鏈條的堅固程度取決於其最薄弱的環節（即一着不慎，满盘皆输），這是一句常見的諺語。換言之，某一環節可能削弱鏈條的完整性，進而影響其堅固程度。而這些薄弱環節可能是由裂縫、腐蝕或缺乏維護造成的。我們經常在組織和團隊領域聽到此諺語，例如組織的防制洗錢稽核部門。組織通常投入大量資源來建立防制洗錢稽核部門；然而，如果未妥善維護防制洗錢稽核部門，其效力就可能被削弱，令組織面臨不必要的監管風險。

為了減緩這種風險，組織必須定期審查防制洗錢稽核鏈中的每個環節，並在必要時進行更新。組織的風險狀況變化、監管期望的轉變、行業趨勢的重大變動、技術進步等，或是結合上述多種因素，都是必須更新的因素。

如果組織尚未全面審查防制洗錢稽核部門，或距上次防制洗錢稽核部門更新已年深日久，那麼如何開始更新工作可能是一項艱鉅的挑戰。因此，許多組織選擇聘請外部公司對防制洗錢稽核部門進行分析，並提供改進建議。無論組織選擇聘請外部公司還是自行審查，若想維護有效的防制洗錢稽核部門，都必須考慮一些關鍵因素。

從何處著手？

為維護有效的防制洗錢稽核部門，首先，內部稽核團隊必須制定一份清單，列出可能受到組織風險狀況、監管期望、行業趨勢和技術進步等因素變化影響的制度組成要件。可能受影響的要件包括以下幾項：

• 防制洗錢導向的風險評估
• 風險控制矩陣 (RCM)
• 稽核章程
• 組織的防制洗錢稽核範圍 (AU) 和可稽核實體 (AE)
• 稽核方法及相關政策和程序
• 有豐富經驗和知識的防制洗錢稽核管理人員和工作人員
• 稽核師防制洗錢培訓計劃

雖然有些要件可能不適用於所有組織，但建議各個組織逐一評估要件以確定其具體適用性。

更新防制洗錢導向的風險評估

應審查和更新現有的防制洗錢風險評估，以期涵蓋所有金融犯罪風險。此外，防制洗錢稽核部門應獨立完成防制洗錢風險評估。獨立評估有助於確定組織中金融犯罪風險敞口最高的領域。確定金融犯罪風險領域並進行評估之後，就可以修改稽核範圍，並據此建立或修改可稽核實體清單。

更新風險和控制矩陣 (RCM)

審查並更新防制洗錢風險評估之後，還應修訂風險控制矩陣，以納入新發現的金融犯罪風險。這是確定控制措施可能在哪裡存在漏洞的初始步驟之一。此外，每次防制洗錢稽核工作應評估 RCM，因為有助於識別兩次稽核工作之間因流程變化而出現的控制措施漏洞。

更新稽核章程

如果組織的內部稽核部門符合內部稽核協會 (IIA) 的標準並遵循國際專業實務架構 (IPPF)¹，那麼第一項一般準則就是制定和維護稽核章程。稽核章程不僅確立內部稽核的宗旨、權力和責任，還授權不受限制存取資料及界定稽核範圍。

明確範圍至關重要，因為這是防制洗錢稽核部門存在並通過稽核工作提供價值的基礎。根據稽核章程的編撰方式，組織可能需要更新章程，以說明實施防制洗錢稽核相關的權限變更。

更新防制洗錢稽核範圍和可稽核實體

稽核範圍是可稽核實體的集合，有助於制定內部稽核計劃，並確定適當的內部稽核範圍。可稽核實體是指稽核範圍中的單一元素。大多數可稽核實體是指企業或法人實體，但也可以指流程、長期專案或計劃、法規遵循制度或共享 IT 服務。

組織可能已確立了防制洗錢稽核範圍和一系列可稽核實體，但仍有必要定期（通常是每年）重新評估防制洗錢稽核範圍和可稽核實體。應瞭解組織是否成立了新企業、子公司或業務地點，以致可能影響需要涵蓋的稽核範圍和可稽核實體。此程序的一部分，包括選擇防制洗錢橫向審查（如審查整個企業的客戶盡職調查流程和控制措施）還是縱向審查（分別審查各個部門或地區的整體防制洗錢制度體系、流程和控制措施）。更新防制洗錢導向的風險評估，也可以協助組織識別先前未考慮的潛在可稽核實體。此外，隨著組織的發展和變化，稽核範圍和可稽核實體也會隨之變化。

更新稽核方法及相關政策和程序

如果組織受到上述變化的影響，應及時審查並更新稽核方法。此類審查與更新應納入抽樣方法，並於任何定期審查和更新工作之外單獨進行。如果新發現任何影響組織防制洗錢稽核部門的變化，亦應更新相關的政策和程序，以適應相關變化。此類更新工作可能擴及與防制洗錢稽核部門相關的企業層級政策和程序，且應符合組織的業務和監管需求。

有豐富經驗和知識的防制洗錢稽核管理人員和工作人員

更新完稽核範圍和可稽核實體，且識別出金融犯罪風險、控制措施和控制措施漏洞之後，組織應確定完成防制洗錢稽核計劃所需的資源。為使防制洗錢稽核部門充分發揮實效，必須確保從事防制洗錢稽核工作（規劃、執行和報告）的人員同時具備防制洗錢概念和稽核專業能力。此外，《銀行保密法》(BSA) 和內部稽核師協會 (IIA) 標準均有相關專業領域的熟練能力要求。因此，從事防制洗錢稽核部門的工作人員必須具備 BSA 和稽核領域的知識和經驗。

我們建議，在防制洗錢稽核部門的職位說明中，應將公認反洗錢師 (CAMS) 頭銜、公認反洗錢稽核師 (CAMS-Audit) 高级专家级别認證和內部稽核師 (CIA) 頭銜作為必要或優先資格。如果組織內部缺乏專業人士，應該考慮使用外部資源，將防制洗錢稽核工作聯合辦理或委外。隨著防制洗錢稽核部門的成熟，可以將重點轉向提供持續培訓並為經驗較少的人員提供額外培訓。

更新稽核師防制洗錢培訓計劃

BSA 和 IIA 都期望展開持續培訓。根據組織目前培訓計劃的辦理方式及涵蓋材料，重新評估和更新內容，以滿足最新的稽核專屬金融犯罪培訓需求。有些組織必定會發現，制定完整的防制洗錢稽核培訓課程相當值得。

為組織增加價值

為支援有效的防制洗錢稽核部門，以上僅提供維護職能時需要考慮的部分要件。當然，由於組織的規模和複雜性存在差異，可能會出現不同的情況。此外，還需要獲得董事會和高階主管的支持，且高層的基調和態度更具說服力。

有效的防制洗錢稽核部門能夠為組織增加價值。然而，只有妥善維護防制洗錢稽核鏈，才能實現這種價值。

Brooke D. Ferris，CAMS-Audit，國富浩華會計師事務所經理，美國科羅拉多州，brooke.ferris@crowe.com

Troy M. La Huis，國富浩華會計師事務所所長，美國密西根州，troy.lahuis@crowe.com

1. The IPPF: The Framework for Internal Audit Effectiveness”（IPPF：內部稽核成效的框架），北美內部稽核師協會，https://na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx