陳霆，劉劍，焦朋朋

（1.國網(wǎng)江蘇省電力公司，江蘇南京 210000；2.國網(wǎng)徐州供電公司，江蘇徐州 221000）

外部監(jiān)管下電力企業(yè)內(nèi)部審計風險可視化模型的研究

陳霆1，劉劍1，焦朋朋2

（1.國網(wǎng)江蘇省電力公司，江蘇南京 210000；2.國網(wǎng)徐州供電公司，江蘇徐州 221000）

面對審計署長期進駐電力企業(yè)開展審計活動的現(xiàn)狀，設計一個有別于內(nèi)部審計，對外部監(jiān)管有指導意義的內(nèi)部審計風險模型已非常迫切。針對外部審計工作頻繁、審計數(shù)據(jù)量龐大且內(nèi)容多樣不利于快速報送等問題，基于模塊化的思想，提出一套完整的審計數(shù)據(jù)報送系統(tǒng)。采用關聯(lián)規(guī)則的交互式數(shù)據(jù)挖掘技術處理大量的審計數(shù)據(jù)，引入基于Storm分布式實時計算平臺進行審計數(shù)據(jù)并行加密，不僅確保了數(shù)據(jù)的安全性，而且提高了整體加密速度。同時，利用層次分析法進行風險評估。最后，可視化數(shù)據(jù)報送流程，便于外部人員訪問。

外部監(jiān)管；審計數(shù)據(jù)；數(shù)據(jù)挖掘；混合加密；風險模型

目前我國很多國企、央企單位都面臨著外部監(jiān)管的壓力。一方面這些企業(yè)具有集團屬性，下屬單位眾多，導致審計數(shù)據(jù)量大，且存在業(yè)務差異；另一方面大部分企業(yè)都沒有設置專職人員或機構進行企業(yè)風險管理活動，也沒有系統(tǒng)科學的風險管理方法[1-2]。這些都給外部審計工作造成了嚴重影響。我國電網(wǎng)企業(yè)作為電力市場的載體，承擔著主要的供電任務，電網(wǎng)企業(yè)的生產(chǎn)經(jīng)營活動關系到經(jīng)濟發(fā)展和社會穩(wěn)定的大局。面對審計署已長期進駐國家電網(wǎng)公司開展審計監(jiān)督活動的現(xiàn)狀，建立一個有別于內(nèi)部審計，對外部監(jiān)管有指導意義的外部審計風險模型已非常迫切。

國外對風險的研究一般都是集中在對企業(yè)經(jīng)營管理、公司戰(zhàn)略發(fā)展等方面，并不注重應對外部監(jiān)管的風險，而國內(nèi)更是少之又少。文獻[3-4]以商業(yè)銀行作為研究背景，闡述了銀行主要面臨的外部審計風險，對重要風險集中概括，并提出了防范控制風險的方法。文獻[5-6]提出了SAP solutions for GRC解決方案，可實現(xiàn)端到端公司管理和監(jiān)督、風險管理、控制測試和修復案例管理等功能。文獻[7]介紹了電力企業(yè)營銷服務風險管理診斷及解決方案，認為只有現(xiàn)代化的管理方案才能降低企業(yè)服務風險，提高未來整體的市場占有率。文獻[8]以微軟企業(yè)為例介紹了風險管理模型，提出了解決方案，其中涵蓋了風險管理基本流程和內(nèi)部控制系統(tǒng)的各個環(huán)節(jié)，包括信息的采集、存儲、分析、測試、傳遞、報告等各項功能。

本文在簡要概述國內(nèi)外外部監(jiān)管風險研究現(xiàn)狀的基礎上，對于審計署頻繁監(jiān)管的問題，基于模塊化的思想，設計出一套完整的審計數(shù)據(jù)報送系統(tǒng)。采用關聯(lián)規(guī)則的交互式數(shù)據(jù)挖掘技術用于處理來源豐富多樣、數(shù)量龐大的審計數(shù)據(jù)，縮短審計周期。為確保審計數(shù)據(jù)安全性，引入基于storm分布式實時計算平臺進行審計數(shù)據(jù)的實時加密處理，利用層次分析發(fā)進行風險評估，結(jié)合即時消息風險預警，盡可能減小風險帶來的危害。最后，將可視化數(shù)據(jù)報送流程，便于用戶訪問和授權。

1 模塊化審計模型設計

以電網(wǎng)企業(yè)為例，國家審計署要求國家電網(wǎng)公司提供的審計數(shù)據(jù)種類多樣，包括：財務數(shù)據(jù)、營銷數(shù)據(jù)、調(diào)度數(shù)據(jù)、物資數(shù)據(jù)、人力資源數(shù)據(jù)等[9]。這些數(shù)據(jù)不僅僅要有總公司年度、季度數(shù)據(jù)，還應有下屬單位、下屬子公司、省電力公司的年度和季度數(shù)據(jù)，數(shù)量十分龐大，且不同外部監(jiān)管單位對數(shù)據(jù)采集要求及頻率有所不同，這就導致了公司每次面對外部監(jiān)管時都需要重新收集數(shù)據(jù)，消耗大量人力物力。因此，建立一套有效的審計數(shù)據(jù)模型，以應對越來越頻繁的外部審計工作至關重要。

本文基于模塊化的思想，將設審計模型分為數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)加密、數(shù)據(jù)報送、風險評估及預警5部分如圖1所示，各模塊相互獨立，互不影響。

圖1 模塊化審計系統(tǒng)Fig.1 Modular auditing system

1.1 數(shù)據(jù)采集

不同的外部監(jiān)管單位對數(shù)據(jù)采集的要求、采集周期存在差異，即使同一家監(jiān)管公司，也可能存在這種情況，這就導致了公司每次面對外部監(jiān)管時都需要重新收集數(shù)據(jù)，消耗大量人力物力[10]。所以，設計出統(tǒng)一的模式收集下屬單位數(shù)據(jù)很大程度上可以節(jié)省成本及時間，提高工作效率。

1.2 數(shù)據(jù)處理

由于審計數(shù)據(jù)之間存在很強的關聯(lián)性，可以借助數(shù)據(jù)挖掘技術對海量數(shù)據(jù)進行分析匯總。不同的數(shù)據(jù)類型所使用的數(shù)據(jù)挖掘的方法也不盡相同，例如聚類挖掘適用于對一個待分析的數(shù)據(jù)對象集按照實例屬性值的相似程度自動匯聚成不同的類別；關聯(lián)規(guī)則挖掘適用于發(fā)現(xiàn)隱藏在事務數(shù)據(jù)集或關系數(shù)據(jù)集中對用戶有用的或有意義的聯(lián)系；時間序列挖掘適用于對不同時間重復測量得到的值或事件的序列進行挖掘，期望對數(shù)據(jù)的趨勢性變化進行分析的方法[11-12]等。針對企業(yè)審計數(shù)據(jù)的特點，本文選取關聯(lián)規(guī)則挖掘方法。

1.3 數(shù)據(jù)加密

企業(yè)業(yè)務、財務數(shù)據(jù)及技術文檔在網(wǎng)絡中傳輸時，如果沒有進行必要的加密處理，勢必增加數(shù)據(jù)遭受攻擊的風險，一旦泄露，后果難以想象，因此做審計數(shù)據(jù)保密工作十分重要。本文為了進一步增加數(shù)據(jù)的安全性，選擇基于storm分布式實時計算平臺的AES加密算法，在滿足保密性要求的情況下，大大提升了數(shù)據(jù)加密的速度[13]。

1.4 數(shù)據(jù)報送

審計數(shù)據(jù)模型數(shù)據(jù)信息有2類，一類是來自于總部及其直屬單位業(yè)務系統(tǒng)；一類來自于各個省公司業(yè)務系統(tǒng)。圖2是審計數(shù)據(jù)報送流程圖，對于總部及其直屬單位業(yè)務系統(tǒng)的數(shù)據(jù)將被直接推送至總部數(shù)據(jù)中心，而省公司業(yè)務系統(tǒng)的數(shù)據(jù)需先經(jīng)過省數(shù)據(jù)中心，然后再通過批量數(shù)據(jù)總線的方式推送值總部數(shù)據(jù)中心。報送平臺將總部數(shù)據(jù)中心數(shù)據(jù)采集至平臺數(shù)據(jù)庫，調(diào)度OMS數(shù)據(jù)采用消息郵件的形式直接傳送給平臺數(shù)據(jù)庫，最終報送至審計前置機。

1.5 風險評估及預警

風險審計不僅可以確定審計重點，而且審計人員能夠依據(jù)審計結(jié)果對企業(yè)風險管理狀態(tài)提出建議，風險審計是企業(yè)內(nèi)部審計的主要組成部分。風險檢測一般對風險進行定性或者定量的分析、評估，以分析評估結(jié)果為依據(jù)對重要風險事項發(fā)出預警信號。針對多種審計要求，利用層次分析法計算指標權重，能夠直觀的掌握各類風險的危害程度，為管理決策提供科學依據(jù)。

圖2 數(shù)據(jù)報送流程Fig.2 The process of data submitted

2 關鍵技術

2.1 基于關聯(lián)規(guī)則數(shù)據(jù)挖掘技術的數(shù)據(jù)處理

關聯(lián)規(guī)則作為數(shù)據(jù)挖掘技術中的一種重要方法，能夠從海量審計數(shù)據(jù)中提取出有用的信息，發(fā)現(xiàn)隱藏在數(shù)據(jù)中有關系、有價值的數(shù)據(jù)模式，尤其適合于處理大量非結(jié)構化審計數(shù)據(jù)，統(tǒng)計分析出結(jié)果。

關聯(lián)規(guī)則挖掘基本要素有2個：生成頻繁項集和生成規(guī)則。頻繁項集由所有滿足最小支持度的項集構成，而把頻繁項集中滿足最小置信度的規(guī)則成為強規(guī)則。

（1）生成頻繁項集

格結(jié)構是所有可能項集構成的集合。

首先計算格結(jié)構中每個候選集的支持度計數(shù)，格結(jié)構是所有可能項集構成的集合。一般來講，一個包含d個不同項的數(shù)據(jù)集可能產(chǎn)生2d個頻繁項集，產(chǎn)生R條規(guī)則。

為了降低計算復雜度，可以適當減小候選集個數(shù)和支持度的比較次數(shù)。這里頻繁集滿足Apriori定律。例如有頻繁集{C，D，E}，根據(jù)假定條件定律，包含項集{C，D，E}的子集{CD}、{CE}、{DE}、{CDE}子集也是頻繁的，如圖3所示。

（2）生成規(guī)則

1）LS={ls1，ls2，...，lsn}是所有頻繁項集的集合

2）假定T是事件數(shù)據(jù)庫的集合，其中每個事件X則是頻繁項的集合，每個事件由事件標識符XID標識。

圖3 頻繁項示意圖Fig.3 The diagram of frequent items

（3）P，M為2個頻繁項集，滿足P?ls，M?ls，P∩M=?。事件X包含P當且僅當則P?ls關聯(lián)規(guī)則是如下蘊涵式：A?B[s，c]

支持度表示在數(shù)據(jù)庫T中同時出現(xiàn)P和M的概率，具有一定統(tǒng)計意義。置信度表示出現(xiàn)PM同時出現(xiàn)的概率，大小代表規(guī)則的強度。

通常，企業(yè)事先并不清楚最小支持度和最小置信度設置為多少合適，因此需要不斷調(diào)整其大小，才能得到滿意的結(jié)果，把這種挖掘方式稱為關聯(lián)規(guī)則的交互式挖掘法[14]，具體流程如圖4所示。

圖4 審計數(shù)據(jù)關聯(lián)規(guī)則挖掘流程Fig.4 Flow chart of auditing data

2.2 基于Storm的數(shù)據(jù)實時加密技術

大數(shù)據(jù)技術給審計系統(tǒng)帶來便利的同時，引入了隱患。由于數(shù)據(jù)挖掘技術采集到的信息與電力企業(yè)有緊密的聯(lián)系，一旦泄露，就會嚴重威脅到個人隱私及公司、企業(yè)機密，因此，數(shù)據(jù)信息安全問題必須得到加強。基于strom分布式實時計算平臺的AES數(shù)據(jù)加密算法不僅能夠滿足數(shù)據(jù)安全性的要求，而且并行數(shù)據(jù)加密大大提升了加密效率。

（1）strom分布式實時計算平臺

storm分布式實時計算系統(tǒng)，是一個開源、分布式、容錯能力強的系統(tǒng)，主要由nimbus和supervisor 2種組件構成，其中nimbus只有一個，負責分配工作給服務器，發(fā)送代碼，并監(jiān)控狀態(tài)；supervisor負責監(jiān)聽服務器的工作情況，并根據(jù)需要對Worker進行開啟控制。

（2）基于交叉ICBC模式的AES加密

AES常用的加密模式主要有ECB、CBC、OFB、CFB 4中，其中ECB模式簡單快速，但易受分組重放攻擊，CBC、OFB和CFB模式不適合進行并行計算[15-16]，這里引入ICBC模式來實現(xiàn)加密算法的并行化，其加密過程如圖5所示。第1個加密子塊的輸出作為第3個加密子塊的反饋；第2個加密子塊的輸出作為第4個加密子塊的反饋；依次類推，加密和解密過程都需要2個初始向量（IV），可以重疊多重加密流，從而實現(xiàn)分組加密算法的并行化。

圖5 基于雙路交錯鏈的ICBC模式的AES加密Fig.5 AES encryption in two-way ICBC

作為第3個加密子塊的反饋，第2個加密子塊的輸出作為第4個加密子塊的反饋，依次類推，加密和解密過程都需要2個初始向量（IV），可以重疊多重加密流，從而實現(xiàn)分組加密算法的并行化。

如圖6所示，并行化加密過程主要分為審計數(shù)據(jù)接入、快速并行數(shù)據(jù)加密及加密結(jié)果存儲3個部分。數(shù)據(jù)挖掘處理完的審計數(shù)據(jù)送入到strom計算平臺上，利用基于交錯鏈路的ICBC模式的AES加密算法進行加密，最后將密文進行存儲，供后面模塊使用。

圖6 數(shù)據(jù)的實時加密過程Fig.6 Real-time data encryption process

2.3 基于AHP的風險評估及預警技術

層次分析法（AHP）作為一種綜合評價方法，能夠運用多目標綜合評價方法和網(wǎng)絡系統(tǒng)理論，提出一種層次權重決策[17]，目前在風險評價尤其是安全風險評價中得到了廣泛的應用。其步驟如下。

（1）建立評估模型

相關因素按照不同屬性可以分為若干層次，各層之間的因素相互影響，隸屬于上層也可對上層造成影響，下層效果同樣。a、b是內(nèi)部審計風險系統(tǒng)層次結(jié)構模型中的其中2項，根據(jù)a中誘發(fā)因素對b中既估值進行量化，便可得到評估矩陣：

其中：Qij橫向表示同一風險估值下不同誘發(fā)因素對內(nèi)部審計總體風險的支持度，縱向表示不同風險估計下對同一誘發(fā)因素對內(nèi)部審計總體風險的支持程度，且

計算Qij占第j項誘發(fā)因素中全部內(nèi)部審計風險既定估值下該因素取值之和的權重

計算第j項誘發(fā)因素的熵權數(shù)值及權重

計算某一既定風險估值下的熵權加權平均綜合值W

對b項不同風險估值的W值進行排序

為了評價風險性的大小，量化風險事件發(fā)生的可能性，如表1所示。

（2）風險預警

根據(jù)風險評估的結(jié)果，對潛在風險按照大小進行排序，找出重要風險或應首要處理的風險后，逐一落實風險控制措施及執(zhí)行情況，對于沒有措施或有措施但執(zhí)行效果不好的風險給予警示。目前所使用的風險預警手段主要有：指示燈預警，郵件預警，即時消息預警等等[18]?，F(xiàn)階段，這些工作仍然需要人為干預，未來，希望將預警信號采集工作自動化、數(shù)字化，從而減小審計人員工作量，提高工作的可靠性和準確性。

表1 風險發(fā)生可能性及影響賦值表Tab.1 Risk probability and impact assignment table

3 可視化內(nèi)部審計風險預警模型

外部審計機構的審計質(zhì)量直接影響國家與市場對電網(wǎng)企業(yè)營運結(jié)果、內(nèi)部控制效率等認識，從而影響國家政策的制定與市場對企業(yè)的關注。本節(jié)以2、3小節(jié)內(nèi)容為理論基礎，建立基于審計數(shù)據(jù)模型的外部檢查風險預警系統(tǒng)，主要由以下幾個部分組成：流程分析、審計數(shù)據(jù)模型、外部風險評估、風險預警、風險控制和監(jiān)控報告。該系統(tǒng)采用關聯(lián)規(guī)則的交互挖掘技術采集數(shù)據(jù)，數(shù)據(jù)報送流程同圖7所示。選擇混合式加密算法加密；用風險矩陣圖對外部風險定量評估，以發(fā)現(xiàn)重要風險；檢測風險控制措施落實情況，給落實不到位的風險給予預警處理；發(fā)送監(jiān)控報告給方便企業(yè)人員及上級管理層，幫助企業(yè)快速實現(xiàn)風險管理與內(nèi)部控制。所有過程應可視化，無論是文檔的操作還是流程的流轉(zhuǎn)都有記錄，便于外部人員訪問查看。

圖7 基于數(shù)據(jù)模型的外部檢查風險預警Fig.7 The external inspection risk warning based on data model

4 總論

本文在回顧了國內(nèi)外外部審計風險研究的基礎上，概述了審計數(shù)據(jù)模型的建立及風險檢測關鍵技術，針對電力系統(tǒng)審計數(shù)據(jù)量龐大，可能面臨外部審計風險的問題，本文做了以下研究工作：

1）提出采用關聯(lián)規(guī)則的交互挖掘方法處理數(shù)量龐大的外部審計數(shù)據(jù)；為了確保審計數(shù)據(jù)的安全性，基于storm分布式實時計算平臺，并行加密審計數(shù)據(jù)，確保審計安全性，且提高加密速度。

2）采用層次分析法AHP進行風險評估，以從中找出重要風險事項施加控制措施，必要的時候給予預警信號。

3）可視化外部監(jiān)管風險預警模型，防范外部審計檢查風險，結(jié)合已經(jīng)成熟化的內(nèi)部審計成果統(tǒng)計分析結(jié)果，實現(xiàn)企業(yè)的全面風險預警防控。

[1]劉實.企業(yè)內(nèi)部審計論[M].北京：中國時代經(jīng)濟出版社，2005.

[2]吳小兵.論企業(yè)會計內(nèi)部控制的基本對策[J].財經(jīng)界，2011（2）：91-91.WU Xiaobing.The basic theory of enterprise accounting internal control.The finance，2011（2）：91-91.

[3]李輝.商業(yè)銀行風險內(nèi)部管理與外部監(jiān)管的協(xié)調(diào)[J].投資研究，2004（6）：22-25.LI Hui.The risk of commercial bank internal management and external supervision coordination [J].Investment Research，2004（6）：22-25.

[4]葛家歡.商業(yè)銀行外部審計風險研究[J].現(xiàn)代經(jīng)濟信息，2011（11）：189-189.GE Jiahuan.The external audit risk in commercial bank[J].Modern Economic Information，2011（11）：189-189.

[5]SADIQ S，GOVERNATORI G，NAMIRI K.Modeling control objectives for business process compliance[C]//International Conference on Business Process Management.Berlin Heidelber：Springer，2007：149-164.

[6]ASNAR Y，MASSACCIF.A methodforsecurity governance，risk，and compliance（GRC）：a goal-process approach[M]//Foundations of Security Analysis and Design： VI.Berlin Heidelberg：Springer，2011：152-184.

[7]勾殿紅，勾艷云.電力企業(yè)營銷服務風險管理診斷及解決方案[J].中國市場，2013（9）：24-25.GOU Dianhong，GOU Yanyun.The electric power enterprise marketing services risk management diagnosis and solution[J].The Chinese Market，2013（9）：24-25.

[8]中凡，麥.微軟軟件開發(fā)解決方案框架MSF[M].北京航空航天大學出版社，2003.

[9]唐忠良，程俊春，王偉玲.電網(wǎng)企業(yè)內(nèi)部審計信息化系統(tǒng)建設研究[J].價值工程，2012，31（27）：212-216.Tang Zhongliang，CHENG Junchun，WANG Weiling.Informatization System Construction of Internal Audit in Grid Enterprise.Value Engineering，2012，31（27）：212-216.

[10]陳偉，劉思峰.審計數(shù)據(jù)處理方法研究綜述[J].統(tǒng)計與決策，2007，2007（3B）：129-131.CHEN Wei，LIU Sifeng.The research overview of audit data processing method[J].Statistics and Decision，2007（3B）：129-131.

[11]BHAGAT B C.Cloud computing governance，cyber security，risk，and compliance business rules system and method：U.S.Patent Application 13/016，999[P].2012-1-12.

[12]易仁萍，王昊，朱玉全.基于數(shù)據(jù)挖掘的審計模型框架[J].中國審計，2003，3：55-57.YI Renping，WANG Hao，ZHU Yuquan.Framework of audit model based on data mining[J].China Audit，2003，3：55-57.

[13]張少敏，孫婕，王保義.基于Storm的智能電網(wǎng)廣域測量系統(tǒng)數(shù)據(jù)實時加密[J].電力系統(tǒng)自動化，2016，40（21）：123-127.ZHANG Shaomin，SUN Jie，WANG Baoyi.Storm based real-time data encryption in wide area measurement system of smart Grid[J].Automation of Electric Power Systems，2016，40（21）：123-127.

[14]聶倩雯，高瑋.基于關聯(lián)規(guī)則數(shù)據(jù)挖掘技術的電網(wǎng)故障診斷[J].電力系統(tǒng)保護與控制，2009（9）：8-14 NIE Qianwen，GAO Wei.A power network fault diagnosis method based on data mining association rules[J].Power System Protection and Control，2009（9）：8-14

[15]鄧江華，胡志華，牛冀平.AES加密算法的研究與實現(xiàn)[J].微型電腦應用，2005，21（7）：15-19.DENG Jianghua，HU Zhihua，NIU Jiping.Rsearch of AES algorithm[J].Microcomputer Application，2005，21（7）：15-19.

[16]佟曉筠，姜偉.基于混合加密技術的電子商務安全體系研究[J].微處理機，2006，27（2）：44-47.TONG Xiaojun，JIANG Wei.Research of secure system of electronic commerce based on mix encryption[J].Microprocessor，2006，27（2）：44-47.

[17]郭金玉，張忠彬，孫慶云.層次分析法的研究與應用[J].中國安全科學學報，2008，18（5）：148-153.GUO Jinyu，ZHANG Zhongbin，SUN Qingyun.Research and application of analytic hierarchy process[J].Chinese Journal of Safety Science，2008，18（5）：148-153.

[18]黃冠勝，林偉，王力舟，等.風險預警系統(tǒng)的一般理論研究[J].中國標準化，2006，3（9）：11.HUAGN Guansheng，LIN Wei，WANG Lizhou，et al.The general theory research of risk warning system[J].China Standardization，2006，3（9）：11.

（編輯 張曉娟）

Research of Electric Power Enterprise Internal Audit Risk Model Visualization Based on External Supervision

CHEN Ting1，LIU Jian1，JIAO Pengpeng2
（1.State Grid Jiangsu Electric Power Company，Nanjing 210000，Jiangsu，China；2.State Grid Xuzhou Electric Power Company，Xuzhou 221000，Jiangsu，China）

Due to the current situation that audit commission draws into the power enterprise in the long term，an external audit risk model which is different from the internal audit to guide audit is very urgent.Aimed at the problems of frequent external audit work，large amount of audit data，and variety of content，this paper is based on modular thinking，and put forward a complete set of audit data submission system to take interactive data mining technology for dealing with audit data.Then,the storm distributed real-time computing platform is to parallel data audit data encryption using AHP for risk assessment.Finally，data submission process is visualized in order to facilitate access to external personnel.

external regulation；audit data；data mining；mixed encryption；risk model

2017-02-20。

陳 霆（1975—）男，本科，中級會計師，研究方向為審計數(shù)據(jù)模型；

劉 劍（1971—）男，本科，高級會計師，研究方向為審計理論與方法；

焦朋朋（1981—）男，碩士，中級會計師，研究方向為審計理論與方法。

國家電網(wǎng)公司科技項目（JSFW0901KJ990201A100 0220160000）。

Project Supported by the Science and Technology Foundation of SGCC（JSFW0901KJ990201A1000220160000）.

1674-3814（2017）03-0091-06

F239.45

A