施工企业大数据内控审计的特点

大数据审计环境下施工企业具有天然的行业壁垒和自身特点:

一是制度和体系不健全。在大数据审计应用中，传统行业对比高新技术行业滞后。施工企业作为传统行业思维转变较慢，制度和体系建设落后，造成审计范围、权限、方式受到限制，审计行为无法得到有效指引和制约。

二是信息化建设两极分化。一部分施工企业仍停留在过去粗放式管理阶段，重经营轻管理，内部管控未实现信息化或各管理环节信息系统呈块状化，数据不能有效联通，无法应用大数据审计技术。另一部分施工企业信息化建设过于激进，各业务板块和管理部门没有统筹安排，出现既多头管理，又无法兼容对接的情况，有的信息系统频繁升级更换，导致同一数据重复统计且口径不一致，加大了数据审核难度。

三是数据较为复杂，内部可比性差。施工企业既有工程类数据，又有管理类数据，数据类型多样，分析建模难度大，体系建立需要对施工企业有深入认识;工程项目各具特点，差异性明显，不同项目可比性较低，需要引入更多的外部数据进行参考，获取难度高。

四是数据质量低。施工企业工程项目多且分散，各地政策法规、业主规章等存在差异，造成数据口径不同;施工一线管理相对薄弱，人员流动性大，对企业制度和自身业务掌握不足，导致基础数据质量不高;审计人员因专业背景局限性等原因，大数据处理分析能力不足，数据有效利用率较低。

施工企业大数据内控审计体系建立

（一）构建大数据内控审计架构

大数据内控审计涉及施工企业所有部门和管理层级，审计目标是利用大数据技术客观评价企业内控的合规性、有效性，更全面地揭示风险，提出更有可行性的意见和建议。为实现审计目标，需要统筹协调企业资源，构建合理的审计架构，设立专项审计[内审网注:更多审计案例方法干货关注公众号内审网]机构负责组织工作。

施工企业需成立由企业主要领导任主任，相关分管领导任副主任，相关业务部门人员为成员的审计委员会等机构，统筹部署大数据内控审计工作，安排由企业内审部门牵头实施审计，定期向委员会通报工作开展情况，各相关部门在职责范围内落实委员会的决定，配合审计工作顺利开展，定期对企业实施大数据内控审计，利用信息技术实时监控企业内控执行情况。

实施审计组织由传统的垂直结构转为以数据处理分析中心为核心的结构，对审计人员进行更细化的专业分工，整合总体资源。现场组、协调组、质控组、技术支持组等全部围绕数据中心开展工作，即时接收并反馈信息。

（二）健全大数据内控审计制度

大数据内控审计既是对企业内部控制的监督，同时自身也是内部控制的一部分，审计质量和效果依赖于审计环境、审计地位、审计技术方法等因素。现阶段多数施工企业大数据内控审计内外部制度均不健全，国家层面没有系统性的指导文件;行业内没有相关规范;企业也没有行之有效的操作指引。审计过程中常出现权限受阻，各业务部门不予配合，部分数据无法取得;审计方式方法没有创新，与大数据审计不相匹配;审计证据支撑性不足，未得到有效认定等情况。同时缺乏大数据内控审计质量的控制规定和评价体系，无法对大数据审计是否有效开展进行客观评价，审计作用和价值无法合理体现。这些都需要健全大数据内控审计相关管理规定、制度办法予以解决，通过制度明确审计范围、审计权限，规范审计流程和操作，同时对业务行为进行指导，提升审计质量，规避审计风险。

大数据审计环境下，审计人员获得的信息数量、重要性几何级提升，对审计人员的保密性提出更高的要求。业务数据是企业的核心秘密，除了内审职业道德、网络安全技术的约束外，更需要在制度规定上进行明确，约束审计行为、明确纪律要求，为审计人员划定红线。审计人员应当遵循保密原则，按照规定使用其在履行职责时所获取的信息，消除被审计单位的顾虑。

（三）建立数据采集、分析平台和审计信息系统

大数据内控审计基于对企业内部控制海量数据的全面采集和深度分析，为实现大数据内控审计，施工企业必须有与之匹配的数据采集、分析平台和审计信息系统。

1.数据采集平台至少需采集四个方面数据并建立数据库，一是通过企业在线办公、知识门户、共享服务平台和各相关部门使用的业务信息系统采集业务数据;二是通过关联单位网站、行业信息平台，如：招标网站、材料价格网站等采集相关数据;三是通过网络爬虫、搜索引擎获取新闻、音视频等关联数据;四是通过传统的信息搜集方式采集线下数据，如地材价格、当地人工费用水平等。采集完成后及时将数据整理为标准格式录入数据库，便于后续整理分析。

2.数据分析平台需具有检索、清洗、分析、挖掘等功能，数据检索要求能够快速搜索定位数据库内关键数据，实施审计时能够随时取用;数据清洗主要针对采集的海量数据进行检测，剔除错误数据、重复数据和关联度低的无用数据，使大数据变得完整可用，提升数据质量;数据分析是将分散的数据进行关联分析，通过构建分析模型等方式，研究数据的内在关系，进一步生成分析图表，清晰反映数据信息;数据挖掘要求更深入挖掘识别隐性数据，发现异常数据，再交由审计人员审查，依据专业判断核实情况。

3.审计信息系统是审计信息化建设的产物，由于审计环境以及被审计单位经济活动的信息迅速增长，数据信息来源和内容的日趋复杂，建立信息系统成为审计信息活动的客观需要。信息系统需要具有确定信息的需要、收集和加工信息、提供信息、系统管理等基本功能，是数据采集、分析平台的进一步集成。通过系统确定整个审计需要信息的范围、内容、数量、质量、时间等要素，为数据的采集分析提供指引。同时通过对信息系统功能板块、流程管理、业务权限进行设置和限定，一定程度上提升了审计业务规范性和审计质量，约束了审计人员业务行为，提高了信息安全。

大数据环境下，企业数据主要储存在各个信息系统、数据库等环境中，企业需加强信息系统控制和建设，在内外两方面维护信息安全。一方面通过权限设置、访问限制、输入输出限制等总体控制方式提升对内信息安全;另一方面通过数据加密、病毒防护、防火墙、物理绑定等技术手段提高对外防护能力，確保企业数据不泄露。

（四）建立数据分析模型和评价体系

大数据内控审计离不开分析模型和评价体系的建立，只有建立合理的分析模型，才能将采集的海量分散数据有效归集，创造价值。分析模型建立需覆盖施工企业内控的全部程序和环节，对内控项目进行识别和分类，确定关键控制点，单独评价各环节的内控效果，结合在企业内控管理中所占权重，评价企业的总体内控情况;将存在疑点和风险的内控事项记录为内控缺陷，单独进行分类并评价影响程度，提出整改建议，对施工企业内控制度的修订提出针对性建议，协助完善企业管理制度，具体内控审计项目、评分细则和所占权重需根据企业经营环境变化动态调整。如表1所示。

1.内部环境，主要分析评价公司治理、组织架构、发展战略、企业文化、社会责任等。（评分细则不再赘述，下同）

2.风险评估，主要分析评价风险识别、风险评估、风险管理、控制措施等。

3.信息沟通，主要分析评价信息披露、新闻报道、舆情管理、信息系统、信息安全等。

4.内部监督，主要分析评价内部审计、内控评价、纪检督察等。

5.人力资源，主要分析评价人事管理、绩效考核、薪酬福利、员工培训与发展等。

6.资金管理，主要分析评价资金募集、营运资金管理、债务风险、对外捐赠等。

7.资产管理，主要分析评价房产土地、办公类固定资产、施工机械设备、产权管理等。

8.研究开发，主要分析评价技术管理、研发成果、科学技术奖励等。

9.财务报告，主要分析评价财务报表分析、财务监察、税务管理等。

10.预算管理，主要分析评价预算制定、预算执行、预算调整、预算分析等。

11.合同管理，主要分析评价审批流程、合同风险、法律诉讼等。

12.采购业务，主要分析评价招投标程序、供应链管理等。

13.经营承揽，主要分析评价市场开发、经营计划、内部市场协调等。

14.下属项目部管理，主要分析评价施工管理、项目成本管理、分包商管理、创效创誉等。

（五）制定审计工作流程

大数据审计下需要统筹数据采集分析和传统审计流程之间的关系，需要优化审计工作流程以适应大数据审计环境，从而规范审计业务行为，提升审计管控水平，实现整理审计效率的提高。

施工企业大数据内控审计实施

大数据技术在内控审计中的实施，与其他审计流程的实施是平行进行的，大数据采集、分析、挖掘贯穿整个审计业务的始终。大数据内控审计下审计目标制定、审计底稿编制、审计报告撰写、审计意见书出具等流程与传统内控审计基本相同，但部分审计程序实施流程在大数据技术的加持下，出现显著变化和增强。

（一）审前调查

审前调查要求审计人员根据审计目标调查被审计单位所处的经济环境，所处行业的情况，行业自身的情况和特点，与审计事项有关的法规、规章、政策和其他文件资料等。大数据环境下随着信息化技术的全面应用，审计调查获得的数据得到海量提升，极大地丰富了审前调查内容，审前调查的重要性持续提升，地位和效果得到空前加强。传统内控审计主要通过走访等方法获得资料，存在对项目风险评估不够、调查不够充分等问题;大数据审计下资料主要通过网络、数据库查询等方法取得，再结合传统方法，调查方式更加灵活。利用大数据技术，审前调查可以明确审计目标和需要达到的效果，针对性地收集审计所需数据指标，对被审计单位情况做出总体判断。调查资料更加全面使得评估判断更加准确，能更精确地定位施工企业的问题和风险，针对薄弱环节确定审计重点，更合理地调配审计人员和安排时间，节约审计资源，提升审计效率。

（二）制定审计方案

大数据内控审计下审计方案制定需要考虑数据采集、清洗、分析所占用的资源和时间，需要配置专业人才负责相关工作。在大数据环境下，施工企业数据结构复杂、种类繁多、数量庞大，还存在垃圾数据多、信息冗杂等问题，需要先通过数据清洗去除大量无用、错误数据，再挖掘数据价值、把握重点，确定关键数据，运用模型进行分析，建立审计疑点库，整个过程耗时较长。大数据采集分析时间需与整体审计时间相匹配，与其他审计程序相辅相成，审计方案制订需要充分利用大数据技术优势，设定审计程序，线上与线下审计结合，通过线上分析数据，迅速排查各管理层级和内控环节存在的风险，锁定审计疑点，交由线下审查;线下主要对重点问题专项审计核查，同时关注未纳入大数据信息采集的内控事项，进行查遗补漏，及时将遗漏事项交由线上补充采集信息，将需要增加的指标提交数据分析。

大数据内控下审计机构能够调动的审计资源大幅提升，审计方案中需考虑跨部门、跨单位、跨系统协调审计力量，提前统筹策划，在权责范围内实现资源的合理配比，实现审计效果的最大化。

审计实施方案是审计质量控制的基础和灵魂，大数据内控审计下审计严重依赖于大数据采集和分析，一旦数据处理不符合相关规定或结果不满足要求，审计风险就骤然增加。审计方案制定中应对大数据来源进行分析评估，确保采集数据真实完整，对大数据处理分析过程全程监控，避免出现错漏。

（三）审计实施

大数据内控审计实施过程对比传统内控审计，一是重视数据采集分析，利用大数据技术，注重国家政策、外部环境、主管部门及业主、供货商、劳务队等利益相关者的信息采集和分析，并建立综合性评价指标;完善全流程信息并对比分析，如针对物资供应商，从招投标阶段资格验证、经济比选到供应阶段价格变动、货物充裕程度，再到结算阶段付款时间、比例，全面与其他供应商、其他标段、市场行情进行比对;针对重大政策，从系统调研、“三重一大”、落实执行、成绩效果等方面跟踪采集全过程信息，这些都是传统内控审计难以全面涉及的领域。二是注重线上线下结合审计，通过大数据技术将数据客观汇总、计算、分析，与审计人员的主观职业判断有机结合。大数据内控审计下更多的是通过审计系统或平台分析数据、发现疑点;线下审计带着问题疑点进行审查，对线上分析进行重点核实和补充，提升审计的精度和效率。三是动态监控、实时分析，传统内控审计下获得的数据仅仅是节点数和期间数，不能时刻把握被审计单位的变化，也不能时刻追踪审计整改情况，而大数据内控审计能够利用技术手段对业务数据进行实时监控，及时获得动态数据，对审计对象进行趋势分析，发现潜在风险并及时整改落实。四是要注重对证据链条的完善，夯实支撑性资料。信息系统和分析平台的分析数据，仅是对被审计单位问题和疑点的反映，不能直接作为审计证据。实施审计过程中审计人员要结合审计问询、审计访谈等方式落实审计证据，降低审计风险，避免审计成果受到质疑。

审计实施过程中还应意识到提供大数据的各种信息系统、大数据采集分析平台等也是施工企业内部控制的重要组成部分，自身也存在问题和控制风险，如被审计单位由于主客观因素导致采集分析数据出现错漏，将严重影响大数据审计实施和审计效果，审计风险无法控制。因此必须将信息系统审计纳入大数据内控审计中，履行审计程序并进行评价。

信息系统审计需要量身定做审计程序和工具，在验证信息系统安全性、稳定性等大前提下，通过检查自动控制、系统间数据传输，运用计算机辅助审计技术等手段测试评估系统有效性，如针对大数据采集分析平台，需测试评估采集数据是否真实完整，是否满足大数据审计要求，分析模型建立是否合理，分析结论是否准确有效等，最终评价是否存在风险并提出改进建议。除此之外，信息系统审计还能帮助企业识别、防控与信息系统相关的安全风险，减少信息系统相关的欺诈与舞弊，满足监管要求。

（四）审计评价

传统的内控审计过度依赖于抽样样本，审计评价仅是基于有限样本的评价，不够客观全面，审计风险较大，加大样本抽取数量在提高审计质量的同时又增大了资源消耗，两者无法协调统一。大数据内控审计能够实现审计的全覆盖，审计样本就是对象整体，审计评价能更深入反映数据内在关系。审计评价应建立更丰富更细化的评价指标，通过数据分析平台更综合全面进行总量、差量、趋势、相关等分析，使得审计评价能够针对内部控制的全过程，通过整体数据的分析把握，提升审计站位，提出意见和建议更有针对性。还可以借力大数据技术输出可视化图表，使数据更加形象，提升审计质量，实现审计服务、增值职能。

（五）审计报告

出具审计报告前，审计人员要实施分析程序，最终确认审计工作底稿、支撑性材料是否存在异常，大数据技术能够协助审计人员进行分析，提升质量和效率，最大程度规避遗漏和防范风险。审计报告阶段利用大数据技术可以输出可视化图表，呈现更丰富的审计内容，更直观地服务使用者。

（六）审计整改落实

审计整改工作是确保发挥审计监督职能、维护审计监督权威的重要保障，是被审计单位根据审计报告提出的意见，采取措施改进工作、提高管理水平的行为。大数据内控审计仍需要建立《审计发现问题整改表》《审计风险提示表》《审计建议采纳表》《审计问责清单》，对照进行整改落实。通过大数据技术可以将统计表格纳入信息系统，实时进行更新，追踪整改落实情况。传统的审计整改完成情况完全依赖于被审计单位反馈的整改信息，如整改信息不真实只能通过后续审计发现。大数据审计下审计人员能够采集各方面数据信息，对整改落实情况进行持续监测和全方位检验，既能强化整改落实效果，避免被审计单位弄虚作假、阳奉阴违，又能减少审计人员复核工作量。同时大数据技术能够实施常态化、信息化跟踪审计，对长效机制的建立起到积极促进作用。

施工企业大数据审计展望

大数据审计是未来审计的必然趋势，是拓展审计范围、实现审计价值的必由之路。大数据审计技术的推行也将为施工企业审计带来变革性影响。施工企业只有主动接受，时刻关注国家政策和行业发展，积极做好顶层设计，充分利用各类资源促进审计转型升级。

（一）非现场审计成为趋势

施工企业的特点决定其所有的审计力量和资源难以实现全覆盖，新技术的深入应用，使非现场审计成为解决之道。基于施工企业建立的大数据采集分析平台和在线审计系统，云审计能够采集被审计对象数据信息并汇总分析，测试评价并出具结论，在达到传统审计效果的同时，还能起到持续监控，长期预警的作用。

另一方面，非现场审计能够有效降低审计成本，充分利用审计资源，强化各部门协作能力，传统线下审计更多地倾向于重大问题专项审计，两者实现互补，助力施工企业审计完善版图。

（二）审计信息化建设持续加强

大数据审计下海量数据的处理、分析成为重点，这要求施工企业要建立大数据采集、处理、分析平台。为便于开展审计工作，施工企业应当合理统筹资源，在推进信息化建设过程中充分考虑审计信息化建设，搭建审计数据分析平台，对接企业现有的各项信息处理系统，充分挖掘数据价值。在信息化建设过程中对内加强信息收集、处理，增强数据共享和透明度，进一步提高数据的及时性、完整性、真实性;对外强化保密，加强网络安全建设，从流程权限设计和软硬件系统两方面杜绝信息外泄。

在审计信息化建设中，充分考虑到审计工作的特殊性，从审计计划、作业、督导、整改等整个流程完善设计，同时加入权限约束、审计预警等功能模块，使信息化建设落到实处，真正得以有效运行。

（三）审计重点发生前移

大数据审计应能更好地发现企业苗头性、倾向性问题，把问题和风险消灭在萌芽阶段，避免企业受到损失，将审计从事后审计向事中、事前转变，实现三者的有机结合。另一方面随着信息化系统的推广应用，特别是SSC等技术的运用，传统的业务合规性审计将会弱化，审计要更好地实现自身价值，就要走向业务前端，从源头规范业务行为。

（四）審计方法不断创新

大数据审计对传统的审计方法手段也提出了挑战，在大数据环境下需要摸索如何在海量数据中，筛选重点数据，发现问题;如何更好地进行数据分析，取得关键指标。这需要施工企业重新构建内部审计技术方法体系，推行总体分析、发现疑点、分散核实、系统研究的数字化审计方式，线上与现场审计相结合，通过大数据审计、云审计等手段实现企业的审计全覆盖，提高数据使用效率，提升审计质量。

（五）人才队伍建设不断完善

施工企业内审人员专业构成以财务、工程管理为主，其他专业人员较少，在基层公司更为明显。审计人员在审计思维、信息技术和数据分析能力方面还不能满足大数据审计的要求。人员素质决定整体审计工作成效，这要求企业一要加大人员培训力度，树立信息化、大数据审计理念，开展专项培训，针对信息技术和数据分析重点进行学习;二要优化人员配置，引入优秀专业人才，优化队伍结构，应对未来更复杂的审计环境、更好地实现审计服务增值职能;三要案例教育与实践操作相结合，学习行业内先进先行企业经验教训，同时积极开展大数据审计，在实战中锻炼人才，在实践中发现问题、解决问题。

大数据时代对内部审计提出了要求，也带来了新机遇、新挑战。大数据审计技术的运用给审计组织机构、审计范围、审计方法、审计程序都带来新的改变。越来越多的施工企业在开展大数据审计工作，审计人员只有不断提升综合素质，才能更好地履行审计职能，创造审计价值[ 节选自: 施工企业大数据内部控制审计研究]。