商業(yè)銀行互聯(lián)網(wǎng)線上信貸業(yè)務(wù)反欺詐與舞弊內(nèi)部審計

詹向勇

[摘要]由于互聯(lián)網(wǎng)線上業(yè)務(wù)的特殊性，其風(fēng)險與線下業(yè)務(wù)存在差異，特別是欺詐和舞弊風(fēng)險更為突出。本文通過案例分析，探討如何開展線上信貸業(yè)務(wù)的反欺詐和舞弊審計。

[關(guān)鍵詞]線上信貸 ? 欺詐與舞弊 ? 內(nèi)部審計 ? 商業(yè)銀行

隨著商業(yè)銀行互聯(lián)網(wǎng)線上信貸業(yè)務(wù)的快速發(fā)展，外部欺詐和內(nèi)部舞弊等問題也逐步顯現(xiàn)，給銀行和社會帶來新的挑戰(zhàn)。商業(yè)銀行內(nèi)部審計部門開展相關(guān)審計，及時發(fā)現(xiàn)欺詐和舞弊風(fēng)險，促進商業(yè)銀行強化相關(guān)業(yè)務(wù)風(fēng)險管控，是其應(yīng)有職責(zé)，責(zé)無旁貸。

一、互聯(lián)網(wǎng)線上信貸業(yè)務(wù)欺詐與舞弊典型案例

案例1：2018年，上海破獲一起黑客利用銀行APP安全漏洞非法獲取銀行質(zhì)押貸款2800萬元的案件，馬某等6人被抓獲。據(jù)報道，馬某等人利用“黑客”技術(shù)，長期在網(wǎng)上尋找全國各家銀行和其他金融機構(gòu)的安全漏洞，2018年5月，其發(fā)現(xiàn)某銀行APP軟件的質(zhì)押貸款業(yè)務(wù)存在安全漏洞，利用非法手段獲取5套該行儲戶信息，在賬戶中存入少量金額后辦理定期存款，再通過技術(shù)軟件放大存款金額后辦理質(zhì)押貸款套現(xiàn)。

案例2：某中介公司與某銀行長期開展業(yè)務(wù)合作，由其推薦企業(yè)和個人客戶名單，并提供生產(chǎn)經(jīng)營、財務(wù)收支、銀行流水、資產(chǎn)信息等數(shù)據(jù)資料。中介公司平時負責(zé)與銀行接洽的XX私自篡改客戶名單，虛構(gòu)經(jīng)營和財務(wù)數(shù)據(jù)，套取銀行線上貸款。另據(jù)報道，部分中介通過虛構(gòu)、包裝借款人的身份與財務(wù)數(shù)據(jù)，如虛構(gòu)收入、信用卡還款記錄、房產(chǎn)資料以及公積金、社保、稅款繳納等數(shù)據(jù)，騙取銀行或網(wǎng)貸平臺的貸款。

案例3：某商業(yè)銀行互聯(lián)網(wǎng)個人信貸產(chǎn)品，目標(biāo)客戶名單及收入情況等數(shù)據(jù)資料由該支行某客戶經(jīng)理向當(dāng)?shù)卣硻C構(gòu)收集，并一人完成系統(tǒng)數(shù)據(jù)錄入和審核工作。2018年以來，該客戶經(jīng)理通過篡改客戶名單數(shù)據(jù)等方法，假借客戶身份辦理了大量線上貸款。2019年某商業(yè)銀行某支行也發(fā)生了類似案件，該行客戶經(jīng)理作為該行網(wǎng)上信貸業(yè)務(wù)經(jīng)辦人員，私刻某企業(yè)公章，篡改企業(yè)員工名單，冒充該企業(yè)員工獲得網(wǎng)上信貸產(chǎn)品授信額度和用信。

二、線上信貸業(yè)務(wù)的欺詐與舞弊風(fēng)險分析

通過對以上案例分析發(fā)現(xiàn)，當(dāng)前互聯(lián)網(wǎng)線上信貸業(yè)務(wù)的欺詐和舞弊風(fēng)險，主要體現(xiàn)為對銀行信息系統(tǒng)的網(wǎng)絡(luò)攻擊、外部合作機構(gòu)提供虛假數(shù)據(jù)、銀行員工獨自或內(nèi)外勾結(jié)篡改數(shù)據(jù)信息等，以騙取銀行線上貸款，涉及銀行信息系統(tǒng)的安全性、數(shù)據(jù)信息的真實準確性和內(nèi)部控制的有效性三個方面。

（一）信息系統(tǒng)的安全性

線上信貸業(yè)務(wù)依托信息系統(tǒng)和互聯(lián)網(wǎng)，系統(tǒng)和網(wǎng)絡(luò)的安全穩(wěn)定是開展業(yè)務(wù)的前提條件和基本要求。但目前大部分銀行的互聯(lián)網(wǎng)線上信貸業(yè)務(wù)還處于起步階段，風(fēng)險防控的經(jīng)驗和應(yīng)對措施相對缺乏。并且為了搶占業(yè)務(wù)市場，部分銀行的線上信貸業(yè)務(wù)，如前述第1個案例的線上存款質(zhì)押貸款業(yè)務(wù)，在未經(jīng)過充分測試和評估、業(yè)務(wù)系統(tǒng)設(shè)計存在漏洞的情況下匆忙上線，給不法分子提供了機會。當(dāng)前，線上金融平臺安全漏洞風(fēng)險不可小覷。據(jù)報道，2018年對1000多家互聯(lián)網(wǎng)金融平臺網(wǎng)站監(jiān)測發(fā)現(xiàn)，存在高危漏洞的網(wǎng)站達12.4%，高危漏洞451個。

（二）數(shù)據(jù)信息的準確性

互聯(lián)網(wǎng)金融業(yè)務(wù)近年來之所以快速發(fā)展，與外部大數(shù)據(jù)環(huán)境的形成密切相關(guān)。社會數(shù)據(jù)量呈爆炸式增長，數(shù)據(jù)來源渠道、類型更加多樣化和動態(tài)化。同時，數(shù)據(jù)處理及挖掘技術(shù)不斷進步，數(shù)據(jù)價值不斷增加，都使得商業(yè)銀行通過大數(shù)據(jù)分析對客戶信用進行自動甄別并篩選成為可能。互聯(lián)網(wǎng)線上信貸業(yè)務(wù)，就是銀行采集客戶的各種內(nèi)外部數(shù)據(jù)信息，通過事先設(shè)計好的風(fēng)險模型，自動對客戶進行身份驗證、風(fēng)險評估、貸款調(diào)查、授用信審查審批和貸后管理。數(shù)據(jù)的真實準確性決定了對客戶信用水平評價的準確性，決定了貸款信用風(fēng)險的高低。但目前許多銀行對數(shù)據(jù)的安全管理還存在漏洞，如數(shù)據(jù)采集、傳輸、保管和使用等方面，安全意識不強、管理不夠嚴格、技術(shù)手段不足，有的數(shù)據(jù)復(fù)核、校驗主要依靠手工方式，效率低、效果差，難以發(fā)現(xiàn)偽造、篡改數(shù)據(jù)等欺詐和舞弊行為，影響了數(shù)據(jù)質(zhì)量。

（三）內(nèi)部控制的有效性

銀行互聯(lián)網(wǎng)線上信貸業(yè)務(wù)內(nèi)部控制的不健全，會給欺詐和舞弊行為提供可乘之機，增加了欺詐和舞弊風(fēng)險。如前述第1個案例，如果銀行強化業(yè)務(wù)系統(tǒng)開發(fā)、測試、上線運行、運營維護、監(jiān)督評價等整個流程的內(nèi)部控制，系統(tǒng)的漏洞和缺陷就可能被及時發(fā)現(xiàn)，從而避免外部人員利用銀行系統(tǒng)漏洞從事違法活動。在第2個和第3個案例中，如果銀行強化對數(shù)據(jù)采集、傳輸、保管和使用整個過程的內(nèi)部控制，嚴格落實雙人操作、換人復(fù)核等崗位制約措施，加強對數(shù)據(jù)合作單位的風(fēng)險評估和準入控制，并進行數(shù)據(jù)交叉驗證，那么違法分子通過篡改偽造數(shù)據(jù)騙取貸款的難度就大大增加，從而有效降低欺詐和舞弊風(fēng)險。

三、線上信貸業(yè)務(wù)反欺詐與舞弊審計思路

通過以上分析發(fā)現(xiàn)，信息系統(tǒng)和網(wǎng)絡(luò)的安全性、數(shù)據(jù)信息的真實準確性、內(nèi)部控制的有效性，是防范互聯(lián)網(wǎng)線上信貸業(yè)務(wù)風(fēng)險的落腳點，也是開展線上信貸業(yè)務(wù)反欺詐與舞弊審計的主要內(nèi)容。

（一）開展網(wǎng)絡(luò)和信息系統(tǒng)安全審計

安全、可靠、高效的網(wǎng)絡(luò)和信息系統(tǒng)是線上業(yè)務(wù)健康發(fā)展的前提。內(nèi)部審計的目標(biāo)是評價并提高商業(yè)銀行線上業(yè)務(wù)網(wǎng)絡(luò)和系統(tǒng)的安全可靠性。

一是網(wǎng)絡(luò)安全審計。主要審計：被審計單位是否制定網(wǎng)絡(luò)安全管控辦法、明確各部門和各崗位的網(wǎng)絡(luò)安全防護職責(zé)并嚴格落實相應(yīng)的安全防護措施。具體包括：是否對系統(tǒng)、數(shù)據(jù)庫的訪問進行控制，特別是對遠程登錄方式的控制;是否建立有效的防火墻和入侵監(jiān)測系統(tǒng)，是否有效控制第三方網(wǎng)絡(luò)接入并部署多層異構(gòu)防火墻;是否對設(shè)備接入內(nèi)外部網(wǎng)絡(luò)采取控制措施;是否建立完善的計算機防病毒機制;是否建立網(wǎng)絡(luò)安全事件監(jiān)測和管理機制，是否存在瞞報、漏報或遲報情況等。

二是業(yè)務(wù)系統(tǒng)的安全性審計。主要審計：被審計單位是否建立線上業(yè)務(wù)系統(tǒng)的安全管理機制，線上業(yè)務(wù)系統(tǒng)開發(fā)、測試、上線、維護和評價是否符合安全規(guī)范;系統(tǒng)設(shè)計是否經(jīng)過評審，包括系統(tǒng)架構(gòu)、安全控制措施等方面;開發(fā)、測試、生產(chǎn)環(huán)境是否有效隔離;安全運營管理和系統(tǒng)維護是否規(guī)范，是否定期開展安全測試和壓力測試，確保系統(tǒng)安全、穩(wěn)定和持續(xù)運行;是否定期開展系統(tǒng)漏洞掃描并及時修復(fù)漏洞，掃描的內(nèi)容和頻率是否合理，是否覆蓋各類設(shè)備和系統(tǒng)等。

（二）開展數(shù)據(jù)管理和數(shù)據(jù)質(zhì)量審計

對于互聯(lián)網(wǎng)金融業(yè)務(wù)來說，數(shù)據(jù)的重要性不言而喻。沒有高質(zhì)量的數(shù)據(jù)，線上信貸業(yè)務(wù)就如盲人摸象，難以開展。而數(shù)據(jù)質(zhì)量與數(shù)據(jù)管理密切相關(guān)，強化數(shù)據(jù)管理，提高數(shù)據(jù)質(zhì)量，也有利于防范或及時發(fā)現(xiàn)數(shù)據(jù)造假等欺詐和舞弊行為，有效保護銀行資金安全。

一是數(shù)據(jù)管理審計。主要審計：被審計單位是否制定線上信貸業(yè)務(wù)數(shù)據(jù)管理的制度辦法和操作流程，是否明確數(shù)據(jù)采集、保管、使用等各環(huán)節(jié)和各崗位的職責(zé)與權(quán)限，特別是敏感數(shù)據(jù)的接觸、保密等方面，是否有明確的流程規(guī)范;是否對與第三方機構(gòu)開展?fàn)I銷獲客、聯(lián)名貸款、風(fēng)險分擔(dān)、信息科技、逾期催收等方面的數(shù)據(jù)合作進行規(guī)范，數(shù)據(jù)來源是否合法合規(guī)，數(shù)據(jù)交互行為是否采取措施實現(xiàn)敏感數(shù)據(jù)的有效隔離，數(shù)據(jù)交互是否在安全合規(guī)的環(huán)境下進行;是否建立數(shù)據(jù)的校驗復(fù)核和抽查機制，包括建立人工復(fù)核驗證機制作為對風(fēng)險模型自動審批的必要補充并制定相關(guān)操作規(guī)程、明確人工復(fù)核驗證的觸發(fā)條件等。

二是數(shù)據(jù)質(zhì)量審計。主要審計：是否制定統(tǒng)一規(guī)范的線上信貸業(yè)務(wù)數(shù)據(jù)質(zhì)量標(biāo)準;采集的數(shù)據(jù)格式是否規(guī)范、內(nèi)容是否完整，是否存在部分字段缺漏和內(nèi)容不全的情況;數(shù)據(jù)是否符合時效性和連續(xù)性的要求，是否及時補充更新;不同系統(tǒng)的數(shù)據(jù)是否一致，不同系統(tǒng)間數(shù)據(jù)是否進行有效銜接和共享，是否存在數(shù)據(jù)孤島的情況;數(shù)據(jù)是否有效，是否存在大量無效數(shù)據(jù)占用系統(tǒng)資源的情況;是否對數(shù)據(jù)的準確性進行數(shù)據(jù)交叉驗證;身份認證模型、風(fēng)險評價模型、授信審批模型、風(fēng)險定價模型等數(shù)據(jù)模型是否有效等。

（三）開展內(nèi)部控制審計

內(nèi)部控制是基礎(chǔ)，強化內(nèi)部控制是商業(yè)銀行防范各類風(fēng)險的最重要手段。完善的案防和貸后各類機制，是商業(yè)銀行線上業(yè)務(wù)的有效保障，也是審計的重點內(nèi)容。

一是案防和反欺詐體系完善性審計。主要審計：被審計單位是否建立案防和反欺詐防控體系，是否重視線上信貸業(yè)務(wù)的案防和風(fēng)控，是否將其納入案防和反欺詐體系，是否定期進行相關(guān)風(fēng)險評估;案防和反欺詐相關(guān)制度是否健全，職責(zé)及分工是否明確;案防和反欺詐措施是否有效并得到認真執(zhí)行;是否建立有效的反欺詐信息平臺，平臺運行管理是否規(guī)范;案件和欺詐風(fēng)險信息是否及時完整上報，是否存在瞞報、漏報和遲報的情況;員工行為管理是否到位，是否定期開展相關(guān)業(yè)務(wù)的員工行為排除等活動;牽頭部門是否定期開展案防和反欺詐工作的監(jiān)督檢查并督促問題整改等。

二是關(guān)鍵環(huán)節(jié)和崗位的內(nèi)控健全性審計。主要審計：線上信貸業(yè)務(wù)的信息系統(tǒng)研發(fā)環(huán)節(jié)和風(fēng)險評價、授信審批模型設(shè)計環(huán)節(jié)的相關(guān)控制是否到位，如研發(fā)與運營維護崗位是否分離，模型規(guī)則和參數(shù)的設(shè)置及變更是否落實審查審批制度和崗位制約等;數(shù)據(jù)信息的采集、存儲、傳輸和導(dǎo)入系統(tǒng)，數(shù)據(jù)使用、修改和維護等各環(huán)節(jié)，是否落實崗位分離和雙人操作，線上系統(tǒng)操作崗位的用戶角色授權(quán)管理制度是否明確、職責(zé)權(quán)限是否清晰、相互制約是否到位，是否建立換人交叉復(fù)核制度，是否存在單人完成全流程工作的“一手清”情況;與第三方機構(gòu)合作方面，是否對其資質(zhì)和內(nèi)部控制狀況進行評估，合作過程是否采取有效的內(nèi)控措施;案防、反欺詐等風(fēng)險監(jiān)測環(huán)節(jié)，監(jiān)測崗位與預(yù)警信息處理崗位是否分離，是否建立重大預(yù)警信息及處理情況報告制度等。

三是監(jiān)測預(yù)警和貸后管理有效性審計。主要審計：是否建立相關(guān)監(jiān)測機制、制定相關(guān)制度、成立相關(guān)機構(gòu)、研發(fā)相關(guān)系統(tǒng)、配備合適人員以實時監(jiān)測各類風(fēng)險和欺詐舞弊行為;監(jiān)測預(yù)警模型的指標(biāo)與預(yù)警觸發(fā)條件是否合理;是否定期分析各類風(fēng)險變化情況，定期評估監(jiān)測預(yù)警效果并及時完善各類監(jiān)測預(yù)警模型、監(jiān)測工具和手段，以提高監(jiān)測效果;預(yù)警信息核查處置是否及時到位，是否存在預(yù)警與核查相脫節(jié)的情況;貸后管理的線上線下協(xié)同是否順暢，是否根據(jù)需要補充線下貸后管理手段等。

四、相關(guān)建議

商業(yè)銀行全面開展互聯(lián)網(wǎng)金融業(yè)務(wù)的時間不長，特別是線上信貸業(yè)務(wù)還處于起步階段，相關(guān)管理制度不完善，業(yè)務(wù)開展和風(fēng)險防控缺乏經(jīng)驗，相關(guān)風(fēng)險尚未真正暴露。對于商業(yè)銀行內(nèi)部審計部門來說，線上業(yè)務(wù)審計是全新課題，必須加強學(xué)習(xí)研究，加深對互聯(lián)網(wǎng)金融業(yè)務(wù)的了解，提高審計技能。同時，審計部門還要強化數(shù)字化審計工具的研發(fā)和應(yīng)用，以審計數(shù)字化轉(zhuǎn)型應(yīng)對業(yè)務(wù)數(shù)字化發(fā)展，以適應(yīng)互聯(lián)網(wǎng)金融業(yè)務(wù)快速發(fā)展下風(fēng)險防控的迫切要求。

（作者單位：中國農(nóng)業(yè)銀行審計局廣州分局，郵政編碼：510627，電子郵箱：gzsjfj@163.com）