data-analysis

数据分析与审计技术

用数据发现异常 — 调查中最有说服力的证据往往是数字本身。

配置前置检查

在执行本技能的业务操作前，按以下流程检查用户配置：

检查 ~/.claude/plugins/config/cc-investigation/team-profile.md
├── 不存在 / 含 [PLACEHOLDER] / 含 PAUSED 标记
│   └── 停止操作，提示: "请先运行 /cc-investigation:cold-start-interview 完成设置"
└── 配置就绪 → 继续

详细规则参见 config-templates/config-loader.md。

此技能读取的配置项：

• evidence-policy：数据处理规则（数据最小化、脱敏要求）（待后续实现）

When to Activate

• 执行内部审计项目的数据分析阶段
• 设计流程审计方案
• 需要对大量交易/日志进行异常检测
• 构建可视化展示调查发现
• 设计持续监控/预警规则
• 评估内部控制有效性

数据分析在调查中的角色

原始数据 → 清洗/转换 → 探索性分析 → 模式识别 → 异常发现 → 验证 → 呈现

内部审计技术

审计方法分类

方法	描述	适用场景
穿行测试 (Walk-through)	跟踪一笔交易走完全流程	理解业务流程、识别控制点
控制测试 (Test of Controls)	验证控制是否有效运行	内控有效性评估
实质性测试 (Substantive Testing)	直接验证交易/余额准确性	发现异常/错误/舞弊
分析性程序 (Analytical Procedures)	比率/趋势/合理性分析	发现反常波动
数据挖掘 (Data Mining)	大数据量自动扫描异常模式	大规模舞弊筛查
统计抽样 (Statistical Sampling)	从样本推断整体特征	无法100%检查时

COSO 内控框架在调查中的应用

控制环境 → 风险评估 → 控制活动 → 信息与沟通 → 监控

调查中常见的内控突破口：

• 职责分离不足： 同一人能创建PO + 验收 + 付款
• 授权审批漏洞： 审批限额过高或存在"橡皮图章"
• 系统访问控制缺失： 共享账号、权限过大、未及时清理离职人员权限
• 对账机制缺失： 长期未调节的账户是舞弊的温床
• 例外处理流程缺失： 急单/例外/手工操作是最容易被利用的环节

流程分析技术

流程审计步骤

1. 绘制流程现状图 (As-Is Process Map)
2. 识别关键控制点 (Key Control Points)
3. 评估控制设计有效性 (Control Design Assessment)
4. 测试控制执行有效性 (Control Operation Testing)
5. 识别流程漏洞 (Process Gap Identification)
6. 评估舞弊风险 (Fraud Risk Assessment)

流程异常识别

• 职责分离冲突点 — 同一人执行业务流程中的不兼容职责
• 审批绕过路径 — 存在不经过正常审批即可完成操作的替代路径
• 手工操作节点 — 需要人工输入/调整的环节（高舞弊风险）
• 系统外处理 — 脱离系统完成的操作（无审计轨迹）
• 例外处理流程 — 加急/特批/异常流程（往往被利用）

异常检测技术

定量方法

技术	适用范围	说明
Benford定律	自然产生的大数据集	检测人工篡改/伪造
标准差/置信区间	连续型数值	超出3σ的离群点
时间序列分解	存在季节性模式的数据	识别异常时间点趋势突变
关联规则挖掘	交易明细	A → B 异常关联模式
聚类分析	多维数据	发现不合群的"孤立点"

定性方法

• 阈值规则 — 超过某金额/频次的交易自动标记
• 模式匹配 — 已知舞弊模式的自动识别
• 同行对比 — 跨部门/跨区域的横向比较
• 历史对比 — 与往年同期/业务量的纵向对比
• 合理性测试 — 数据是否符合业务逻辑（如周末大量操作）

数据可视化

调查可视化类型

视图类型	用途	适用场景
资金流向图 (Sankey)	展示资金流转路径	资金追踪、洗钱分析
关系图谱 (Network)	展示人员/公司/账户关系	腐败贿赂、关联交易
时间线 (Timeline)	展示事件顺序	事件重构、作案过程还原
热力图 (Heatmap)	展示异常集中区域	费用分布、时间模式
趋势图 (Trend)	展示变化趋势	收入/费用异常波动
散点图 (Scatter)	发现离群点	供应商定价异常、费用异常

可视化原则

• 数据-墨水比例最大化： 去除装饰性元素
• 叙事先于展示： 先想好要说什么故事，再选图表
• 标注异常点： 不要假设读者能自己发现异常
• 保持可追溯： 每个数据点都能回溯到原始证据

持续监控与预警

预警规则设计示例

规则	说明	触发动作
同一供应商连获3次投标成功	可能存在围标	自动标记 + 上报
周末/深夜大量审批通过	可能存在异常授权	自动标记 + 二次确认
单笔支付恰好低于审批限额	可能存在拆单规避	标记为疑似拆分
新供应商签约后立即大额支付	可能存在虚假供应商	触发供应商尽调
费用报销异常高频	可能存在报销欺诈	自动标记 + 抽样审查

分析辅助工具

以下工具类型可辅助加速数据分析。这些工具不是必须的——未配置时，由模型按分析标准直接完成。

如环境中配置了以下类型的 MCP 服务器，可辅助加速。不可用时由模型直接完成分析：

• 数据库查询类 MCP：用于查询交易数据、探索数据表结构。不可用时基于提供的 CSV/Excel 直接分析
• 表格数据处理类 MCP：用于导入财务数据、执行 Benford 检测、趋势分析。不可用时手动计算
• 图表生成类 MCP：用于生成异常检测热力图、趋势图。不可用时用文本表格描述

工作流示意（Benford 定律异常检测，工具可选）：

1. 导入交易数据（由表格处理类 MCP 辅助，或手动审查 Excel 文件）
2. 执行首位数字分布分析（由 MCP 辅助计算，或按 Benford 定律手动判断）
3. 发现异常分布 → 深入查询异常交易（由数据库类 MCP 辅助或查阅原始记录）
4. 生成可视化异常报告（由图表类 MCP 辅助或文本表格描述）

Related

• Skills: 调查工具与技术, 证据链与底稿管理, 写作与报告技巧
• Agents: data-analyzer for 数据分析, investigation-planner for 审计方案
• Commands: /analyze 数据分析, /audit 审计流程, /visualize 可视化

References

• COSO "Internal Control — Integrated Framework"
• IIA "International Professional Practices Framework (IPPF)"
• Nigrini, M. "Benford's Law: Applications for Forensic Accounting"
• ACL / IDEA — Data analytics tools