链条的坚固程度取决于其最薄弱的环节,这是一句常见的习语。换言之,链条的坚固程度,受制于可能削弱链条完整性的单一环节,而这些薄弱环节可能是由裂缝、腐蚀或缺乏维护造成的。我们经常在组织和团队领域听到这一习语,例如组织的反洗钱审计职能部门。通常而言,组织投入了大量资源来建立反洗钱审计职能部门;然而,如果未对反洗钱审计职能部门进行妥善维护,其效力就可能被削弱,令组织面临不必要的监管风险。
为了缓释这种风险,组织必须定期审查反洗钱审计链中的每个环节,并在必要时进行更新。导致更新的部分原因包括组织风险状况的变化、监管期望的变化、行业趋势的重大变化、技术进步等,或者上述多种因素同时出现。
如果组织尚未全面审查反洗钱审计职能部门,或距上次更新反洗钱审计职能部门之后已过了相当长时间,那么如何开始更新工作可能是一项巨大的挑战。因此,许多组织选择聘请外部公司对反洗钱审计职能部门进行分析,并提供改进建议。无论组织选择聘请外部公司还是自行审查,若想维护有效反洗钱审计职能部门,都必须考虑一些关键因素。
从哪儿开始?
为维护有效反洗钱审计职能部门,首先,内部审计团队需要制定一份清单,列出组织风险状况、监管期望、行业趋势和技术进步变化等因素可能影响到的程序组成部分。以下列举几个组成部分作为示例:
- 以反洗钱为重点的风险评估
- 风险和控制矩阵 (RCM)
- 审计章程
- 组织的反洗钱审计范围 (AU) 和可审计实体 (AE)
- 审计方法及相关政策和程序
- 具备足够经验和知识的反洗钱审计管理人员和工作人员
- 审计师反洗钱培训计划
虽然某些组成部分可能不适用于所有组织,但建议各个组织全面考虑组成部分,以确定具体适用性。
更新以反洗钱为重点的风险评估
应审查和更新现有的反洗钱风险评估,以期涵盖所有金融犯罪风险。此外,反洗钱审计职能部门应独立完成反洗钱风险评估。独立评估有助于确定组织中金融犯罪风险最高的领域。确定金融犯罪风险领域并进行评估之后,就可以修改审计范围,并据此建立或修改可审计实体的清单。
更新风险和控制矩阵 (RCM)
审查并更新反洗钱风险评估之后,还应修订风险和控制矩阵,以纳入新发现的金融犯罪风险。这是确定哪里存在任何潜在控制措施漏洞的初始步骤之一。此外,应在每次反洗钱审计工作中对 RCM 进行评估,因为这有助于识别因两次审计工作之间的流程变化而出现的控制措施漏洞。
更新审计章程
如果组织的内部审计部门符合内部审计师协会 (IIA) 的标准并遵循国际专业实务框架 (IPPF)1 ,那么第一个属性标准就是制定和维护审计章程。审计章程不仅说明了内部审计的宗旨、权力和责任,还授权不受限制的审计权,并说明了审计范围。
明确范围至关重要,因为这是反洗钱审计职能部门存在并通过审计工作提供价值的基础。根据审计章程的编撰方式,组织可能需要对其进行更新,以考量与实施反洗钱审计有关的权力变化。
更新反洗钱审计范围和可审计实体
审计范围是可审计实体的集合,有助于制定内部审计计划,并确定适当的内部审计范围。可审计实体是指审计范围包含的单个元素。大多数可审计实体是指企业或法人实体,但也可以指流程、长期项目或倡议、合规制度或共享 IT 服务。
组织可能已确定了反洗钱审计范围和一系列可审计实体,但仍有必要定期(通常是每年)重新评估反洗钱审计范围和可审计实体。应了解组织是否建立了新企业、子公司或业务地点,相关情况可能会影响需要覆盖的审计范围和可审计实体。此过程的一部分,包括选择反洗钱横向审查(如审查整个企业的客户尽职调查流程和控制措施)还是纵向审查(分别审查每个部门或地区的整体反洗钱制度体系、流程和控制措施)。更新以反洗钱为重点的风险评估,也可以帮助组织识别以前未考虑的潜在可审计实体。此外,随着组织的发展和变化,审计范围和可审计实体也会随之变化。
更新审计方法及相关政策和程序
如果组织受到上述变化的影响,应及时审查并更新审计方法。此类审查与更新应纳入抽样方法,并于任何其他定期审查和更新工作之外单独开展。如果发现任何会影响组织的反洗钱审计职能部门的新变化,还应更新相关的政策和程序,以适应相关变化。此类更新工作还可能包括反洗钱审计职能部门发挥重要作用的企业级层面政策和程序,以及与组织的业务和监管需求保持一致。
具备足够经验和知识的反洗钱审计管理人员和工作人员
更新了审计范围和可审计实体,识别了金融犯罪风险、控制措施和控制措施漏洞之后,组织应确定完成反洗钱审计计划所需的资源。为让反洗钱审计职能部门充分发挥实效,必须确保从事反洗钱审计工作的人员具备反洗钱概念和审计方面的知识和能力。此外,《银行保密法》(BSA) 和内部审计师协会 (IIA) 标准均规定了熟练掌握相关主题的要求。因此,反洗钱审计职能部门的工作人员必须具备 BSA 和审计领域的知识和经验。
我们建议,应该在反洗钱审计职能部门职位描述中,将公认反洗钱师 (CAMS) 头衔、公认反洗钱审计师 (CAMS-Audit) 高级专家级别认证和注册内部审计师 (CIA) 头衔作为必要或优先资格。如果组织内部缺乏专业人士,应该考虑使用外部资源,将反洗钱审计工作合包或外包。随着反洗钱审计职能部门的成熟,可以将重点转向提供持续培训并为经验较少的人员提供额外培训。
更新审计师反洗钱培训计划
BSA 和 IIA 都期望开展持续培训。根据组织目前的培训计划设置及所涵盖的材料,应重新评估和更新内容,以满足当前审计特定的金融犯罪培训需求。相关组织必定会发现:开发完整的反洗钱审计培训课程是值得的。
为组织增加价值
以上只是在维护有效反洗钱审计职能部门时需要考虑的部分因素。当然,由于组织的规模和复杂性存在差异,可能会出现不同的情况。此外,还需要获得董事会和高管的支持,并且高层认知应利于这种支持。
有效的反洗钱审计职能部门能够为组织增加价值。然而,只有妥善维护反洗钱审计链,才能实现这种价值。
Brooke D. Ferris,CAMS-Audit,国富浩华经理,美国科罗拉多州,brooke.ferris@crowe.com
Troy M. La Huis,国富浩华主管,美国密歇根州,troy.lahuis@crowe.com
- “The IPPF: The Framework for Internal Audit Effectiveness”(IPPF:内部审计有效性的框架),北美内部审计师协会,https://na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx