OECD内控数据分析法解析

2019-11-04张朋

中国农业会计 2019年8期

张朋

作为一个重要的政府间国际经济组织,OECD(经济合作与发展组织,简称“经合组织”)在推动成员国(美国、英国、德国、加拿大等36个市场经济国家)提高政府效率、防范欺诈与腐败风险等方面做了大量研究和工作,其有些做法(尤其是内控数据分析法)值得我国行政事业单位内部控制研究人员关注、借鉴。

一、OECD内控数据分析法概览

概括地说,OECD建议的以诚信调查为目的的内控数据分析法分为九步:一是确定数据分析目标和欺诈/腐败设别指标,二是确定数据需求和来源,三是获取数据,四是理解数据,五是评估数据的可靠性并整理分析数据,六是制定分析计划(包括具体的分析测试计划),七是进行内控数据分析,八是审核分析结果,九是传达分析结果。OECD内控数据分析流程,如图1所示。

二、OECD内控数据分析法详解

1.确定数据分析目标和欺诈/腐败设别指标。以诚信调查为目的的数据分析,首先要通过风险评估,确定分析目标。因为这样可以帮助分析团队锁定最有可能发生欺诈、腐败以及存在诚信风险的领域,有助于集中分析。确定目标后,分析团队再设计欺诈和腐败识别指标,以及计划通过数据分析测试,识别的“危险信号”。制定欺诈和腐败识别指标时,分析团队要基于以往经验,综合考虑业务规则限制和常见欺诈行为。也就是说,在实施数据分析之前,充分了解制度规定、业务流程和“正常”的工作行为,有助于减少误报。

资料来源:CECD 秘书处。

2.确定数据需求和来源。第二步是确定第一步的欺诈和腐败识别指标所需的数据,以及相关数据的来源。这可能包括所调查的政府机构的数据、其他相关政府机构的数据,以及来自外部、非政府机构的数据。进行内控分析所需的具体数据,取决于第一步确定的分析目标和分析测试用的具体指标。

3.获取数据。第三步是获取内控分析所需要的数据。如前所述,获取数据阶段要花费的时间可能会有很大差异,这主要取决于是否需要从其他机构调取数据,以及需要从多少个外部机构调取数据。

4.理解数据。第四步是充分理解数据,这样才能准确地索要数据,避免重复工作。因此,第四步可与第三步同时进行。帮助分析团队获取并理解数据的一个好方法,就是拿到数据字典(如果有的话)。数据字典是一个通用的数据程序设计说明,它会解释每个数据以及与之相关的内容,因此是数据分析师的主要信息来源。当数据分析涉及不同来源的数据组合时,数据字典特别有用。而且,数据字典有助于确保每个分析师对同一数据使用相同的定义解释。当不同的术语来描述同一事物,或者当同一术语在不同的政府机构、项目文件里具有不同的含义时,数据字典能够帮助分析师更好地理解数据的真正含义。

另一个好的做法,就是与数据系统所有者和信息技术专家合作,以便更好地理解数据。数据系统所有者可以提供有关每笔财务往来如何在系统中处理的信息,信息技术专家(尤其是数据库管理员)可以提供技术信息,比如数据系统使用规则。

5.评估数据的可靠性,并整理分析数据。第五步是评估数据的可靠性和完整性,并采取必要措施整理数据,以确保获取的数据可用于正在进行的内控分析。在这过程中,数据分析师有可能需要将数据转换为适合分析的格式,也可能使用以下一项或者多项测试来验证所取得数据的真实性和完整性:

根据记录格式和数据字典,验证数据类型(比如:文本字段)

用所取得的全部内控数据,确认数字字段的哈希表长度(即关键字总数)

识别缺失的数据(比如:空白字段或序列中的间隙)

检查重复数据,并确认是否有任何重复数据是误报的对照会计记录,核对数据

进行合理性测试(例如:计算每个月的财务往来数量,看该数字是否接近合理预测的月度数)

进行执行期间测试,以确定数据是否涵盖所要核查的期间。

内控数据分析前,应先处理发现的数据差异问题,这可能需要重新索要数据。在第五步中,应注意理解和评估由于数据验证测试或数据整理程序而识别的数据差异或异常值,因为异常值或异常数据有可能揭示欺诈或者腐败行为。

6.制定分析计划,包括具体的分析测试计划。第六步是制定分析计划,详述要分析的数据、具体的分析测试计划,以及内控分析频率。在用数据分析进行诚信调查尤其是欺诈和内部控制有效性检测时,政府机构应关注以下三方面工作:一是分析所有相关数据。政府机构应分析测试所有内控数据。虽然随机抽样可以发现整个数据群里相对一致的问题,但由于欺诈性“交易”不是随机发生的,因此抽样可能不足以识别欺诈行为。最高审计机关国际组织(INTOSAI)IT审计工作组指出,利用内控数据分析工具,查看所有数据,有助于审计人员发现平时难以注意到的关联和细节,尤其是在信息量增多时,这样做极为有效。通过分析所有数据,审计人员可以识别异常或高风险区域,以供进一步审核。二是根据欺诈识别指标,设计数据分析测试。分析团队应将第一步确定的欺诈或腐败识别指标转换为特定的分析程序。三是确定内控分析的频率。也就是说,要决定内控数据分析是临时性的、重复性的,还是持续性的,这主要取决于第一步中所确定的分析目的。例如,审计人员可以通过临时突击性的数据分析测试,发现可能存在欺诈风险的潜在问题。这种方法可能对于使用数据分析来检查某个政府部门的内部控制有效性而言,效果很好。但是,使用数据分析来实时监测内控数据真实性和欺诈指标的程序经理,则需要持续性地通过系统维护,让系统自动地进行数据分析测试。如果数据分析测试无法自动连续进行,比如数据只能定期获取,那么数据分析测试也可以定期开展,这依然可以防范欺诈和腐败风险。值得注意的是,定期的数据分析测试间隔时间不要过长(如一年),否则达不到预期的监测和防范效果。

7.进行内控数据分析。分析团队按照第六步制定的计划,展开分析。

8.审核分析结果。内控分析完成后,分析团队要审核结果。虽然数据分析测试无法直接确认欺诈行为,但这些测试能够反映需要审核的指标。分析师可以通过审核测试结果,确定相关标记的指标是否有合理解释,或者是否存在欺诈活动迹象。由于审核结果可能非常耗时,所以在分析开始时花时间来深入了解流程,可以帮助分析团队开展更精细的分析测试,从而减少误报。

9.传达分析结果。分析测试完成且结果经过审核后,分析团队应将审查结果传达给相关单位。如果内控数据分析的目的是发现欺诈或腐败行为,可能还需要向执法机构提供有关潜在欺诈或腐败人员的信息,以供进一步调查。同时,也可能需要向相关管理人员传达必要的审查结果,以提醒其采取措施弥补现存的内部控制缺陷或风险漏洞。值得强调的是,了解目标受众并使用可视化数据工具,能够更加有效地传达审查结果。根据目标受众节选内控数据分析结果,有助于突出需要重点关注的问题,发挥分析结果的作用。可视化数据工具(如仪表板、地图、甚至简单的图表和图形)能够比电子表格、统计数据和往来账单,更清晰地突出风险区域和风险级别。此外,将审查结果传达给潜在的欺诈人员,也有助于减少欺诈和腐败行为。