前言:寻找写作灵感?中文期刊网用心挑选的反洗钱监测系统内部审计研究,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
[摘要]本文基于风险为本原则,提出对反洗钱交易监测系统的高风险领域和审计重点予以更多关注,以节约审计资源、降低审计风险,高效开展反洗钱监测系统内部审计。
[关键词]反洗钱;监测系统;内部审计;风险为本
随着国内外监管态势日益趋严,金融机构内部审计部门在审计全覆盖背景下,应加快推进反洗钱内部审计项目布局,有效检验金融机构反洗钱工作成效。反洗钱交易监测系统作为支持金融机构开展反洗钱和恐怖融资风险管理活动的信息化系统,贯穿客户身份识别,大额、可疑交易报告和客户信息资料保存三大核心义务,是开展反洗钱内部审计的重要领域。如何在有限的审计资源下,高效开展针对交易监测系统的内部审计工作,成为摆在金融机构内部审计人员面前的一项重要课题。
一、严把标准设计“五个环节”
(一)数据质量的支持性
数据是反洗钱信息系统处理的基础,直接影响系统的运行效率和结果。目前金融机构基础数据的质量问题仍然比较突出,主要表现在,交易要素缺失、格式错误、数据类型错误等方面。因此针对系统采集数据质量,内审人员应重点关注三方面情况:一是金融机构是否对照“金融机构大额交易和可疑交易报告要素内容”完整设置大额、可疑交易报告字段要素;二是检验大额和可疑交易报告数据标准是否满足中国人民银行报告数据接口规范,可参照《金融机构大额交易与可疑交易报告数据报送接口规范》;三是检验大额和可疑交易报告信息要素是否满足报告要素释义标准,达到完整、统一和规范的要求。
(二)监控范围的全面性
内部审计人员应充分验证系统监测范围的覆盖面。首先,检验大额和可疑交易监测系统能否及时从数据仓获取全量交易数据;其次,充分考虑采集数据时是否已覆盖全部客户、全部金融业务产品和客户全部交易;最后,检验系统是否在客户身份信息录入环节和跨系统数据采集环节设置必要信息校验规则,以保障大额和可疑交易报送信息的完整性和准确性。
(三)系统功能的实用性
交易监测系统以客户为维度开展资金交易监测分析,应全面采集客户身份信息和交易信息,保障大额和可疑交易监测分析的数据要求。首先,在模块功能设置方面,交易监测系统应至少具有交易筛选、甄别分析和人工增补报送三个功能模块。交易筛选模块应充分满足监测标准的运行需求;甄别分析模块应至少包括初审、复核、审定意见填写等功能;人工增补报送模块应针对系统监测以外渠道发现的异常交易,实现填报、复核和审定等功能。其次,在满足大额和可疑交易数据采集和交易监测分析方面,应重点检验系统与核心业务系统、监控名单库等系统对接或进行信息交换时,是否能够及时、便利、完整地获取相关客户尽职调查、风险等级划分、涉恐名单、司法查冻扣和反洗钱调查等信息;充分检验监测系统是否具有可追溯性,是否能够完整、准确地重现交易筛选、分析及报送过程。
(四)系统处理的时效性
反洗钱交易监测系统大多基于核心系统数据仓库进行。由于数据来源多、数据量大等特点,极易造成数据跑批和分析结果延迟生成的情况,无法发挥及时干预或阻断洗钱行为的作用。内审人员应重点关注系统数据跑批完成时间及系统自动甄别产生大额和可疑案例的时间。其中,涉恐名单监控系统应该实时反馈,其他监测标准原则上应实现系统运营后“T+1”日内反馈,目的是充分考虑系统处理时效是否合理、是否为人工甄别留存充足时间,既能满足监管报送的时间要求,又能保证人工分析甄别质量。
(五)系统运行的稳定性
内部审计人员可通过穿行测试验证反洗钱系统运行的稳定性。通常以基础数据流为主线,跟踪基础数据流在数据库结构中的走向,重在发现信息系统在开展大批量运算时是否出现系统错误,检验运行流程是否顺畅,有无存在缺陷或舞弊的可能。检验系统在输入、处理和输出环节,为保障数据完整、准确、有效而采取控制措施的有效性。
二、聚焦功能建设“三个重点”
(一)大额交易报送质量
内部审计人员可按照中国人民银行要求的大额交易标准、计算规则、归属规则、免报规则,对大额交易报送规则进行符合性测试。同时,结合大额交易报告漏报率、错报率、重报率三个比率,衡量系统大额交易报送质量。重点关注大额交易补录的笔数、范围及中国人民银行通报的大额报送延迟率。
(二)可疑监测指标设置
大多数可疑交易监测系统都具备识别异常交易的监测模型,而模型监测指标设定的合理性直接影响监测结果的情报价值。内部审计人员对监测标准的评价可基于同业数据的对比来衡量,通过预警率、报告率和成案率三个指标来量化评估系统运行效果。重点关注系统是否存在某些监测标准触发率过高或过低、是否存在筛选量高但报告率低的情况、或产出案例与模型设计初衷不一致的问题。
(三)高风险领域监控覆盖
金融机构应将可量化、细化的洗钱风险控制指标嵌入对高风险客户、产品、行业/职业与地域等领域的监测,以提升系统监测的准确性和及时性。内部审计人员应重点关注三方面因素:一是内外部风险覆盖范围。金融机构是否围绕洗钱罪及上游违法犯罪完整收集内外部洗钱风险点。二是风险点量化质量。在将文字描述的洗钱风险点转换为客户身份、行为以及交易的资金来源、金融、频率、流向、性质等可量化的风险指标时,关注金融机构是否存在理解偏差、是否出现系统生成案例与洗钱风险描述不一致的情况。三是系统实时干预程度。主要考察系统及时阻断洗钱风险的能力。审计样本可抽取涉嫌恐怖融资交易、高风险国家或地区、黑白名单等高风险领域。重点关注系统对涉恐、涉制裁交易是否实现实时监测;在黑名单发生变化时,是否自动启动回溯性筛查功能;大额免报名单等白名单是否存在超范围或未覆盖完全的现象。
三、持续完善升级“两个方面”
(一)模型效率优化持续性
目前,金融机构建立的可疑交易监测标准大多基于已知洗钱行为规律的总结。新出现的洗钱行为可能无法及时纳入洗钱监测范围,而犯罪分子也可通过化整为零的方式规避现有交易监测规则。内部审计人员应关注金融机构是否根据境内外洗钱风险管理最新形势与需求,建立可以持续优化升级的系统机制。同时,通过了解被审计机构对模型阈值和可疑交易甄别标准纠偏的频率和能力,评估系统提高可疑交易甄别效率、降低人工甄别成本。
(二)系统信息管理安全性
内部审计应重点关注金融机构在用户和数据管理方面采取的安全措施。比如,在用户管理方面,主要检验金融机构是否采取必要的保密措施,控制客户身份信息和交易信息的知悉范围和使用范围。一是检验监测系统的用户层级是否覆盖机构内部相关部门或分支机构;是否支持不同作业模式下用户权限的配置;是否支持业务端信息查询并具备必要的保密和审计功能。二是关注金融机构是否采取相应内控措施,防止出现用户越权使用系统、用户功能分配不合理、不相容岗位未分离以及厂商用户管理与使用不合规等情况。在数据管理方面,重点关注系统的交易记录和处理信息的保存是否具备可回溯性与可稽核性;客户身份资料是否满足自业务关系结束当年或一次性交易记账当年起至少保存5年的要求;交易记录保存是否满足自交易记账当年起至少保存5年的要求。金融机构在开展反洗钱交易监测系统内部审计时,根据洗钱风险程度和内部关键点,合理配置审计资源,能更好地将洗钱风险管理意识贯穿内部审计始终,充分验证金融机构在客户识别、交易监测以及信息、数据和报表报送等方面系统支持和管控措施的有效性,帮助金融机构识别并控制好内部洗钱风险,实现洗钱风险防控体系的自我监督与自我完善。
作者:朱彤 单位:中信银行北京分行