一、案例概况
 
  (一)案例背景
 
  A省SJT根据工作任务要求需对B中心开展专项审计调查工作,其中信息化审计任务需临时成立专业审计小组,对B中心历年信息化项目开展深入审查工作,其中项目后审计是本次审核要点和重点。
 
  结算是信息化建设项目最为关键的环节。结算资料由施工单位及供应商编制,经监理单位、项目建设单位对结算资料进行审核确认后,与施工方进行协商并达成一致意见。结算环节是确定项目建设单位信息化项目造价的基础,是项目建设单位项目管理、造价管控、质量安全管控主体责任履行情况的直接体现,更是项目验收后进行竣工决算、转增固定资产价值的依据。

  信息化建设项目结算审计是审计机关、主管部门或项目建设单位内部审计机构组织力量,对施工单位及供应商提交的竣工结算报告与完整结算资料进行审核,以确定依据合同条件该项目的最终结算金额的过程。信息化建设项目结算审计是审计机关或主管部门对项目建设单位信息化建设项目主体责任、监督责任履行情况的监督,或是信息化建设单位内部审计机构履行监督责任的重要手段。

  (二)面临的问题

  信息化审计不同于传统基建工程审计工作,当前缺乏合理有效的国家审计法规政策和省内出台的指导性地方标准,主要面临问题如下:

  1.没有可借鉴的信息系统审计规范。

  2.专业信息化审计队伍不足。

  3.信息化项目概预算缺乏合理有效的审计法规和可靠地方标准。

  4.被审单位一为A省信息化项目主要审批单位,主要负责统筹推进数字强省、数字经济、数字社会规划和建设,推进数据要素基础制度建设,统筹数据资源整合共享和开发利用,协调推进数字政府建设,协调推进数字基础设施布局建设,数据安全保障等职责,被审单位主要特点:1)项目繁多,涉及全省各行各业民生工程;2)资金巨大,每年累计审批金额超10亿。

  5.政府管理部门信息化管理现状:现阶段大部分建设单位每年在申报信息化项目预算时,仍是延用传统的零基预算或增基预算,具体项目建设范围、建设内容及建设需求均没有明确的说明,内部没有自己相应的需求分析、编制资源,导致的一个结果就是,完全委托于承建单位开展这项非常关键和重要的工作,这样操作带来的好处有两点:a. 有助于解决建设单位自身资源不足的问题;b. 由更加专业的承建方进行全面的需求调研与整理,有助于促成项目的快速进展。但与此同时也会带来一定的负面问题,如:承建方会根据行业经验进行需求引导性建设,从而建设范围不断扩大,最终会导致预算不断增加,最终交付的功能规模远大于实际核心所需业务功能规模。

  6.项目预算确定主要依靠经验法,缺乏交叉验证环节,导致预算不准确或依据不充足、缺乏标准,过程不可追溯。

  (三)案例目标

  配合审计部门对被审单位实施的信息化项目中定制软件开发部分进行客观、科学及合理性评估,通过查证核实,发现并取证项目实施过程中存在的不合规、不合理以及违反相关法律法规问题。
 
二、实施过程
 
  作为被引入的第三方软件造价评估专业单位,我们配合审计部门从项目造价、合同约定应建未建、需求变更并无变更手续或变更留痕、建设功能无业务数据、低代码构建或成品软件替代新构建项目报价等方面,发现并取证项目实施过程中存在的不合规、不合理以及违反相关法律法规问题。

  实施流程包括审查四部曲:一筛、二查、三量价、四检查。

  (一)一筛

  对如下项目进行首选筛查:

  1.持续建设型项目

  多个年度持续资金投入的,建设内容为升级改造维护,关注资金流向与产出偏差较大的项目。

  2.重大规划投资项目

  国务院、中央部委、省政府政策性、战略性落实项目,实际运行效益不佳、用户反映意见较多的项目。

  3.投资金额较大项目

  投资规模较大、占年度建设总投资较大的、使用专项资金的,纵向关注从立项、申报、合同各阶段金额的分析,横向关注比较各竞标单位投标金额分析。

  4.疑似重建项目或建设方案内容高度相似项目

  预立项/立项名称、立项内容、建设方案、招采文件等相似、相近的项目。

  5.低代码构建项目(伪定制开发)

  (1)成品、半成品软件稍作修改冒充定制开发项目;

  (2)使用大量基础开源架构、组件及工具等集成冒充定制开发项目。

  6.单一来源定制化开发项目

  首次建设、单独建设、建设范围明确、建设内容明晰,适宜运用国标功能点法的项目。

  (二)二查

  审查项目管理及基本建设程序执行情况,从项目前期准备、设计概(预)算执行、招投标、合同、建设实施、完工验收、结算价款各阶段梳理清楚总体情况,包括:建设内容、建设管理过程、招采管理与形式、验收结算管理与价款、运行与维护现状。核实是否合法合规、是否符合基本建设程序。

  主要检查材料清单,包括但不限于表1的内容:

  表1 信息化项目审计材料输入清单
 
信息化项目评审材料输入清单

  (三)量价

  引入标准功能点方法,基于行业基准数据统计分析回归建立方程进行估算,即基于基准数据建立参数模型,对送审项目中定制化软件开发部分进行规模、工作量及成本评估,做到从材料输入,到项目结果输出形成完整合理闭环,做到实施有章法,过程有依据,结果可追溯。

  评估依据主要为如下国家标准与行业标准:

  《软件工程 软件开发成本度量规范》(GB/T 36964-2018)

  工信部行业标准 《软件研发成本度量规范》(SJ/T 11463-2013)

  系统与软件工程 功能规模测量 IFPUG方法(GB/T 42449-2023)

  系统与软件工程 功能规模测量 NESMA方法(GB/T 42588-2023)   

   根据范围说明文档,参照上述标准,对筛选确定项目进行软件规模的评估。

  在评估的过程中,被审单位有责任、有义务向审计组进行需求交底与澄清。此项工作由审计组申请,被审单位予以配合。 

  评审对接有如下要求: 

  一是送审项目分历史已完成项目和在建项目。对于历史项目,有且仅有一次沟通补充材料机会;对于在建项目,对接沟通机会可适当放宽至2次/项目

  二是所有反馈提交材料必须有建设单位和承建单位确认签字或盖章,统一反馈到审计归口单位,评估机构只允许在审计单位工作人员在场时候开展对接工作,避免直接接触被审单位。

  (四)检查

  对功能点确认清单中功能点及代码构建进行现场全量核查,检查合同履约是否完整交付,检查补充清单是否真实有效,检查验收功能是否健康运行,检查业务数据是否运行产生,检查代码构建是否定制开发,检查知识产权是否正确归属等;从而做到对系统多维度立体式真实性检查。

  1.现场踏勘

  对被审单位盖章反馈功能清单,安排人员进行系统现场踏勘,参与人:审计组、被审单位、承建单位,审计组人员做好记录,问题归类分别记录;

  2.签字确认

  勘验完成后,审计组组织被审单位、承建单位现场对勘验记录结果进行确认,存疑问题只允许现场澄清调整证明,确认无疑义后签字整理归档;

  3.结果交付

  根据勘验情况,调整最终评估计数结果,并出具盖章版评估报告及审计项目审核情况说明书。
 
三、实施成效
 
  我司作为第三方造价评估方法及团队被引入以后,共计对送审的13个信息化项目进行了审计,从材料审查,造价评估,到最后的系统勘验,发现问题如下:

  (一)整体纳入评审信息化项目评审结果距送审偏差金额巨大,偏差率较高。举例如下:

  1.A部门项目送审金额:6000.00 万元,审定金额:2000.00 万元,审减金额:4000.00 万元

  原因分析:一是项目概预算阶段采用专家经验法进行工作量过度拆分,缺乏科学性、有效性及可追溯依据性;

  二是定制软件建设中采购部分成品软件,以定制软件价值申报;

  三是项目建设申报金额高于项目市场实际价值。

  2.B部门项目送审金额:2000.00万元,审定金额:600.00万元,审减金额:1400.00 万元

  原因分析:一是预算阶段采用专家经验法进行工作量过度拆分,缺乏科学有效及可追溯依据;

  二是定制软件建设中采购部分成品软件,以定制软件价值申报;

  三是项目建设申报金额高于项目市场实际价值。

  3.C部门项目送审累计合同金额:2000.00万元,审查发现建设管理缺失导致应建未建、重复建设收费、闲置浪费、运行情况不佳,预算管理缺失导致造资金浪费等系列问题。

  (二)相较传统经验法,基于国家标准的方法依据充分,过程清晰,有利于相关各方客观、科学地就估算差异进行沟通,快速达成一致。并逐步形成关注“交付价值”而非“人力投入”的管理导向。

  (三)通过采用科学的评估测算办法,审计重点不只会关注采购流程合规,也会关注到概预算及合同签约额的合理性,将事后审计改为事前审计与事后审计相结合,提升了审计工作的业务价值和审计效益。

  (四)被审单位也高度认可标准方法的信息化审计策略,也期望引入业内专业第三方信息化造价评估机构,对他们信息化项目的概预算及结算付款阶段进行科学指导和客观评估。
 
四、客户评价
 
  感谢公司对A省SJT项目的支持。我们对公司的能力和服务非常满意,主要是:

  (一)专业技术能力高;

  (二)项目进度整体把控超过预期;

  (三)项目过程中能够做到充分且深入沟通;

  (四)SJ发现难点可积极调整并合理有效应对;

  (五)积极配合SJT各种SJ场景展开工作;

  (六)审查问题发现归纳总结完整;

  (七)协助SJT推进审查任务,挖掘取证SJ线索。(本文由北京中基数联科技有限公司撰写,仅供学习参考使用,版权归中基数联所有,转载请标明出处。)