陳祺琳 李云強(qiáng) 黃紅 邱錦

[摘要]本文結(jié)合四川長虹建設(shè)嵌入式智能持續(xù)審計(jì)系統(tǒng)的實(shí)踐，探討在大數(shù)據(jù)、云計(jì)算背景下實(shí)施關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域嵌入式智能持續(xù)審計(jì)的重要性和可行性，介紹建設(shè)過程中形成的實(shí)施方法、主要效果及智能嵌入模型的數(shù)據(jù)挖掘流程。

[關(guān)鍵詞]大數(shù)據(jù)? ?嵌入式? ?持續(xù)審計(jì)? ?風(fēng)險(xiǎn)導(dǎo)向? ?實(shí)施框架虹智能審計(jì)平臺(tái)分為審計(jì)管理、風(fēng)險(xiǎn)預(yù)警、

長嵌入式審計(jì)和大數(shù)據(jù)分析四個(gè)相對獨(dú)立的部分，采用搭積木的方式建設(shè)，2018年完成嵌入式審計(jì)系統(tǒng)（Embedded Audit System，簡稱EAS）建設(shè)并試運(yùn)行，未來計(jì)劃建設(shè)大數(shù)據(jù)分析系統(tǒng)、審計(jì)云，使審計(jì)工具向智能化、云服務(wù)轉(zhuǎn)型。

一、嵌入式持續(xù)審計(jì)

長虹現(xiàn)有風(fēng)險(xiǎn)預(yù)警系統(tǒng)定期或不定期地從業(yè)務(wù)系統(tǒng)和會(huì)計(jì)系統(tǒng)取數(shù)，通過運(yùn)行模型發(fā)現(xiàn)和評(píng)估風(fēng)險(xiǎn)。與傳統(tǒng)審計(jì)相比，具有審計(jì)成本低、效率高的優(yōu)勢，但只能在業(yè)務(wù)發(fā)生后進(jìn)行審計(jì)，不能實(shí)時(shí)監(jiān)控及時(shí)中斷高風(fēng)險(xiǎn)業(yè)務(wù)，不能進(jìn)行事中審計(jì)，所以持續(xù)審計(jì)（Continuous Auditing，簡稱CA）被提上日程，其根本優(yōu)勢在于報(bào)告時(shí)隔短、追蹤事件及時(shí)和風(fēng)險(xiǎn)控制強(qiáng)。

（一）嵌入式持續(xù)審計(jì)的定義

1.長虹嵌入式持續(xù)審計(jì)的定義。在審計(jì)對象IT系統(tǒng)的關(guān)鍵控制環(huán)節(jié)或領(lǐng)域嵌入控制監(jiān)控模塊，通過該模塊持續(xù)對審計(jì)對象的業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)監(jiān)控。當(dāng)系統(tǒng)處理與審計(jì)設(shè)定的界限和參數(shù)不一致時(shí)，監(jiān)控程序按預(yù)定義的風(fēng)險(xiǎn)處置方式實(shí)時(shí)干預(yù)業(yè)務(wù)流程。嵌入式持續(xù)審計(jì)框架如圖1所示。

2.創(chuàng)新風(fēng)險(xiǎn)處置方式。長虹嵌入模塊的風(fēng)險(xiǎn)處置方式是設(shè)定風(fēng)險(xiǎn)級(jí)別，實(shí)行紅黃兩級(jí)風(fēng)險(xiǎn)處置。對低中風(fēng)險(xiǎn)，在業(yè)務(wù)系統(tǒng)中實(shí)時(shí)提示業(yè)務(wù)，預(yù)警數(shù)據(jù)推送到EAS備查;對高風(fēng)險(xiǎn)，直接在業(yè)務(wù)系統(tǒng)中凍結(jié)業(yè)務(wù)，審計(jì)在EAS審核通過后解凍或進(jìn)入專項(xiàng)審計(jì)。

（二）實(shí)施嵌入式持續(xù)審計(jì)的意義

在交易界面頻發(fā)風(fēng)險(xiǎn)點(diǎn)和業(yè)務(wù)管控能力不足的控制點(diǎn)嵌入使用兩級(jí)風(fēng)險(xiǎn)處置方式的審計(jì)模塊，一方面可強(qiáng)制業(yè)務(wù)主動(dòng)自查、整改以保證業(yè)務(wù)開展;另一方面可分析業(yè)務(wù)熔斷或預(yù)警原因，跟蹤解凍情況，邊聽取業(yè)務(wù)單位意見、邊提出報(bào)告、邊督促整改，提高業(yè)務(wù)整改的及時(shí)性和有效性。通過嵌入式審計(jì)，審計(jì)監(jiān)督既融合又分離，實(shí)現(xiàn)了由事后審計(jì)向事中與事后審計(jì)相結(jié)合的轉(zhuǎn)變，由靜態(tài)審計(jì)向動(dòng)態(tài)與靜態(tài)審計(jì)相結(jié)合的轉(zhuǎn)變，最終在審計(jì)能力、層次和水平上實(shí)現(xiàn)有效提升，審計(jì)監(jiān)督效能得以充分發(fā)揮。

（三）實(shí)施嵌入式持續(xù)審計(jì)的可行性分析

1.文獻(xiàn)概述。在中國知網(wǎng)搜索關(guān)鍵字“持續(xù)審計(jì)”“連續(xù)審計(jì)”或“嵌入式審計(jì)”，發(fā)現(xiàn)相關(guān)文獻(xiàn)較少，尚未發(fā)現(xiàn)嵌入式持續(xù)審計(jì)實(shí)務(wù)方面的文獻(xiàn)。侯佳利等在《新常態(tài)下嵌入式審計(jì)的創(chuàng)新研究》（2017）中，以審計(jì)局對行政事業(yè)單位的審計(jì)為出發(fā)點(diǎn)，提出信息化嵌入式審計(jì)的建設(shè)思路，同時(shí)也指出“目前關(guān)于嵌入式審計(jì)的文獻(xiàn)很少，有些只是提出在審計(jì)工作中運(yùn)用嵌入的思想，至于怎么運(yùn)用、如何實(shí)施都沒有具體的思路和方案”。在政府審計(jì)方面的嵌入式審計(jì)文獻(xiàn)相對較多，姜江華（2016）總結(jié)提出嵌入式審計(jì)具有更強(qiáng)的時(shí)效性、持續(xù)性和更高的參與性。其特征是審計(jì)監(jiān)督既獨(dú)立又融合，既事中又事后，既靜態(tài)又動(dòng)態(tài)。胡鎮(zhèn)鑫（2017）結(jié)合近年來在東莞農(nóng)村集體經(jīng)濟(jì)審計(jì)運(yùn)用嵌入式審計(jì)理念的實(shí)踐，分析嵌入式審計(jì)新模式的理論和實(shí)踐，為內(nèi)部審計(jì)部門踐行嵌入式審計(jì)提供借鑒。《高級(jí)審計(jì)技術(shù)方法》（2013）指出持續(xù)審計(jì)技術(shù)實(shí)現(xiàn)模式分為三種類型：嵌入式、分離式、混合式。嵌入式持續(xù)審計(jì)適合內(nèi)部審計(jì)，具有實(shí)時(shí)審計(jì)、時(shí)間同步性好的優(yōu)點(diǎn)，但存在通用性不足、降低系統(tǒng)性能、設(shè)計(jì)不合理產(chǎn)生垃圾信息等缺點(diǎn)以及影響審計(jì)獨(dú)立性的風(fēng)險(xiǎn)。

2. IT技術(shù)的快速發(fā)展使嵌入式持續(xù)審計(jì)變得可

行。（1）系統(tǒng)性能和通用性方面。與Groomer & Murthy在2003年提出系統(tǒng)性能問題相比，現(xiàn)在計(jì)算機(jī)的軟件技術(shù)和硬件性能已有了很大提升，合理的設(shè)計(jì)可以把影響降低到可接受的水平。在長虹云架構(gòu)下，借助微服務(wù)技術(shù)和云計(jì)算，通過把嵌入模型的控制邏輯和計(jì)算邏輯分離，從而減少與業(yè)務(wù)系統(tǒng)的耦合度來提高通用性。計(jì)算邏輯在EAS統(tǒng)一建立和管理，通過修改計(jì)算邏輯適應(yīng)常規(guī)業(yè)務(wù)變化?？刂七壿嫹旁跇I(yè)務(wù)系統(tǒng)，根據(jù)EAS發(fā)送的風(fēng)險(xiǎn)閾值判斷業(yè)務(wù)流程正常通過、預(yù)警或中斷。（2）審計(jì)嵌入模塊設(shè)計(jì)合理性方面。若嵌入模塊設(shè)計(jì)不合理，會(huì)給審計(jì)和業(yè)務(wù)產(chǎn)生大量誤報(bào)信息，影響審計(jì)效果。但大數(shù)據(jù)和人工智能的產(chǎn)生和發(fā)展，采用基于統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)的數(shù)據(jù)挖掘技術(shù)構(gòu)建審計(jì)嵌入模型，可以提高審計(jì)分析的廣度和深度，提高模型預(yù)測的準(zhǔn)確度和精準(zhǔn)度。

3. 嵌入式持續(xù)審計(jì)不影響審計(jì)實(shí)質(zhì)上的獨(dú)立性。審計(jì)獨(dú)立性包括實(shí)質(zhì)上的獨(dú)立性與形式上的獨(dú)立性。長虹嵌入式持續(xù)審計(jì)要求內(nèi)部審計(jì)人員凍結(jié)或解凍高風(fēng)險(xiǎn)業(yè)務(wù)，由于程度深、時(shí)間長，使得審計(jì)行為的獨(dú)立性在形式上受到影響，但因?qū)徲?jì)在組織、人員、薪酬等方面獨(dú)立于業(yè)務(wù)單位，從而保證內(nèi)部審計(jì)的客觀性。

（四）智能審計(jì)云平臺(tái)的架構(gòu)

1. 建設(shè)策略。維系現(xiàn)有審計(jì)系統(tǒng)（已完成的審計(jì)管理模塊、風(fēng)險(xiǎn)預(yù)警模塊）技術(shù)架構(gòu)不變，并對其進(jìn)行優(yōu)化開發(fā)、完善功能，之后逐步擇機(jī)遷移到云架構(gòu)。2018年開發(fā)的嵌入式審計(jì)、未來建設(shè)的審計(jì)大數(shù)據(jù)分析系統(tǒng)均基于云架構(gòu)設(shè)計(jì)及開發(fā)。

2. 系統(tǒng)架構(gòu)?；诜植际交ヂ?lián)網(wǎng)IT架構(gòu)，能夠快速構(gòu)建審計(jì)業(yè)務(wù)，滿足審計(jì)中長期需求;能夠利用大數(shù)據(jù)、云計(jì)算及數(shù)據(jù)挖掘技術(shù)，實(shí)現(xiàn)底層數(shù)據(jù)顆?；?、平臺(tái)功能及分析模型的動(dòng)態(tài)擴(kuò)展，如圖2所示。其中，LaaS為基礎(chǔ)設(shè)施;DaaS基于大數(shù)據(jù)平臺(tái)構(gòu)建審計(jì)數(shù)據(jù)中心，利用大數(shù)據(jù)豐富的算法庫，搭建審計(jì)挖掘模型;PaaS基于長虹云平臺(tái)搭建審計(jì)云，采用Docker容器、Spring Cloud微服務(wù)等技術(shù)實(shí)現(xiàn)審計(jì)應(yīng)用的容器化、微服務(wù)化，提供數(shù)據(jù)可視、能力輸出、數(shù)據(jù)分析等服務(wù)能力;SaaS可實(shí)現(xiàn)審計(jì)管理、風(fēng)險(xiǎn)預(yù)警、嵌入式審計(jì)和大數(shù)據(jù)分析等智能審計(jì)云平臺(tái)應(yīng)用功能。

（五）影響制約因素

1.信息系統(tǒng)建設(shè)管理水平的影響和制約。若信息系統(tǒng)一般控制和應(yīng)用控制不足、信息化流程不完善、業(yè)務(wù)流程不規(guī)范，會(huì)降低嵌入模塊的可靠性和持續(xù)性;若信息系統(tǒng)存在孤島或無有效關(guān)聯(lián)、業(yè)務(wù)數(shù)據(jù)不完整，會(huì)降低模型的通用性，甚至導(dǎo)致不能成功建立模型;若系統(tǒng)數(shù)據(jù)質(zhì)量差，則不僅增加數(shù)據(jù)清洗工作量，還會(huì)直接影響模型的準(zhǔn)確度和精準(zhǔn)度，產(chǎn)生大量異常的垃圾信息。

2.對審計(jì)人員的勝任能力提出更高要求。審計(jì)不僅參與業(yè)務(wù)時(shí)間長、介入程度深，而且需熟悉數(shù)字化審計(jì)，同時(shí)還需通過內(nèi)部審計(jì)咨詢服務(wù)實(shí)現(xiàn)審計(jì)增值功能，這對內(nèi)部審計(jì)人員的素質(zhì)、能力和作風(fēng)必然提出更高要求和標(biāo)準(zhǔn)。

二、長虹嵌入式持續(xù)審計(jì)的實(shí)施方法

EAS實(shí)施方法有五大步驟，具體包括：風(fēng)險(xiǎn)識(shí)別與評(píng)估、選擇嵌入點(diǎn)、開發(fā)審計(jì)嵌入模型、異常數(shù)據(jù)管理和處置、風(fēng)險(xiǎn)閉環(huán)管理，如圖3所示。

（一）風(fēng)險(xiǎn)識(shí)別和評(píng)估

參考2017版COSO-ERM （企業(yè)風(fēng)險(xiǎn)管理框架）的5個(gè)風(fēng)險(xiǎn)要素，結(jié)合歷年審計(jì)案例識(shí)別公司交易界面日常經(jīng)營活動(dòng)的風(fēng)險(xiǎn)控制水平，發(fā)現(xiàn)采購和銷售業(yè)務(wù)子流程存在的高風(fēng)險(xiǎn)點(diǎn)或薄弱環(huán)節(jié)。

（二）選擇嵌入點(diǎn)

選擇合適的嵌入點(diǎn)是實(shí)現(xiàn)嵌入式審計(jì)有效的關(guān)鍵因素之一，業(yè)務(wù)單位因自身原因控制不力的高風(fēng)險(xiǎn)點(diǎn)是首選嵌入目標(biāo)，而數(shù)據(jù)質(zhì)量不高、業(yè)務(wù)流程未信息化的關(guān)鍵控制風(fēng)險(xiǎn)點(diǎn)及事后檢查性控制都不適合作為嵌入點(diǎn)。在確定嵌入點(diǎn)時(shí)，應(yīng)對該業(yè)務(wù)流程的信息系統(tǒng)控制進(jìn)行應(yīng)用控制審計(jì)，對存在的控制缺陷進(jìn)行完善或建立補(bǔ)償性控制，防止因IT控制缺陷影響嵌入審計(jì)模塊效果。

（三）開發(fā)審計(jì)嵌入模型

審計(jì)嵌入模型主要由EAS的計(jì)算邏輯和嵌入業(yè)務(wù)系統(tǒng)的控制邏輯組成，兩者通過數(shù)據(jù)接口實(shí)時(shí)交互。計(jì)算邏輯的核心功能是測算業(yè)務(wù)的預(yù)警和熔斷閾值，并據(jù)此計(jì)算每筆業(yè)務(wù)的風(fēng)險(xiǎn)等級(jí);控制邏輯根據(jù)計(jì)算邏輯傳送的風(fēng)險(xiǎn)等級(jí)執(zhí)行紅黃兩級(jí)風(fēng)險(xiǎn)控制。嵌入模型由兩種方法構(gòu)建，如圖4所示。一種是利用審計(jì)經(jīng)驗(yàn)建立規(guī)則;另一種是通過大數(shù)據(jù)技術(shù)創(chuàng)建和訓(xùn)練模型。數(shù)據(jù)源除業(yè)務(wù)數(shù)據(jù)外，還應(yīng)拓展其他渠道的數(shù)據(jù)源。

（四）異常數(shù)據(jù)管理和處置

異常數(shù)據(jù)是指審計(jì)嵌入模塊實(shí)時(shí)將預(yù)警和熔斷數(shù)據(jù)發(fā)送到EAS的數(shù)據(jù)，審計(jì)和業(yè)務(wù)人員對熔斷和預(yù)警數(shù)據(jù)分析后進(jìn)行處置。對于誤報(bào)異常，審計(jì)需要完善模型以提高精準(zhǔn)度和準(zhǔn)確度;對于真實(shí)異常，除因內(nèi)外部經(jīng)營環(huán)境發(fā)生變化產(chǎn)生的熔斷數(shù)據(jù)由業(yè)務(wù)發(fā)起解凍申請、審計(jì)審核同意后解凍外，其他事項(xiàng)則由業(yè)務(wù)自查整改或進(jìn)入專項(xiàng)審計(jì)，如圖5所示。

（五）風(fēng)險(xiǎn)閉環(huán)管理

EAS自動(dòng)逐筆建立審計(jì)熔斷和預(yù)警臺(tái)賬，并根據(jù)后續(xù)處理結(jié)果逐一銷賬：申請解凍成功的數(shù)據(jù)通過解凍流程自動(dòng)銷賬;業(yè)務(wù)熔斷后，業(yè)務(wù)人員主動(dòng)完成整改后通過EAS銷賬;審計(jì)人員判斷需要啟動(dòng)專項(xiàng)審計(jì)的，轉(zhuǎn)入審計(jì)項(xiàng)目管理后銷賬;對于未按期完成解凍或整改的，將自動(dòng)生成審計(jì)整改未完成報(bào)表。同時(shí)，審計(jì)人員還需對熔斷數(shù)據(jù)和預(yù)警數(shù)據(jù)進(jìn)一步分析，持續(xù)完善模型，以提高審計(jì)模型的精準(zhǔn)度;結(jié)合現(xiàn)場審計(jì)，對業(yè)務(wù)流程提出優(yōu)化或整改建議，對相關(guān)人員提出問責(zé)建議。

三、嵌入式持續(xù)審計(jì)系統(tǒng)指標(biāo)構(gòu)建和運(yùn)行

（一）搭建嵌入式持續(xù)審計(jì)指標(biāo)體系

以采購指標(biāo)為例，根據(jù)風(fēng)險(xiǎn)矩陣、風(fēng)險(xiǎn)頻繁程度，結(jié)合長虹已建的預(yù)警系統(tǒng)指標(biāo)體系和功能，選擇降價(jià)不同步、價(jià)格漲幅異常和超配額下單三個(gè)風(fēng)險(xiǎn)點(diǎn)作為嵌入審計(jì)指標(biāo)，如表1所示。

（二）基本算法和運(yùn)行流程

在機(jī)器學(xué)習(xí)的眾多算法中，統(tǒng)計(jì)分析是最基本的算法，包含許多重要模型，并為其他機(jī)器學(xué)習(xí)算法提供訓(xùn)練樣本等，其中概率分布模型是統(tǒng)計(jì)分析中最重要的組成部分。正態(tài)分布是許多統(tǒng)計(jì)方法的理論基礎(chǔ)。檢驗(yàn)、方差分析、相關(guān)和回歸分析等多種統(tǒng)計(jì)方法均要求分析的指標(biāo)服從正態(tài)分布。有的統(tǒng)計(jì)方法雖然不要求分析指標(biāo)服從正態(tài)分布，但相應(yīng)的統(tǒng)計(jì)量在大樣本時(shí)近似正態(tài)分布，因而大樣本時(shí)這些統(tǒng)計(jì)推斷方法也是以正態(tài)分布為理論基礎(chǔ)的?；谝陨弦罁?jù)，將采購價(jià)格的絕對值波動(dòng)轉(zhuǎn)化為價(jià)差比后，可通過正態(tài)分布模型設(shè)計(jì)降價(jià)不同步、價(jià)格漲幅異常指標(biāo)模型，給出合理的預(yù)警值和熔斷值。需要說明的是：

差價(jià)比=（時(shí)間區(qū)間模型內(nèi)價(jià)格-時(shí)間區(qū)間模型內(nèi)最小價(jià)格）/最小價(jià)

1.機(jī)器學(xué)習(xí)算法運(yùn)行流程。首先，對采購信息記錄進(jìn)行數(shù)據(jù)預(yù)處理和清洗，引入格拉布斯檢驗(yàn)法進(jìn)行異常值剔除。其次，使用正態(tài)分布模型計(jì)算得到預(yù)警值和熔斷值。實(shí)際過程中，引入偏度和峰度模型修正正態(tài)分布模型，降價(jià)不同步指標(biāo)引入時(shí)間區(qū)間模型，從而更加準(zhǔn)確計(jì)算預(yù)警值和熔斷值。最后，進(jìn)行模型驗(yàn)證，辦法是引入實(shí)時(shí)接口，使用智能化模型調(diào)參界面供EAS審計(jì)人員進(jìn)行驗(yàn)證，減少人為出現(xiàn)的失誤等，如圖6所示。

2.數(shù)據(jù)分析工具框架。使用Python作為數(shù)據(jù)分析框架核心工具，實(shí)現(xiàn)離線與實(shí)時(shí)接口輕量級(jí)化，滿足不同的業(yè)務(wù)場景，如圖7所示。

（三）采用格拉布斯檢驗(yàn)法處理異常值

對采購信息記錄數(shù)據(jù)進(jìn)行清洗、基礎(chǔ)分析后，發(fā)現(xiàn)部分物料存在不同程度數(shù)據(jù)異常，其中異常情況有：貨幣代碼不一致、計(jì)量單位不一致等。對此，為不影響后續(xù)數(shù)據(jù)分析結(jié)果，采取格拉布斯檢驗(yàn)法剔除異常值。具體步驟如下：第一步，從小到大順序排列數(shù)據(jù)。第二步，計(jì)算平均值和標(biāo)準(zhǔn)差。第三步，使用雙邊測試方法計(jì)算G值：G=。對于雙邊

測試，異常值的假設(shè)在顯著級(jí)別α級(jí)被拒絕的

值為G大于? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?，

表示上臨界值的t分布與N-2自由度和顯著水平α/（2N），其中t分布可用于構(gòu)建真實(shí)均值的置信區(qū)間。第四步，定檢出水平α， 判定數(shù)據(jù)值是否為異常。多次樣本數(shù)據(jù)選擇發(fā)現(xiàn)，有95%的概率模型計(jì)算的區(qū)間包含真實(shí)參數(shù)值，即大概有95個(gè)置信區(qū)間包含真實(shí)值?？梢姡窭妓箼z驗(yàn)法能精準(zhǔn)找到數(shù)據(jù)中的異常值，且經(jīng)過數(shù)據(jù)驗(yàn)證準(zhǔn)確率可達(dá)97%以上。為確保所有的異常值都能被找出，可按數(shù)據(jù)不同屬性類別進(jìn)行多元格拉布斯檢驗(yàn)。