免疫系统启发的工程审计形式革新

一、前言

大型工程与生物免疫系统都是典型的复杂系统，具有防御风险的功能。鉴于此，本文在剖析大型工程审计系统的基础上，借鉴生物免疫系统构建大型工程审计系统模式，以完善大型工程审计理论。

二、大型复杂工程审计模式存在的问题

现代审计理论结构框架包含三个层次要素，构成了从审计“是什么”到“应对谁干什么”再到“怎么干”的逻辑框架。第一层次包括环境、本质、目标、职能、假设等要素，第二层次包括对象、任务、概念等要素，第三层次包括准则、计划、程序、方法等要素。作为第三个层次的核心，审计模式揭示了审计的方向、重点和战略思维，其直接与审计的工作和方法体系相关联。大型工程审计要素与普通工程有所不同。其目标具有多元性，是工程目标、行业目标、国家战略目标的有机统一，其涉及多重利益相关者需求。其职能不仅是经济监督，也是一种对工程建设的全方位全过程的咨询、评价和服务。目前，我国工程审计主要采用财务收支、造价、投资效益的事后审计的模式，存在4方面问题：①事后审计具有滞后性，不能发挥审计对大型工程的揭示、预警和促进等作用。②过程跟踪审计难以确定跟踪审计的时点、内容和方法，缺乏清晰性和可操作性。尤其该模式需要耗用大量审计资源，对本身审计任务就非常繁重的大型工程适应性不强。③风险导向审计理论是在审计效果（风险、质量）和审计成本寻找折中的一种外部审计策略，站在降低审计主体的检查风险和查错纠弊的立场，因而对工程审计的针对性不强，尤其是目前存在成本高、审计主体、审计法律等条件还不成熟的局限性。④大型工程审计存在审计的需求和能力不能匹配的突出矛盾。大型工程的多元化目标、综合化职能、繁重的审计任务以及组织管理的复杂性，加之固有审计风险较高，对审计能力提出很高的要求。但是实践中审计资源和能力有限制，由此凸显一系列相关问题。上述问题背后深层次的原因在于大型工程审计系统的特殊性和复杂性。因此，要从系统论视角对大型工程审计进行重新审视和深度剖析，以为其审计模式创新提供理论支撑。

三、大型工程审计系统及其复杂特性

1.工程管控及审计大系统。传统工程管理理论和实践所指的工程管理控制和工程审计是狭义的概念。前者是指包含了管理层（前期决策、设计、招投标、采购、施工、风险、会计财务）和控制层（安全、质量、进度、投资、财务控制）的基础管理控制，后者是指一种衡量与评价其他管理控制有效性的管理控制。在此有必要引入工程管控及审计大系统的概念，以重新诠释工程审计的本质，进而澄明大型工程审计系统的复杂性。

（1）工程管控及审计大系统的结构。如图1所示，工程管控及审计大系统包括环境、工程审计执行系统、工程审计对象系统。工程审计对象系统包括工程对象子系统和狭义工程管控子系统。工程审计对象系统指投资方、建设方、承包商、设计方、施工方、监理方等主体的作业层面活动要素之和。狭义工程管控系统是保证工程项目目标的顺利实施所采取的管理控制活动要素之和。它具有很强的综合性和技术性，与一般的以财务控制为主的内部控制系统不同，包括财会控制以外的等多种控制、功能要求以及效益要求。工程审计执行系统是指对工程对象子系统与工程管控子系统实行控制的主体活动要素体系。

（2）工程管控及审计大系统的运行机制。工程管控子系统内部是利用契约、层级制、市场、协调等复杂的组织机制来执行控制活动。工程对象中，不同主体的控制层次和作用不同。工程监理方通过“四控三管一协调”的职能对业主、承包方、设计方等项目作业方实施控制。工程管控子系统中，各子系统的控制层次和作用也不同。控制层对其他子系统起着控制作用。管理层中的风险管理活动高于其他单一功能的子系统，起着主导性作用。审计执行系统内部实行的是内外审相辅相成、有机结合、交互作用的分层控制机制。因职能和代表的利益群体不同，内外审对审计对象的控制作用有所不同，内审对被审查对象的控制力度明显大于外审。内审侧重的是管理、控制、服务和治理职能，而外审则侧重监督、评价和鉴证等职能。由于客观因素决定，内审对审计对象实施控制一般强于外审。审计执行系统与工程管控子系统之间的存在3种交互机制：①是审计执行系统能在宏观和关键点上监控和指导工程管控系统的运行，重点是对管控薄弱环节的预警，而不是代替工程管控系统的职能。②是工程管控子系统既能实现审计执行系统的管控要求，又能实时向审计执行系统反馈信息。③是必要时，审计执行系统对工程对象系统直接控制，如现场审计。

2.大型工程管控及审计大系统的运行机制。与一般工程比，大型工程管控及审计大系统具有更繁多的系统要素、更复杂的层次结构、更强的交互机制。为了应对系统的复杂性，大型工程管控及审计大系统需要采取多层级递阶的控制机制。整个系统在功能上分为三大层次（审计执行系统、工程管控子系统、工程对象子系统），各层内又细分成若干层。层次内外既有分工又有协作，构成一个的多维（管理的过程、层次、业务）集成化的管控大系统。大型工程管理主体只有不断完善这个管控大系统，通过层层反馈和前馈、层层调节和保障机制，就可以达到总体优化，确保其战略的实现。大型工程管控大系统的控制机制呈现两方面特点：一是以审计执行系统对工程管控子系统的结果控制为主，而以审计执行系统对工程对象子系统的行为控制为辅。二是控制路径正在从传统的反馈控制转向反馈与前馈结合的复合控制，侧重风险预警和审计免疫功能，这正是大型工程加强前馈控制的主要体现。

3.大型工程管控及审计执行系统的复杂性分析。大型工程对象复杂性明显，决定其管控及审计系统应该是与被控对象的复杂性相匹配的复杂度更高的复杂系统，以便驾御被管控的对象。与一般工程相比，大型工程管控及审计大系统具有规模庞大、要素分布广、结构复杂、功能综合、目标多样、因素众多等特点。

（1）自组织自适应性。大型工程审计环境面临更大的动态不确定性，如利益相关者多元化需求的不确定性、建设环境的开放性、组织结构的虚拟性以及政策法规及经济标准的动态性等。为了应对环境的复杂性，尤其是化解审计能力不足和审计高要求的突出矛盾，大型工程管控及审计大系统遵循着自组织原则，及时通过感知环境变化、围绕，协调和优化系统要素，通过提高自适应性以提高达到有效第驾御系统复杂性。

（2）多样性。大型工程审计系统具有明显的多样性，如：利益相关者需求的多样性，审计目标的多元化、参与主体的多样性、审计功能的多样性、决策问题的多类型、控制机制的多样性，以及审计策略的多样性。这是造成大型工程管控及审计等诸多问题的根本原因。

（3）流。在各子系统之间、子系统与环境之间、以及工程建设各阶段之间存在多种流的运行。为了与系统功能相匹配，大型工程审计需要持续不断的人流、技术流、信息流、知识流。大型审计存在作业资源和流程的分散性和异地化，组织结构动态变化等特点，容易出现信息知识流不畅通，在实践中突出表现为各种要素不能突破部门、组织、地域、阶段的束缚，在很大程度上影响了管控及审计的能力和效果。除此之外，大型工程管控及审计大系统运行存在诸多约束条件及影响因素，管控及审计对象的特点、系统的特点、结构要素的特点（目标、任务、模式）、管控及审计支持要素（组织、技术、管理体系）等，使得系统运行表现出更强的系统复杂性，如非线性。

4.大型工程审计系统与生物免疫系统的相似性。生物免疫系统是一个能够防御、监视、消除病原体侵害的自然复杂系统。而工程审计系统是一个主要起着预防、揭示和抵御工程建设中的障碍、矛盾和风险的复杂经济系统。两者具有天然的相似性。

（1）两者都是对风险（病原）进行抵御和防范。随着现代化审计职能的演进，大型工程审计模式必然实现两个转变：从以财务审计为核心转变为以评价、监控、决策支持、预警免疫等功能为核心；从事后的静态审计转变为事前预防与事中控制相结合的全过程动态持续审计。大型工程审计应该在查错防弊和管理评价的传统功能上，强化风险管理第三道防线的职能，尤其是应该参与关键管理控制风险的揭示和预警，突出审计免疫作用。

（2）两者具有明显的系统复杂特性。生物免疫系统是一个分布式、自组织和具有动态平衡能力的自适应复杂系统，具有明显的复杂特性。如前述，大型工程审计系统也具有相当的复杂特性，但其在系统的结构、功能和机制方面远不如生物免疫系统完善。

四、大型工程免疫审计模式

1.生物免疫机理对大型工程审计模式的启发。面对病原体，生物免疫系统的解决方式是多样的、分布式、自适应的、动态的，这对于大型工程审计模式具有重要启发：

（1）风险免疫应答机制。当抗原进入体内，生物免疫系统通过对感应（抗原处理和识别）、反应（细胞分化）、免疫效应的免疫应答机制而实现对防御功能。免疫机制体现出智能性，如学习、记忆、应答灵活。与此类似，审计系统也应该采取风险免疫应答机制，并借助审计智能化提高系统的风险学习、记忆与处理能力。

（2）动态防御。生物系统具有免疫监视功能，持续不断的检测自己来保持自身特质。由于人体的淋巴检测器（188个）远远小于待识别的病原体（1016），免疫系统采用动态防护，10天左右淋巴细胞全部更换一次。因此，审计系统应该在静态功能基础上增加全面覆盖与重点动态监控结合功能，增强动态防御能力。

（3）分布式、多层次的防御体系。生物免疫系统具有多层次遍布全身的防护：皮肤、生理条件、天生免疫系统（吞噬细胞）、自适应免疫系统（淋巴细胞）。尤其是淋巴系统在体内循环，具有明显分布性。由此启示我们：外审、内审、社会审计系统之间应该与管控子系统之间密切结合，以形成审计大系统对风险形成全面协同式抵御。通过风险的分布式感知与集中式控制，利用有限能力发挥系统最高防御能力。这一理论解释了大型工程中事宜采用多方共审模式，而传统单一主体的审计效果不佳。

（4）自适应。生物免疫系统可以实现体系动态平衡，即免疫细胞之间、抗体和抗原之间、抗体与抗体之间形成一个动态平衡网络体系，能随着抗原调节免疫应答的强度。因此，审计系统能力应该随着建设阶段演化、环境的变化、风险的类型而动态变化，来解决大型工程审计资源能力与需求不匹配的矛盾。

2.大型工程审计免疫模式的内涵。审计免疫模式是借鉴生物免机理对审计工作的思维、策略、方向、重点、工作方法体系进行优化、调整和再造。大型工程审计免疫模式的核心是围绕风险的感知、监控、应对的链式控制机制来实现。其特点表现为：①拓宽了风险内涵，将风险与工程综合目标（战略目标、绩效目标、报告目标、合法合规目标）的实现紧密关联，几乎覆盖所有风险类型，不仅包含受托报告责任，也包含行为责任。②不仅将被审计对象的风险状况与审计主体的风险及审计重点相关联，而更加注重预防为主、监控反馈、控制处置的动态持续的闭环控制。③强调审计机制的柔性化和系统化。强调审计资源（组织网络、审计客体网络、知识、信息网络）、能力等的创新和动态整合、优化、调整。

3.大型工程审计免疫模式的风险链运行机理。审计免疫机制的流程如图2所示。①风险的识别与感知。将工程全生命周期蕴含的、影响工程目标的、且涉及到审计管辖范围内潜在事项识别、分类、汇总，形成风险事项列表。分析风险影响因素，评估风险发生的可能性及影响。②风险评估。分析风险影响因素，评估风险事项发生的可能性及影响程度。③风险应对与处置。动态地确定进一步的审计策略，采用程序测试和实质性测试来实现审计取证和深入调查，剖析问题的症结。针对性地提出预防、控制和整改措施，予以落实。④风险监控。对风险链全程进行实时动态监控与持续审计，对关键风险领域源及风险点智能地定时记录、分析和预处理，超出风险容忍度时则进行报警。

4.大型工程审计免疫模式的风险链运行特点。大型工程风险存在多层次（整体风险、建设阶段风险、管控风险、风险事项等）、数量多、层次多、种类杂、关联复杂、阶段演化性强等特点，易出现牵一发而动全身的“蝴蝶效应”。这些对审计免疫模式提出高要求。因此，大型工程审计免疫机制应该遵循全面辨识、系统评估、分类管理、重点控制、持续监控、动态应对的风险控制原则。大型工程风险种类和危害程度随着建设阶段的演化而变化，审计策略也应该随之动态变化，归为3类：

（1）前期决策、设计、后评价的阶段，应该以控制决策失误风险为重点。这类风险与以决策的主体、制度、效果等相关联，审计应以制度审计和绩效审计策略为主。不但关注决策制度、程序及行为的合法合规性、决策资料的真实性、决策方法的有效性，还要重点关注决策方案本身的科学性。由于该类风险损失程度远超过其他阶段，是控制的重之中之重，要从决策的机制和技术方面进行完善。

（2）财务业务关联强的阶段（如招投标、采购、财务收支、造价的概算、预算、决算等），以控制合法合规和报告错弊的风险为重点，应该以制度和账项审计策略为主。这类风险的特点是频发性，主要从机制、程序上加以完善。

（3）施工阶段具有很多以影响项目目标（进度、质量、造价）实现的风险。这类风险具有很强实时性和动态性，应该以过程跟踪与实时监控审计策略为主，引入持续监控机制以支持动态实时的过程预警和控制。

五、大型工程审计免疫模式的实施路径

大型工程审计是一个庞大的项目管理系统工程，管理难度大于一般审计项目，其实施应该以综合集成的思想和方法论体系作为指导，根据系统的耦合因素、功能以及风险特征，通过审计组织、技术、管理体制层面的创新来提供支撑和保障。

1.组织层面的创新。大型工程审计的组织创新，应该围绕政府、社会、内审各自为政、协作不畅、能力不足等日常组织问题，通过整合系统内外资源、优化组织结构模式及运行机制，提升审计组织驾驭审计系统复杂性的能力。关键是实现审计全过程全方位的一体化运作，保证审计项目在全生命期中的组织、责任、过程体系的连续性和整体性。首先，需要构建以内审为主、外审（政府与社会）协作介入、建设管理主体自查的多方共审形式，建立资源整合、优势互补、相互制约的协同工作机制。其次，动态构建具有自学习、自组织、自适应特点的虚拟型审计组织。随着建设阶段的演进，灵活动态地配置审计资源以形成与审计任务相适应的组织结构。再次，建立科学有效的审计作业模式和沟通机制，通过信息化环境达到审计项目管理的实时化和协作化，提高对大型审计项目的控制能力。

2.管理体系的创新。整合财务审计、项目管理审计、项目风险管理标准ISO31000体系、ISO9000质量管理体系、IS014000环境管理体系、0HSMS18000职业健康安全管理体系等通用标准体系，构建以全面风险管理为导向的审计体系要素,优化审计质量管理与控制体系，从系统性和可操作的角度确保审计职责划分的规范流程的衔接，确保审计管理体系处于自我约束、自我诊断、自我完善、动态更新的状态，持续地保持其有效性。

3.技术方法体系的创新。管理控制系统是借助信息管理系统实现基于行为或结果的控制机制。因此，它需要在不确定环境下跟上信息技术的快速发展，以便应对复杂问题的需要。大型工程审计技术方法体系创新包含3个方面。

（1）综合采取多种技术措施强化风险链运作能力。如：针对决策失误等风险，不仅要从源头上加强基于社会因素综合考虑的决策制度及机制的优化，还需要采纳新型风险识别技术，如引入综合集成研讨厅等群决策机制及技术，以集成审计主体和多类专家优势，将决策失误降到最低。针对工程造价和财务异常等风险，要通过全方位、多阶段的数据融合、智能数据分析与挖掘、专家知识系统等技术来有效地甄别异常数据，挖掘问题线索。针对实时性强的风险，要引入持续监控机制，以随时捕获任何时点的工程状态信息，支持动态实时的预警和控制。

（2）通过信息集成、知识集成、管理过程集成以支持大型工程审计项目的一体化的高效运作。充分整合审计主体的各类网络及信息系统，建立支持信息共享平台和集中—分布型作业模式的信息化工作平台，实现资源共享、业务协同，组织管理整体联动。

（3）全面提升传统工程审计技术方法，引入人工智能、数据挖掘、知识工程、分布式计算、仿真技术以及计算机持续审计等新技术，以支持项目持续审计理念的实践。在整合和优化工程管理控制系统的基础上，借鉴生物免疫系统的多层防御机制构建面向大型工程审计免疫的集成化信息系统，包括嵌入式现场审计系统、动态监测型审计系统、审计业务管理系统以及审计决策辅助支持系统。六、结论与展望目前，大型工程管理尤还很薄弱。本文提出的大型工程审计免疫模式对大型工程审计的理论和实践具有较强的概括性和前瞻性。但是，本文只是提出了大型工程审计免疫模式简略的理论框架，起到了抛砖引玉的作用。后续工作是结合实际设计逻辑严密更加严密和可操作性强的审计免疫机制及实施路径。