生麗英
[摘要]本文基于COSO委員會2016年發(fā)布的企業(yè)風險管理新框架,構建了運用機器學習算法的嵌入式智能持續(xù)審計系統(tǒng)框架,并以W市國家電網(wǎng)公司的數(shù)據(jù)為例,借用Python軟件,通過模擬仿真測試,闡釋了嵌入式智能持續(xù)審計系統(tǒng)的基本算法、運行流程及實施效果。
[關鍵詞]企業(yè)風險管理 ERM新框架 持續(xù)審計 智能持續(xù)審計 機器學習
一、引言
2001年國際內部審計師協(xié)會(IIA)首次將“增加價值和改善組織運營”作為內部審計的最終目標引入內部審計的定義。但普華永道會計師事務所發(fā)布的《2017年內部審計行業(yè)現(xiàn)狀研究報告》顯示,包括財務總監(jiān)等高管人員、董事和內部審計師的利益相關者認為“內部審計能帶來巨大價值”的比重從2016年的54%下降到2017年的44%,這一指標達到五年來的最低水平;利益相關者認為在企業(yè)面臨“重大影響性事件”(如監(jiān)管調整或網(wǎng)絡攻擊等風險)時,大多數(shù)內部審計師反應緩慢,未能幫助其雇主做好及時應對的準備。
與內部審計息息相關的兩大趨勢:一是風險管理理念的新變化,二是持續(xù)審計技術的新發(fā)展。2016年6月,COSO發(fā)布了新版本的企業(yè)風險管理框架(簡稱ERM新框架)。與其前身相比,ERM新框架所關注的是如何使企業(yè)風險管理在組織機構內真正行之有效,一改過往的企業(yè)風險管理實施范圍的局限性,強調企業(yè)管理應用于“戰(zhàn)略制定過程和整個企業(yè)組織之中”,有效的企業(yè)風險管理能使管理層在權衡風險和機遇的同時提升企業(yè)創(chuàng)造價值、保護價值和最終實現(xiàn)價值的能力。2015年IIA在其發(fā)布的新版《全球技術審計指南(簡稱GTAG)》中強調:“努力協(xié)調組織的持續(xù)監(jiān)控和持續(xù)審計系統(tǒng),可以改進企業(yè)組織對風險和控制了解,并能最大化內部審計的能力,為董事會和高管層提供更為有價值的增值服務?!比斯ぶ悄芘c機器學習的引入,將更好地發(fā)揮持續(xù)審計實時監(jiān)控與預警的效能。
基于ERM新框架,運用機器學習算法的嵌入式智能持續(xù)審計系統(tǒng)的構建與應用,有助于更好地實現(xiàn)內部審計的組織防控風險和價值增值的功能。
二、持續(xù)審計研究的文獻述評
持續(xù)審計(簡稱CA)最初是在20世紀80年代美國注冊會計師協(xié)會針對審計對象信息化而提出的。隨著計算機科學的發(fā)展和演變,開始向動態(tài)化、持續(xù)性和實時性方向發(fā)展,最終形成了持續(xù)審計的概念方法。2015年IIA對GTAG指南進行了修訂,并重新對持續(xù)審計進行了定義,認為持續(xù)審計是計算機信息技術與審計的融合,可以在更短的時間內為審計對象出具報告,實現(xiàn)對風險與控制的持續(xù)評估與鑒證。
(一)關于持續(xù)審計技術實現(xiàn)方法的研究述評
持續(xù)審計的技術實現(xiàn)方法因時期、技術條件不同而不同。Du和Roohani(2006)將持續(xù)審計的技術實現(xiàn)方法簡單地分為兩類,分離式和嵌入式。分離式是借助數(shù)據(jù)采集接口軟件,從審計對象的計算機系統(tǒng)之中抽取原始數(shù)據(jù),然后將數(shù)據(jù)傳入審計軟件之中,與審計標準進行比較并報告異常,實現(xiàn)持續(xù)審計的目的。Alles等(2008)指出分離式持續(xù)審計系統(tǒng)的優(yōu)勢在于將審計系統(tǒng)與審計對象的計算機系統(tǒng)之間的沖突和不兼容狀況降至最低的可控程度。
嵌入式的持續(xù)審計系統(tǒng)是在審計對象的計算機系統(tǒng)中嵌入相應的審計程序或模塊,通過該模塊持續(xù)對審計對象的業(yè)務數(shù)據(jù)進行監(jiān)測,實現(xiàn)對審計對象的實時監(jiān)控。Minsky(1996)較早提出了將審計模塊嵌入審計對象數(shù)據(jù)庫管理系統(tǒng)的觀點。此后Debreceny等(2005)則嘗試性地將嵌入審計模塊的技術應用到了企業(yè)資源環(huán)境管理系統(tǒng)(ERP)之中。Chen(2003)構建了一種基于傳感器(Sensors)和數(shù)字代理(Digital Agents)的嵌入式持續(xù)審計應用框架。嵌入式持續(xù)審計系統(tǒng)的優(yōu)勢較好地彌補了分離式持續(xù)審計系統(tǒng)存在的不足,但也存在明顯的問題,如嵌入式的審計模塊通用性不高,模塊的應用會降低系統(tǒng)的運行性能,在應用前須進行大量測試等。
綜上,從企業(yè)內部審計的角度,應首選嵌入式持續(xù)審計系統(tǒng),其缺陷也相對容易克服。首先,嵌入式持續(xù)審計的通用性主要是針對外部審計而言,審計對象的計算機系統(tǒng)各不相同,因而使用嵌入式持續(xù)審計的成本較高。而對于內部審計,嵌入式持續(xù)審計無需考慮通用性問題。其次,與十年前相比,計算機的軟件和硬件性能已有了較大程度的提高,嵌入式持續(xù)審計模塊的引入對審計對象計算機系統(tǒng)性能的影響已微乎其微。最后,任何企業(yè)的計算機系統(tǒng)在正式應用之前均會進行大量的測試和試運行,出錯的風險會極大程度的降低。
(二)關于智能持續(xù)審計關鍵技術的研究述評
智能持續(xù)審計是指將人工智能的方法引入持續(xù)審計的應用系統(tǒng)之中。人工智能(簡稱AI)是計算機科學的一個分支,最早于1956年提出,在經(jīng)歷了半個世紀的發(fā)展后,2015年才得以真正興起。人工智能的核心是機器學習,即用不同的算法和大量的數(shù)據(jù)進行訓練,通過學習和實踐,使計算機具有對真實實踐做出決策或預測的能力。
由于以機器學習為核心的人工智能興起時間較短,關于智能持續(xù)審計的研究文獻和實踐經(jīng)驗均較少。此前的研究主要集中于嘗試借助人工智能的算法強化審計程序,尤其是分析性復核程序,Koskivaara(2004)將人工神經(jīng)網(wǎng)絡算法引入了Woodroof等(2001)提出的基于WEB服務器的持續(xù)審計框架,嘗試運用該算法作為分析性復核程序的工具,解決持續(xù)審計中的數(shù)據(jù)分析問題。陳偉等(2006)則提出可以引用聚類分析和關聯(lián)規(guī)則算法分析業(yè)務數(shù)據(jù),發(fā)現(xiàn)審計線索。葉煥倬和楊青(2011)認為在人工智能領域,以知識發(fā)現(xiàn)為基礎的數(shù)據(jù)挖掘可以應用于持續(xù)審計中,解決信息超載問題,提高審計效率。綜上可見,人工智能在持續(xù)審計領域的應用還處于探索階段,隨著機器學習在諸多領域的成熟應用,將其引入持續(xù)審計系統(tǒng)已成為可能。
三、嵌入式智能持續(xù)審計理念與實施框架
風險導向內部審計強調內部審計應更多關注與組織目標相關的風險,幫助組織實現(xiàn)價值增值。然而,針對風險導向的內部審計如何關注風險,以及如何實現(xiàn)組織增值的目標,一直是困擾學術界和實務界的問題。
(一)基于ERM新框架的內部審計轉型與發(fā)展
COSO委員會發(fā)布的ERM新框架更好地說明了風險、戰(zhàn)略與業(yè)績三者之間的統(tǒng)一關系,描述了風險管理在戰(zhàn)略制定與執(zhí)行中的角色,強調了在復雜商業(yè)環(huán)境下對風險嚴重性和風險類型的充分考量,為企業(yè)管理風險、提升業(yè)績和創(chuàng)造價值提供了指引。
從內部審計角度來看,ERM新框架提出了如下發(fā)展理念:
1.對風險的充分關注是戰(zhàn)略成敗的關鍵。內部審計以風險為導向,不僅應關注企業(yè)運營層面的風險,還應及時識別和有效評估企業(yè)戰(zhàn)略層面的風險。內部審計可以借助其專業(yè)能力和信息采集優(yōu)勢,從企業(yè)內外部持續(xù)獲得組織決策所需要的全方位風險特征信息,支持組織戰(zhàn)略的制定。
2.企業(yè)的風險治理與風險文化是增強風險管理的強大基石。運用內部審計風險管理框架中的重要監(jiān)督職能,通過持續(xù)的風險監(jiān)控、確認與咨詢服務,有助于企業(yè)規(guī)范管理、有效問責和誠信運營,建立良好的企業(yè)風險文化。
3.有效的風險管理監(jiān)控流程使組織得以了解風險與戰(zhàn)略的關系以及戰(zhàn)略影響績效的過程。內部審計所具有的獨立性、客觀性,為確保有效地監(jiān)控企業(yè)風險管理流程奠定了基礎??傮w而言,商業(yè)環(huán)境與風險具有復雜性和高發(fā)性,內部審計可以借助科學技術和數(shù)據(jù)分析的手段識別評估戰(zhàn)略風險與經(jīng)營風險,為戰(zhàn)略決策的快速反應、企業(yè)風險文化的良好樹立、風險管理流程的持續(xù)有效性監(jiān)控提供增值服務。
(二)嵌入式智能持續(xù)審計實施框架
ERM新框架中多次強調信息科學技術與數(shù)據(jù)分析方法在風險管理中應用的必要性和可能性,提出恰當?shù)剡x擇科學技術與工具開發(fā)信息系統(tǒng),為企業(yè)提供風險管理所需的數(shù)據(jù)和信息,對戰(zhàn)略的執(zhí)行與目標的實現(xiàn)至關重要。ERM新框架還強調企業(yè)應充分利用內外部大數(shù)據(jù)與信息來源,借助數(shù)據(jù)建模、情景模擬等定量方法,識別風險,評估風險的嚴重性和優(yōu)先級水平。針對如何監(jiān)控企業(yè)風險,ERM新框架建議將企業(yè)風險管理流程整合至整個企業(yè)的信息系統(tǒng)中,在信息系統(tǒng)中嵌入持續(xù)的風險評估與預警,可以及時自動地識別風險和改進機會,優(yōu)化提升企業(yè)風險管理能力。綜上,在ERM新框架理念下,企業(yè)內部審計可以借助嵌入信息系統(tǒng)的持續(xù)審計模塊,實現(xiàn)對組織風險的全面監(jiān)控,并通過實時的智能數(shù)據(jù)分析,形成審計結論和審計報告,為企業(yè)風險決策提供建議。
本文設計了一個具有可操作性的嵌入式智能持續(xù)審計應用系統(tǒng)框架,該框架融合了六大功能模塊,具體包括:風險識別與評估、數(shù)據(jù)分析系統(tǒng)、信息報告系統(tǒng)、審計資源配置、審計作業(yè)流程、審計知識庫。其中,風險識別與評估模塊是一個基于組織全業(yè)務流程的風險監(jiān)測指標體系,該體系是以企業(yè)戰(zhàn)略為導向、以業(yè)務流程為基礎、以風險感知庫為依據(jù)建立的,其作用是通過采集實時業(yè)務數(shù)據(jù)進行分析預警。數(shù)據(jù)分析系統(tǒng)模塊是智能持續(xù)審計系統(tǒng)的核心模塊,該模塊運用機器學習方法將風險監(jiān)控和審計分析智能化,通過數(shù)據(jù)采集接口采集風險識別與評估模塊中的運營數(shù)據(jù),從原始數(shù)據(jù)中進行實時分析,并在發(fā)現(xiàn)異常和偏差時發(fā)出審計預警信號。信息報告系統(tǒng)模塊是在數(shù)據(jù)實時分析完成后,從數(shù)據(jù)分析系統(tǒng)自動導入項目關鍵信息和審計發(fā)現(xiàn)線索,并生成模板式審計報告,為內部審計人員后續(xù)跟進審計線索、查找原因及時提供信息。審計資源配置模塊是針對審計項目管理而設置的,根據(jù)審計業(yè)務的不同類型和范圍,在甘特圖日歷表中安排審計項目,包括審計人員的配備、審計時間的安排、費用預算管理等。審計作業(yè)流程模塊是將手工環(huán)境下的審計文檔電子化和規(guī)范化,模塊中包含了審計計劃的編制、執(zhí)行與審核、審計工作底稿、審計日志和報表等,有利于審計信息的共享和審計質量的監(jiān)控。審計知識庫模塊是為提高審計人員能力而設計的,包含判斷審計問題的法規(guī)庫、增強風險意識的風險感知庫、學習審計方法的審計理論庫、保存審計資料的審計檔案庫等。提出的基于ERM新框架的嵌入式智能持續(xù)審計系統(tǒng)框架僅是一種初步構想,企業(yè)可以在保留其核心功能的前提下,根據(jù)自身情況增加或減少相關模塊。
四、嵌入式智能持續(xù)審計系統(tǒng)的應用
嵌入式智能持續(xù)審計系統(tǒng)的應用,主要從電網(wǎng)企業(yè)審計監(jiān)督的現(xiàn)狀出發(fā),以電網(wǎng)企業(yè)的電費回收為例,從應用層面討論如何將機器學習算法引入持續(xù)審計系統(tǒng),實施基于ERM新框架的嵌入式智能審計系統(tǒng)框架。對于電網(wǎng)企業(yè)而言,電費收入是其運營績效的重要體現(xiàn)。對電費回收風險的有效管控,不僅是保障電網(wǎng)企業(yè)正常運營的關鍵,還是保障電網(wǎng)企業(yè)生存發(fā)展的重要基礎。電網(wǎng)企業(yè)的內部審計應始終將防范電費回收風險、加強電費回收的規(guī)范管理、提高電費回收率作為審計工作的重點。
(一)電網(wǎng)企業(yè)審計監(jiān)督現(xiàn)狀
國家電網(wǎng)已按照“六位一體”的新機制要求,提升了審計手段的信息化,推進了審計綜合管理系統(tǒng)、ERP業(yè)務審計系統(tǒng)、管控業(yè)務審計系統(tǒng)和審計門戶系統(tǒng)的深化應用,初步實現(xiàn)信息共享、過程控制、在線監(jiān)督、輔助分析,并積極探索非現(xiàn)場審計和在線審計。然而在具體實踐過程中,內部審計監(jiān)督仍主要圍繞事后監(jiān)督,未能較好地發(fā)揮持續(xù)風險監(jiān)控和實時風險預警功能。究其根源,在于內部審計的功能定位仍處于業(yè)務層面,審計信息化的實施相對獨立于ERP業(yè)務系統(tǒng),使得內部審計難以更好地發(fā)揮組織價值增值的功能。在ERM新框架的理念指引下,未來電網(wǎng)企業(yè)的內部審計轉型升級應聚焦戰(zhàn)略風險,借助信息技術改進內部審計的風險監(jiān)控效果。
(二)嵌入式智能持續(xù)審計系統(tǒng)的基本算法和運行流程
在機器學習的眾多算法中,支持向量機(簡稱SVM)屬于監(jiān)督學習算法,該算法在機器學習中主要用于數(shù)據(jù)分類,由于在實際應用中其精確度優(yōu)于其他算法,且對小樣本非線性數(shù)據(jù)具有較高的適用性。運用SVM算法的智能持續(xù)審計系統(tǒng)運行流程如圖1所示。首先需要確定采集哪些原始數(shù)據(jù)和樣本,其次是對樣本進行預處理,輸入訓練樣本集和設定SVM模型參數(shù),并代入智能持續(xù)審計系統(tǒng)進行訓練,評價訓練結果和優(yōu)化訓練參數(shù)等一系列循環(huán)過程。經(jīng)過訓練后確定SVM模型參數(shù),繼而輸入測試樣本進行模擬、對測試效果進行評價,得到結構穩(wěn)定的SVM模型。最后將SVM模型投入實際應用,將待評價原始數(shù)據(jù)輸入已訓練好的SVM模型,輸出審計分析結果,發(fā)出可疑問題的審計預警信號。
(三)構建電費回收風險識別和評估的指標體系
基于ERM新框架的智能持續(xù)審計系統(tǒng)有效實施的重要前提之一是構建風險識別和評估的指標體系。梳理歷年內部審計中識別的電費回收與規(guī)范管理的問題,分析并提煉電費回收與規(guī)范管理流程中的風險點,并將其存儲于審計知識庫中,便于隨時調取和查詢。根據(jù)審計知識庫模塊中羅列的電費回收與規(guī)范管理的風險點,構建電費回收風險的監(jiān)測指標體系,如表1所示,納入風險識別與評估模塊,為智能持續(xù)審計系統(tǒng)提供電費風險源信息,同時依據(jù)風險環(huán)境的變化,實時更新審計知識庫、電費回收風險監(jiān)測指標以及風險識別與評估模塊。
(四)原始數(shù)據(jù)采集與預處理
根據(jù)風險識別與評估的指標體系和采集數(shù)據(jù)源信息,數(shù)據(jù)分析系統(tǒng)模塊從審計對象的計算機信息系統(tǒng)中自動采集原始數(shù)據(jù)形成數(shù)據(jù)集。依據(jù)支持向量機算法的要求,采集的原始數(shù)據(jù)樣本集可以用來表示。以江蘇W市供電公司所屬供電所的歷史電費回收數(shù)據(jù)為樣本,數(shù)據(jù)集之中的80%作為訓練樣本集,剩余的20%作為測試樣本集。樣本集中,每個樣本觀測的是供電所的電費回收風險評價指標向量,它包含了指標體系中的所有評價指標。是期望輸出的評級結果,即供電所的電費回收風險等級表示不同的供電所,將風險等級劃分為“可疑”和“可信”兩個等級標準??紤]到上述指標特征屬性之間量綱的差異,為確保訓練與測試結果的準確有效,遵循SVM算法的要求,對原始數(shù)據(jù)進行歸一化和無量綱化處理。處理計算方法是將訓練樣本和測試樣本的原始數(shù)據(jù)轉化為0-1之間的值,具體公式如(1)式所示,處理結果如表2所示。
(五)確定SVM模型結構與參數(shù)
在對風險數(shù)據(jù)模擬訓練之前,需要確定SVM模型結構與參數(shù),并對模型的有效性進行優(yōu)化,此階段是智能持續(xù)審計系統(tǒng)的核心與關鍵,在此對模型結構和參數(shù)的確定做簡要介紹。
根據(jù)已收集的電費回收樣本數(shù)據(jù)集,可以設定區(qū)分“可疑”和“可信”風險等級的分類方程為,其中為可調的權值系數(shù)向量,b為超平面偏置量(截距項)。若分類超平面能正確分類全部樣本,則方程滿足如下條件:
上式(1)和(2)可以轉換為:
此時,必然存在參數(shù)支持向量就是使的訓練樣本的點此時兩類樣本間隔等于是的歐幾里得范數(shù),若最大化樣本間隔,即等價于使最小化,即
限制條件為:
由于分類平面存在且唯一,并將電費回收“可疑”和“可信”兩類樣本正確區(qū)分,因而可求出最優(yōu)解,構造分類決策函數(shù):
為求解以上問題,可以引入拉格朗日函數(shù)將上述最優(yōu)化分類問題轉化為對偶問題(此處公式略去)。為便于理解上述公式的基本原理,用圖2加以說明。
前文假定數(shù)據(jù)是線性的,但在應用SVM模型解決實際問題時,可能較少遇到線性、可分的分類問題。因此,為提高SVM模型的適用性,本文采用的SVM模型結構將進一步放寬條件,考慮在非線性問題和不可分情況下的分類問題。為解決非線性問題,可以通過引入核函數(shù)(Kernel)將電費回收風險指標的數(shù)據(jù)樣本通過非線性變換映射到高維特征的分類平面空間之中,在高維空間設計線性支持向量機,尋找最優(yōu)空間。為解決不可分的分類問題(即無法區(qū)分“可信”和“可疑”的樣本),可以放寬分類條件,引入松弛變量(Slack Variable),同時設定懲罰參數(shù)C,該參數(shù)為事先給定的常數(shù),用來表示松弛變量與分類間隔的權重。本文將選擇徑向基核函數(shù),主要是由于其為非線性核函數(shù),且分類精度優(yōu)于其他類型的核函數(shù)。在確定懲罰參數(shù)和松弛變量時,遵循測試數(shù)據(jù)集精度最佳的原則,最終確定上述參數(shù)為
(六)模型訓練、測試與風險分析預警
在設定了SVM模型結構與參數(shù)后,將經(jīng)過預處理的電費回收訓練樣本數(shù)據(jù)集代入SVM模型,將各類指標數(shù)據(jù),包括外部信息等具體指標參數(shù)作為SVM模型的輸入向量,電費回收的風險等級作為輸出結果,確定模型中最優(yōu)的懲罰參數(shù)c和最優(yōu)的內核參數(shù)g,建立電費回收的風險評價模型。將經(jīng)過預處理的電費回收測試樣本數(shù)據(jù)集,代入經(jīng)過優(yōu)化和訓練后的SVM模型之中。表3是將測試樣本集的電費回收風險評估的SVM預測結果與實際風險等級進行對比。不難發(fā)現(xiàn),經(jīng)過優(yōu)化的SVM模型的預測準確率達到90%,這表明運用支持向量機算法的智能持續(xù)審計系統(tǒng)能較好地對電費回收風險進行預警,較為準確地發(fā)出可靠的審計風險預警信號。
五、研究結論與建議
通過以上結果不難發(fā)現(xiàn),這種基于支持向量機算法(SVM)的嵌入式智能持續(xù)審計系統(tǒng)具有較精確的審計風險預警功能,能較為準確地發(fā)送預警信號。在未來進一步推廣過程中還需解決以下問題:
第一,應重視企業(yè)風險感知庫的建設。圍繞企業(yè)戰(zhàn)略目標的制定與執(zhí)行,及時全面地識別企業(yè)運營的關鍵風險點,及時更新風險感知庫,構建風險識別與評估的指標體系和相應的原始數(shù)據(jù)采集源,這是設計智能持續(xù)審計系統(tǒng)的關鍵基礎,也將最終決定智能持續(xù)審計系統(tǒng)的預警效果。
第二,智能持續(xù)審計系統(tǒng)發(fā)送預警信號的準確性、及時性和可靠性很大程度上取決于原始數(shù)據(jù)采集的質量。企業(yè)管理層應重視自身計算機信息系統(tǒng)的建設,尤其重視數(shù)據(jù)庫和信息自動采集系統(tǒng)的建設,唯有企業(yè)整體的信息系統(tǒng)管理水平得以提升,基于機器學習的智能持續(xù)審計系統(tǒng)的功能才能得以有效發(fā)揮。
第三,智能持續(xù)審計系統(tǒng)的基本理念源于ERM新框架和風險導向內部審計,這對內部審計人員勝任能力提出了更高的要求。在審計過程中,內部審計須從公司戰(zhàn)略目標出發(fā)理解組織的運營風險,唯有如此才能充分利用智能持續(xù)審計系統(tǒng)發(fā)送的預警信號,通過內部審計的確認與咨詢功能,最終實現(xiàn)為企業(yè)防范風險和提高效益的目標。
(作者單位:國網(wǎng)江蘇省電力公司無錫供電公司,郵政編碼:214061,電子郵箱:1658818895@qq.com)