金融机构反洗钱预防与监控措施是内部控制体系的重要组成部分,包括了反洗钱的内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。对这些控制要素的审查构成了反洗钱审计的主要内容。 一、内部环境要素的审计 内部控制环境包括治理职能和管理职能,是影响、制约金融机构反洗钱体系建立和运作的各种因素的总称,是企业实施反洗钱控制措施的基础,主要包括组织机构设置与权责分配、内部控制制度建立、反洗钱意识与技能培训等方面。 在评价内部环境的设计和确定构成控制环境要素是否得到执行时,审计人员应当了解管理层在治理层的监督下,是否营造并保持了富有反洗钱意识的企业文化,是否根据反洗钱法律与法规建立了包含业务、科技、财务、内审等与反洗钱活动相关部门的组织机构,并配备有与本机构反洗钱工作相适应的人力资源,是否制定了清晰、完整的反洗钱岗位职责和组织机构运作规则,是否依法建立健全了以履行反洗钱义务为目的的客户身份识别制度、资料保存制度、交易报告制度、宣传培训制度等内部控制制度和相应的用以规范反洗钱义务的内部操作规程和控制措施。 二、风险评估要素的审计 风险识别与评估是金融机构根据反洗钱控制目标,贯彻风险为本的反洗钱策略,全面、持续地收集相关信息,并结合实际情况及时识别风险、科学分析和评价洗钱风险发生可能和影响程度而采取应对措施的过程。金融机构提供的服务、交易方式和渠道多种多样,往来的交易客户形形色色,存在的洗钱风险也高低不一。反洗钱日常工作如果不加分别、不辨主次地平均用力,则既会增加合规成本支出,又不一定能收到较好的效果。 因此,金融机构在开展洗钱风险评估过程中,首先需要准确识别与反洗钱控制目标相关的内部风险和外部风险,然后采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,最后根据风险分析的结果,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对洗钱风险的有效控制。 风险识别和评估主要从信息收集、风险识别和风险控制三个方面确定管理层如何估计金融业务中发生洗钱风险的可能性,以及能否根据风险的重要性、成因等因素而采取适当的预防控制措施。以网上银行业务为例,该创新业务在为客户提供交易方便的同时,还面临着由于其虚拟化运作模式而引发的洗钱风险,如只认“证”不认“人”的匿名性特点给金融机构或监管部门获取完整的交易双方客户信息和判断交易的真实性带来了困难,增加了可疑交易的识别难度;电子支付工具的瞬时性和无纸化特征突破了时间和空间的限制,给反洗钱资金监测带来了困难。在评价被审单位洗钱风险评估过程的设计和执行时,审计人员首先应评估该项业务面临的洗钱风险点和风险度,其次应评估金融机构对该项业务洗钱风险控制措施的有效性,最后根据风险度和措施的有效性再进行综合评估。 三、控制活动要素的审计 控制活动是金融机构按照反洗钱法规和内部制度的要求并结合风险评估结果而制定并执行的各项控制政策和程序,其目标是通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将洗钱风险控制在可承受范围之内。 根据法定的反洗钱义务要求,金融机构的反洗钱控制程序应确保覆盖客户身份识别、大额交易和可疑交易监控与报告、客户身份资料和交易记录保存等业务环节,审计师可从合法性、适当性、有效性等方面对上述环节中的控制活动进行审查与评价。 1.客户身份识别。可疑金融交易特征分析只能从账户层面上发现某些异常,而真正的洗钱交易识别将建立于充分贯彻落实“了解你的客户”原则的基础上。金融机构只有做好客户尽职调查工作,才能根据客户的身份职业、经营背景、交易背景、交易性质、交易目的等情况来判断交易资金的来源与去向、交易金额的大小与频率等是否存在异常。在审查客户身份识别控制活动时,审计师可从以下五个方面进行综合评价:(1)所识别对象除包括在金融机构拥有账户或以其名义拥有账户的个人和个体,还应包括与金融机构建立业务关系的个人或实体以及专业中介机构办理交易的受益人;(2)金融机构应对身份信息的要素内容进行规划与设计,既要识别客户的身份基本信息,还应了解其资金来源与用途、交易目的和用途、经济状况或者经营状况、交易历史等背景信息;(3)在与客户建立业务关系以及整个的业务关系存续期间,应根据客户或者账户的风险等级,收集并更新客户资料信息;关注客户及其日常经营活动、金融交易情况,定期审核保存的客户信息,采取持续的客户身份识别措施;(4)应根据业务的特点与识别内容的需要而采取灵活多样的方法,如:有效身份证件核对与联网核查;回访客户或实地查访;委托金融机构以外的第三方识别客户身份;基于历史交易数据的客户交易特征建模;(5)识别结果能够被可疑交易识别环节有效地利用;对识别结果进行了有效的安全存取控制。 2.大额交易和可疑交易监控与报告。可疑交易识别与报告是金融机构履行反洗钱义务的核心,但由于可疑交易隐藏于巨量的交易数据之中,加上多变的洗钱手法、强主观的识别方式、难以现场验证的识别结果等特征,使其成为金融机构反洗钱活动最为特殊的环节。随着可疑交易报告标准逐渐从法定的客观标准过渡到金融机构自主判断的主观标准,客户的交易活动是否作为可疑交易报告完全由金融机构自己决定,这一方面增加了审计部门评价可疑交易识别有效性与报告质量的难度,另一方面也使金融机构面临着更大的因漏报可疑交易而被处罚的风险。金融机构应对所有业务环节中可能面临洗钱风险的复杂交易、异常交易、大额交易以及无明显经济目的交易等进行监控、筛查、分析,并及时、完整、准确地向反洗钱情报部门或行政执法部门报告。在审查大额交易和可疑交易监控与报告控制活动时,审计师可从监测范围、可疑交易在线监测分析、可疑交易人工分析与识别、反洗钱监测与信息处理系统、可疑交易报告质量等方面进行综合评价:(1)金融机构要对所有可能面临洗钱风险的业务环节进行监控,包括传统的柜面金融业务、非面对面的网上金融业务、基于第三方支付平台的结算业务等;(2)金融机构应根据所监控的业务领域的特点综合利用基于规则的或基于智能技术的可疑交易检测方法,优化可疑交易自动识别功能;(3)金融机构应建立完善的可疑交易人工甄别流程,对于利用技术手段筛查出的可疑交易数据,必须结合客户身份识别、行业特点分析及相关交易背景进行人工分析、审核和判断后才能报出,提高可疑交易报告的情报价值;(4)金融机构应重视反洗钱信息系统的建设,配置并不断完善资金监控系统、可疑交易信息处理与分析系统、交易报告形成与报送系统;(5)金融机构应从注重可疑交易报送数量向注重报送质量的转变,提高反洗钱数据报送的全面性、完整性、准确性、及时性。