随着反洗钱、反恐怖融资、反逃税监管体制机制在金融体系内的落实,对反洗钱的审计工作也逐步成为各金融机构审计部工作的重点与难点,如何能切实将工作做到实处,做出成效,成为每个金融机构审计部门的重要课题之一。开展反洗钱审计工作时,一是要拥有专业的反洗钱知识,二是要针对业务形态和流程有深入的了解,三是要具有专业的数据处理平台和审计检查辅助工作平台。通过三者的有机结合,才能有效地识别反洗钱风险,并取得实质性审计效果。 国家各级主管部门先后出台了《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》《中华人民共和国银行业监督管理法》等有关法律、行政法规,中国银保监会发布的《银行业金融机构反洗钱和反恐怖融资管理办法》也明确提出“银行业金融机构应当每年开展反洗钱和反恐怖融资内部审计”。 银行业金融机构的业务及管理控制都已高度信息化和数据化,银行内部都建立了反洗钱系统工具,开展日常的反洗钱监测和报告工作。但这些工具多为银行反洗钱管理部门使用,在功能设计方面,审计可借助的功能少,或者缺少专业性的功能模块,在这一领域,审计的反洗钱风险识别和控制评估通常缺少技术手段。在这种情况下,审计项目实施起来成本高,效率和效果难以保障,因此有必要开展反洗钱审计工作的建设工作。 一、反洗钱审计工具的目标定位 (一)全面性的开展反洗钱的政策研究与跟进 开展反洗钱审计工具建设,首先要对反洗钱相关的法律、外规和内规进行全面的分析,通过分析,可以全面的了解规范性要求,加深审计对反洗钱的认知。也是因为审计工具是常态化的应用工具,也必然会建议对法律、外规和内规的持续性关注和分析,促进了审计部门对反洗钱要求和风险的持续性学习。 (二)系统性的了解产品层面的业务控制 反洗钱的有效管控不仅是在反洗钱的监控与报告阶段,事前的反洗钱评估和反洗钱流程控制是关键环节。因此,建立反洗钱审计工作,有助于更好地了解业务控制模式。 (三)加强反洗钱审计工作的规范性 在结合政策与控制基础的审计方案模板建设,可以提升审计人员审计测试的规范性,更好地开展重点风险点控制评估和测试,加强了过程质量的管理。 (四)提升对反洗钱风险的有效识别 通过反洗钱工作,建立基于数据的审计反洗钱模型测试,能够在控制评估的基础商,更加有效地识别实际控制风险,也提升审计的覆盖度,更有利于审计对控制有效性的判断。同时,也有利于开展对反洗钱二道防线控制有效性的判断,促进二道防线对反洗钱工作的有效开展。 (五)提升审计时效性 基于数据模型基础的审计监控,可以开展日常新型的审计风险监测,对发生的事项可以实现N+1基础的风险识别,有利于银行业金融机构及时地进行风险的方法及补偿控制措施的实施,提升了风控的时效性。 二、反洗钱审计工具功能需求 实施反洗钱审计工具,会有效的提升审计的专业性。反洗钱审计工具,不仅仅是一个完全的数据监测工具,要做好反洗钱审计工作,需要开展全流程的工具功能设计,如图1。
(一)风险识别管理 识别是反洗钱审计的第一个环节,即依据外部监管发文、内部反洗钱制度、事件案例等,对反洗钱风险与控制进行分析和判断,对存在的异常情况进行精准识别。如包括: 1.内外规制度梳理:判断反洗钱工作风险点覆盖范围。 这需要建立对制度控制的系统性管理,非系统化的管控也可以,但效率的问题会成为一个困扰的难题。 2.反洗钱工作执行情况检查:判断反洗钱工作执行效果情况。 这部分需要分析反洗钱系统结果和报送的数据基础来分析效果,反洗钱结果的分析和模型验证,是需要开展的工作。 3.数据质量分析:识别相关业务数据的满足度情况。 银行业金融机构的数据质量是决定反洗钱管理能力的重要基础,也是反洗钱审计的重要保障。因此,在审计工具建设中,需要建立数据质量审计测试功能。通过数据质量的审计测试,也能判断反洗钱管理的质量和反洗钱审计模型结果质量的可信度。 (二)控制分析与测试 在风险识别的基础上,结合审计风险问题库的更新,开展实际的控制评估测试工作。这里的分析测试包括流程的控制符合性测试,也包括基于数据的组合分析。系统功能的实现,作为内部审计来说,有助于持续性的审计工作开展,提升效率,保障效果。 (三)模型监控 根据风险分析和测试结果,建立反洗钱监控模型,利用大数据计算引擎,对相关控制点和风险点进行实质性监控测试。基于数据的反洗钱审计测试模型,可实现持续监测,及时产生警兆信号,做到持续自动审计,及时对可疑风险线索进行处理排查,促进控制的完善和风险的可控。 (四)审计评估 风险自评估功能是综合评价反洗钱工作效果的工具,结合“2.控制分析与测试和3.模型监控”,形成完整的审计评估体系,全视角综合评估风险情况,评价反洗钱工作的综合成效。根据反洗钱审计的评价,可确定有效的审计频率。控制分析与测试工作与模型监控工作,可定期综合开展,也可分步骤实施,即对控制分析与测试定期开展,如半年或一年,模型监控可日常开展,如按日、周或月,这个要根据审计模型的风险程度和审计的资源力量而定。