作者:***
来源:《中国内部审计》2020年第09期
[摘要]由于互联网线上业务的特殊性,其风险与线下业务存在差异,特别是欺诈和舞弊风险更为突出。本文通过案例分析,探讨如何开展线上信贷业务的反欺诈和舞弊审计。 [关键词]线上信贷 欺诈与舞弊 内部审计 商业银行
随着商业银行互联网线上信贷业务的快速发展,外部欺诈和内部舞弊等问题也逐步显现,给银行和社会带来新的挑战。商业银行内部审计部门开展相关审计,及时发现欺诈和舞弊风险,促进商业银行强化相关业务风险管控,是其应有职责,责无旁贷。
一、互联网线上信贷业务欺诈与舞弊典型案例
案例1:2018年,上海破获一起黑客利用银行APP安全漏洞非法获取银行质押贷款2800万元的案件,马某等6人被抓获。据报道,马某等人利用“黑客”技术,长期在网上寻全国各
家银行和其他金融机构的安全漏洞,2018年5月,其发现某银行APP软件的质押贷款业务存在安全漏洞,利用非法手段获取5套该行储户信息,在账户中存入少量金额后办理定期存款,再通过技术软件放大存款金额后办理质押贷款套现。
案例2:某中介公司与某银行长期开展业务合作,由其推荐企业和个人客户名单,并提供生产经营、财务收支、银行流水、资产信息等数据资料。中介公司平时负责与银行接洽的XX私自篡改客户名单,虚构经营和财务数据,套取银行线上贷款。另据报道,部分中介通过虚构、包装借款人的身份与财务数据,如虚构收入、信用卡还款记录、房产资料以及公积金、社保、税款缴纳等数据,骗取银行或网贷平台的贷款。 上海手机充值卡批发 案例3:某商业银行互联网个人信贷产品,目标客户名单及收入情况等数据资料由该支行某客户经理向当地政府某机构收集,并一人完成系统数据录入和审核工作。2018年以来,该客户经理通过篡改客户名单数据等方法,假借客户身份办理了大量线上贷款。2019年某商业银行某支行也发生了类似案件,该行客户经理作为该行网上信贷业务经办人员,私刻某企业公章,篡改企业员工名单,冒充该企业员工获得网上信贷产品授信额度和用信。
二、线上信贷业务的欺诈与舞弊风险分析
通过对以上案例分析发现,当前互联网线上信贷业务的欺诈和舞弊风险,主要体现为对银行信息系统的网络攻击、外部合作机构提供虚假数据、银行员工独自或内外勾结篡改数据信息等,以骗取银行线上贷款,涉及银行信息系统的安全性、数据信息的真实准确性和内部控制的有效性三个方面。
(一)信息系统的安全性
线上信贷业务依托信息系统和互联网,系统和网络的安全稳定是开展业务的前提条件和基本要求。但目前大部分银行的互联网线上信贷业务还处于起步阶段,风险防控的经验和应对措施相对缺乏。并且为了抢占业务市场,部分银行的线上信贷业务,如前述第1个案例的线上存款质押贷款业务,在未经过充分测试和评估、业务系统设计存在漏洞的情况下匆忙上线,给不法分子提供了机会。当前,线上金融平台安全漏洞风险不可小觑。据报道,2018年对1000多家互联网金融平台网站监测发现,存在高危漏洞的网站达12.4%,高危漏洞451个。
(二)数据信息的准确性
互联网金融业务近年来之所以快速发展,与外部大数据环境的形成密切相关。社会数据量呈爆炸式增长,数据来源渠道、类型更加多样化和动态化。同时,数据处理及挖掘技术不断进步,数据价值不断增加,都使得商业银行通过大数据分析对客户信用进行自动甄别并筛选成为可能。互联网线上信贷业务,就是银行采集客户的各种内外部数据信息,通过事先设计好的风险模型,自动对客户进行身份验证、风险评估、贷款调查、授用信审查审批和贷后管理。数据的真实准确性决定了对客户信用水平评价的准确性,决定了贷款信用风险的高低。但目前许多银行对数据的安全管理还存在漏洞,如数据采集、传输、保管和使用等方面,安全意识不强、管理不够严格、技术手段不足,有的数据复核、校验主要依靠手工方式,效率低、效果差,难以发现伪造、篡改数据等欺诈和舞弊行为,影响了数据质量。
(三)内部控制的有效性
银行互联网线上信贷业务内部控制的不健全,会给欺诈和舞弊行为提供可乘之机,增加了欺诈和舞弊风险。如前述第1个案例,如果银行强化业务系统开发、测试、上线运行、运营维护、监督评价等整个流程的内部控制,系统的漏洞和缺陷就可能被及时发现,从而
避免外部人员利用银行系统漏洞从事违法活动。在第2个和第3个案例中,如果银行强化对数据采集、传输、保管和使用整个过程的内部控制,严格落实双人操作、换人复核等岗位制约措施,加强对数据合作单位的风险评估和准入控制,并进行数据交叉验证,那么违法分子通过篡改伪造数据骗取贷款的难度就大大增加,从而有效降低欺诈和舞弊风险。
他者 三、线上信贷业务反欺诈与舞弊审计思路
通过以上分析发现,信息系统和网络的安全性、数据信息的真实准确性、内部控制的有效性,是防范互联网线上信贷业务风险的落脚点,也是开展线上信贷业务反欺诈与舞弊审计的主要内容。
(一)开展网络和信息系统安全审计
安全、可靠、高效的网络和信息系统是线上业务健康发展的前提。内部审计的目标是评价并提高商业银行线上业务网络和系统的安全可靠性。
dawson cd>病因学
一是网络安全审计。主要审计:被审计单位是否制定网络安全管控办法、明确各部门和各岗位的网络安全防护职责并严格落实相应的安全防护措施。具体包括:是否对系统、数据库的访问进行控制,特别是对远程登录方式的控制;是否建立有效的防火墻和入侵监测系统,是否有效控制第三方网络接入并部署多层异构防火墙;是否对设备接入内外部网络采取控制措施;是否建立完善的计算机防病毒机制;是否建立网络安全事件监测和管理机制,是否存在瞒报、漏报或迟报情况等。
二是业务系统的安全性审计。主要审计:被审计单位是否建立线上业务系统的安全管理机制,线上业务系统开发、测试、上线、维护和评价是否符合安全规范;系统设计是否经过评审,包括系统架构、安全控制措施等方面;开发、测试、生产环境是否有效隔离;安全运营管理和系统维护是否规范,是否定期开展安全测试和压力测试,确保系统安全、稳定和持续运行;是否定期开展系统漏洞扫描并及时修复漏洞,扫描的内容和频率是否合理,是否覆盖各类设备和系统等。
(二)开展数据管理和数据质量审计
对于互联网金融业务来说,数据的重要性不言而喻。没有高质量的数据,线上信贷业务就如盲人摸象,难以开展。而数据质量与数据管理密切相关,强化数据管理,提高数据质量,也有利于防范或及时发现数据等欺诈和舞弊行为,有效保护银行资金安全。
一是数据管理审计。主要审计:被审计单位是否制定线上信贷业务数据管理的制度办法和操作流程,是否明确数据采集、保管、使用等各环节和各岗位的职责与权限,特别是敏感数据的接触、保密等方面,是否有明确的流程规范;是否对与第三方机构开展营销获客、联名贷款、风险分担、信息科技、逾期催收等方面的数据合作进行规范,数据来源是否合法合规,数据交互行为是否采取措施实现敏感数据的有效隔离,数据交互是否在安全合规的环境下进行;是否建立数据的校验复核和抽查机制,包括建立人工复核验证机制作为对风险模型自动审批的必要补充并制定相关操作规程、明确人工复核验证的触发条件等。
二是数据质量审计。主要审计:是否制定统一规范的线上信贷业务数据质量标准;采集的数据格式是否规范、内容是否完整,是否存在部分字段缺漏和内容不全的情况;数据是否符合时效性和连续性的要求,是否及时补充更新;不同系统的数据是否一致,不同系统间数据是否进行有效衔接和共享,是否存在数据孤岛的情况;数据是否有效,是否存在大量无效数据占用系统资源的情况;是否对数据的准确性进行数据交叉验证;身份认证模型、风险评价模型、授信审批模型、风险定价模型等数据模型是否有效等。
(三)开展内部控制审计
rvr
内部控制是基础,强化内部控制是商业银行防范各类风险的最重要手段。完善的案防和贷后各类机制,是商业银行线上业务的有效保障,也是审计的重点内容。
一是案防和反欺诈体系完善性审计。主要审计:被审计单位是否建立案防和反欺诈防控体系,是否重视线上信贷业务的案防和风控,是否将其纳入案防和反欺诈体系,是否定期进行相关风险评估;案防和反欺诈相关制度是否健全,职责及分工是否明确;案防和反欺诈措施是否有效并得到认真执行;是否建立有效的反欺诈信息平台,平台运行管理是否规范;案件和欺诈风险信息是否及时完整上报,是否存在瞒报、漏报和迟报的情况;员工行为管理是否到位,是否定期开展相关业务的员工行为排除等活动;牵头部门是否定期开展案防和反欺诈工作的监督检查并督促问题整改等。
特钢厂 二是关键环节和岗位的内控健全性审计。主要审计:线上信贷业务的信息系统研发环节和风险评价、授信审批模型设计环节的相关控制是否到位,如研发与运营维护岗位是否分离,模型规则和参数的设置及变更是否落实审查审批制度和岗位制约等;数据信息的采集、存储、传输和导入系统,数据使用、修改和维护等各环节,是否落实岗位分离和双人操作,线上系统操作岗位的用户角授权管理制度是否明确、职责权限是否清晰、相互制
约是否到位,是否建立换人交叉复核制度,是否存在单人完成全流程工作的“一手清”情况;与第三方机构合作方面,是否对其资质和内部控制状况进行评估,合作过程是否采取有效的内控措施;案防、反欺诈等风险监测环节,监测岗位与预警信息处理岗位是否分离,是否建立重大预警信息及处理情况报告制度等。
三是监测预警和贷后管理有效性审计。主要审计:是否建立相关监测机制、制定相关制度、成立相关机构、研发相关系统、配备合适人员以实时监测各类风险和欺诈舞弊行为;监测预警模型的指标与预警触发条件是否合理;是否定期分析各类风险变化情况,定期评估监测预警效果并及时完善各类监测预警模型、监测工具和手段,以提高监测效果;预警信息核查处置是否及时到位,是否存在预警与核查相脱节的情况;贷后管理的线上线下协同是否顺畅,是否根据需要补充线下贷后管理手段等。
四、相关建议
商业银行全面开展互联网金融业务的时间不长,特别是线上信贷业务还处于起步阶段,相关管理制度不完善,业务开展和风险防控缺乏经验,相关风险尚未真正暴露。对于商业银行内部审计部门来说,线上业务审计是全新课题,必须加强学习研究,加深对互联
网金融业务的了解,提高审计技能。同时,审计部门还要强化数字化审计工具的研发和应用,以审计数字化转型应对业务数字化发展,以适应互联网金融业务快速发展下风险防控的迫切要求。
(作者單位:中国农业银行审计局广州分局,:510627,:**************)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议