基于現代風險導向審計的洗錢風險評估與應用

中國人民銀行武漢分行 楊 亮

近年來，金融監管部門監管中發現的金融機構牽涉洗錢案的事例屢見不鮮，如渣打銀行在與伊朗業務往來中極少數交易不符合美國的“掉頭交易”規則、可疑交易分析報送遲緩；匯豐銀行的管理層在向有關當局隱瞞財務信息方面“有決定性地參與”、分析系統不能有效檢測賬戶以及電匯業務、客戶風險評估機制不合理、遲報和漏報可疑交易報告情況嚴重；美聯銀行反洗錢內控制度不完善及執行不力等，體現監管部門在評估和應對金融機構洗錢風險方法策略上的重要作用，而評估和應對的方法也是本文所探討的內容。

一、現代風險導向審計與洗錢風險評估

（一）現代風險導向審計 審計的目標是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證，其審計方法，即現代風險導向審計是當今主流的審計方法，要求審計人員從宏觀上了解被審計單位及其環境，充分識別和評估財務報表重大錯報風險，針對評估的重大錯報風險設計和實施控制測試與實質性測試程序，并根據審計結果出具恰當的審計報告。現代風險導向審計基于戰略層面和經營層面進行分析，可以克服因缺乏全局觀而導致的審計失敗風險，其不僅關注到上市公司經營風險對會計報表的影響，還把上市公司管理層對其影響因素考慮在內，同時相應減少了審計資源在實質性測試方面的分配，節省審計成本。

（二）金融機構洗錢風險評估 2012年2月，金融行動特別工作組發布的“40項建議”重點突出風險為本反洗錢工作方法，主要體現在根據洗錢、恐怖融資等非法活動的風險高低，合理配置相應的資源，采取相應的控制措施，既包括對洗錢風險的評估，還包括依據風險評估結果對高風險領域采取強化措施。洗錢風險評估主要體現在三個方面的運用：一是FATF及有關機構對國家整體洗錢風險進行評估；二是反洗錢監管部門對金融機構洗錢風險進行評估；三是金融機構對客戶洗錢風險進行評估。須注意的是，金融機構洗錢風險評估與金融機構反洗錢工作評估不同，洗錢風險評估是指對金融機構被利用洗錢，即洗錢風險高低進行評價，側重于預防洗錢風險能力方面；反洗錢工作評估是指對金融機構的反洗錢工作情況進行評價，是一種類似于績效考核的評價模式。兩者在評價指標設計及方法上有所不同，如被評估機構工作（調研）受到表彰、認可或表揚，協助破獲了洗錢及上游犯罪案件，提供了有價值的可疑交易線索，在洗錢風險評估中只作為評估取證的來源之一，在反洗錢工作評估中則作為對工作認可的績效評價指標之一。本文從監管角度探討對金融機構洗錢風險的評估。

金融機構對客戶的洗錢風險評估，是金融機構了解客戶基本信息的基礎上，分析客戶資金交易的金額、頻率和方式等特征，繼而確定風險等級。監管部門對金融機構洗錢風險評估，是監管部門或受監管部門委托的有關機構，對金融機構的客戶身份識別、交易記錄保存、客戶風險等級劃分及可疑交易報告制度的有效性進行分析，確定金融機構在內控管理、業務流程、人員履職等方面對其洗錢風險的影響。

（三）現代風險導向與金融機構洗錢風險評估的異同 具體運用中，兩者均采用抽樣評價方法，取證手段也相同（如詢問、查閱、檢查等方式），評估流程也類同。財務報表審計流程大致分三個階段，即承接業務階段的內外部風險評估，分析被審計單位高管層壓力、機會和借口等因素所引發的舞弊或錯報風險；風險初步評估階段，了解評價被審計單位環境、內控制度情況；進一步審計程序階段，控制測試和實質性測試（對被審計單位各類交易、賬戶余額和披露的細節測試以及實質性分析程序）。后續審計程序根據前階段的風險評估結果確定，當后續審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾時，可以修正風險評估結果，并相應修改原計劃實施的進一步審計程序。審計風險評估的目的是根據風險，確定進一步審計程序的性質、范圍和時間安排，其目的在于內控風險較高時，更多的控制測試和實質性測試能推斷被審計單位的錯報或舞弊行為，繼而獲取被審計單位錯報或舞弊對財務報表的影響程度。洗錢風險評估與此類似，一是了解金融機構固有風險階段，與承接審計業務階段內外部風險評估階段相似，需了解金融機構所面臨的宏觀經濟狀況，所在行業的洗錢風險及經營狀況對洗錢風險的影響。二是初步評估階段，與審計風險初步評估階段相似，對金融機構反洗錢工作的環境、內控制度執行情況進行評估。三是深入評估階段，與進一步審計程序階段相似，對金融機構的反洗錢內控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中，可以在了解金融機構固有風險的基礎上，確定初步評估的范圍，再根據初步評估的結果，指導深入評估的時間、范圍和方法，包括對金融機構進行一次初步評估和一次深入評估，也包括根據評估結果，采取現場檢查、約見談話、現場走訪等后續監管措施。

不同之處在于：一是業務性質不同。風險導向審計是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證；金融機構洗錢風險評估是對金融機構洗錢風險的高低作出評價。二是評價內容不同。前者是對被審計單位的外部環境、內部環境、內控制度，特別是對會計報表及賬務處理的準確性及真實性進行評價，具有經濟評價性質，較為復雜；后者是對被評估單位反洗錢相關的環境、內控制度及可疑交易分析能力進行評價，具有單一性風險評價性質，較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務，并對出具的審計報告承擔法律責任；洗錢風險評估是對風險進行判斷，不具有強制性報告義務，較少承擔法律責任。四是委托代理責任不同。前者是注冊會計師事務所接受有關信息使用者的委托，對被審計單位進行審計，信息使用者包括政府、股東及投資者等相關人員；后者主要是評估主體接受政府部門委托，根據最新風險狀況對被評估機構洗錢風險進行評估。

二、審計風險評價體系對洗錢風險評價體系的借鑒

層次分析法是美國運籌學家T.L.Saaty于20世紀70年代初提出的一種決策分析方法，基本原理是：把一個復雜的決策問題視為一個系統,按總目標、子目標、評價因素的順序進行逐步分解，構建層次結構，然后通過模糊量化確定各元素對于上層指標的重要性，以此遞推到總目標層，從而為最終的決策問題提供較為科學的定量依據。目前的洗錢風險評估方法為層次分析評價方法，該方法將整體風險分解成一套評估指標體系，通過采用分級細化、確定指標分值權重、逐級加減匯總的方式，確定總體水平。如我國試行的金融機構反洗錢風險評估標準中，將風險指標劃分為環境、產品/客戶、控制、溝通和調整五類一級指標，通過對各類指標中的標準評價得分匯總得出整體風險。該方法優點在于，整體風險或工作情況受多個控制點、事項或交易的影響，各指標的匯總得分情況能較好反映整體水平，其在工作績效考核運用中的優勢尤其明顯。

審計風險值的確定方法與上不同，是在確定各類風險值（或風險高低）的基礎上，對各類風險值進行數值乘算（或選用“高”、“中”、“低”等文字的定性描述），并通過矩陣表的方式計算確定風險，本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為，審計風險=重大錯報風險×檢查風險（實務中，注冊會計師不一定用絕對數量表示風險水平，還可以選用“高”、“中”、“低”等文字描述，即審計風險值可通過數值乘算，也可以定性確定），其中，檢查風險取決于審計程序設計的合理性和執行的有效性，可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險，評估時可以單獨對固有風險和控制風險進行評估，也可以合并進行評估。國內有關學者采用矩陣方式評價風險，如對洗錢風險值的評價方法為，洗錢風險=固有風險×內控風險，其中，固有風險包括：國家/地域風險、產品/服務風險、客戶風險；內控風險主要是指反洗錢內控制度及執行風險。如反洗錢風險管理的評估方法為：反洗錢風險＝原本風險×管控風險×監管風險。與反洗錢風險管理的評估方法相似，金融機構洗錢風險水平受以下四個方面的因素影響：國家經濟，所在行業、地域環境；反洗錢內控制度與內部環境；金融產品、服務及客戶本身的洗錢風險水平；可疑交易報告的及時性和有效性。確定金融機構洗錢風險的方法為，金融機構洗錢風險=國家（地域、行業）風險×控制風險×產品（或客戶）風險×交易監測風險（與審計風險評估相似，洗錢風險值可通過數值乘算，亦可定性確定）。

矩陣評價方法體現出風險與成本的一種均衡，避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現在：一是控制成本。風險導向審計理論認為，機構內部行使控制職能的人員素質及控制成本影響控制效果，若實施某項控制成本大于控制效果而發生損失時，就沒有必要設置該控制環節或控制措施。洗錢風險評估中，某金融產品被用于洗錢的風險較高，其相關控制風險也較高，但若金融機構的該類金融產品交易量很少，則其整體洗錢風險不能被認定為高風險，投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響，如新客戶“職業”登記為“其他或無業”的比例較高，則不能認定客戶身份識別制度執行有效。三是不同類別風險對整體風險的影響程度。即當某類風險較高，而其他類風險較低時，須依據各類風險對整體風險的影響程度確定風險等級。金融機構的反洗錢義務在于預防，所有控制措施都是為做好可疑交易的監測、分析和報送服務，若客戶身份識別制度和客戶風險等級劃分制度執行的很好，但監測分析人員的人數配置不夠、分析能力不高，可疑交易分析系統的智能化不足，則應認定該單位的洗錢風險水平為高風險。

三、風險導向審計方法在洗錢風險評估方法中的運用

（一）運用抽樣評價方法 審計抽樣范圍受所審計鑒定會計期間的影響，并針對該會計期間各類控制、事項或交易中的部分樣本進行評價，通過樣本推斷總體，如年度財務報表審計，只有在審計報表期初余額，及評價期末、期后事項對報表的影響時，才會跨年度選取樣本。洗錢風險評估相對靈活，可以對某一年度的洗錢風險進行抽樣評估，也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。

（二）依據風險高低擴大或減少樣本量 審計實務中，若認為被審計單位控制環境薄弱，則很難認定某一相關流程的控制有效，其實質性測試的樣本量會大幅增加（實質性測試包括細節性測試和實質性分析程序，即對會計計量的真實性、準確性、合理性進行審查）。小型機構員工較少，限制了其職責分離的程度，雖然沒有文件形式的控制要素，但了解管理層的態度、認識和措施及其控制環境非常重要，應該更多的采取實質性程序。洗錢風險評估可借鑒以上方法，若金融機構的內控風險很高，則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關控制點就較難得到有效執行，繼而影響異常交易分析識別的及時性和有效性，洗錢風險會加大，此時應擴大對異常交易分析及報告的樣本量，確定洗錢風險的高低。

（三）整合取證手段 審計取證方法包括查閱、詢問、觀察、穿行測試、重新執行、實質性分析程序等方法，具體審計目的不同，取證手段和工作流程也不同。如對收入確認的完整性測試，由原始憑證追查至明細賬（從發貨部門的發運憑證追查至有關銷售發票副本，再到收入明細賬），而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中，如評價金融機構的可疑交易報告是否有遺漏，可以選取部分存量客戶，從建立業務關系，到客戶風險等級劃分，再到可疑交易分析報告的整個流程進行取證；評價可疑交易報告是否合理，則與上述流程相反。在具體方法運用上，主要有以下幾種可供借鑒。

一是詢問。向金融機構有關員工進行詢問，獲取與內部控制運行情況相關的信息。如果某項控制要求某一員工（復核人）在文件上簽字以證明他復核該份文件，那么應詢問其復核的性質，即對什么進行復核，復核的要點是什么，簽字復核的意義等等。如個人獨資企業、家族企業、合伙企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高于一般公司，應詢問此類盡職調查的方法和措施。二是穿行測試。追蹤交易報告在業務流程中發生、處理和記錄的過程。業務流程中存在多個風險控制點，如客戶身份識別措施—身份識別記錄—風險等級劃分—交易記錄保存—可疑交易提取、分析—復核確認—分析報告結論，通過穿行測試，掌握內控薄弱環節，及對整體風險的影響程度。三是重新執行。審計實務中，檢查復核人員是否認真執行核對時，不僅應檢查是否在相關文件上簽字，還應選取一部分憑證如銷售發票進行核對。在風險評估中，可以選取部分可疑交易報告，評判可疑交易分析復核的合理性；在可疑交易分析系統及風險等級劃分系統（或者是功能模塊）中，評估人員從相關系統調取客戶身份資料（一般是開戶資料）和交易記錄，以評價系統設計的合理性。四是實質性分析程序。通過研究數據間關系評價一段期間的交易情況。審計實務中，實質性測試包括對各類交易、賬戶余額和披露的細節測試以及實質性分析程序（如財務指標的橫縱向比較）。在洗錢風險評估中，可以運用到實質性分析程序，如“可疑交易量/同類型交易量”的橫縱向比較，“未登記客戶職業信息數量/所有客戶數量”的橫縱向比較；如私人銀行業務的投資理財品種和交易金額的變動情況。

四、審計成本控制對洗錢風險評估成本的借鑒

審計實務中，項目審計組基本為一年對一家上市公司財務報表年報進行審計，雖然企業所面臨的經濟環境和經營復雜程度的不斷上升，注冊會計師仍會在合理的時間內以合理的成本完成審計工作。風險為本的工作方法與此相同，需要以合理的成本完成洗錢風險評估工作。截至2012年底，我國具有反洗錢報告義務的金融機構共計1599家，以湖北省武漢市為例，該市具有反洗錢報告義務的金融機構共計201家，其中法人機構19家，在市內擁有下屬機構的69家，無下屬機構（如證券營業部、支付機構等）的113家。可以發現，監管機構與義務主體呈現一對多的現象，同時，洗錢風險評估只是反洗錢監管工作中的一部分。那么實現評估成本的節約和效果的提高，需要考慮評估的目的，繼而在評估深度、時間安排及人員配置上作出具體調整。主要有以下三種模式可供綜合或單獨運用：一是動態風險評估。如每1至2年評估一次，其作用在于實時掌控金融機構的洗錢風險，由于被評估的反洗錢義務主體較多，則對每家機構評估的時間不宜過長。二是周期性評估。如3年及以上評估一次，該模式的假設前提是短期內金融機構的洗錢風險不會發生較大變化，當金融機構較多時，可以分配至各個年度，并采取“深入”評估的方式進行評估。三是法人監管模式的自主型評估與分支機構的配合型評估。即對法人金融機構進行全面、深入的評估，重點包括內控制度建設、管理體系及執行有效性上面；對于地方分支機構，應以配合上級部門為主，根據上級部門有關要求對金融機構分支機構采取針對性評估，重點在于評價分支機構內控執行有效性上面。

［1］沈征：《審計理論》，上海人民出版社2013年版。

［2］童文俊：《金融機構洗錢風險評估監管體系構建研究》，《金融與經濟》2013年第2期。

［3］中國人民銀行：《中國反洗錢報告》，中國金融出版社2012版。