信用卡业务非现场审计工作初探,本文主要内容关键词为:审计工作论文,信用卡论文,现场论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
针对机遇与挑战并存的信用卡业务,国内商业银行都积极采用多种手段控制随之而来的各类风险,并按照监管方的要求将信用卡业务的审计工作纳入商业银行内部审计的整体计划中。在这个过程中,作为新型审计工作手段的非现场审计将充分发挥其全面性、及时性与客观性等优势。本文针对信用卡非现场审计工作的分析工具选择和不同数据基础逐步深入进行探讨。
一、针对信用卡业务开展审计工作的现实困难
1.信用卡业务面临的主要风险与突出问题
经过近几年的高速发展,国内商业银行的信用卡业务取得了可观的成就,同时也不可避免地出现了一些风险和问题。
从源头上区分,信用卡相关风险可以归结为外部欺诈风险、中介机构交易风险、内部操作风险和持卡人信用风险等四类;从风险的表现即产生的问题来区分,则包括信用卡机构盲目扩张、对中介机构缺乏有效管理、给持卡人的授信额度过高、不良贷款率上升、内外勾结或有组织的犯罪增多、投诉及争议事件层出不穷等突出问题。这些问题不仅给商业银行带来一定的经济损失,更严重地影响了商业银行的监管评级、客户满意度和声誉,为其未来的发展埋下了隐患。
2.围绕信用卡业务开展内部审计工作所面临的困难
面对当前信用卡领域存在的各类风险和问题,作为商业银行内部控制三道防线的最后一道,专注于事后监督的内部审计工作有利于促进信用卡业务发展驶入规范、健康发展的轨道。但是,目前国内商业银行针对信用卡业务开展审计工作还面临着一些困难。
(1)产品、业务种类繁多,交易和客户数据量相对较大。对于信用卡业务已经相对成熟的国内商业银行来说,其信用卡品种可能达到数百种。
(2)流程复杂,外部环节多。信用卡业务与传统银行业务相比差异较大,尤其体现在很多外部机构参与信息流转。例如,从发卡到完成一笔交易,参与的外部机构一般包括:人民银行征信系统、发卡中介机构、商户、银联或其他银行卡组织、收单行、客户服务中心和对账单寄送外包机构等。
(3)风险特征多变。对于商业银行传统的存贷款业务来说,一定时期内信贷风险在某些行业、某些地域的主要状况是相对稳定的,特征也较为容易把握。但是,面对有组织、有预谋的信用卡欺诈行为,信用卡的风险呈现多变且无规律的特征。
(4)信用卡机构的独立性。目前国内商业银行普遍采用信用卡中心与总行其他部门相对独立的运作和管理模式,由信用卡中心下设多个地域的分中心,从信息系统和数据层面看,其业务系统也相对独立,这为信用卡业务的审计工作带来了一定的困难。
3.非现场审计将成为信用卡审计的重要工作方式
针对信用卡业务审计中存在的现实困难,传统的以查阅大量原始资料为主要手段的现场审计方式缺乏高效性、全面性、及时性和连续性,难以满足信用卡审计的需要。相比之下,非现场审计将成为未来信用卡审计的主要工作方式。
非现场审计是指,在现代信息处理和传递方式基础上,通过连续地搜集审计对象的各种数据和资料,依据预定的程序来分析、评价和监测审计对象的现状和发展趋势的审计方法。
与审计人员直接到被审计单位现场的现场审计相比,非现场审计主要是通过对所搜集到的被审计单位相关资料的分析和预测,发现问题,找出风险点,并且为现场审计提供线索和资料,帮助现场审计更加科学、准确地选择审计对象及样本,合理安排审计资源,以达到高效审计的目的。非现场审计与现场审计的优势和不足详见表1。
二、信用卡业务非现场审计的分析工具选择
正是由于非现场审计具有很多现场审计所不具备的先天优势,近年来,国内商业银行采取多种方式积极开展非现场审计工作,并围绕非现场审计分析工具的选择开展研究和探索。
目前,国内商业银行采取的主要非现场审计分析工具,包括外购工具软件、开发并部署审计模型固化应用系统和建立非现场审计自定义分析平台三类(如表2所示)。
1.外购IDEA、ACL和SAS等通用或审计专用工具软件
通过使用外购软件的查询、筛选、关联、排重和聚类等功能,对数据库进行分析,发现疑点数据,获取审计分析结果。该方案的不足在于:
(1)针对审计人员单独开展分析工作进行设计,设计思想并不是建立在流程化、规范化、规模化和协作化的基础上,业务管理功能较弱;
(2)易用性较弱,对审计人员的IT基础要求较高,审计人员不仅需要掌握一定的数据分析方法和编程技巧,而且要熟悉底层的数据结构;
(3)数据调用能力较弱,尤其是针对海量数据的分析效率较低。
2.建立审计模型固化的非现场审计系统
在非现场审计系统开发过程中,开发人员将审计模型思路通过编程的方式固化在系统内,开发完成之后,审计人员可以通过运行程序的方式启用这些模型,发现疑点数据,获取审计分析结果。该方案的不足在于:
(1)数据兼容性和扩展性较弱,数据接口基本固化,当原始数据结构发生变更或新增业务条线时,系统接口和固化模型本身需要做较大的调整,功能的可配置性较差,操作不灵活;
(2)功能可扩展性较弱,由于审计模型思路是通过编程的方式固化在系统内,因此对于审计人员来说只能通过调整参数的方式对审计思路进行较小的改动,但是审计的逻辑判断、数据流等对应源代码的底层功能只能通过开发人员的再开发实现;
(3)提供的创造空间较小,很难帮助审计人员发挥主观能动性。
3.建立统一的非现场审计自定义分析平台
这是一种能够从平台、数据、功能和发展等四个方面全面提升系统的新型非现场审计专用分析工具,具备易用性、灵活性和可扩展性等优势,目前已经在国内一些商业银行得到应用,其主要优势如下:
(1)该工具是从商业银行内部审计日常管理和工作出发,建立的集中化、流程化、协作化的非现场审计综合分析平台;
(2)其基础是建立结构合理、处理高效、保密安全的非现场审计专用数据集市;
(3)能够涵盖查询、模型、指标、监测等常用审计功能;
(4)最重要的一点是,能够支持模型自定义功能,支持多种格式的外部数据导入,满足未来商业银行内部审计工作发展的需要。
在以上三种非现场审计工具中,建立非现场审计自定义分析平台显然更加符合信用卡业务复杂的产品、流程和多变的风险特征,更加符合非现场审计工作的实际需要。
三、非现场审计视角下的信用卡业务数据源
非现场审计的核心内容是对数据进行分析,因此,无论最终选择哪种非现场审计工具,确定数据源都是开展信用卡业务非现场审计工作不可逾越的核心环节。
从信用卡业务非现场审计工作的角度分析,信用卡业务管理信息系统、总行级数据仓库和部门级数据集市等不同类型的数据源具有各自的特征,这也决定了信用卡业务非现场审计工作开展的深度与广度。具体内容如表3所示。
1.信用卡机构的管理信息系统数据
通常情况下,信用卡机构在其生产、交易系统的基础上,为了满足科学化管理的要求,均建立了涵盖客户、地域、卡种、业绩考核、盈利情况和资产质量等方面信息的管理信息系统,定期生成各类报表,支持信用卡机构管理层的科学决策,并报送总行和监管部门等上级机构。
但正是由于管理信息系统建立的初衷是支持信用卡机构内部的规范化管理、科学决策以及信息报送,其生成的数据缺乏内部审计工作的针对性,仅仅依靠这一部分信息难以满足非现场审计工作的需要。
2.内审部门的部门级数据集市
内审部门的部门级数据集市是针对非现场审计工作需要建立的专用数据平台。由于内部审计工作更加关注各类信息的关联性、各种业务操作的痕迹以及某个时间点下的状态情况,在建立支持非现场审计工作的数据集市时,需要针对这些需求对数据进行整理。例如,对原有的数据表结构进行合并、拆分、增/减字段等操作;对机构、账户、客户、操作/授权人员、交易流水标志等确定唯一的命名机制并在数据库中建立索引,方便审计人员在不同的表之间建立关联;通过添加时间窗口属性来记录不同时间点下状态类数据的情况等。
从支持非现场审计工作的角度看,这种数据源情况无疑是最理想的,但是,由于信用卡业务涉及海量的生产、交易数据(每日新生成的数据量可能在几十GB以上),如果要求每日加载全量数据,则要对信用卡机构的生产、交易数据进行分析,重新设计数据接口,非现场审计应用系统的存储容量和处理能力将面临巨大的挑战。
3.信用卡机构的部门级数据集市
为了更好地满足科学管理和科学决策的需要,一些商业银行的信用卡机构已经建立部门级的数据集市,从信用卡业务系统定期加载交易数据,并通过联机分析处理工具(OLAP)进行多维度的深入分析。
对于非现场审计人员来说,可以通过获得具有部分查询权限、分析主题设立权限和数据下载权限的用户,使用信用卡中心的联机分析处理工具开展指标、查询等较为基础的非现场审计工作。
4.全行统一规划的企业级数据仓库
目前已经有一些信息化基础较为扎实的商业银行针对全行的业务管理和科学决策需求建立了企业级的数据仓库,并将主要的业务系统数据纳入其中。对于非现场审计工作来说,如果在数据仓库设计阶段或新增信用卡条线的准备阶段加入审计工作的数据需求,则能够满足对信息关联性、业务操作痕迹以及时间点状态的审计工作特殊需求。
四、基于现实数据条件,选择恰当的分析工具,逐步将信用卡业务非现场审计工作推向深入
根据不同类型数据源的特征及数据层面存在的各类现实问题,国内商业银行可以按照以下层次由浅入深地开展信用卡业务非现场审计工作,并按需选择恰当的分析工具。
1.要求信用卡机构定期提供各类信息
这种方式类似监管部门要求商业银行定期报送相关信息的非现场监管方式,可以帮助商业银行内审部门了解和熟悉信用卡业务,为将来数据条件具备时开展更加深入的非现场审计工作做好准备。
2.登录信用卡业务管理信息系统
内审部门可以申请成为信用卡业务管理信息系统的用户,借此获取查询权限,打通信息渠道。这不仅有利于信用卡机构提高信息资源共享度,而且可以为非现场审计提供翔实的数据资料。
3.借助信用卡机构的数据集市和分析平台
与前两个层次相比,信用卡机构的部门级数据集市基本上可以覆盖其生产业务系统的主要原始数据,远比报表和管理信息系统提供的结果数据更具有审计分析价值,使用信用卡机构部署的联机分析处理工具也能够开展一些更加全面、深入、灵活的分析工作。
4.使用企业级数据仓库
企业级数据仓库的优势在于数据加载较为全面,能够基本覆盖全行的主要业务管理系统,而且数据的提取、清洗、存储、调用、维护都在统一的标准下由专人负责管理,对于非现场审计部门来说,只需设计唯一的数据接口就可以提取企业级数据仓库中的所有数据。因此,如果商业银行已经建立较为完善的企业级数据仓库并定期加载信用卡业务的主要数据,综合可用性、审计工作针对性、加载难度、数据时效和成本等因素,通过建立统一的非现场审计自定义分析平台,在全行企业级数据仓库的基础上开展非现场审计工作是较为明智的选择。
5.建立内审部门的专用数据集市
如果内审部门在实际工作中发现以上四种方式仍然无法满足审计工作的特殊需求,可以进一步考虑建立内审部门的数据集市,搭建灵活、可靠的底层数据加载平台,定期按照审计工作的需要选择、加载和清洗信用卡业务常用的、核心的生产和交易数据,并在统一的非现场审计自定义分析平台中开展非现场审计工作。从审计人员的标准看,这一层次无疑是现阶段最完美的选择,但是,由于这一层次的数据接口分析工作难度大,海量数据定期加载可行性较差,系统建设投入较多,因此仅适用于那些对非现场审计工作高度重视且愿意投入大量资源的商业银行。
在以上五个层次中,具备灵活性的外购审计专用或通用分析工具软件适用于前两个层次,并且为后三个层次提供必要的补充,而针对后两个层次,非现场审计自定义分析平台是较为理想的分析工具。
标签:信用卡论文; 信用卡风险论文; 审计计划论文; 审计软件论文; 信用卡安全论文; 审计方法论文; 审计流程论文; 审计目的论文; 银行论文; 商业银行论文;