商業銀行互聯網線上信貸業務反欺詐與舞弊內部審計

詹向勇

[摘要]由于互聯網線上業務的特殊性，其風險與線下業務存在差異，特別是欺詐和舞弊風險更為突出。本文通過案例分析，探討如何開展線上信貸業務的反欺詐和舞弊審計。

[關鍵詞]線上信貸 ? 欺詐與舞弊 ? 內部審計 ? 商業銀行

隨著商業銀行互聯網線上信貸業務的快速發展，外部欺詐和內部舞弊等問題也逐步顯現，給銀行和社會帶來新的挑戰。商業銀行內部審計部門開展相關審計，及時發現欺詐和舞弊風險，促進商業銀行強化相關業務風險管控，是其應有職責，責無旁貸。

一、互聯網線上信貸業務欺詐與舞弊典型案例

案例1：2018年，上海破獲一起黑客利用銀行APP安全漏洞非法獲取銀行質押貸款2800萬元的案件，馬某等6人被抓獲。據報道，馬某等人利用“黑客”技術，長期在網上尋找全國各家銀行和其他金融機構的安全漏洞，2018年5月，其發現某銀行APP軟件的質押貸款業務存在安全漏洞，利用非法手段獲取5套該行儲戶信息，在賬戶中存入少量金額后辦理定期存款，再通過技術軟件放大存款金額后辦理質押貸款套現。

案例2：某中介公司與某銀行長期開展業務合作，由其推薦企業和個人客戶名單，并提供生產經營、財務收支、銀行流水、資產信息等數據資料。中介公司平時負責與銀行接洽的XX私自篡改客戶名單，虛構經營和財務數據，套取銀行線上貸款。另據報道，部分中介通過虛構、包裝借款人的身份與財務數據，如虛構收入、信用卡還款記錄、房產資料以及公積金、社保、稅款繳納等數據，騙取銀行或網貸平臺的貸款。

案例3：某商業銀行互聯網個人信貸產品，目標客戶名單及收入情況等數據資料由該支行某客戶經理向當地政府某機構收集，并一人完成系統數據錄入和審核工作。2018年以來，該客戶經理通過篡改客戶名單數據等方法，假借客戶身份辦理了大量線上貸款。2019年某商業銀行某支行也發生了類似案件，該行客戶經理作為該行網上信貸業務經辦人員，私刻某企業公章，篡改企業員工名單，冒充該企業員工獲得網上信貸產品授信額度和用信。

二、線上信貸業務的欺詐與舞弊風險分析

通過對以上案例分析發現，當前互聯網線上信貸業務的欺詐和舞弊風險，主要體現為對銀行信息系統的網絡攻擊、外部合作機構提供虛假數據、銀行員工獨自或內外勾結篡改數據信息等，以騙取銀行線上貸款，涉及銀行信息系統的安全性、數據信息的真實準確性和內部控制的有效性三個方面。

（一）信息系統的安全性

線上信貸業務依托信息系統和互聯網，系統和網絡的安全穩定是開展業務的前提條件和基本要求。但目前大部分銀行的互聯網線上信貸業務還處于起步階段，風險防控的經驗和應對措施相對缺乏。并且為了搶占業務市場，部分銀行的線上信貸業務，如前述第1個案例的線上存款質押貸款業務，在未經過充分測試和評估、業務系統設計存在漏洞的情況下匆忙上線，給不法分子提供了機會。當前，線上金融平臺安全漏洞風險不可小覷。據報道，2018年對1000多家互聯網金融平臺網站監測發現，存在高危漏洞的網站達12.4%，高危漏洞451個。

（二）數據信息的準確性

互聯網金融業務近年來之所以快速發展，與外部大數據環境的形成密切相關。社會數據量呈爆炸式增長，數據來源渠道、類型更加多樣化和動態化。同時，數據處理及挖掘技術不斷進步，數據價值不斷增加，都使得商業銀行通過大數據分析對客戶信用進行自動甄別并篩選成為可能。互聯網線上信貸業務，就是銀行采集客戶的各種內外部數據信息，通過事先設計好的風險模型，自動對客戶進行身份驗證、風險評估、貸款調查、授用信審查審批和貸后管理。數據的真實準確性決定了對客戶信用水平評價的準確性，決定了貸款信用風險的高低。但目前許多銀行對數據的安全管理還存在漏洞，如數據采集、傳輸、保管和使用等方面，安全意識不強、管理不夠嚴格、技術手段不足，有的數據復核、校驗主要依靠手工方式，效率低、效果差，難以發現偽造、篡改數據等欺詐和舞弊行為，影響了數據質量。

（三）內部控制的有效性

銀行互聯網線上信貸業務內部控制的不健全，會給欺詐和舞弊行為提供可乘之機，增加了欺詐和舞弊風險。如前述第1個案例，如果銀行強化業務系統開發、測試、上線運行、運營維護、監督評價等整個流程的內部控制，系統的漏洞和缺陷就可能被及時發現，從而避免外部人員利用銀行系統漏洞從事違法活動。在第2個和第3個案例中，如果銀行強化對數據采集、傳輸、保管和使用整個過程的內部控制，嚴格落實雙人操作、換人復核等崗位制約措施，加強對數據合作單位的風險評估和準入控制，并進行數據交叉驗證，那么違法分子通過篡改偽造數據騙取貸款的難度就大大增加，從而有效降低欺詐和舞弊風險。

三、線上信貸業務反欺詐與舞弊審計思路

通過以上分析發現，信息系統和網絡的安全性、數據信息的真實準確性、內部控制的有效性，是防范互聯網線上信貸業務風險的落腳點，也是開展線上信貸業務反欺詐與舞弊審計的主要內容。

（一）開展網絡和信息系統安全審計

安全、可靠、高效的網絡和信息系統是線上業務健康發展的前提。內部審計的目標是評價并提高商業銀行線上業務網絡和系統的安全可靠性。

一是網絡安全審計。主要審計：被審計單位是否制定網絡安全管控辦法、明確各部門和各崗位的網絡安全防護職責并嚴格落實相應的安全防護措施。具體包括：是否對系統、數據庫的訪問進行控制，特別是對遠程登錄方式的控制;是否建立有效的防火墻和入侵監測系統，是否有效控制第三方網絡接入并部署多層異構防火墻;是否對設備接入內外部網絡采取控制措施;是否建立完善的計算機防病毒機制;是否建立網絡安全事件監測和管理機制，是否存在瞞報、漏報或遲報情況等。

二是業務系統的安全性審計。主要審計：被審計單位是否建立線上業務系統的安全管理機制，線上業務系統開發、測試、上線、維護和評價是否符合安全規范;系統設計是否經過評審，包括系統架構、安全控制措施等方面;開發、測試、生產環境是否有效隔離;安全運營管理和系統維護是否規范，是否定期開展安全測試和壓力測試，確保系統安全、穩定和持續運行;是否定期開展系統漏洞掃描并及時修復漏洞，掃描的內容和頻率是否合理，是否覆蓋各類設備和系統等。

（二）開展數據管理和數據質量審計

對于互聯網金融業務來說，數據的重要性不言而喻。沒有高質量的數據，線上信貸業務就如盲人摸象，難以開展。而數據質量與數據管理密切相關，強化數據管理，提高數據質量，也有利于防范或及時發現數據造假等欺詐和舞弊行為，有效保護銀行資金安全。

一是數據管理審計。主要審計：被審計單位是否制定線上信貸業務數據管理的制度辦法和操作流程，是否明確數據采集、保管、使用等各環節和各崗位的職責與權限，特別是敏感數據的接觸、保密等方面，是否有明確的流程規范;是否對與第三方機構開展營銷獲客、聯名貸款、風險分擔、信息科技、逾期催收等方面的數據合作進行規范，數據來源是否合法合規，數據交互行為是否采取措施實現敏感數據的有效隔離，數據交互是否在安全合規的環境下進行;是否建立數據的校驗復核和抽查機制，包括建立人工復核驗證機制作為對風險模型自動審批的必要補充并制定相關操作規程、明確人工復核驗證的觸發條件等。

二是數據質量審計。主要審計：是否制定統一規范的線上信貸業務數據質量標準;采集的數據格式是否規范、內容是否完整，是否存在部分字段缺漏和內容不全的情況;數據是否符合時效性和連續性的要求，是否及時補充更新;不同系統的數據是否一致，不同系統間數據是否進行有效銜接和共享，是否存在數據孤島的情況;數據是否有效，是否存在大量無效數據占用系統資源的情況;是否對數據的準確性進行數據交叉驗證;身份認證模型、風險評價模型、授信審批模型、風險定價模型等數據模型是否有效等。

（三）開展內部控制審計

內部控制是基礎，強化內部控制是商業銀行防范各類風險的最重要手段。完善的案防和貸后各類機制，是商業銀行線上業務的有效保障，也是審計的重點內容。

一是案防和反欺詐體系完善性審計。主要審計：被審計單位是否建立案防和反欺詐防控體系，是否重視線上信貸業務的案防和風控，是否將其納入案防和反欺詐體系，是否定期進行相關風險評估;案防和反欺詐相關制度是否健全，職責及分工是否明確;案防和反欺詐措施是否有效并得到認真執行;是否建立有效的反欺詐信息平臺，平臺運行管理是否規范;案件和欺詐風險信息是否及時完整上報，是否存在瞞報、漏報和遲報的情況;員工行為管理是否到位，是否定期開展相關業務的員工行為排除等活動;牽頭部門是否定期開展案防和反欺詐工作的監督檢查并督促問題整改等。

二是關鍵環節和崗位的內控健全性審計。主要審計：線上信貸業務的信息系統研發環節和風險評價、授信審批模型設計環節的相關控制是否到位，如研發與運營維護崗位是否分離，模型規則和參數的設置及變更是否落實審查審批制度和崗位制約等;數據信息的采集、存儲、傳輸和導入系統，數據使用、修改和維護等各環節，是否落實崗位分離和雙人操作，線上系統操作崗位的用戶角色授權管理制度是否明確、職責權限是否清晰、相互制約是否到位，是否建立換人交叉復核制度，是否存在單人完成全流程工作的“一手清”情況;與第三方機構合作方面，是否對其資質和內部控制狀況進行評估，合作過程是否采取有效的內控措施;案防、反欺詐等風險監測環節，監測崗位與預警信息處理崗位是否分離，是否建立重大預警信息及處理情況報告制度等。

三是監測預警和貸后管理有效性審計。主要審計：是否建立相關監測機制、制定相關制度、成立相關機構、研發相關系統、配備合適人員以實時監測各類風險和欺詐舞弊行為;監測預警模型的指標與預警觸發條件是否合理;是否定期分析各類風險變化情況，定期評估監測預警效果并及時完善各類監測預警模型、監測工具和手段，以提高監測效果;預警信息核查處置是否及時到位，是否存在預警與核查相脫節的情況;貸后管理的線上線下協同是否順暢，是否根據需要補充線下貸后管理手段等。

四、相關建議

商業銀行全面開展互聯網金融業務的時間不長，特別是線上信貸業務還處于起步階段，相關管理制度不完善，業務開展和風險防控缺乏經驗，相關風險尚未真正暴露。對于商業銀行內部審計部門來說，線上業務審計是全新課題，必須加強學習研究，加深對互聯網金融業務的了解，提高審計技能。同時，審計部門還要強化數字化審計工具的研發和應用，以審計數字化轉型應對業務數字化發展，以適應互聯網金融業務快速發展下風險防控的迫切要求。

（作者單位：中國農業銀行審計局廣州分局，郵政編碼：510627，電子郵箱：gzsjfj@163.com）