OECD內控數據分析法解析

張 朋

作為一個重要的政府間國際經濟組織,OECD(經濟合作與發展組織,簡稱“經合組織”)在推動成員國(美國、英國、德國、加拿大等36個市場經濟國家)提高政府效率、防范欺詐與腐敗風險等方面做了大量研究和工作,其有些做法(尤其是內控數據分析法)值得我國行政事業單位內部控制研究人員關注、借鑒。

一、OECD內控數據分析法概覽

概括地說,OECD建議的以誠信調查為目的的內控數據分析法分為九步:一是確定數據分析目標和欺詐/腐敗設別指標,二是確定數據需求和來源,三是獲取數據,四是理解數據,五是評估數據的可靠性并整理分析數據,六是制定分析計劃(包括具體的分析測試計劃),七是進行內控數據分析,八是審核分析結果,九是傳達分析結果。OECD內控數據分析流程,如圖1所示。

二、OECD內控數據分析法詳解

1.確定數據分析目標和欺詐/腐敗設別指標。以誠信調查為目的的數據分析,首先要通過風險評估,確定分析目標。因為這樣可以幫助分析團隊鎖定最有可能發生欺詐、腐敗以及存在誠信風險的領域,有助于集中分析。確定目標后,分析團隊再設計欺詐和腐敗識別指標,以及計劃通過數據分析測試,識別的“危險信號”。制定欺詐和腐敗識別指標時,分析團隊要基于以往經驗,綜合考慮業務規則限制和常見欺詐行為。也就是說,在實施數據分析之前,充分了解制度規定、業務流程和“正常”的工作行為,有助于減少誤報。

資料來源:CECD 秘書處。

2.確定數據需求和來源。第二步是確定第一步的欺詐和腐敗識別指標所需的數據,以及相關數據的來源。這可能包括所調查的政府機構的數據、其他相關政府機構的數據,以及來自外部、非政府機構的數據。進行內控分析所需的具體數據,取決于第一步確定的分析目標和分析測試用的具體指標。

3.獲取數據。第三步是獲取內控分析所需要的數據。如前所述,獲取數據階段要花費的時間可能會有很大差異,這主要取決于是否需要從其他機構調取數據,以及需要從多少個外部機構調取數據。

4.理解數據。第四步是充分理解數據,這樣才能準確地索要數據,避免重復工作。因此,第四步可與第三步同時進行。幫助分析團隊獲取并理解數據的一個好方法,就是拿到數據字典(如果有的話)。數據字典是一個通用的數據程序設計說明,它會解釋每個數據以及與之相關的內容,因此是數據分析師的主要信息來源。當數據分析涉及不同來源的數據組合時,數據字典特別有用。而且,數據字典有助于確保每個分析師對同一數據使用相同的定義解釋。當不同的術語來描述同一事物,或者當同一術語在不同的政府機構、項目文件里具有不同的含義時,數據字典能夠幫助分析師更好地理解數據的真正含義。

另一個好的做法,就是與數據系統所有者和信息技術專家合作,以便更好地理解數據。數據系統所有者可以提供有關每筆財務往來如何在系統中處理的信息,信息技術專家(尤其是數據庫管理員)可以提供技術信息,比如數據系統使用規則。

5.評估數據的可靠性,并整理分析數據。第五步是評估數據的可靠性和完整性,并采取必要措施整理數據,以確保獲取的數據可用于正在進行的內控分析。在這過程中,數據分析師有可能需要將數據轉換為適合分析的格式,也可能使用以下一項或者多項測試來驗證所取得數據的真實性和完整性:

根據記錄格式和數據字典,驗證數據類型(比如:文本字段)

用所取得的全部內控數據,確認數字字段的哈希表長度(即關鍵字總數)

識別缺失的數據(比如:空白字段或序列中的間隙)

檢查重復數據,并確認是否有任何重復數據是誤報的對照會計記錄,核對數據

進行合理性測試(例如:計算每個月的財務往來數量,看該數字是否接近合理預測的月度數)

進行執行期間測試,以確定數據是否涵蓋所要核查的期間。

內控數據分析前,應先處理發現的數據差異問題,這可能需要重新索要數據。在第五步中,應注意理解和評估由于數據驗證測試或數據整理程序而識別的數據差異或異常值,因為異常值或異常數據有可能揭示欺詐或者腐敗行為。

6.制定分析計劃,包括具體的分析測試計劃。第六步是制定分析計劃,詳述要分析的數據、具體的分析測試計劃,以及內控分析頻率。在用數據分析進行誠信調查尤其是欺詐和內部控制有效性檢測時,政府機構應關注以下三方面工作:一是分析所有相關數據。政府機構應分析測試所有內控數據。雖然隨機抽樣可以發現整個數據群里相對一致的問題,但由于欺詐性“交易”不是隨機發生的,因此抽樣可能不足以識別欺詐行為。最高審計機關國際組織(INTOSAI)IT審計工作組指出,利用內控數據分析工具,查看所有數據,有助于審計人員發現平時難以注意到的關聯和細節,尤其是在信息量增多時,這樣做極為有效。通過分析所有數據,審計人員可以識別異常或高風險區域,以供進一步審核。二是根據欺詐識別指標,設計數據分析測試。分析團隊應將第一步確定的欺詐或腐敗識別指標轉換為特定的分析程序。三是確定內控分析的頻率。也就是說,要決定內控數據分析是臨時性的、重復性的,還是持續性的,這主要取決于第一步中所確定的分析目的。例如,審計人員可以通過臨時突擊性的數據分析測試,發現可能存在欺詐風險的潛在問題。這種方法可能對于使用數據分析來檢查某個政府部門的內部控制有效性而言,效果很好。但是,使用數據分析來實時監測內控數據真實性和欺詐指標的程序經理,則需要持續性地通過系統維護,讓系統自動地進行數據分析測試。如果數據分析測試無法自動連續進行,比如數據只能定期獲取,那么數據分析測試也可以定期開展,這依然可以防范欺詐和腐敗風險。值得注意的是,定期的數據分析測試間隔時間不要過長(如一年),否則達不到預期的監測和防范效果。

7.進行內控數據分析。分析團隊按照第六步制定的計劃,展開分析。

8.審核分析結果。內控分析完成后,分析團隊要審核結果。雖然數據分析測試無法直接確認欺詐行為,但這些測試能夠反映需要審核的指標。分析師可以通過審核測試結果,確定相關標記的指標是否有合理解釋,或者是否存在欺詐活動跡象。由于審核結果可能非常耗時,所以在分析開始時花時間來深入了解流程,可以幫助分析團隊開展更精細的分析測試,從而減少誤報。

9.傳達分析結果。分析測試完成且結果經過審核后,分析團隊應將審查結果傳達給相關單位。如果內控數據分析的目的是發現欺詐或腐敗行為,可能還需要向執法機構提供有關潛在欺詐或腐敗人員的信息,以供進一步調查。同時,也可能需要向相關管理人員傳達必要的審查結果,以提醒其采取措施彌補現存的內部控制缺陷或風險漏洞。值得強調的是,了解目標受眾并使用可視化數據工具,能夠更加有效地傳達審查結果。根據目標受眾節選內控數據分析結果,有助于突出需要重點關注的問題,發揮分析結果的作用。可視化數據工具(如儀表板、地圖、甚至簡單的圖表和圖形)能夠比電子表格、統計數據和往來賬單,更清晰地突出風險區域和風險級別。此外,將審查結果傳達給潛在的欺詐人員,也有助于減少欺詐和腐敗行為。

三、結語

由于內控數據分析目的和具體操作中遇到的情況不同,上述每個步驟花費的時間可能會有很大差異。例如,本身擁有監測分析用的內控數據庫的單位,可能不需要花費多少時間來獲取分析數據;而需要向其他政府機構尤其是外部非政府機構索要分析數據的單位,則可能需要花費大量的時間和資源來獲取數據。

OECD內控數據分析法不一定完全適用于我國行政事業單位的內部控制,但其分析思路、設計流程、內控理念,值得學習借鑒。