商业银行个人消费信贷系统审计案例一.doc

商业银行个人消费信贷系统审计案例一、审计背景 信息技术在金融领域日益广泛的应用，使金融电子化本身也产生了新的技术风险，人们不仅要审计计算机信息系统产生的电子数据，而且要对计算机信息系统本身进行审计。随着我国经济的持续快速发展，人们的生活质量和消费水平的飞速提高，个人消费信贷业务和市场也处在一个方兴未艾的阶段，各家商业银行纷纷推出具有自身特点的个人消费信贷产品。2002年，为全面深入地掌握这一新兴的金融创新产品在实际运作中的情况，审计机关决定结合对某商业银行资产负债损益的审计，对其个人消费信贷系统开展审计。二、被审系统概况某商业银行个人消费信贷系统是该行2000年根据相关业务部门提出的个人消费信贷需求说明书，是与某公司合作开发的。该系统2001年试点后全面转入正常营业状态。该系统包括个人消费信贷管理子系统、储蓄前台会计核算管理子系统和后台系统管理子系统三个子系统。贷款管理子系统的主要功能是实现贷款资料管理、贷款审批、发放日常管理和贷款统计等。会计核算子系统主要功能是实现储蓄网点贷款发放、贷款回收、结息、逾期、结清等会计核算以及查询分户信息和打印账表等。系统管理子系统实现日终处理、委托扣款、利率维护、操作员管理、标准数据维护和数据调整等功能。该系统采用双层结构，数据资料集中存放在个人消费信贷业务主机(UNIX操作系统)，使用INFORMIX数据库，该主机与零售系统主机之间留有接口，能及时收到零售系统对各种个人消费信贷账务处理的结果和向零售系统发送扣款请求及会计并账数据；在开展个人消费信贷的支行设一台个人消费信贷管理机(WINDOWS界面)，用于个人消费信贷项目的开设及业务的贷款申请、展期申请、审批、打印、查询与参数维护等。该系统预留了个人住房贷款业务处理功能，实际中仍由该行会计核算系统中用于商业性个人住房贷款管理与核算的子系统个人商业贷款管理系统代为运作，我们将此两部分个人消费信贷业务合并考虑，作为一个整体予以审计。三、系统审计流程 整个系统审计工作具体经过了审计准备、审计评估、审计测试、审计总评和报告四个阶段。 1开展审前调查，制定审计方案 向某银行提交明确的资料需求，与有关业务及科技人员进行沟通，熟悉软件的主要功能，收集系统的部分开发、管理、维护方面的文档技术资料，主要包括部分设计方案、数据结构模块、测试文档、用户手册、权限管理、控制规章等。同时，还收集了一批个人消费信贷业务的法规制度供设计审计测试项目时参考。在此基础上，拟定了审计工作方案，明确审计目标，界定审计范围，突出审计重点，确定审计方法和步骤。 2明确审计重点，确定测试项目 根据方案，对已收集的系统文档资料进行了研究分析，针对发现的问题细化审计对象，重点围绕审阅系统文档和检查应用程序两个方面进行，对相关模块及其运行环境进行观察、检查和测试。审计人员设计了一系列有关系统一般控制、应用控制方面的调查表格，发放给系统设计、使用、维护部门和人员填写，向他们座谈了解软件概况，并与他们一同观察系统运行使用现状。审计人员查阅了部分文本流程图、数据流图、系统流程图和程序流程图，了解软件系统中存在哪些控制、在哪里控制、如何控制等信息，选定个别输入程序流程，追踪检查输入的样本业务，验证有关控制措施在实际执行的程序中是否有效，积极关注应用软件系统设计和运行中的异常疑点和薄弱环节，揭示不当的人工干预环节与人为调节点。 3实施系统审计审计小组将软件功能与相关法律法规进行对照研究，熟悉具体功能及其使用条件，分析系统软件可能的缺陷，运用多种方法对运行环境进行观察、检查和测试，查找存在的问题。 （1）检查程序运行结果 这是审计中大量运用的方法。首先分析该软件系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，要求某商业银行完整下载审计所需的近100个数据库文件，通过运用审计数据采集与分析软件等数据处理工具，对下载的数据文件进行转换，对照法律法规要求设定各种运算条件，使用工具软件中的查询、排序、计算、重组、分析等项功能，对电子数据进行整理、加工用于检查，发现较多疑点，并与调阅的纸质数据、账表和凭证进行了比较取证，以确定系统的功能是否合法、正确。 （2）数据检测 审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能进行数据检测。如对贷款人建档模块的输入控制功能、系统参数信息管理模块的控制功能进行了处理测试，发现输入校验功能较弱，存在违规设置事项。测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后，将程序运行结果与预期结果进行比对，判断有关程序的控制与处理功能是否恰当、有效。 （3）平行模拟 由审计人员运用SQL语言编写相同处理及控制功能的模拟程序，用来处理贷款交易历史文件中当期的实际数据，得到新的处理结果。比较两个结果，对不符情况，全面调阅有关账证，进行重点检查。 4进行审计评价，提出审计建议根据审查中的审计发现，对系统作出审计评价，并针对存在的问题提出改进的建议。四、审计发现1系统功能不够完善，部分功能模块存在漏洞与缺陷(1)输入控制存在缺陷，数据关联度不够，输入校验不足 已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入 错误后，只能开立新账号重新录入，而贷款户参数表中仍记录实际已作废的出错业务。 个人住房信贷系统“个人贷款信息表”中存在很多“同一贷款机构、相同工作单位、相同客户姓名”但“客户身份证号不相同(末位数不同或不同身份证号)”的现象。(2)逻辑控制存在薄弱环节，数据真实性、完整性、准确性不够 报表中无年初数，不存在勾稽关系，只能以储蓄零售系统生成的报表为准。 系统“贷款户参数表”中的“贷款账号”字段编码规则未统一，如新旧账号长度不等(贷款新账号长度16位，格式为：贷款机构+贷种+期限档次+账号顺序+校验位；旧账号则长度不统一，甚至出现仅为两位数的情况)，未做统一的转换设计。 z支行2000年10月12日向J汽车公司董事长徐某等9人发放半年期个人消费额度贷款9笔共510万元(其中，徐某290万元)，但“贷款户参数表”中无上述业务记录。(3)系统参数管理及控制功能薄弱，部分参数设置、使用违规 经检查该行参数库表文件发现部分交易参数设置违反了国家关于个人消费贷款的规定。如用于业务限额控制的参数数据据表“贷款业务种类表”中各贷种最高贷款额均设定为1000万元，最低贷款额为O，最长贷款期限为480个月，最高贷款比例为100，而根据某商业银行总行的规定，在保证或担保方式下，个人消费额度贷款最高额度为60万元(AAA级)，期限最长为5年。国家有关法规规定的个人消费信贷业务相关限额控制标准如表1所示。表1相关业务限额控制标准 单位：元贷款种类贷款最低额度贷款最高额度最短限期最长限期个人耐用消费品3000500006个月3年个人住房装修50001500006个月5年个人消费额度0（C级）600000（AAA级、担保或保证方式）5年一般商业性助学20001000006个月5年该行系统中贷款业务种类表中部分贷种贷款额、期限设定内容设置如表13-3所示。 该系统中信用等级额度表显示，该表中信用等级表示：O优秀、1良好、2中等、3一般、4差。信用等级越高(好)，最大贷款限额却越小，如表13-4所示，该表数据明显错误。 通过使用SQLSERVER查询工具，编制SQL语句：select sum(实际贷款金额)，count(客户编号) fromdbo贷款户参数表 where贷款业务类型=1 6and 起贷日2000-12-31and 起贷日600000 and(担保方式=lor 担保方式=10) 对下载的数据进行分析筛选汇总，发现2001年单笔超过60万元限额、以保证或信用方式发放的个人消费额度贷款共10笔、总额为35 428 000元。2总体业务设计尚有欠缺 对个人住房贷款系统业务电子数据贷款户分户动态明细表、贷款户参数表进行分析检查，发现逾期本金、呆滞本金总额与业务报表差异明显，原因在于贷款形态转列时，系统并未自动转换，仅提供提示，仍由人工干预调整。 系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。 执行查询操作时，无法选择时点，查询结果仅为实时数据，统计功能不够强大，无法实现查询条件的任意组合；有关查询的部分信息不能打印。 还款方式不够灵活多样，信用卡批量扣款无法实现部分扣款。 没有实现整个分行系统内部信息的共享，需求尚未真正实现。3系统使用管理与控制不够有力 贷款业务审批人员也拥有具体经办人员的操作权限密码。 访问控制不强，口令未定期更新。 系统未安装防杀病毒软件。 无具体的安全管理规定。4业务风险控制措施不力据此开展审计延伸调查发现大量违规问题： (1)大量发放超限额及无指定用途的个人消费贷款 某商业银行近两年存在大量发放无指定用途的小额质押、超限额发放个人消费额度贷款的问题。其中，2001年共发放仅以保证或信用方式担保且超过60万元限额的个人消费额度贷款10笔总额达35428万元，单笔最高达7198万元。有关业务限额控制参数形同虚设。 (2)放松信贷条件，存在个人住房贷款“零首付”、开发商担保方式 系统控制功能调整无法与国家有关个人消费贷款业务法规的变化保持一致。 (3)个人住房贷款还款能力风险评估不足，一人贷款购买多套房屋，信贷风险难以控制 如向月收入仅1000元的个人发放住房贷款500万元，向张某发放一笔贷款购买45套商品房。 (4)发放个人住房贷款用于购买本行处置的抵债资产 z支行2001年12月向叶某发放贷款100万元，用于支付其竞买的大楼(z支行拍卖的抵债资产)的部分价款，以所购大楼抵押。 (5)以房地产开发企业负责人或员工名义贷款，违规套取银行信贷资金 z支行2000年10月向x房地产公司总经理孙某等发放贷款共400万元，用于购买该公司开发35套住宅期房，由该公司提供担保。 系统对贷款申请人所在单位、月收入等均为选填项目，导致对贷款申请人所在单位、开发商、担保人均为同一企业的违规行为无法示警。前台信贷管理贷款申请功能界面中，仅蓝色标签内容为必须填写或选择。(6)人为调剂贷款“规模”，企业贷款与个人消费贷款随意转换2000年11月，W支行将六户企业贷款共1270万元，转为企业负责人名义的一年期个人住房贷款；T支行则分别向17户企业的负责人发放一年期个人消费额度贷款共1750万元，并2001年11月向上述企业发放流动资金贷款共1750万元用于归还个人贷款。5交易监督管理功能薄弱 审计延伸发现部分发放的个人消费贷款被改变用途，挪用于股票认购、投资及股本；权益性交易等，甚至流入股市，扰乱金融秩序，加大市场风险。(1) 借用个人名义获取个人消费贷款投入股市； z支行2000年10月向J公司董事长徐某等9人发放半年期个人消费额度贷款共510 万元，申请用于向F资产经营公司购买J公司部分股份。2001年4月，J公司代为归还到 期本息。同时，以上9人仍以相同的企业改制购股名义获取半年期个人消费额度贷款510 万元并由该公司使用。5月9日，J公司将其中450万元以委托理财名义划入其在G证券 公司开设的保证金账户用于股票交易。(2)使用消费贷款购买个人所在企业改制后的股份z支行2000年12月向Y公司董事长陈某发放一年期无指定用途个人消费额度贷款500万元，被陈某全额用于购买该公司的法人股。C支行2001年6月向B公司陈某等lO人发放半年期个人额度消费贷款共28187万元，用于购买该公司职工转让的股份。(3)将个人消费贷款用于向企业员工分红z支行2001年1月向H公司总裁朱某发放一年期个人消费额度贷款413万元，随后被用于向H公司员工发放年终分红。(4)个人住房贷款被企业改用于支付货款、归还借款z支行2000年8月向L公司负责人李某发放一年期个人住房贷款120万元，用于该企业对外支付购货款T支行2000年11月向吕某发放个人住房贷款600万元，实际由开发商S房地产公司担保并使用，其中