OECD內(nèi)控數(shù)據(jù)分析法解析

張 朋

作為一個重要的政府間國際經(jīng)濟組織,OECD(經(jīng)濟合作與發(fā)展組織,簡稱“經(jīng)合組織”)在推動成員國(美國、英國、德國、加拿大等36個市場經(jīng)濟國家)提高政府效率、防范欺詐與腐敗風險等方面做了大量研究和工作,其有些做法(尤其是內(nèi)控數(shù)據(jù)分析法)值得我國行政事業(yè)單位內(nèi)部控制研究人員關(guān)注、借鑒。

一、OECD內(nèi)控數(shù)據(jù)分析法概覽

概括地說,OECD建議的以誠信調(diào)查為目的的內(nèi)控數(shù)據(jù)分析法分為九步:一是確定數(shù)據(jù)分析目標和欺詐/腐敗設(shè)別指標,二是確定數(shù)據(jù)需求和來源,三是獲取數(shù)據(jù),四是理解數(shù)據(jù),五是評估數(shù)據(jù)的可靠性并整理分析數(shù)據(jù),六是制定分析計劃(包括具體的分析測試計劃),七是進行內(nèi)控數(shù)據(jù)分析,八是審核分析結(jié)果,九是傳達分析結(jié)果。OECD內(nèi)控數(shù)據(jù)分析流程,如圖1所示。

二、OECD內(nèi)控數(shù)據(jù)分析法詳解

1.確定數(shù)據(jù)分析目標和欺詐/腐敗設(shè)別指標。以誠信調(diào)查為目的的數(shù)據(jù)分析,首先要通過風險評估,確定分析目標。因為這樣可以幫助分析團隊鎖定最有可能發(fā)生欺詐、腐敗以及存在誠信風險的領(lǐng)域,有助于集中分析。確定目標后,分析團隊再設(shè)計欺詐和腐敗識別指標,以及計劃通過數(shù)據(jù)分析測試,識別的“危險信號”。制定欺詐和腐敗識別指標時,分析團隊要基于以往經(jīng)驗,綜合考慮業(yè)務(wù)規(guī)則限制和常見欺詐行為。也就是說,在實施數(shù)據(jù)分析之前,充分了解制度規(guī)定、業(yè)務(wù)流程和“正?！钡墓ぷ餍袨?有助于減少誤報。

資料來源:CECD 秘書處。

2.確定數(shù)據(jù)需求和來源。第二步是確定第一步的欺詐和腐敗識別指標所需的數(shù)據(jù),以及相關(guān)數(shù)據(jù)的來源。這可能包括所調(diào)查的政府機構(gòu)的數(shù)據(jù)、其他相關(guān)政府機構(gòu)的數(shù)據(jù),以及來自外部、非政府機構(gòu)的數(shù)據(jù)。進行內(nèi)控分析所需的具體數(shù)據(jù),取決于第一步確定的分析目標和分析測試用的具體指標。

3.獲取數(shù)據(jù)。第三步是獲取內(nèi)控分析所需要的數(shù)據(jù)。如前所述,獲取數(shù)據(jù)階段要花費的時間可能會有很大差異,這主要取決于是否需要從其他機構(gòu)調(diào)取數(shù)據(jù),以及需要從多少個外部機構(gòu)調(diào)取數(shù)據(jù)。

4.理解數(shù)據(jù)。第四步是充分理解數(shù)據(jù),這樣才能準確地索要數(shù)據(jù),避免重復(fù)工作。因此,第四步可與第三步同時進行。幫助分析團隊獲取并理解數(shù)據(jù)的一個好方法,就是拿到數(shù)據(jù)字典(如果有的話)。數(shù)據(jù)字典是一個通用的數(shù)據(jù)程序設(shè)計說明,它會解釋每個數(shù)據(jù)以及與之相關(guān)的內(nèi)容,因此是數(shù)據(jù)分析師的主要信息來源。當數(shù)據(jù)分析涉及不同來源的數(shù)據(jù)組合時,數(shù)據(jù)字典特別有用。而且,數(shù)據(jù)字典有助于確保每個分析師對同一數(shù)據(jù)使用相同的定義解釋。當不同的術(shù)語來描述同一事物,或者當同一術(shù)語在不同的政府機構(gòu)、項目文件里具有不同的含義時,數(shù)據(jù)字典能夠幫助分析師更好地理解數(shù)據(jù)的真正含義。

另一個好的做法,就是與數(shù)據(jù)系統(tǒng)所有者和信息技術(shù)專家合作,以便更好地理解數(shù)據(jù)。數(shù)據(jù)系統(tǒng)所有者可以提供有關(guān)每筆財務(wù)往來如何在系統(tǒng)中處理的信息,信息技術(shù)專家(尤其是數(shù)據(jù)庫管理員)可以提供技術(shù)信息,比如數(shù)據(jù)系統(tǒng)使用規(guī)則。

5.評估數(shù)據(jù)的可靠性,并整理分析數(shù)據(jù)。第五步是評估數(shù)據(jù)的可靠性和完整性,并采取必要措施整理數(shù)據(jù),以確保獲取的數(shù)據(jù)可用于正在進行的內(nèi)控分析。在這過程中,數(shù)據(jù)分析師有可能需要將數(shù)據(jù)轉(zhuǎn)換為適合分析的格式,也可能使用以下一項或者多項測試來驗證所取得數(shù)據(jù)的真實性和完整性:

根據(jù)記錄格式和數(shù)據(jù)字典,驗證數(shù)據(jù)類型(比如:文本字段)

用所取得的全部內(nèi)控數(shù)據(jù),確認數(shù)字字段的哈希表長度(即關(guān)鍵字總數(shù))

識別缺失的數(shù)據(jù)(比如:空白字段或序列中的間隙)

檢查重復(fù)數(shù)據(jù),并確認是否有任何重復(fù)數(shù)據(jù)是誤報的對照會計記錄,核對數(shù)據(jù)

進行合理性測試(例如:計算每個月的財務(wù)往來數(shù)量,看該數(shù)字是否接近合理預(yù)測的月度數(shù))

進行執(zhí)行期間測試,以確定數(shù)據(jù)是否涵蓋所要核查的期間。

內(nèi)控數(shù)據(jù)分析前,應(yīng)先處理發(fā)現(xiàn)的數(shù)據(jù)差異問題,這可能需要重新索要數(shù)據(jù)。在第五步中,應(yīng)注意理解和評估由于數(shù)據(jù)驗證測試或數(shù)據(jù)整理程序而識別的數(shù)據(jù)差異或異常值,因為異常值或異常數(shù)據(jù)有可能揭示欺詐或者腐敗行為。

6.制定分析計劃,包括具體的分析測試計劃。第六步是制定分析計劃,詳述要分析的數(shù)據(jù)、具體的分析測試計劃,以及內(nèi)控分析頻率。在用數(shù)據(jù)分析進行誠信調(diào)查尤其是欺詐和內(nèi)部控制有效性檢測時,政府機構(gòu)應(yīng)關(guān)注以下三方面工作:一是分析所有相關(guān)數(shù)據(jù)。政府機構(gòu)應(yīng)分析測試所有內(nèi)控數(shù)據(jù)。雖然隨機抽樣可以發(fā)現(xiàn)整個數(shù)據(jù)群里相對一致的問題,但由于欺詐性“交易”不是隨機發(fā)生的,因此抽樣可能不足以識別欺詐行為。最高審計機關(guān)國際組織(INTOSAI)IT審計工作組指出,利用內(nèi)控數(shù)據(jù)分析工具,查看所有數(shù)據(jù),有助于審計人員發(fā)現(xiàn)平時難以注意到的關(guān)聯(lián)和細節(jié),尤其是在信息量增多時,這樣做極為有效。通過分析所有數(shù)據(jù),審計人員可以識別異?；蚋唢L險區(qū)域,以供進一步審核。二是根據(jù)欺詐識別指標,設(shè)計數(shù)據(jù)分析測試。分析團隊應(yīng)將第一步確定的欺詐或腐敗識別指標轉(zhuǎn)換為特定的分析程序。三是確定內(nèi)控分析的頻率。也就是說,要決定內(nèi)控數(shù)據(jù)分析是臨時性的、重復(fù)性的,還是持續(xù)性的,這主要取決于第一步中所確定的分析目的。例如,審計人員可以通過臨時突擊性的數(shù)據(jù)分析測試,發(fā)現(xiàn)可能存在欺詐風險的潛在問題。這種方法可能對于使用數(shù)據(jù)分析來檢查某個政府部門的內(nèi)部控制有效性而言,效果很好。但是,使用數(shù)據(jù)分析來實時監(jiān)測內(nèi)控數(shù)據(jù)真實性和欺詐指標的程序經(jīng)理,則需要持續(xù)性地通過系統(tǒng)維護,讓系統(tǒng)自動地進行數(shù)據(jù)分析測試。如果數(shù)據(jù)分析測試無法自動連續(xù)進行,比如數(shù)據(jù)只能定期獲取,那么數(shù)據(jù)分析測試也可以定期開展,這依然可以防范欺詐和腐敗風險。值得注意的是,定期的數(shù)據(jù)分析測試間隔時間不要過長(如一年),否則達不到預(yù)期的監(jiān)測和防范效果。

7.進行內(nèi)控數(shù)據(jù)分析。分析團隊按照第六步制定的計劃,展開分析。

8.審核分析結(jié)果。內(nèi)控分析完成后,分析團隊要審核結(jié)果。雖然數(shù)據(jù)分析測試無法直接確認欺詐行為,但這些測試能夠反映需要審核的指標。分析師可以通過審核測試結(jié)果,確定相關(guān)標記的指標是否有合理解釋,或者是否存在欺詐活動跡象。由于審核結(jié)果可能非常耗時,所以在分析開始時花時間來深入了解流程,可以幫助分析團隊開展更精細的分析測試,從而減少誤報。

9.傳達分析結(jié)果。分析測試完成且結(jié)果經(jīng)過審核后,分析團隊應(yīng)將審查結(jié)果傳達給相關(guān)單位。如果內(nèi)控數(shù)據(jù)分析的目的是發(fā)現(xiàn)欺詐或腐敗行為,可能還需要向執(zhí)法機構(gòu)提供有關(guān)潛在欺詐或腐敗人員的信息,以供進一步調(diào)查。同時,也可能需要向相關(guān)管理人員傳達必要的審查結(jié)果,以提醒其采取措施彌補現(xiàn)存的內(nèi)部控制缺陷或風險漏洞。值得強調(diào)的是,了解目標受眾并使用可視化數(shù)據(jù)工具,能夠更加有效地傳達審查結(jié)果。根據(jù)目標受眾節(jié)選內(nèi)控數(shù)據(jù)分析結(jié)果,有助于突出需要重點關(guān)注的問題,發(fā)揮分析結(jié)果的作用?？梢暬瘮?shù)據(jù)工具(如儀表板、地圖、甚至簡單的圖表和圖形)能夠比電子表格、統(tǒng)計數(shù)據(jù)和往來賬單,更清晰地突出風險區(qū)域和風險級別。此外,將審查結(jié)果傳達給潛在的欺詐人員,也有助于減少欺詐和腐敗行為。

三、結(jié)語

由于內(nèi)控數(shù)據(jù)分析目的和具體操作中遇到的情況不同,上述每個步驟花費的時間可能會有很大差異。例如,本身擁有監(jiān)測分析用的內(nèi)控數(shù)據(jù)庫的單位,可能不需要花費多少時間來獲取分析數(shù)據(jù);而需要向其他政府機構(gòu)尤其是外部非政府機構(gòu)索要分析數(shù)據(jù)的單位,則可能需要花費大量的時間和資源來獲取數(shù)據(jù)。

OECD內(nèi)控數(shù)據(jù)分析法不一定完全適用于我國行政事業(yè)單位的內(nèi)部控制,但其分析思路、設(shè)計流程、內(nèi)控理念,值得學(xué)習(xí)借鑒。