商业银行个人消费信贷系统审计案例一

商业银行个人消费信贷系统审计案例

一、审计背景

信息技术在金融领域日益广泛的应用，使金融电子化本身也产生了新的技术风险，人们不仅要审计计算机信息系统产生的电子数据，而且要对计算机信息系统本身进行审计。

随着我国经济的持续快速发展，人们的生活质量和消费水平的飞速提高，个人消费信贷业务和市场也处在一个方兴未艾的阶段，各家商业银行纷纷推出具有自身特点的个人消费信贷产品。2002年，为全面深入地掌握这一新兴的金融创新产品在实际运作中的情况，审计机关决定结合对某商业银行资产负债损益的审计，对其个人消费信贷系统开展审计。

二、被审系统概况

某商业银行个人消费信贷系统是该行2000年根据相关业务部门提出的《个人消费信贷需求说明书》，是与某公司合作开发的。该系统2001年试点后全面转入正常营业状态。该系统包括个人消费信贷管理子系统、储蓄前台会计核算管理子系统和后台系统管理子系统三个子系统。贷款管理子系统的主要功能是实现贷款资料管理、贷款审批、发放日常管理和贷款统计等。会计核算子系统主要功能是实现储蓄网点贷款发放、贷款回收、结息、逾期、结清等会计核算以及查询分户信息和打印账表等。系统管理子系统实现日终处理、委托扣款、利率维护、操作员管理、标准数据维护和数据调整等功能。

该系统采用双层结构，数据资料集中存放在个人消费信贷业务主机(UNIX操作系统)，使用INFORMIX数据库，该主机与零售系统主机之间留有接口，能及时收到零售系统对各种个人消费信贷账务处理的结果和向零售系统发送扣款请求及会计并账数据；在开展个人消费信贷的支行设一台个人消费信贷管理机(WINDOWS界面)，用于个人消费信贷项目的开设及业务的贷款申请、展期申请、审批、打印、查询与参数维护等。

该系统预留了个人住房贷款业务处理功能，实际中仍由该行会计核算系统中用于商业性个人住房贷款管理与核算的子系统——个人商业贷款管理系统代为运作，我们将此两部分个人消费信贷业务合并考虑，作为一个整体予以审计。

三、系统审计流程

整个系统审计工作具体经过了审计准备、审计评估、审计测试、审计总评和报告四

个阶段。

1．开展审前调查，制定审计方案

向某银行提交明确的资料需求，与有关业务及科技人员进行沟通，熟悉软件的主要功能，收集系统的部分开发、管理、维护方面的文档技术资料，主要包括部分设计方案、数据结构模块、测试文档、用户手册、权限管理、控制规章等。同时，还收集了一批个人消费信贷业务的法规制度供设计审计测试项目时参考。在此基础上，拟定了审计工作方案，明确审计目标，界定审计范围，突出审计重点，确定审计方法和步骤。

2．明确审计重点，确定测试项目

根据方案，对已收集的系统文档资料进行了研究分析，针对发现的问题细化审计对象，重点围绕审阅系统文档和检查应用程序两个方面进行，对相关模块及其运行环境进行观察、检查和测试。审计人员设计了一系列有关系统一般控制、应用控制方面的调查表格，发放给系统设计、使用、维护部门和人员填写，向他们座谈了解软件概况，并与他们一同观察系统运行使用现状。审计人员查阅了部分文本流程图、数据流图、系统流程图和程序流程图，了解软件系统中存在哪些控制、在哪里控制、如何控制等信息，选定个别输入程序流程，追踪检查输入的样本业务，验证有关控制措施在实际执行的程序中是否有效，积极关注应用软件系统设计和运行中的异常疑点和薄弱环节，揭示不当的人工干预环节与人为调节点。

3．实施系统审计

审计小组将软件功能与相关法律法规进行对照研究，熟悉具体功能及其使用条件，分析系统软件可能的缺陷，运用多种方法对运行环境进行观察、检查和测试，查找存在的问题。

（1）检查程序运行结果

这是审计中大量运用的方法。首先分析该软件系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，要求某商业银行完整下载审计所需的近100个数据库文件，通过运用审计数据采集与分析软件等数据处理工具，对下载的数据文件进行转换，对照法律法规要求设定各种运算条件，使用工具软件中的查询、排序、计算、重组、分析等项功能，对电子数据进行整理、加工用于检查，发现较多疑点，并与调阅的纸质数据、账表和凭证进行了比较取证，以确定系统的功能是否合法、正确。

（2）数据检测

审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能进行数据检测。如对贷款人建档模块的输入控制功能、系统参数信息管理模块的控制功能进行了处理测试，发现输入校验功能较弱，存在违规设置事项。测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后，将程序运行结果与预期结果进行比对，判断有关程序的控制与处理功能是否恰当、有效。

（3）平行模拟

由审计人员运用SQL语言编写相同处理及控制功能的模拟程序，用来处理贷款交易历史文件中当期的实际数据，得到新的处理结果。比较两个结果，对不符情况，全面调阅有关账证，进行重点检查。

4．进行审计评价，提出审计建议

根据审查中的审计发现，对系统作出审计评价，并针对存在的问题提出改进的建议。

四、审计发现

1．系统功能不够完善，部分功能模块存在漏洞与缺陷

(1)输入控制存在缺陷，数据关联度不够，输入校验不足

•已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后，只能开立新账号重新录入，而贷款户参数表中仍记录实际已作废的出错业务。

•个人住房信贷系统“个人贷款信息表”中存在很多“同一贷款机构、相同工作单位、相同客户姓名”但“客户身份证号不相同(末位数不同或不同身份证号)”的现象。

(2)逻辑控制存在薄弱环节，数据真实性、完整性、准确性不够

· 报表中无年初数，不存在勾稽关系，只能以储蓄零售系统生成的报表为准。

·系统“贷款户参数表”中的“贷款账号”字段编码规则未统一，如新旧账号长度不等(贷款新账号长度16位，格式为：贷款机构+贷种+期限档次+账号顺序+校验位；旧账号则长度不统一，甚至出现仅为两位数的情况)，未做统一的转换设计。

· z支行2000年10月12日向J汽车公司董事长徐某等9人发放半年期个人消费额度贷款9笔共510万元(其中，徐某290万元)，但“贷款户参数表”中无上述业务记录。

(3)系统参数管理及控制功能薄弱，部分参数设置、使用违规

· 经检查该行参数库表文件发现部分交易参数设置违反了国家关于个人消费贷款