后备资源是否充分，各工种能否满足施工技术要求。物资准备，物资部分是否编制材料需用量计划，对各种材料是否进行供应商考察。（3）新技术推广应用新技术推广应用是否采用建筑业推广应用的新技术、新工艺、新材料，已往项目作业中对缩短工期、降低成本、节能、环保、创造优质工程方面应用效果如何。三、设计变更、现场签证的审核与管理工程实施阶段，业主的工作重点在于过程的有效控制，使设计变更、签证等得到有效的掌控；我公司作为中介方，工作重点在于协助业主利用自己的专业知识对变更、签证、索赔进行有效的审核。对工程签证等管理实行10、量价分离的二级约束机制，规定现场监理工程师仅对签证事件的真实性和工程量数据的准确性确认，对其可能引起的费用变化或工期变化要求承包商另行填写费用洽商申请表或工期临时延期申请表，由业主经营部和委派的造价咨询企业的造价工程师独立审核，形成了二层次管理，相互制约的机制，最大限度地降低了工程签证可能带来的工程造价失控风险。1、设计变更的审核工作程序（1）设计变更的审核程序：设计变更的必要性审核：对影响工程造价的设计变更、签证，应从专业技术需要的角度，提出合理化建议方案，供业主选择。A、工程设计变更按其影响造价的程度，可分为 a、b、c三类。a类变更：这类变更不涉及变更设计原则，不影响质量和安全经济运行，11、且不增加或减少工程费用（或合同价款）。b类变更：这类变更工程内容有变化，造价有增减，但变更价款在合同规定的承包商包干费用范围内。c类变更：这类变更涉及变更设计原则，变更设计方案及主要结构和布置，修正主要尺寸及主要原材料和设备代用，且变更价款在合同规定的可追加或减少费用的范围内。B、各类工程变更的处理程序：a类变更：由监理工程师签认，但需向造价工程师备案。b类变更：必要时（合同结算规则要求按分项、分部工程计算费用；或业主要求提供考核设计变更增加的费用），造价工程师要对工程变更申请表的估算费用进行核查，并记入核查记录，同时按分项、分部工程进行统计。否则，与a类变更的处理方法相同。c类工程变更：属c12、类变更的，由施工方提出申请估价和提交变更价款预算单，由业主经营部门委托造价公司进行核查并与承包商协商后确定价款，填写核查记录，同时按分项工程进行统计。对于通过设计变更扩大建设规模，提高建设标准的，要看是否有原审批部门的批准；运用价值工程理论，对变更的技术可行性，经济合理性进行必要的论证与综合评价后再决定进行变更。设计变更的合规性审核：审核设计变更手续是否合理合规，是否符合甲乙双方的事前约定。根据变更引起造价变更的数额实行分级审批制，明确审批权限，加速变更工作的进展。同一原因引起的、数额较大的变更项目不能肢解为多个变更项目申报而逃避审批。A、必要的变更应先作工程量和造价的增减分析，经业主同意，设13、计单位审查签章，出具相应的图纸和说明方可发变更通知。B、对不符合程序的口头变更、便条变更的工程量不予认可。C、监理公司发现设计图中的问题，需要进行变更时，必须征求业主和设计单位的意见。对监理公司和施工单位擅自更改设计图的，不予认可。设计变更的真实性审核：A、审核设计变更是否真实存在。为分析变更的原因，明确责任，应对变更进行分类管理，一般可以分为施工类、设计类、业主管理类，并制定相应的奖罚措施。a由于施工不当，或施工错误造成的变更，监理工程师应注明原因，此变更费用不予处理，由施工单位自负，若对工期、质量、投资效益造成影响的，还应进行反索赔。b由设计部门的错误或缺陷造成的变更费用，以及采取的补救措14、施，如返修、加固、拆除所生的费用，这部分费用按c类变更处理后由监理单位协助业主与设计部门协商是否对设计部门索赔。c由于监理部门责任造成损失的，该部分费用按c类变更处理后应扣减监理费用。B、审核变更中涉及的其数量及计价的真实性。a审核设计变更部位的工程量增减是否正确，是否得到了如实反映。b审核变更部位的定额套用是否合理。设计变更应视作原施工图纸的一部分内容，所发生的费用计算应保持一致，并根据合同条款按国家有关政策进行费用调整。材料的供应及自购范围也应同原合同内容相一致。c审核设计变更计算过程是否规范。审核工程量的计算是否按合同中约定的计量规则进行计算，有无高估冒算。2、洽商签证的审核与管理（1）15、洽商签证的必要性签证对造价的影响程度，洽商签证于设计变更相同，按其对造价的影响程度，亦分为a、b、c三类。a类签证：这类签证不涉及设计原则的变化，不影响质量和安全运行，且不增加或减少工程费用（或合同价款）。b类签证：这类签证涉及工程内容，造价有增减，但变更价款在合同规定的包干费用范围之内。c类签证：这类变更涉及合同约定的工程内容变化，或属合同约定的范围之外的工程内容，且变更价款在合同约定的追加或减少费用范围之内。各类签证的处理方法以上a、b、c各类签证的处理方面同各类工程变更的处理方法，见第7页，不在此重复。（2）审核洽商签证的真实性审查洽商签证的程序是否规范。审查程序是否符合甲乙双方事先约定16、的签证程序。审查洽商签证手续是否齐全。洽商签证必须分别由监理公司、业主单位、施工单位共同签字确认，如果只有一方签字或缺少某一方签字，说明洽商签证的手续不全，也必然影响洽商签证的真实性。审核材料签证的市场调查。涉及材料价格的签证应在业主组织下，造价公司会同承包方赴市场，确定本工程所监控主要建筑材料的品种、规格和单价。审查洽商签证内容与竣工图、隐蔽工程记录和完工项目的内容是否一致。如果不一致，说明洽商签证的内容存在虚假情况，必须纠正。（3）审查洽商签证的有效性审查开始后，必须封存施工单位移交的所有资料，包括洽商签证，不允许施工单位补办任何洽商签证，特别是隐蔽工程项目的洽商签证，凡是审查开始后补办的17、洽商签证一律无效。审查施工日记、监理日记、值班日记与洽商签证的时间是否一致。如果不一致，说明洽商签证的时效性存在问题，必须进一步查清。审查洽商签证的内容有无重复，尤其要注意工程项目整体办理洽商签证后，是否又以单项办理洽商签证。预算中包含的项目不得进行签证，已签证的工程量，应予扣除；（4）审核洽商签证的正确性审查洽商签证的数量，包括个数、面积、体积、重量的计算是否正确。审查洽商签证的单价、金额计算是否正确。结合业主与施工单位签订施工合同的内容，特别是洽商签证的一些优惠条款，查洽商签证是否可以列入工程结算。工程变更与工程现场签证审核的依据应充分，设计变更手续、签证程序应齐全，内容与实际情况应相符，18、所选用的计价方式应合理并符合施工合同规定。工程设计变更及现场签证价格的审核与确定应由相关的专业造价工程师签发。3、工程量签证的造价审核程序与内容签证审核的步骤分三步：真实性审核、合理性审核、实质性审核。（1）真实性审核一般签证书面材料中应有甲方现场代表、乙方、监理工程师的签字盖章。签证有无双方单位盖章，印章是否伪造，复印件与原件是否一致等是真实性审核的重要内容。签证是甲方与乙方之间在工程实施过程中对已订合同的一种弥补或动态调整，与主体合同具有同等法律效力，因而在形式上应该是双方签章齐全真实。审核时复印件应与原件核对，签证的印章应与投标书中印章相比对，以保证签证形式合法、内容翔实合理。以防止签证19、上虚增材料数量、工程量、费用等。签证真实性的审核要重点审查签证单所附的原始资料。对签证中的数量一定要现场核实。现场核实工作量要求甲方、乙方、中介方三方同时到场，咨询单位审核人员一般安排二人以上参加，认真测量并做好勘测记录。勘测记录由甲、乙方和审核人员签字认可，作为调整结算的依据，并与结算书等一并归档备查。（2）合理性审核：一些乙方为了中标，在招标时采取压低造价，在施工中又以各种理由，采取洽商签证的方法想尽办法补回经济损失。所以对乙方签证的合理性必须认真审核。（3）实质性审核：对于工程量的签证，审核时必须到现场逐项丈量、计算，逐笔核实。特别是对装饰工程和附属工程的隐蔽部分应作为审核的重点。因为这20、两部分往往没有图纸或者图纸不很明确，而事后勘察又比较困难。在必要的情况下，审核人员在征得甲方和乙方双方同意的情况下，进行破坏性检查，以核准工程量。4、材料价格签证的审核程序与内容一般来说，设计图纸对一些主材、装饰材料只能指定规格与品种，而不能指定生产厂家。目前市场上伪劣产品较多，即使是正规厂家，不同的厂家和品牌，价格差异比较大，特别是一些高级装饰材料，施工方以劣充优，以国产品牌冒充进口品牌，若业主签字确认之后会给结算审核造成麻烦。材料签证的造价跟踪主要注意以下几个方面：（1）注意签证的时间市场经济条件下，价格信息是时时刻刻变化的，掌握价格变动规律，审核中关注签证材料的购买时间，是一个很重要又容21、易忽视的问题。（2）材料价格签证确认的方法相对于其他签证来说，材料价格签证的确认是比较难的。客观上，各地区价格信息对普及性材料有明确指导价，而对装饰材料的价格没有明确指导，由于其品种、质量、产地的不同，导致了价格的千差万别，甲方也不能清晰、具体地提供材料的详细资料。比较可行的办法是：组织双方人员，走向市场，寻求最接近实际情况的价格，以有力的事实证据取得双方的一致认可。调查材料价格信息的方法A、市场调查。B、电话调查。C、上网查询。D、当事人调查。取定材料价格的方法。调查取得价格信息资料后，就要对这些资料进行综合分析、平衡、过滤，从而取定最接近客观实际并符合审价要求的价格。A、应考虑调查价格与实22、际购买价格的差异。B、参考其他价格信息。取定材料价格时还应综合考虑下面几种价格资料：a参考信息价。b参考发票价。参考乙方的购货发票，虽然可能存在假、虚、空等问题，但在市场调查的基础上，可作为参考的依据之一。c参考口头价。这里的水分可能更大一些，更应慎重取舍。d参考定额价。定额价格是加权平均价，具有较强的指导作用，一般来说土建材料与市场差异不大，但许多装饰材料则可能出入较大，应分别对待。e其他工程中同类建材价格。在同期建设的工程中，已审定工程中所取定的材料价格，可作为在审工程材料价格取定参照，甚至可以直接采用。5、综合单价签证的管理与审核（1）清单计价方法下，单价的使用原则。一般，在工程设计变更23、和工程外项目确定后7天内，设计变更、签证涉及工程价款增加的，由乙方向甲方提出，涉及工程价款减少的，由甲方向乙方提出，经对方确认后调整合同价款。变更合同价款按下列方法进行：当投标报价中已有适用于调整的工程量的单价时，按投标报价中已有的单价确定。当投标报价中只有类似于调整的工程量的单价时，可参照该单价确定。当投标报价中没有适用和类似于调整的工程量的单价时，由乙方提出适当的变更价格，经与甲方或其委托的代理人（甲方代表、监理工程师）协商确定单价；协商不成，报工程造价管理机构审核确定。（2）清单计价方式下，单价的报审程序。换算项目。在工程实施中，难免出现材料调整，如面砖的规格调整，在定额计价模式下，只要24、进行子目变更或换算即可，但在清单模式下，特别是固定单价合同，单价的换算必须经过报批。四、主要隐蔽工程及工程验收的审核与管理1、内容（1）主要隐蔽工程一般包括：预埋工程，包括铁件、管线预埋等，审核其是否与施工图纸、规范要求一致；屋面工程，主要审核屋面基层处理、防水、保温隔热做法是否符合规范，与所采用的图集是否相符；装饰工程，主要跟踪其基层做法是否与图集、清单项目一致，实际消耗量如何。（2）主要隐蔽工程验收内容主要包括：地基验槽记录，指基槽土方开挖完成后的验收，主要核查基槽的几何尺寸、土质类别、老墙脚开挖、排水类型（结构排水、地表排水、雨季排水）、土方的运输方式、运距及各种引起索赔的书面证明材料；25、基础结构验收，指正负零以下结构完成后的验收，主要核查砼垫层、砼基础、砖基础以及回填土的实际尺寸。正负零标高的确定和回填土的运距。为了控制造价，必须选用合理的运输机械；中间结构验收，指主体结构完成后在开展室内、外装修之前的验收，主要核查构件的运距、屋面防水做法、隔热材料的厚度以及墙砌体使用材料，依据设计图、变更图及变更洽商进行逐项逐层核对，分析变更产生的原因；工程竣工验收，指工程完工后交付业主之前的验收，主要核查设计变更、实际工期、材料认证及有关索赔的书面证明资料。2、隐蔽工程造价管理的工作程序（1）对隐蔽工程，要随工程的进度及时跟踪，以检查综合单价中的项目特征、工作内容是否发生改变，实际施工是26、否与图纸或变更相一致，作为计算实际工程量，调整综合单价的依据。（2）对跟踪审核过程中发现的重大问题，提醒和协助业主及时办理相应的签证洽商，以免日后产生纠纷。（3）施工单位在通知工程监理公司实施正常监理隐蔽工程验收时，应提前通知我公司，并提供验收的部位及内容，我公司相关专业工程师参与验收。（4）我公司工程师采用多种手段对隐蔽工程及其他工程实际施工进行跟踪，包括现场进行测量，使用数码相机对现场情况直观记录，必要时使用仪器对相关部位进行复核等。（5）我公司工程师对现场实际所使用的材料在必要时进行取样。（6）我公司工程师对隐蔽工程应结合隐蔽工程审核与管理内容详细记录，填制“隐蔽工程跟踪审核记录表”。（27、7）我公司工程师建立项目跟踪审核日志，对施工中的实际情况如实记录。五、主要材料及设备价格的审核与管理1、内容（1）招标文件中对主要材料和大型设备没有明确“厂家、规格”，但材料单价已明确的，在进场使用前由施工单位提供“厂家、规格、单价”，业主现场代表、监理工程师和我公司共同对“厂家、规格、单价”进行核实，如果实际价格低于投标价格以上的5%，由业主现场代表、监理公司、我公司和施工单位共同定价和洽商确认。（2）招标文件中没有确定的材料、设备以及暂估价，定价方式同第条。（3）建设单位供货或指定材料，由我公司协助业主询价后共同确定。（4）施工单位自行采购的材料和设备，未经确认已使用在本工程，业主现场代表28、和监理工程师有权要求现场剥离检查，对剥离所发生的费用由施工单位承担，价格由四方派代表到市场询价，按市价的低价结算。2、工作程序（1）对符合“主要材料及设备价格审核与管理”内容的材料及设备，由施工单位提供材料品种、规格、质地、生产厂家、供应单位报价及拟采用的单价等相关资料。（2）业主、监理单位、施工单位对材料的用量、质量、价格与设计图要求进行初步确认审核，并填写“材料价格洽商单”，经三方签字后提前7天送我公司进行审核；我公司7天内将审核（询价）结果书面反馈给业主。（3）实施公开招标的材料，我公司可参与全过程并提供咨询意见。六、工程进度款的审核与管理1、内容跟踪审核过程中密切注意实际进度与计划进度29、的偏差，分析由此引起的对工期及工程造价的影响。2、工作程序（1）施工单位应按合同专用条款约定的时间，提交当月（或节点）完成形象进度，监理公司、业主有关部门在规定的时间内核实已完工程量。对合同范围内的工程量和变更的工程量分别洽商认可。 （2）施工单位根据工程量检验认可的证明、编制当月的工程量完成统计报表（按合同要求）及工程价款结算书，报项目管理公司初审后送给我公司复审。（3）我公司对工程价款进度结算书进行审核，首先对工程量核定确认，然后审核洽商记录的真实性、合法性；审核工程子目综合单价是否与清单报价一致；实物工程量与图纸不符、施工情况与施工合同不符、施工用料发生变化必须获取必要的洽商，审核时据实30、调整。（4）审核的结果由我公司在7天内出具审核意见，并填写工程项目进度付款建议表。七、索赔费用的审核与管理1、索赔费用的管理施工索赔是在施工过程中承包商根据合同和法律的规定，对并非由于自己的过错造成的损失或承担了合同规定之外的工作所付的额外的支出，承包商向业主提出在经济或时间上要求补偿的权利。（1）我公司协助业主及时、快速地处理索赔纠纷，通过收集的记录、照片、录像等证据，帮助业主把索赔损失减少到最小。（2）阶段性地、及时地收集因施工方原因造成工期、质量违约的证据，协助业主进行反索赔，以维护业主利益，提高自身防范能力。2、索赔的内容（1）业主没有按合同规定的时间交付设计图纸数量和资料，未按时交付31、合格的施工现场等，造成工程拖延和损失。（2）工程地质条件与合同规定、设计文件不一致。（3）业主或监理工程师变更原合同规定的施工顺序，扰乱了施工计划及施工方案，使工程数量和施工困难有较大的增加。（4）业主指令提高设计、施工、材料的质量标准。（5）由于设计错误或业主、工程师错误指令，造成工程修改、返工、窝工等损失。（6）业主和监理工程师指令增加额外工程或指令工程加速。（7）业主未能及时交付工程款。（8）物价上涨、汇率浮动，造成材料价格、人工工资上涨，承包商蒙受较大损失。（9）国家政策、法令修改。（10）不可抗力因素等。 3、索赔的分类序号分类标准索赔类别说 明1按索赔的目的分工期延长索赔由于非承包32、商方面原因造成工程延期时，承包商向业主提出的推迟竣工日期的索赔费用损失索赔承包商向业主提出的，要求补偿因索赔事件发生而引起的额外开支和费用损失的索赔2按索赔的原因分延期索赔由于业主原因不能按原计划的时间进行施工所引起的索赔主要有：发包人未按照约定的时间和要求提供材料设备、场地、资金、技术资料或设计图纸的错误和遗漏等原因引起停工、窝工工程变更索赔由于对合同中规定施工工作范围的变化而引起的索赔主要是由于发包人或监理工程师提出的工程变更，由承包人提出但经发包人或监理工程师同意的工程变更；设计变更，或设计错误、遗漏工程变更，工作范围改变施工加速索赔（又称赶工索赔劳动生产率损失索赔）如果业主要求比合同规33、定工期提前或因前段的工程拖期，要求后一段弥补已经损失的工期，使整个工程按期完工，需加快施工速度而引起的索赔（1）一般是延期或工程变更索赔的结果（2）施工加速应考虑加班工资，提供额外监管人员、雇佣额外劳动力、采用额外设备、改变施工方法造成现场拥挤、疲劳作业等使劳动生产率降低不利现场条件索赔因合同的图纸和技术规范中所描述的条件与实际情况有实质性不同或合同中未作描述，但发生的情况是一个有经验的承包商无法预料的时候，所引起的索赔如复杂的现场水文地质条件或隐藏的不可知的地面条件等3按索赔的合同依据分合同内索赔（1）索赔依据可在合同条款中找到明文规定的索赔（2）这类索赔争议少，可由监理工程师直接处理。合同34、外索赔（1）索赔权利在合同条款内很难找到直接依据，但可来自普通法律，承包商须有丰富的索赔经验方能实现（2）索赔表现多为违约或违反担保造成的损害（3）此项索赔由监理工程师提供现场依据，业主决定是否索赔。道义索赔（又称额外支付）（1）承包商对标价估计不足，虽然圆满完成了合同约定的施工任务，但期间由于克服了巨大困难而蒙受重大损失，为此向业主寻求优惠性质的额外付款（2）这是以道义为基础的索赔，既无合同依据，又无法律依据（3）这类索赔监理工程师无权决定，只是在业主通情达理，出于同情时才会超越合同条款给予承包商一定的经济补偿4按索赔处理方式分单项索赔（1）在一项索赔事件发生时或发生后的有效期内，立即进行的35、索赔（2）索赔原因单一，责任单一，处理容易总索赔（又称一揽子索赔）（1）承包商在竣工之前，就施工中未解决的单项索赔，综合起来提出的总索赔（2）总索赔中的个单项索赔常常是因为较复杂而遗留下来的，加之各单项索赔事件相互影响，使总索赔处理难度大，金额也大 4、索赔的程序承包商监理工程师业主审核（造价工程师）索赔事件发生在28天内发出索赔意向通知列出索赔理由列出索赔帐单列出索赔证明正式提出索赔申请书提出索赔报告及有关文件审阅分析评审质疑谈判审阅评审谈判审阅索赔资料，提出索赔意见监理工程师提出索赔处理意见协商谈判调解仲裁诉讼索赔结束无效经审核（造价工程师）确认后会同有关部门进行索赔无效无效无效成功成功成36、功成功成功施工索赔程序示意图对施工方的索赔要求28天之内未以回复，则视为同意施工方的索赔意见未在28天内提出索赔则视为不主张索赔计算工期延长计算成本费用寻找索赔理由提出法律依据提出合同依据搜集索赔证据5、索赔的依据（1）合同；（2）证据：现场记录；项目往来函件；照片、录音、录像等；权威部门的资料；公开发布的信息；财务上的有关索赔依据及证明；其他与索赔相关的报告、复函、记录等。（3）计算方法与要素：数量；价格；时间。6、索赔方案的确定（1）定性。（2）定量。（3）途径。我国信息系统审计规范体系的框架结构根据构建信息系统审计规范体系所应考虑的因素，在借鉴国内信息系统审计相关规范框架的基础上，综合考37、虑信息系统审计规范的制度形成机制。审计法规信息系统审计质量控制准则其它信息系统审计规范信息系统审计职业道德信息系统审计准则自然法（基本价值观与伦理道德）基本准则具体准则基本准则审计指南作业程序基本原则/概念框架具体准则法人团体的信息系统审计规章制度潜在影响 我国的信息系统审计规范体系结构信息系统审计准则目录项目内容基本准则总则（包括信息系统审计的定义、本质、目标以及审计假设以及其它相关规定）；审计章程；审计计划（包括审计重要性、审计计划、审计计划中风险评估的运用等）；审计实施；审计报告；后续审计；附则等审计指南审计章程；利用其它审计人员的成果；审计取证；信息系统审计技术；信息系统业务外包情况下38、的审计；信息系统审计中的重要性概念；审计文档；不正当行为的审计考虑；审计抽样；信息系统控制的效果；审计计划中风险评估的运用；应用系统评审；审计计划修订；第三方对信息系统控制的影响；IT治理；审计报告；企业资源规划系统评审；B2C电子商务审核；系统开发生命周期审核；网络银行；对虚拟专用网络的审核；企业流程再造项目审核；移动计算；计算机取证；执行后的评审；业务连续性计划的审核；对网络使用的总体考虑；后续审计；指纹识别控制；配置管理过程；访问控制；IT组织；安全管理实践评审等等信息系统审计质量指标信息系统审计计划审前调查制定实施方案信息系统审计实施内部控制审计信息系统生命周期审计信息系统安全审计信息39、系统软硬件审计信息系统审计报告出具报告项目归档信息系统后续审计信息系统审计资源审计人员软件资源硬件资源审计方法审计技术审计规范数据文件质量控制与复核质量控制与复核质量控制与复核质量控制与复核信息系统审计质量控制模型图信息系统审计质量控制基本准则内部控制审计质量控制准则系统生命周期审计质量控制准则信息系统软硬件审计质量控制准则信息系统安全审计质量控制准则其它审计质量控制准则信息系统审计的质量控制准则体系信息系统审计准则委员会中国内部审计协会审计准则委员会审计准则委员会授权资金授权资金协调信息系统审计规范与信息系统审计相关的审计指南审计人员反馈反馈信息系统审计准则制定的组织关系图信息系统审计准则委40、员会、中国内部审计协会（参与者）；审计规范制定的组织关系；权力（资源依赖关系）；信息系统审计规范在互动的过程中行使相应的权力；在共同的社会环境下进行协调与沟通审计规范的制定制定与颁布新的信息系统审计规范以及为配合信息系统审计的内部信息技术审计指南根据新的信息系统审计规范更新信息系统审计规范体系信息系统审计规范制定体系协调制定与颁布新的审计规范行动信息系统审计准则制定机构之间的协调机制案例分析TALLAHASSEE市审计局对本市局域网的逻辑安全审计 案例背景、审计目标和范围、审计方法、基本审计结论、审计发现及建议与管理层回复参见钱啸森主编，国外信息系统审计案例，中国时代经济出版社，2006：P341、6-P43一、案例背景美国TALLAHASSEE市依赖计算机和电子数据为市民提供服务，包括警察局，消防局，该市的水、电、气和垃圾处理，公共事业运营扩容管理和审批，公共管理和财政报告等。目前，TALLAHASSEE正处于从集中的主机环境到客户/服务器环境的转变。客户/服务器的设计将原来主机的功能，包括程序和数据等，主要分散到服务器，其余分散到客户机，因此，他以协同处理的方式增强客户端的工作弹性和处理能力。这种分布式的客户/服务器是通过局域网运行的。随着通讯技术的发展，用户连接到服务器的方式变得越来越多。虽然互相连接的系统为提高政府职能提供了很多益处，但这种系统比较容易受到非法入侵者的攻击。侵入者42、可能操纵数据、实施舞弊、获取敏感或机密数据、严重扰乱系统运行。因此，对系统安全的控制变得非常重要。本次审计是对TALLAHASSEE市信息资源安全进行的第二次审计。第一次审计是在2000年12月针对局域网的物理安全进行的。二、审计目标和范围（一）审计目标1、全面了解网络运行和进入网络逻辑路径的基本情况；2、为安全控制管理提供适当的保证；3、评估管理者改善安全控制措施的适当性；4、确定关于防范非法进入该市局域网的政策和程序的充分性；5、确定有关防范非法进入该市局域网的控制措施的充分性；6、确定存储在该市局域网的机密信息是否容易接近。（二）审计范围此次审计的范围包括所有已知的进入该市局域网路径的逻43、辑安全，需要说明的是：1、尽管进行了基本薄弱点评价，但这种评估并不完整，未进行穿透性测试；2、未进行详细的数据库安全测试。三、审计方法此次审计开始管理层即介绍了现有的逻辑进入控制和他们认为还需要改进的方面。审计组结合该信息确定了审计目标和方法。具体审计程序包括：1、为了了解网络运行和逻辑进入路径情况，审计组会见了负责逻辑进入安全和该市信息系统服务部门的主要人员，检查了相关网络结构文件和图表。2、在检查安全控制管理时，审计组检查了密码软件特征和实际设定，通过测试确定用户如何获得逻辑进入权限，是否及时取消。3、在确定防范非法进入该市局域网的政策和程序的充分性方面，审计组查阅了有关的佛罗里达法令，该44、市条例、政策、程序以及逻辑安全的行业标准。4、确定有关防范非法进入该市局域网的控制措施充性，和确定存储在该市局域网的机密信息是否容易接近时，审计组调查了不同部门的管理，以了解机密和敏感信息存储在该市应用系统的哪些系统中，测试特殊权限用户的进入入权限是否适当，测试包含机密数据的应用和数据系统的进入权限是否恰当限制，部分测试了易受攻击的调制解调器，即有可能提供未授权进入该市局域网的调制解调器。四、基本审计结论信息的安全性不够充分，主要是管理问题。确保充分的信息安全需要管理层对风险和控制的实效进行持续关注和监测。管理层面临的最大难题是能否将数据安全管理视为该市整体运行的重要组成部分：1、关注用于支持45、程序运作的所有计算机和电子通讯技术；2、根据预期的风险成本确定可接受风险水平，然后权衡潜在的成本收益；3、运用充分资源检测控制，并保证将风险控制在可接受的范围内。管理层需要严格执行预防、发现和纠正信息安全缺陷的政策、标准和程序。五、审计发现及建议（一）安全管理和监测方面存在的问题及审计建议1、缺乏有关网络逻辑安全的政策和程序。该市尚未建立有关信息技术资源逻辑安全的书面政策和程序，尽管ISS已经起草了相关文档，但尚未正式完善、批准并执行。审计组建议应该建立保证网络逻辑安全的政策和程序，政策和程序包括的内容有用户的权利和职责、管理员的权利和职责、定义密码控制的最低要求、操作系统设定的安全规则、网络46、构架、安全检测、安全教育、病毒、远端拨号连接、英特网/电子邮件的使用、应用程序和数据安全以及备份等。2、缺乏负责信息安全活动的信息安全经理目前该市对信息安全的管理状况是由ISS处理网络安全问题，而另一些执行人员负责应用系统的安全，缺乏负责整体的信息安全经理。审计组建立管理层正式任命安全经理负责信息资源安全，向高级管理层汇报。此人应独立于管理和维护信息系统的部门，并对信息系统安全的要求非常熟悉。（二）用户进入控制方面存在的问题及审计建议1、员工离职后未及时删除其网络账号目前，尚未安装将网络账号及时删除的有效程序，同时用户名和密码存在共享的情况。2、远端进入控制不完善没有安装及时删除离职员远端登录47、的程序；未对远端进入用户进行持续监督，系统日志不能提供ISS通过呼入方式进入的可疑轨迹；远端用户密码缺乏有效保护，所有DNS职员都能接触那些密码；对远端进入未设置完善的密码控制；由调制解调器连接的个人电脑能通过ISS设定的路径绕过控制进入局域网。3、密码控制有待改善虽然ISS启用了新的密码软件，增加了密码时限和尝试登陆次数限制功能，但依然存在如下问题：尽管密码软件的安全设定功能已经成功启用，但通过修改操作系统中的安全规则能使这些设定名存实亡；未安装保证ISS员工验证需求部门的密码软件；尽管已经设定了用户账号和密码操作程序，由于尚未建立充分的监控机制，无法保证这些程序一贯遵循。审计组建议ISS开48、发和应用充分的用户进入权限控制，以确保无论是直接还是无端，只有经过授权的人员才能够进入网络。这种控制应该存在于分配、删除用户账号和密码，共享用户账号和密码，对密码的最低要求，定期监控未授权用户的登陆，以及管理和控制调制解调器的使用等各个方面。同时建议所有的拨号接入方式均通过ISS的专门调制解调器中心通道，避免使用模拟调制解调器。4、特殊权限的用户授权存在不足审计发现一些用户拥有不必需的特殊权限，如管理员权限，让这些用户能增加或删除用户，变更安全文件和设定，进入网络的每个区域，包括操作系统、程序和储存在网络上的数据。同时发现供应商和非ISS员工也被无意分配了部分特殊权限。审计组建议限制分配特殊进49、入权限；终止共享个人账户；删除不再拥有授权的供应商的权限；对用户的活动定期监测，保证只进入授权领域、执行相应的操作。5、未按法律规定保护保密数据弗罗里达州法令第119章对所有公共档案的查阅、检查和拷贝提供了规范。经过检查应用系统存储、传输机密资料，发现在这方面存在许多薄弱环节，如对能源服务和城市公交系统的文件夹/目标未加以适当保护，无法防止未授权用户的进入；警察局部分应用系统的用户账号被共享等等。审计建议首先确定系统中根据州、联帮和地方法律应受保护的机密数据，并将其从公共记录中分离出来。然后，各部门应该对此数据进行有效保护，防止泄露。六、管理层回复TALLAHASSEE市局域网管理部门的管理层50、根据审计局所提出改进意见，对本市局域网的逻辑安全问题进行了改进，并将改进的行动计划、责任人及目标日期反馈给审计局。七、案例分析通过分析TALLAHASSEE市审计局对本市局域网进行逻辑安全审计项目可以发现，国外信息系统审计实践是在信息系统规范的指导下有序进行的。总体而言，本文认为通过分析上述案例并结合其它国外的信息系统案例可以反映出国外信息系统审计规范体系如下几个方面的特点：1、国外信息系统审计规范来源于审计实践ISACA是美国的信息系统审计准则制定机构，其基本准则自1997年12月25日后陆续生效，审计指南自1998年6月1日后陆续生效，审计程序自2002年7月1日后陆续生效。虽然ISACA51、基本准则生效的最早时间为1997年12月25日，但这并没有防碍美国的信息系统审计实践。例如，美国审计署1996年11月对美国联邦存款保险公司时间和出勤处理系统进行了审计，并出具了审计报告。在此次审计实践中，审计人员有明确的审计目标、审计范围等，这与ISACA后来所颁布的基本准则审计计划（S5）中的规定基本一致，即在S5中要求“信息系统审计师必须起草并以书面形式记录一份审计计划书，详述审计目标及其性质、审计时间和范围、以及所需相关资源”。同时美国审计署还针对美国联邦存款保险公司时间和出勤处理系统的开发情况，提出了系统开发需要完善的流程，并在1998年再次对美国联邦存款保险公司中止开发时间和出勤处52、理系统的具体情况进行了审计。美国审计署对该项目的后续跟踪也蕴涵着ISACA所颁布的基本准则后续工作（S8）的基本思想，即在报告审计发现和建议后，信息系统审计师必须获取和评估相关信息，对管理层是否已及时采取恰当的措施做出结论。因此，虽然不能说ISACA所颁布的基本准则、审计指南和作业程序全部来自于审计实践，但可以肯定的是，ISACA所颁布的准则中部分来自于信息系统审计实践。这种信息系统审计规范制定的模式是值得我国借鉴的，我国在完善信息系统审计规范体系的过程中，除了借鉴国外先进的信息系统审计规范之后，还以从国家审计、注册会计师审计以及内部审计的实践中发掘有价值的审计规范，使其成为信息系统审计规范的53、成文法典，引导和约束信息系统审计行为。2、存在权威的信息系统审计规范指导审计实践国外信息系统审计规范体系虽然不存在成熟的信息系统审计质量控制准则，但存在着完善的信息系统审计准则、指南和作业程序。从TALLAHASSEE市审计局对本市局域网逻辑安全的审计项目可以看出，审计组在整个审计过程中有明确的审计目标、审计范围、审计方法，同时审计组还会根据审计过程中发现的问题提出有建设性的改进意见。管理层在整个审计过程中也并非置身事外，在审计工作开始阶段与审计组人员交换意见，介绍现有的逻辑进入控制，提出认为还需要必进的方面，在后续审计阶段，根据审计组所提的建议进行整改，并将整改结果回复给TALLAHASSE54、E市审计局。在整个审计过程中，ISACA的审计准则、审计指南与作业程序都能为其提供从审计计划、实施、审计报告和后续审计方面的指导，如在审计过程中，审计组成员要进行薄弱点评价，而ISACA所颁布的作业程序安全性评估-穿透测试和弱点分析（P8）可以引导审计人员进行薄弱点分析，而不致于让审计人员在审计过程中处于无序状态。3、信息系统审计涵盖的范围广ISACA所颁布的信息系统审计准则不仅仅是为了满足更好的进行财务审计的需要，这也决定了国外在执行信息系统审计时所涵盖的范围广泛。如，2001年澳大利亚联邦政府互联网安全的审计，2003年多伦多审计局对该市政府的ORACLE数据库安全问题进行了审计，加拿大审55、计署对2002年加拿大政府IT安全审计的后续审计等，这些信息系统审计实践不是依附于财务审计的信息系统审计，而是完全意义上的信息系统审计。这同我国信息系统审计出于“其实、合法、效益”的审计目标相比，信息系统审计的范围扩大了许多。我国信息系统审计实践与国外信息系统审计实践在这方面的差异，除了在信息系统审计的人力、物力等方面赶不上诸如美国、加拿大等西方国家之后，最主要的原因还是我国不存在相对完善的信息系统审计规范，信息系统审计还处于依附财务审计的状态。（四）缺乏信息系统审计项目的质量控制 信息系统审计项目质量控制，即对具体审计项目实施阶段的各环节进行质量控制，并明确不同审计人员的权责。因此，具体审计56、项目质量控制分为四个阶段，审计计划阶段质量控制、审计实施过程中的质量控制、审计报告阶段质量控制和后续审计阶段的质量控制准则没有监督的权力，容易滋生腐败，同样没有监督的信息系统审计，也会出现权力寻租的行为。审计质量是信息系统审计的生命，审计质量达不到规定要求，信息系统审计较强的技术性也使得没有人敢去相信经审计人员审计过的信息系统是质量好的信息系统，而把它当成一个被审计过的巨大“柠檬”。健全完善的质量控制制度是保证信息系统审计人员遵守法律法规、职业道德规范以及信息系统审计程序的保障。国外的财务审计质量控制准则相对于信息系统审计的质量控制准则而言是相对比较完善的，信息系统审计的质量控制准则，除了在I57、SACA所颁布的审计指南审计章程（G5）中有粗略的阐述之外，还基本上处于空白状态。信息系统审计较强的技术性决定了审计人员掌握的信息会优于委托人，更容易导致在注册会计师审计中审计人员与被审计机构勾结欺骗委托人，被审计过的信息系统并不一定会被认可为质量好的信息系统，会产生高质量的信息，内部没有嵌入非法的内部控制规范等等。这种猜疑会促使人们认为信息系统审计人员是“柠檬”的制造者，从而失去对信息系统审计的信任。因此，为确保信息系统审计的质量，审计规范制定机构不仅仅是要制定信息系统审计准则，而且还要加快制定信息系统审计质量控制准则的步伐。A航空公司信息系统审计项目 案例背景，案例过程，参见刘汝焯、任有泉58、主编，计算机审计情景案例选，清华大学出版社，2006：P181187。一、案例背景在信息化环境下，要实现“真实、合法、效益”的审计目标，审计人员必须关注信息系统，而且数据审计的开展也需要以信息系统审计为基础。因此，如何开展信息系统审计已成为一个现实而迫切的问题。本案例介绍了在A航空公司审计项目中，从分析数据发现线索，到跟踪数据流程发现非法模块，逐步深入的一个信息系统审计案例。二、案例过程A航空公司的审计项目是2005年的重点审计项目之一，打造精品项目是大家共同的目标。开展信息系统审计是抓住该集团特点，培育项目亮点，把这个项目做成精品的重要举措之一。信息系统到底怎么审，怎么评价，审计人员想找一条59、别人走过的路子，照猫画虎。但查阅信息系统审计的相关资料，看到的基本上都是国外对信息系统审计的理解与做法，与我们的审计有较大的差别，如果直接硬套过来，只能是东施效颦；询问相关的专业人员，大家都没有类似的经验。经过几次讨论，审计组决定首先找对A航空公司信息系统实施管理的规则发展部、信息技术中心两个部门的领导进行一次深谈，听听他们对A航空公司信息系统的评价，希望从中理出一些思路，再进一步确定具体工作方案。与被审计单位部门领导谈话进行比较顺利，审计人员也渐渐理出了自己的工作思路：企业的信息系统体现的是企业的管理理念。这次信息系统审计应该主要抓住几个方面：首先是该航空集团信息系统的规划、建设、管理与整个60、公司的发展是否相适应，信息系统资源的整合是否能够跟上公司其他资源高速整合的步伐；其次是公司信息系统的功能是否能够满足业务特点的要求；第三是结合在数据审计中发现的大量数据问题，特别是数据整理中再现的问题，来考察信息系统中存在的问题。但在实际问题的处理过程中也存在着诸多困难，也无现成的案例和信息系统审计规范可借鉴。为了确保审计目标的实现，审计组开展了信息系统审计。在系统审计的探索中，审计人员根据调查了解的情况，在数据分析的基础上，通过跟踪被审计单位的业务过程和数据处理流程，发现了被审计单位收入结算系统中存在的非法销售暗扣处理模块，具体过程如下所述。（一）数据分析，发现问题线索在航空公司中，收入结算61、不仅是一个重要的业务环节，而且与财务核算密切相关。因此，审计人员重点关注A航空公司的收入结算系统，对该系统的情况进行了认真的调查了解。审计人员在前台观察过程中，发现客票录入、修改等界面包含了：销售类型、代理人、出票日期、承运人、航班号、日期、毛运价、手续费、净运价、实收款、面额、批号等众多信息。为了全面、深入地了解该系统，提出有效的数据需求，审计人员要求该公司先提供少量分析数据（即包含系统各界面信息的2004年12月份的数据）。取得12月份数据后，审计人员对这些数据进行了认真的分析。在分析过程中，审计人员发现数据中面额与毛额（毛运价）或毛额之和均相等，而毛额（毛运价）则是大于或等于净额（净运价62、）。对此，审计人员就产生了疑问：为什么会有小于毛额的净额？系统是否会以净额生成运输报告，存在净价结算的问题呢？因为，一方面，从调查了解的情况看，航空公司为了提高市场份额，可能存在暗扣销售和净价结算行为；另一方面，从业务关系上看，收入结算系统生成运输报告后，传递到财务系统，财务人员依据运输报告确认运输收入。如果收入结算系统按净价结算，以净额生成运输报告，那么财务确认的收入就是不完整的，会影响收入的真实性并存在漏税问题。（二）通过数据对比，难证问题线索为了解除上述疑问，审计人员根据业务关系，将财务数据与收入结算数据进行了对比分析，以此来验证该系统是否以净额生成运输报告。在数据采集、整理完成后，审计63、人员首先从财务数据中提取了2002-2004年的运输收入数据，然后从收入结算数据中提取了2002至2004年的机票而额、毛额和净额数据，进行对比分析。由于财务系统中确认的运输收入，除了收入结算系统提供的客运收入外，还有少部分的其他收入，如公务机收入等。因而，财务系统中的运输收入应该略高于运输报告中的数据。而分析数据显示，运输收入低于面额和毛额，而正好略高于净额，所以审计人员判断收入结算系统是以净额生成运输报告的。在此基础上，与航空公司沟通后，证实了该公司以净额与代理人结算，且净额与毛额之间的差额就是销售暗扣。（三）跟踪业务过程，发现暗扣代码文件确认上述问题后，审计人员一方面积极构建审计模型，统64、计核实暗扣金额，落实问题。另一方面又进行深层次的思考：国家的有关法规规定，收入确认应当按实际收入核算，为什么该公司的系统能够按净额生成运输报告呢？这预示可能在这个系统中存在着违犯国家有关规定的非法模块。为了查找系统原因，审计人员首先对收入结算系统涉及的业务过程进行了跟踪。在收入结算环节，围绕收入结算系统开展的业务主要有以下4项：一是数据信息的输入，即由录入人员和数据采集人员将纸质或电子的机票信息输入到收入结算系统中；二是数据审计，主要有销售审核（根据销售报告对机票会计联信息进行审计）和配比审计（对配比前差异的会计联和乘机联进行审核）；三是系统主文件维护，由维护人员对系统的各个主文件进行及时的更65、新维护，确保系统运行所需要的基础数据完整、正确；四是财务记账，由财务人员依据系统定期生成的运输报告，确认运输收入。在对上述业务的跟踪过程中，审计人员发现维护人员维护的主文件中，除了运价信息、航线信息、代理个人信息等文件外，还有一个暗扣信息文件。经过查看、询问，得知该文件中包含了各个代理人的暗扣代码信息，如表6.5所示。航空公司通过该文件的维护，可以将各种暗扣信息输入到系统中。表6.5 暗扣代码文件暗扣代码航段代理人员起始日期结束日期暗扣比例Z03PZICTUCSX08038XXX20041231200503246.00Z03XICCTUCSX08038XXX20041231200503246.66、00Z05CSXBJS08046XXX20041231200503248.00Z04CSXCTU08046XXX20041231200503247.00Z04CSXCKG08046XXX20041231200503247.00（四）跟踪数据处理流程，发现暗扣模块发现暗扣代码文件后，为了进一步弄清该系统是如何使用暗扣代码信息，又如何将面额转变为毛额乃至净额等关键问题。审计人员对该系统的数据处理过程进行了跟踪。通过跟踪和分析，发现了该系统中存在非法暗扣处理模块，收入结算对国内机票数据处理流程如图6.8所示。机票的电子数据导入或手工录入机票信息纸质机票票号、面额、航线、出票日期、代理人号等票价航段分67、摊规则按航段分摊票面价值暗扣代码文件票号、面额、航段1、航段2、毛额1、毛额2、出票日期、代理人号等代理人员、航段是否在暗扣代理文件中存在翻译暗扣代码、进行暗扣计算按3%比例计算手续费票号、面额、航段1、航段2、毛额1、毛额2、净额1、净额2、暗扣1、暗扣2、手续费1、手续费2、出票日期、代理人号等是否图6.8 收入结算系统的国内机票数据处理流程1、通过手工录入或数据导入方式进行系统中的原始数据（机票信息）主要有“票号”、“面额”、“航线”、“代理人号”等。2、系统提取主文件中的票价分摊信息，对上述原始数据进行处理，将面额按航段分摊规则分解为毛额1和毛额2。3、将分解后的数据信息，与暗扣代码信68、息对比，如果数据中的代理人号、航段等信息在暗扣代码文件中存在，那么，系统内的暗扣处理模块就依据暗扣代码文将暗扣代码翻译成具体的暗扣比例，并用此比例计算出相应的暗扣金额；如果不存在，则系统按正常的3%的比例计算代理人的销售手续费。4、系统对有销售暗扣的机票数据，由毛额减去暗扣得到净额；对没有销售暗扣的机票数据，净额等于毛额。经过上述处理过程，进入系统的原始数据就由面额逐步转变为毛额和净额，系统以最后的净额与代理人结算，并生成运输报告传递到财务系统确认收入，从而实现了航空公司暗扣销售和净份结算。至此，该系统中存在非法模块的问题得到查证落实。三、案例分析由上述案例过程可知，我国对企业信息系统审计还处69、于探索阶段，在审计实务中到底如何开展信息系统审计还缺乏有说服力的案例和行之有效的办法，更不要说具有可操作的完整信息系统审计规范体系。总体来讲，笔者认为从上述案例可以反映出当前我国信息系统审计规范体系还存在着如下几个方面的缺陷：（一）没有完整可借鉴由权威机构制定的信息系统审计规范信息系统审计规范是信息系统审计经验的总结，是对审计活动内在规范的反映，审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作，能够少走弯路，提高信息系统审计效率，保障信息系统审计工作科学、有序、高效地运行，全面实现信息系统审计目标，降低信息系统风险，同时也可降低财务审计、绩效审计以及环境审计等的风险。而我国信70、息系统审计尚处于探索阶段，在信息系统审计实践中经验缺乏有服务力的案例，在此基础上，根本谈不上完善的信息系统审计规范体系，而在国外却存在如ISACA这样的机构提供完整的信息系统审计准则、指南和审计程序。因此，国家相关部门应整合信息系统审计规范制定的实践与理论资源，在借鉴国外信息系统审计规范的基础上，推进我国信息系统审计规范体系制定的进程。2、信息系统审计的开展缺乏计划，不存在后续审计阶段对信息系统的审计是一个过程，就包括信息系统审计计划、实施、审计报告以及后续审计阶段，而在上述案例，对信息系统的审计是一个摸索的过程，根本谈不上信息系统审计计划。凡事预则立，不预则废。无论是国家审计，还是注册会计师71、审计，同样需要制定信息系统审计计划。内部审计具体准则第28 号信息系统审计中指出，内部审计人员在执行信息系统审计之前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，并以此制定信息系统审计计划，除此之外第28号具体准则没有做详细深入的阐述。在ISACA的审计准则体系中，关于审计计划的基本准则有审计计划（S5）、审计计划中风险评估的运用（S11）和审计重要性（S12），审计指南有信息系统审计中的重要性概念（G6）、审计计划中风险评估的运用（G13）以及信息系统审计的计划（G15），审计程序中有信息系统风险评72、估（P1）等可供借鉴与参考，并且ISACA对审计计划的相关准则、指南和程序进行了详细深入的阐述以利于引导和约束审计人员的审计行为。信息系统后续审计，无论是对于企业，还是政府都是相当重要的。审计报告的签署并不意味着信息系统审计的终结。在ISACA的审计准则体系中，在后续审计方面的准则包括基本准则后续工作（S8）以及审计指南后续工作（S35）等。根据ISACA审计标准，审计人员对于在信息系统审计中发现信息系统的重大问题和漏洞，并提出改进意见后，可对被审单位所采取的纠正措施及效果进行后续审计。如果审计建议如期落实，则实现了信息系统审计的目标，也意味着信息系统审计意见得到了被审计单位的认可；如果审计建73、议没有落实，应耐心听取被审计人员的反馈意见，对于落实的难点问题，审计部门应反映给高级管理层，请其协助落实。此外，对于不切实际的审计建议，审计组成员应该分析原因，以利于下一次审计项目的改进。因此，后续审计阶段对于信息系统审计同样重要，而在上述审计案例中，对A航空公司收入结算系统的审计根据不存在后续审计阶段。（三）信息系统审计出于“其实、合法、效益”的审计目标我国开展的信息系统审计与西方的信息系统审计在目标上存在着差异，我国审计部门开展信息系统审计主要是为“真实、合法、效益”的审计目标服务的，主要关注信息系统影响被审计单位的合法经营、财务核算、经营益等方面的问题，还没有达到审查信息系统安全、可靠、74、有效和效率以及能否有效地使用组织资源、实现组织目标的层次。因此，对于信息系统审计，主要是在很大程度上主要是根据数据审计的需要开展。出于“真实、合法、效益”审计目标的信息系统审计已经无法适应信息系统审计内容多样化的需求。随着企业信息化、政务信息化等的发展，信息系统的安全审计、生命周期审计以及软硬件审计等变得越来越重要，其重要程度在很多时候已经超过了出于“真实、合法、效益”审计目标的信息系统审计。2005年2月，美国银行（Bank of American）宣布丢失了一批重要的磁带，上面存放了120万名政府职员（其中包括60名参议员）的个人资料和信息卡信息，虽然没有任何迹象表明这批数据已经外泄，不过75、，经历了这次事件之后，美国银行已经元气大伤，信誉跌到了低谷 美国银行丢失120万政府雇员资料数据磁带，02/27/content_1949876.htm，2005年2月27日。由此可见，我国信息系统审计及规范的发展不能只是停留在出于“真实、合法、效益”审计目标的基础上。这样只能限制信息系统审计的范围，我国的信息系统审计实践也没有办法拓展到对信息安全保护、软件系统开发、信息系统计划组织以及商业流程评估及风险管理等的审计实践上来。（四）缺乏信息系统审计项目的质量控制准则同样我国在信息系统审计项目方面的质量控制准则尚处于空白状态。虽然国家审计署、中注协和内部审计协会都颁布了一些关于审计质量控制的准则或规范，但这些规范不是针对财务审计的，就是针对会计师事务所质量控制的，而专门针对信息系统审计项目的质量控制基本上还处于空白状态。因此，上述案例在信息系统审计过程中，基本上不存在任何质量控制措施，这也对我国提出了尽早制定与颁布信息系统审计质量控制方面相关的规范。