部落格 - 最新消息

KPMG:防洗錢兩要素 獨立稽核、模型驗證

2019/03/26   04:09工商時報 蔡淑芬

 

國際社會對反洗錢日益重視,去年底台灣接受亞太洗錢防制組織(APG)的第三輪評鑑,自此法令遵循的三道防線架構,已深植台灣金融機構法遵風險管理文化中,包含第一線的業務部門、第二線的法遵部門,以及當前二道防線建置與執行後,透過第三道防線落實持續監督與持續改善精神,推動執行內部的獨立稽核部門。

 

然而,台灣金融機構雖已以原則性基礎精神(Principle based)及風險導向方法(Risk based approach)導入風險評估方法論,產出風險評估報告書,並投入資源引進科技方法,建置洗錢防制資訊系統,以整合洗錢防制作業流程,強化及落實KYC、交易監控與通報作業等法遵程序。但與歐美先進國家相比,台灣金融機構的洗錢防制系統仍處草創階段,需要更多的模型驗證其可行性。

 

為協助台灣業者完備反洗錢三道防線,安侯建業(KPMG)洗錢防制暨反資恐顧問服務負責人朱成光從人員、科技與流程角度,闡明獨立稽核的定義,並分享過去曾協助國際大型行庫進行模型驗證的經驗,供國內業者參考。

 

稽核部門具獨立性

不等於業務及法遵部門

 

朱成光表示,所謂獨立稽核,指的是有別於第一線業務執行單位、及第二線法令遵循單位的執行人員或單位,互不相屬,具有獨立性。因此在實務上,只要是參與法令規範設計、建置、推動或執行的單位或人員,都不適合擔任獨立稽核的角色。

 

朱成光指出,由第一道防線人員執行的稽核測試,僅能視為第一道防線的自我檢核;至於第二道防線人員執行的稽核測試,也僅能視為驗證內控設計與規劃的法令遵循程序,是否被落實執行推動,屬於「自我評估」,因此金融機構中,只有內部稽核單位可符合「獨立性」的定義。

 

朱成光說,當內部稽核單位的報告對象是法遵主管,或稽核主管由法遵主管兼任,該主管同時兼具第二道與第三道防線之責,從嚴格的角度來看,也可能違反獨立稽核的定義。

 

稽核測試兩大關鍵

範圍與風險導向

 

針對金融機構內部稽核測試,朱成光認為主要有兩大關鍵因素。首先在規劃範圍面,朱成光說,金融機構進行獨立稽核作業規畫時,應思考稽核範圍、期間、稽核測試方法,並與反洗錢(AML)系統驗證,從人員執掌(組織)、政策與作業規範(流程)與洗錢防制系統(科技)三大範圍,規劃稽核測試項目,以完善測試作業。

 

然而,受限於資源與時間等限制,朱成光建議,金融機構在規劃稽核範圍與期間時,應參考以風險為本的方法,來設計稽核測試相關作業。

 

其次,在「風險導向測試」方面,朱成光則將測試方法分為三大類,其中包含控制「設計」的有效性測試,以及控制「執行」的有效性測試。這兩類主要是針對反洗錢流程內所設計的控制點建置,以及在稽核期間內,以抽樣方法檢視與評估控制點是否有效地執行。因此會涉及抽樣方法論的探討。朱成光說,評估查核風險時,需個別考量機構的固有風險與控制環境(減抵措施)因子後,納入前期主管機關查核結果,與前次內部稽核結果等兩項因子,以定性方法決定查核風險程度。

 

最後一類則是「證實測試」。朱成光說,當部分控制措施無效,則可規劃證實測試,評估流程作業是否存在補償性控制,或評估衝擊的影響程度。

 

在正式測試的規劃上,較小規模的證實測試可引進電腦輔助稽核技術(Computer Assisted Audit Techniques, CAATs),透過專用稽核軟體,以資料分析的方法,對於特定控制點交易進行查核期間內的全面性資料,或交易的檢核與檢查。

 

針對內部稽核的系統驗證與資料驗證,朱成光表示,在過去幾年,金融機構無論是自行研發或採購專用的AML系統,均已引進科技協助輔助人工執行AML法遵作業,例如名稱檢核、黑名單比對,及交易監控作業,但這些科技系統猶如「黑盒子」,金融機構需評估黑盒子是否能發揮當初設計的功能,並評估能否達到預期設定的目標。

 

因此,機構規劃獨立稽核作業時,需併同思考科技系統的相關控制,並規劃至稽核計畫範圍。

 

 

來源:中時電子報(工商時報)

0 回復

發表評論

想參加討論嗎?
自由投稿!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *