1
商业银行个人消费信贷系统审计案例
一、审计背景 信息技术在金融领域日益广泛的应用,使金融电子化本身也产生了新的技术风险, 人们不仅要审计计算机信息系统产生的电子数据, 而且要对计算机信息系统本身进行审计。
随着我国经济的持续快速发展, 人们的生活质量和消费水平的飞速提高, 个人消费 信贷业务和市场也处在一个方兴未艾的阶段, 各家商业银行纷纷推出具有自身特点的个人消费信贷产品。
2002
年,为全面深入地掌握这一新兴的金融创新产品在实际运作中的情况, 审计机关决定结合对某商业银行资产负债损益的审计, 对其个人消费信贷系统开展审计。
二、被审系统概况 某商业银行个人消费信贷系统是该行 2000 年根据相关业务部门提出的《个人消费信贷需求说明书》,是与某公司合作开发的。
该系统 2001 年试点后全面转入正常营业状态。该系统包括个人消费信贷管理子系统、
储蓄前台会计核算管理子系统和后台系统管 理子系统三个子系统。贷款管理子系统的主要功能是实现贷款资料管理、贷款审批、
发放日常管理和贷款统计等。
会计核算子系统主要功能是实现储蓄网点贷款发放、 贷款回收、结息、逾期、结清等会计核算以及查询分户信息和打印账表等。系统管理子系统实 现日终处理、委托扣款、利率维护、操作员管理、标准数据维护和数据调整等功能。
该系统采用双层结构,数据资料集中存放在个人消费信贷业务主机
(UNIX 操作系统) ,使用 INFORMIX数据库, 该主机与零售系统主机之间留有接口, 能及时收到零售系统对各种个人消费信贷账务处理的结果和向零售系统发送扣款请求及会计并账数据; 在开展个人消费信贷的支行设一台个人消费信贷管理机 (WINDOW界S 面) ,用于个人消费信贷项目的开设及业务的贷款申请、展期申请、审批、打印、查询与参数维护等。
该系统预留了个人住房贷款业务处理功能, 实际中仍由该行会计核算系统中用于商 业性个人住房贷款管理与核算的子系统——个人商业贷款管理系统代为运作, 我们将此两部分个人消费信贷业务合并考虑,作为一个整体予以审计。
三、系统审计流程 整个系统审计工作具体经过了审计准备、 审计评估、审计测试、审计总评和报告四
2
个阶段。
1 .开展审前调查,制定审计方案 向某银行提交明确的资料需求, 与有关业务及科技人员进行沟通, 熟悉软件的主要功能,收集系统的部分开发、 管理、维护方面的文档技术资料, 主要包括部分设计方案、数据结构模块、测试文档、用户手册、权限管理、控制规章等。同时,还收集了一批个 人消费信贷业务的法规制度供设计审计测试项目时参考。
在此基础上, 拟定了审计工作方案,明确审计目标,界定审计范围,突出审计重点,确定审计方法和步骤。
2 .明确审计重点,确定测试项目 根据方案, 对已收集的系统文档资料进行了研究分析, 针对发现的问题细化审计对象,重点围绕审阅系统文档和检查应用程序两个方面进行, 对相关模块及其运行环境进行观察、检查和测试。
审计人员设计了一系列有关系统一般控制、应用控制方面的调查表格,发放给系统设计、使用、维护部门和人员填写,向他们座谈了解软件概况,并与 他们一同观察系统运行使用现状。审计人员查阅了部分文本流程图、 数据流图、系统流程图和程序流程图,了解软件系统中存在哪些控制、在哪里控制、如何控制等信息,选 定个别输入程序流程, 追踪检查输入的样本业务, 验证有关控制措施在实际执行的程序中是否有效, 积极关注应用软件系统设计和运行中的异常疑点和薄弱环节, 揭示不当的人工干预环节与人为调节点。
3 .实施系统审计 审计小组将软件功能与相关法律法规进行对照研究,熟悉具体功能及其使用条件, 分析系统软件可能的缺陷, 运用多种方法对运行环境进行观察、检查和测试,查找存在的问题。
(1)
检查程序运行结果 这是审计中大量运用的方法。
首先分析该软件系统的数据字典, 掌握保存程序运行结果的库表结构与分布情况,要求某商业银行完整下载审计所需的近
100 个数据库文件, 通过运用审计数据采集与分析软件等数据处理工具, 对下载的数据文件进行转换, 对照法律法规要求设定各种运算条件,使用工具软件中的查询、排序、计算、重组、分析等 项功能,对电子数据进行整理、加工用于检查,发现较多疑点,并与调阅的纸质数据、 账表和凭证进行了比较取证,以确定系统的功能是否合法、正确。
(2)
数据检测
3
审计组制定了较为详尽的测试计划与细则, 对运行环境中的程序模块处理功能进行数据检测。
如对贷款人建档模块的输入控制功能、 系统参数信息管理模块的控制功能进行了处理测试,发现输入校验功能较弱,存在违规设置事项。测试数据项包括正常、有
效的交易数据,不正常、无效的交易数据,破坏性数据,进行多种额度及权限下的有关
交易测试。最后,将程序运行结果与预期结果进行比对, 判断有关程序的控制与处理功能是否恰当、有效。
(3)
平行模拟 由审计人员运用 SQL语言编写相同处理及控制功能的模拟程序, 用来处理贷款交易历史文件中当期的实际数据,得到新的处理结果。比较两个结果,对不符情况,全面调
阅有关账证,进行重点检查。
4 .进行审计评价,提出审计建议 根据审查中的审计发现, 对系统作出审计评价, 并针对存在的问题提出改进的建议。四、审计发现 1. 系统功能不够完善,部分功能模块存在漏洞与缺陷 (1) 输入控制存在缺陷,数据关联度不够,输入校验不足 ? 已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后,只能开立新账号重新录入,而贷款户参数表中仍记录实际已作废的出错业务。
? 个人住房信贷系统“个人贷款信息表”中存在很多 “同一贷款机构、 相同工作单 位、相同客户姓名”但“客户身份证号不相同 ( 末位数不同或不同身份证号 ) ”的现象。
(2) 逻辑控制存在薄弱环节,数据真实性、完整性、准确性不够 · 报表中无年初数,不存在勾稽关系,只能以储蓄零售系统生成的报表为准。
· 系统“贷款户参数表”中的“贷款账号”字段编码规则未统一,如新旧账号长 度不等 ( 贷款新账号长度 16 位,格式为:贷款机构 +贷种+期限档次 +账号顺序 +校验位; 旧账号则长度不统一,甚至出现仅为两位数的情况 ) ,未做统一的转换设计。
· z 支行 2000 年 10 月 12 日向 J 汽车公司董事长徐某等 9 人发放半年期个人消费额度贷款 9 笔共 510 万元( 其中,徐某 290 万元 ) ,但“贷款户参数表”中无上述业务记录。
(3) 系统参数管理及控制功能薄弱,部分参数设置、使用违规 · 经检查该行参数库表文件发现部分交易参数设置违反了国家关于个人消费贷款
4
的规定。如用于业务限额控制的参数数据据表“贷款业务种类表”中各贷种最高贷款额 均设定为 1000 万元,最低贷款额为 O,最长贷款期限为 480 个月,最高贷款比例为 100%, 而根据某商业银行总行的规定,在保证或担保方式下,个人消费额度贷款最高额度为 60 万元(AAA级) ,期限最长为 5 年。国家有关法规规定的个人消费信贷业务相关限额控制标准如表 1 所示。
表 1 相关业务限额控制标准 单位:元
贷款种类 贷款最低额 度 贷款最高额度 最短限期 最长限期 个人耐用消费 3000 50000 6 个月 3 年 品 个人住房装修
5000
150000
6 个月
5 年 个人消费额度 0( C级)
600000(AAA级、担保或
5 年
一般商业性助
2000 保证方式)
100000
6 个月
5 年 学
该行系统中贷款业务种类表中部分贷种贷款额、期限设定内容设置如表 13-3 所示。
5
· 该系统中信用等级额度表显示,该表中信用等级表示:
O 优秀、 1 良好、 2 中等、3 一般、4 差。信用等级越高 ( 好) ,最大贷款限额却越小,如表 13-4 所示,该表数据明显错误。
· 通过使用 SQLSERVE查R询工具,编制 SQL语句:
select sum( 实际贷款金额 ) ,count( 客户编号 ) fromdbo.贷款户参数表 where 贷款业务类型 =‘1 6 ’and
6
起贷日 >"2000-12- 31’and 起贷日 < "2002-1- 1’and 实际贷款金额 >600000 and ( 担保方式 =’l ’or 担保方式 =’10’) 对下载的数据进行分析筛选汇总, 发现 2001 年单笔超过 60 万元限额、以保证或信用方式发放的个人消费额度贷款共 10 笔、总额为 35 428 000 元。
2. 总体业务设计尚有欠缺 ?
对个人住房贷款系统业务电子数据贷款户分户动态明细表、贷款户参数表进行分析检查,发现逾期本金、呆滞本金总额与业务报表差异明显,原因在于贷款形态转列时,系统并未自动转换,仅提供提示,仍由人工干预调整。
? 系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。
? 执行查询操作时,无法选择时点,查询结果仅为实时数据,统计功能不够强大, 无法实现查询条件的任意组合;有关查询的部分信息不能打印。
· 还款方式不够灵活多样,信用卡批量扣款无法实现部分扣款。
· 没有实现整个分行系统内部信息的共享,需求尚未真正实现。
3. 系统使用管理与控制不够有力 ? 贷款业务审批人员也拥有具体经办人员的操作权限密码。
· 访问控制不强,口令未定期更新。
· 系统未安装防杀病毒软件。
· 无具体的安全管理规定。
4. 业务风险控制措施不力 据此开展审计延伸调查发现大量违规问题:
(1) 大量发放超限额及无指定用途的个人消费贷款 某商业银行近两年存在大量发放无指定用途的小额质押、 超限额发放个人消费额度贷款的问题。其中, 2001 年共发放仅以保证或信用方式担保且超过 60 万元限额的个人消费额度贷款 10 笔总额达 3542.8 万元,单笔最高达 719.8 万元。有关业务限额控制参数形同虚设。
(2) 放松信贷条件,存在个人住房贷款“零首付”、开发商担保方式 系统控制功能调整无法与国家有关个人消费贷款业务法规的变化保持一致。
7
(3) 个人住房贷款还款能力风险评估不足,一人贷款购买多套房屋,信贷风险难以控制 如向月收入仅 1000 元的个人发放住房贷款 500 万元,向张某发放一笔贷款购买 45 套商品房。
(4) 发放个人住房贷款用于购买本行处置的抵债资产 z 支行 2001 年 12 月向叶某发放贷款 100 万元,用于支付其竞买的大楼 (z 支行拍卖的抵债资产 ) 的部分价款,以所购大楼抵押。
(5) 以房地产开发企业负责人或员工名义贷款,违规套取银行信贷资金 z 支行 2000 年 10 月向 x 房地产公司总经理孙某等发放贷款共 400 万元,用于购买该公司开发 35 套住宅期房,由该公司提供担保。
系统对贷款申请人所在单位、 月收入等均为选填项目, 导致对贷款申请人所在单位、 开发商、担保人均为同一企业的违规行为无法示警。
前台信贷管理贷款申请功能界面中, 仅蓝色标签内容为必须填写或选择。
(6) 人为调剂贷款“规模”,企业贷款与个人消费贷款随意转换 2000 年 11 月, W支行将六户企业贷款共 1270 万元,转为企业负责人名义的一年期个人住房贷款; T 支行则分别向 17 户企业的负责人发放一年期个人消费额度贷款共1750 万元, 并 2001 年 11 月向上述企业发放流动资金贷款共 1750 万元用于归还个人贷款。
5. 交易监督管理功能薄弱 审计延伸发现部分发放的个人消费贷款被改变用途, 挪用于股票认购、 投资及股本;权益性交易等,甚至流入股市,扰乱金融秩序,加大市场风险。
(1) 借用个人名义获取个人消费贷款投入股市; z 支行 2000 年 10 月向 J 公司董事长徐某等 9 人发放半年期个人消费额度贷款共510 万元, 申请用于向 F 资产经营公司购买 J 公司部分股份。
2001 年 4 月,J 公司代为归还到 期本息。同时,以上 9 人仍以相同的企业改制购股名义获取半年期个人消费额度贷款 510 万元并由该公司使用。
5 月 9 日, J 公司将其中 450 万元以委托理财名义划入其在 G证券 公司开设的保证金账户用于股票交易。
(2) 使用消费贷款购买个人所在企业改制后的股份 z 支行 2000 年 12 月向 Y 公司董事长陈某发放一年期无指定用途个人消费额度贷
8
款 500 万元,被陈某全额用于购买该公司的法人股。
C 支行 2001 年 6 月向 B 公司陈某等 lO 人发放半年期个人额度消费贷款共 2818. 7 万元,用于购买该公司职工转让的股份。
(3) 将个人消费贷款用于向企业员工分红 z 支行 2001 年 1 月向 H公司总裁朱某发放一年期个人消费额度贷款
413 万元,随后被用于向 H公司员工发放年终分红。
(4) 个人住房贷款被企业改用于支付货款、归还借款 z 支行 2000 年 8 月向 L 公司负责人李某发放一年期个人住房贷款
120 万元,用于该企业对外支付购货款 T 支行 2000 年 11 月向吕某发放个人住房贷款
600 万元,实际由开发商 S房地产公司担保并使用,其中 200 万元用于归还借款。
(5) 以个人消费贷款名义变相发放开发企业贷款 T 市政府要求 T支行发放贷款解决某苑项目资金不到位的困难, 并于 11 月从 T 市房改办调出 1000 万元房改资金存入 T 支行。
T 支行于 2000 年 11 月向 T 市房改办领导施某 ( 兼某苑项目开发负责人 ) 发放五年期个人住房贷款 500 万元,购买该办下属企业T 市经济适用房发展中心开发的某苑小区期房,由该中心担保。
思考题:
1. 在案例中对信息系统采用了什么审计方法?你认为哪一个方法是最有效的?为什么? 2. 如果你是审计人员,审计后你会提出什么建议? 3. 从此案例中你想到了什么?