機器學習方法的應用：構建嵌入式智能持續審計系統

生麗英

[摘要]本文基于COSO委員會2016年發布的企業風險管理新框架，構建了運用機器學習算法的嵌入式智能持續審計系統框架，并以W市國家電網公司的數據為例，借用Python軟件，通過模擬仿真測試，闡釋了嵌入式智能持續審計系統的基本算法、運行流程及實施效果。

[關鍵詞]企業風險管理 ERM新框架 持續審計 智能持續審計 機器學習

一、引言

2001年國際內部審計師協會（IIA）首次將“增加價值和改善組織運營”作為內部審計的最終目標引入內部審計的定義。但普華永道會計師事務所發布的《2017年內部審計行業現狀研究報告》顯示，包括財務總監等高管人員、董事和內部審計師的利益相關者認為“內部審計能帶來巨大價值”的比重從2016年的54%下降到2017年的44%，這一指標達到五年來的最低水平；利益相關者認為在企業面臨“重大影響性事件”（如監管調整或網絡攻擊等風險）時，大多數內部審計師反應緩慢，未能幫助其雇主做好及時應對的準備。

與內部審計息息相關的兩大趨勢：一是風險管理理念的新變化，二是持續審計技術的新發展。2016年6月，COSO發布了新版本的企業風險管理框架（簡稱ERM新框架）。與其前身相比，ERM新框架所關注的是如何使企業風險管理在組織機構內真正行之有效，一改過往的企業風險管理實施范圍的局限性，強調企業管理應用于“戰略制定過程和整個企業組織之中”，有效的企業風險管理能使管理層在權衡風險和機遇的同時提升企業創造價值、保護價值和最終實現價值的能力。2015年IIA在其發布的新版《全球技術審計指南（簡稱GTAG）》中強調：“努力協調組織的持續監控和持續審計系統，可以改進企業組織對風險和控制了解，并能最大化內部審計的能力，為董事會和高管層提供更為有價值的增值服務。”人工智能與機器學習的引入，將更好地發揮持續審計實時監控與預警的效能。

基于ERM新框架，運用機器學習算法的嵌入式智能持續審計系統的構建與應用，有助于更好地實現內部審計的組織防控風險和價值增值的功能。

二、持續審計研究的文獻述評

持續審計（簡稱CA）最初是在20世紀80年代美國注冊會計師協會針對審計對象信息化而提出的。隨著計算機科學的發展和演變，開始向動態化、持續性和實時性方向發展，最終形成了持續審計的概念方法。2015年IIA對GTAG指南進行了修訂，并重新對持續審計進行了定義，認為持續審計是計算機信息技術與審計的融合，可以在更短的時間內為審計對象出具報告，實現對風險與控制的持續評估與鑒證。

（一）關于持續審計技術實現方法的研究述評

持續審計的技術實現方法因時期、技術條件不同而不同。Du和Roohani（2006）將持續審計的技術實現方法簡單地分為兩類，分離式和嵌入式。分離式是借助數據采集接口軟件，從審計對象的計算機系統之中抽取原始數據，然后將數據傳入審計軟件之中，與審計標準進行比較并報告異常，實現持續審計的目的。Alles等（2008）指出分離式持續審計系統的優勢在于將審計系統與審計對象的計算機系統之間的沖突和不兼容狀況降至最低的可控程度。

嵌入式的持續審計系統是在審計對象的計算機系統中嵌入相應的審計程序或模塊，通過該模塊持續對審計對象的業務數據進行監測，實現對審計對象的實時監控。Minsky（1996）較早提出了將審計模塊嵌入審計對象數據庫管理系統的觀點。此后Debreceny等（2005）則嘗試性地將嵌入審計模塊的技術應用到了企業資源環境管理系統（ERP）之中。Chen（2003）構建了一種基于傳感器（Sensors）和數字代理（Digital Agents）的嵌入式持續審計應用框架。嵌入式持續審計系統的優勢較好地彌補了分離式持續審計系統存在的不足，但也存在明顯的問題，如嵌入式的審計模塊通用性不高，模塊的應用會降低系統的運行性能，在應用前須進行大量測試等。

綜上，從企業內部審計的角度，應首選嵌入式持續審計系統，其缺陷也相對容易克服。首先，嵌入式持續審計的通用性主要是針對外部審計而言，審計對象的計算機系統各不相同，因而使用嵌入式持續審計的成本較高。而對于內部審計，嵌入式持續審計無需考慮通用性問題。其次，與十年前相比，計算機的軟件和硬件性能已有了較大程度的提高，嵌入式持續審計模塊的引入對審計對象計算機系統性能的影響已微乎其微。最后，任何企業的計算機系統在正式應用之前均會進行大量的測試和試運行，出錯的風險會極大程度的降低。

（二）關于智能持續審計關鍵技術的研究述評

智能持續審計是指將人工智能的方法引入持續審計的應用系統之中。人工智能（簡稱AI）是計算機科學的一個分支，最早于1956年提出，在經歷了半個世紀的發展后，2015年才得以真正興起。人工智能的核心是機器學習，即用不同的算法和大量的數據進行訓練，通過學習和實踐，使計算機具有對真實實踐做出決策或預測的能力。

由于以機器學習為核心的人工智能興起時間較短，關于智能持續審計的研究文獻和實踐經驗均較少。此前的研究主要集中于嘗試借助人工智能的算法強化審計程序，尤其是分析性復核程序，Koskivaara（2004）將人工神經網絡算法引入了Woodroof等（2001）提出的基于WEB服務器的持續審計框架，嘗試運用該算法作為分析性復核程序的工具，解決持續審計中的數據分析問題。陳偉等（2006）則提出可以引用聚類分析和關聯規則算法分析業務數據，發現審計線索。葉煥倬和楊青（2011）認為在人工智能領域，以知識發現為基礎的數據挖掘可以應用于持續審計中，解決信息超載問題，提高審計效率。綜上可見，人工智能在持續審計領域的應用還處于探索階段，隨著機器學習在諸多領域的成熟應用，將其引入持續審計系統已成為可能。

三、嵌入式智能持續審計理念與實施框架

風險導向內部審計強調內部審計應更多關注與組織目標相關的風險，幫助組織實現價值增值。然而，針對風險導向的內部審計如何關注風險，以及如何實現組織增值的目標，一直是困擾學術界和實務界的問題。

（一）基于ERM新框架的內部審計轉型與發展

COSO委員會發布的ERM新框架更好地說明了風險、戰略與業績三者之間的統一關系，描述了風險管理在戰略制定與執行中的角色，強調了在復雜商業環境下對風險嚴重性和風險類型的充分考量，為企業管理風險、提升業績和創造價值提供了指引。

從內部審計角度來看，ERM新框架提出了如下發展理念：

1.對風險的充分關注是戰略成敗的關鍵。內部審計以風險為導向，不僅應關注企業運營層面的風險，還應及時識別和有效評估企業戰略層面的風險。內部審計可以借助其專業能力和信息采集優勢，從企業內外部持續獲得組織決策所需要的全方位風險特征信息，支持組織戰略的制定。

2.企業的風險治理與風險文化是增強風險管理的強大基石。運用內部審計風險管理框架中的重要監督職能，通過持續的風險監控、確認與咨詢服務，有助于企業規范管理、有效問責和誠信運營，建立良好的企業風險文化。

3.有效的風險管理監控流程使組織得以了解風險與戰略的關系以及戰略影響績效的過程。內部審計所具有的獨立性、客觀性，為確保有效地監控企業風險管理流程奠定了基礎。總體而言，商業環境與風險具有復雜性和高發性，內部審計可以借助科學技術和數據分析的手段識別評估戰略風險與經營風險，為戰略決策的快速反應、企業風險文化的良好樹立、風險管理流程的持續有效性監控提供增值服務。

（二）嵌入式智能持續審計實施框架

ERM新框架中多次強調信息科學技術與數據分析方法在風險管理中應用的必要性和可能性，提出恰當地選擇科學技術與工具開發信息系統，為企業提供風險管理所需的數據和信息，對戰略的執行與目標的實現至關重要。ERM新框架還強調企業應充分利用內外部大數據與信息來源，借助數據建模、情景模擬等定量方法，識別風險，評估風險的嚴重性和優先級水平。針對如何監控企業風險，ERM新框架建議將企業風險管理流程整合至整個企業的信息系統中，在信息系統中嵌入持續的風險評估與預警，可以及時自動地識別風險和改進機會，優化提升企業風險管理能力。綜上，在ERM新框架理念下，企業內部審計可以借助嵌入信息系統的持續審計模塊，實現對組織風險的全面監控，并通過實時的智能數據分析，形成審計結論和審計報告，為企業風險決策提供建議。

本文設計了一個具有可操作性的嵌入式智能持續審計應用系統框架，該框架融合了六大功能模塊，具體包括：風險識別與評估、數據分析系統、信息報告系統、審計資源配置、審計作業流程、審計知識庫。其中，風險識別與評估模塊是一個基于組織全業務流程的風險監測指標體系，該體系是以企業戰略為導向、以業務流程為基礎、以風險感知庫為依據建立的，其作用是通過采集實時業務數據進行分析預警。數據分析系統模塊是智能持續審計系統的核心模塊，該模塊運用機器學習方法將風險監控和審計分析智能化，通過數據采集接口采集風險識別與評估模塊中的運營數據，從原始數據中進行實時分析，并在發現異常和偏差時發出審計預警信號。信息報告系統模塊是在數據實時分析完成后，從數據分析系統自動導入項目關鍵信息和審計發現線索，并生成模板式審計報告，為內部審計人員后續跟進審計線索、查找原因及時提供信息。審計資源配置模塊是針對審計項目管理而設置的，根據審計業務的不同類型和范圍，在甘特圖日歷表中安排審計項目，包括審計人員的配備、審計時間的安排、費用預算管理等。審計作業流程模塊是將手工環境下的審計文檔電子化和規范化，模塊中包含了審計計劃的編制、執行與審核、審計工作底稿、審計日志和報表等，有利于審計信息的共享和審計質量的監控。審計知識庫模塊是為提高審計人員能力而設計的，包含判斷審計問題的法規庫、增強風險意識的風險感知庫、學習審計方法的審計理論庫、保存審計資料的審計檔案庫等。提出的基于ERM新框架的嵌入式智能持續審計系統框架僅是一種初步構想，企業可以在保留其核心功能的前提下，根據自身情況增加或減少相關模塊。

四、嵌入式智能持續審計系統的應用

嵌入式智能持續審計系統的應用，主要從電網企業審計監督的現狀出發，以電網企業的電費回收為例，從應用層面討論如何將機器學習算法引入持續審計系統，實施基于ERM新框架的嵌入式智能審計系統框架。對于電網企業而言，電費收入是其運營績效的重要體現。對電費回收風險的有效管控，不僅是保障電網企業正常運營的關鍵，還是保障電網企業生存發展的重要基礎。電網企業的內部審計應始終將防范電費回收風險、加強電費回收的規范管理、提高電費回收率作為審計工作的重點。

（一）電網企業審計監督現狀

國家電網已按照“六位一體”的新機制要求，提升了審計手段的信息化，推進了審計綜合管理系統、ERP業務審計系統、管控業務審計系統和審計門戶系統的深化應用，初步實現信息共享、過程控制、在線監督、輔助分析，并積極探索非現場審計和在線審計。然而在具體實踐過程中，內部審計監督仍主要圍繞事后監督，未能較好地發揮持續風險監控和實時風險預警功能。究其根源，在于內部審計的功能定位仍處于業務層面，審計信息化的實施相對獨立于ERP業務系統，使得內部審計難以更好地發揮組織價值增值的功能。在ERM新框架的理念指引下，未來電網企業的內部審計轉型升級應聚焦戰略風險，借助信息技術改進內部審計的風險監控效果。

（二）嵌入式智能持續審計系統的基本算法和運行流程

在機器學習的眾多算法中，支持向量機（簡稱SVM）屬于監督學習算法，該算法在機器學習中主要用于數據分類，由于在實際應用中其精確度優于其他算法，且對小樣本非線性數據具有較高的適用性。運用SVM算法的智能持續審計系統運行流程如圖1所示。首先需要確定采集哪些原始數據和樣本，其次是對樣本進行預處理，輸入訓練樣本集和設定SVM模型參數，并代入智能持續審計系統進行訓練，評價訓練結果和優化訓練參數等一系列循環過程。經過訓練后確定SVM模型參數，繼而輸入測試樣本進行模擬、對測試效果進行評價，得到結構穩定的SVM模型。最后將SVM模型投入實際應用，將待評價原始數據輸入已訓練好的SVM模型，輸出審計分析結果，發出可疑問題的審計預警信號。

（三）構建電費回收風險識別和評估的指標體系

基于ERM新框架的智能持續審計系統有效實施的重要前提之一是構建風險識別和評估的指標體系。梳理歷年內部審計中識別的電費回收與規范管理的問題，分析并提煉電費回收與規范管理流程中的風險點，并將其存儲于審計知識庫中，便于隨時調取和查詢。根據審計知識庫模塊中羅列的電費回收與規范管理的風險點，構建電費回收風險的監測指標體系，如表1所示，納入風險識別與評估模塊，為智能持續審計系統提供電費風險源信息，同時依據風險環境的變化，實時更新審計知識庫、電費回收風險監測指標以及風險識別與評估模塊。

（四）原始數據采集與預處理

根據風險識別與評估的指標體系和采集數據源信息，數據分析系統模塊從審計對象的計算機信息系統中自動采集原始數據形成數據集。依據支持向量機算法的要求，采集的原始數據樣本集可以用來表示。以江蘇W市供電公司所屬供電所的歷史電費回收數據為樣本，數據集之中的80%作為訓練樣本集，剩余的20%作為測試樣本集。樣本集中，每個樣本觀測的是供電所的電費回收風險評價指標向量，它包含了指標體系中的所有評價指標。是期望輸出的評級結果，即供電所的電費回收風險等級表示不同的供電所，將風險等級劃分為“可疑”和“可信”兩個等級標準。考慮到上述指標特征屬性之間量綱的差異，為確保訓練與測試結果的準確有效，遵循SVM算法的要求，對原始數據進行歸一化和無量綱化處理。處理計算方法是將訓練樣本和測試樣本的原始數據轉化為0-1之間的值，具體公式如（1）式所示，處理結果如表2所示。

（五）確定SVM模型結構與參數

在對風險數據模擬訓練之前，需要確定SVM模型結構與參數，并對模型的有效性進行優化，此階段是智能持續審計系統的核心與關鍵，在此對模型結構和參數的確定做簡要介紹。

根據已收集的電費回收樣本數據集，可以設定區分“可疑”和“可信”風險等級的分類方程為，其中為可調的權值系數向量，b為超平面偏置量（截距項）。若分類超平面能正確分類全部樣本，則方程滿足如下條件：

上式（1）和（2）可以轉換為：

此時，必然存在參數支持向量就是使的訓練樣本的點此時兩類樣本間隔等于是的歐幾里得范數，若最大化樣本間隔，即等價于使最小化，即

限制條件為：

由于分類平面存在且唯一，并將電費回收“可疑”和“可信”兩類樣本正確區分，因而可求出最優解，構造分類決策函數：

為求解以上問題，可以引入拉格朗日函數將上述最優化分類問題轉化為對偶問題（此處公式略去）。為便于理解上述公式的基本原理，用圖2加以說明。

前文假定數據是線性的，但在應用SVM模型解決實際問題時，可能較少遇到線性、可分的分類問題。因此，為提高SVM模型的適用性，本文采用的SVM模型結構將進一步放寬條件，考慮在非線性問題和不可分情況下的分類問題。為解決非線性問題，可以通過引入核函數（Kernel）將電費回收風險指標的數據樣本通過非線性變換映射到高維特征的分類平面空間之中，在高維空間設計線性支持向量機，尋找最優空間。為解決不可分的分類問題（即無法區分“可信”和“可疑”的樣本），可以放寬分類條件，引入松弛變量（Slack Variable），同時設定懲罰參數C，該參數為事先給定的常數，用來表示松弛變量與分類間隔的權重。本文將選擇徑向基核函數，主要是由于其為非線性核函數，且分類精度優于其他類型的核函數。在確定懲罰參數和松弛變量時，遵循測試數據集精度最佳的原則，最終確定上述參數為

（六）模型訓練、測試與風險分析預警

在設定了SVM模型結構與參數后，將經過預處理的電費回收訓練樣本數據集代入SVM模型，將各類指標數據，包括外部信息等具體指標參數作為SVM模型的輸入向量，電費回收的風險等級作為輸出結果，確定模型中最優的懲罰參數c和最優的內核參數g，建立電費回收的風險評價模型。將經過預處理的電費回收測試樣本數據集，代入經過優化和訓練后的SVM模型之中。表3是將測試樣本集的電費回收風險評估的SVM預測結果與實際風險等級進行對比。不難發現，經過優化的SVM模型的預測準確率達到90%，這表明運用支持向量機算法的智能持續審計系統能較好地對電費回收風險進行預警，較為準確地發出可靠的審計風險預警信號。

五、研究結論與建議

通過以上結果不難發現，這種基于支持向量機算法（SVM）的嵌入式智能持續審計系統具有較精確的審計風險預警功能，能較為準確地發送預警信號。在未來進一步推廣過程中還需解決以下問題：

第一，應重視企業風險感知庫的建設。圍繞企業戰略目標的制定與執行，及時全面地識別企業運營的關鍵風險點，及時更新風險感知庫，構建風險識別與評估的指標體系和相應的原始數據采集源，這是設計智能持續審計系統的關鍵基礎，也將最終決定智能持續審計系統的預警效果。

第二，智能持續審計系統發送預警信號的準確性、及時性和可靠性很大程度上取決于原始數據采集的質量。企業管理層應重視自身計算機信息系統的建設，尤其重視數據庫和信息自動采集系統的建設，唯有企業整體的信息系統管理水平得以提升，基于機器學習的智能持續審計系統的功能才能得以有效發揮。

第三，智能持續審計系統的基本理念源于ERM新框架和風險導向內部審計，這對內部審計人員勝任能力提出了更高的要求。在審計過程中，內部審計須從公司戰略目標出發理解組織的運營風險，唯有如此才能充分利用智能持續審計系統發送的預警信號，通過內部審計的確認與咨詢功能，最終實現為企業防范風險和提高效益的目標。

（作者單位：國網江蘇省電力公司無錫供電公司，郵政編碼：214061，電子郵箱：1658818895@qq.com）