基于现代风险导向审计的洗钱风险评估与应用

近年来，金融监管部门监管中发现的金融机构牵涉洗钱案的事例屡见不鲜，如渣打银行在与伊朗业务往来中极少数交易不符合美国的“掉头交易”规则、可疑交易分析报送迟缓；汇丰银行的管理层在向有关当局隐瞒财务信息方面“有决定性地参与”、分析系统不能有效检测账户以及电汇业务、客户风险评估机制不合理、迟报和漏报可疑交易报告情况严重；美联银行反洗钱内控制度不完善及执行不力等，体现监管部门在评估和应对金融机构洗钱风险方法策略上的重要作用，而评估和应对的方法也是本文所探讨的内容。

一、现代风险导向审计与洗钱风险评估

（一）现代风险导向审计 审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证，其审计方法，即现代风险导向审计是当今主流的审计方法，要求审计人员从宏观上了解被审计单位及其环境，充分识别和评估财务报表重大错报风险，针对评估的重大错报风险设计和实施控制测试与实质性测试程序 ，并根据审计结果出具恰当的审计报告。现代风险导向审计基于战略层面和经营层面进行分析，可以克服因缺乏全局观而导致的审计失败风险，其不仅关注到上市公司经营风险对会计报表的影响，还把上市公司管理层对其影响因素考虑在内，同时相应减少了审计资源在实质性测试方面的分配，节省审计成本。

（二）金融机构洗钱风险评估 2012年2月，金融行动特别工作组的“40项建议”重点突出风险为本反洗钱工作方法，主要体现在根据洗钱、恐怖融资等非法活动的风险高低，合理配置相应的资源，采取相应的控制措施，既包括对洗钱风险的评估，还包括依据风险评估结果对高风险领域采取强化措施。洗钱风险评估主要体现在三个方面的运用：一是FATF及有关机构对国家整体洗钱风险进行评估；二是反洗钱监管部门对金融机构洗钱风险进行评估；三是金融机构对客户洗钱风险进行评估。须注意的是，金融机构洗钱风险评估与金融机构反洗钱工作评估不同，洗钱风险评估是指对金融机构被利用洗钱，即洗钱风险高低进行评价，侧重于预防洗钱风险能力方面；反洗钱工作评估是指对金融机构的反洗钱工作情况进行评价，是一种类似于绩效考核的评价模式。两者在评价指标设计及方法上有所不同，如被评估机构工作（调研）受到表彰、认可或表扬，协助破获了洗钱及上游犯罪案件，提供了有价值的可疑交易线索，在洗钱风险评估中只作为评估取证的来源之一，在反洗钱工作评估中则作为对工作认可的绩效评价指标之一。本文从监管角度探讨对金融机构洗钱风险的评估。

金融机构对客户的洗钱风险评估，是金融机构了解客户基本信息的基础上，分析客户资金交易的金额、频率和方式等特征，继而确定风险等级。监管部门对金融机构洗钱风险评估，是监管部门或受监管部门委托的有关机构，对金融机构的客户身份识别、交易记录保存、客户风险等级划分及可疑交易报告制度的有效性进行分析，确定金融机构在内控管理、业务流程、人员履职等方面对其洗钱风险的影响。

（三）现代风险导向与金融机构洗钱风险评估的异同 具体运用中，两者均采用抽样评价方法，取证手段也相同（如询问、查阅、检查等方式），评估流程也类同。财务报表审计流程大致分三个阶段，即承接业务阶段的内外部风险评估，分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险；风险初步评估阶段，了解评价被审计单位环境、内控制度情况；进一步审计程序阶段，控制测试和实质性测试（对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序）。后续审计程序根据前阶段的风险评估结果确定，当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时，可以修正风险评估结果，并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险，确定进一步审计程序的性质、范围和时间安排，其目的在于内控风险较高时，更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为，继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似，一是了解金融机构固有风险阶段，与承接审计业务阶段内外部风险评估阶段相似，需了解金融机构所面临的宏观经济状况，所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段，与审计风险初步评估阶段相似，对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段，与进一步审计程序阶段相似，对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中，可以在了解金融机构固有风险的基础上，确定初步评估的范围，再根据初步评估的结果，指导深入评估的时间、范围和方法，包括对金融机构进行一次初步评估和一次深入评估，也包括根据评估结果，采取现场检查、约见谈话、现场走访等后续监管措施。

不同之处在于：一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证；金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度，特别是对会计报表及账务处理的准确性及真实性进行评价，具有经济评价性质，较为复杂；后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价，具有单一性风险评价性质，较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务，并对出具的审计报告承担法律责任；洗钱风险评估是对风险进行判断，不具有强制性报告义务，较少承担法律责任。四是委托责任不同。前者是注册会计师事务所接受有关信息使用者的委托，对被审计单位进行审计，信息使用者包括政府、股东及投资者等相关人员；后者主要是评估主体接受政府部门委托，根据最新风险状况对被评估机构洗钱风险进行评估。

二、审计风险评价体系对洗钱风险评价体系的借鉴

层次分析法是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法，基本原理是：把一个复杂的决策问题视为一个系统，按总目标、子目标、评价因素的顺序进行逐步分解，构建层次结构，然后通过模糊量化确定各元素对于上层指标的重要性，以此递推到总目标层，从而为最终的决策问题提供较为科学的定量依据。目前的洗钱风险评估方法为层次分析评价方法，该方法将整体风险分解成一套评估指标体系，通过采用分级细化、确定指标分值权重、逐级加减汇总的方式，确定总体水平。如我国试行的金融机构反洗钱风险评估标准中，将风险指标划分为环境、产品/客户、控制、沟通和调整五类一级指标，通过对各类指标中的标准评价得分汇总得出整体风险。该方法优点在于，整体风险或工作情况受多个控制点、事项或交易的影响，各指标的汇总得分情况能较好反映整体水平，其在工作绩效考核运用中的优势尤其明显。

审计风险值的确定方法与上不同，是在确定各类风险值（或风险高低）的基础上，对各类风险值进行数值乘算（或选用“高”、“中”、“低”等文字的定性描述），并通过矩阵表的方式计算确定风险，本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为，审计风险=重大错报风险×检查风险（实务中，注册会计师不一定用绝对数量表示风险水平，还可以选用“高”、“中”、“低”等文字描述，即审计风险值可通过数值乘算，也可以定性确定），其中，检查风险取决于审计程序设计的合理性和执行的有效性，可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险，评估时可以单独对固有风险和控制风险进行评估，也可以合并进行评估。国内有关学者采用矩阵方式评价风险，如对洗钱风险值的评价方法为，洗钱风险=固有风险×内控风险，其中，固有风险包括：国家/地域风险、产品/服务风险、客户风险；内控风险主要是指反洗钱内控制度及执行风险。如反洗钱风险管理的评估方法为：反洗钱风险=原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似，金融机构洗钱风险水平受以下四个方面的因素影响：国家经济，所在行业、地域环境；反洗钱内控制度与内部环境；金融产品、服务及客户本身的洗钱风险水平；可疑交易报告的及时性和有效性。确定金融机构洗钱风险的方法为，金融机构洗钱风险=国家（地域、行业）风险×控制风险×产品（或客户）风险×交易监测风险（与审计风险评估相似，洗钱风险值可通过数值乘算，亦可定性确定）。

矩阵评价方法体现出风险与成本的一种均衡，避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在：一是控制成本。风险导向审计理论认为，机构内部行使控制职能的人员素质及控制成本影响控制效果，若实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施。洗钱风险评估中，某金融产品被用于洗钱的风险较高，其相关控制风险也较高，但若金融机构的该类金融产品交易量很少，则其整体洗钱风险不能被认定为高风险，投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响，如新客户“职业”登记为“其他或无业”的比例较高，则不能认定客户身份识别制度执行有效。三是不同类别风险对整体风险的影响程度。即当某类风险较高，而其他类风险较低时，须依据各类风险对整体风险的影响程度确定风险等级。金融机构的反洗钱义务在于预防，所有控制措施都是为做好可疑交易的监测、分析和报送服务，若客户身份识别制度和客户风险等级划分制度执行的很好，但监测分析人员的人数配置不够、分析能力不高，可疑交易分析系统的智能化不足，则应认定该单位的洗钱风险水平为高风险。

三、风险导向审计方法在洗钱风险评估方法中的运用

（一）运用抽样评价方法 审计抽样范围受所审计鉴定会计期间的影响，并针对该会计期间各类控制、事项或交易中的部分样本进行评价，通过样本推断总体，如年度财务报表审计，只有在审计报表期初余额，及评价期末、期后事项对报表的影响时，才会跨年度选取样本。洗钱风险评估相对灵活，可以对某一年度的洗钱风险进行抽样评估，也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。

（二）依据风险高低扩大或减少样本量 审计实务中，若认为被审计单位控制环境薄弱，则很难认定某一相关流程的控制有效，其实质性测试的样本量会大幅增加（实质性测试包括细节性测试和实质性分析程序，即对会计计量的真实性、准确性、合理性进行审查）。小型机构员工较少，限制了其职责分离的程度，虽然没有文件形式的控制要素，但了解管理层的态度、认识和措施及其控制环境非常重要，应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法，若金融机构的内控风险很高，则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行，继而影响异常交易分析识别的及时性和有效性，洗钱风险会加大，此时应扩大对异常交易分析及报告的样本量，确定洗钱风险的高低。

（三）整合取证手段 审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法，具体审计目的不同，取证手段和工作流程也不同。如对收入确认的完整性测试，由原始凭证追查至明细账（从发货部门的发运凭证追查至有关销售发票副本，再到收入明细账），而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中，如评价金融机构的可疑交易报告是否有遗漏，可以选取部分存量客户，从建立业务关系，到客户风险等级划分，再到可疑交易分析报告的整个流程进行取证；评价可疑交易报告是否合理，则与上述流程相反。在具体方法运用上，主要有以下几种可供借鉴。

一是询问。向金融机构有关员工进行询问，获取与内部控制运行情况相关的信息。如果某项控制要求某一员工（复核人）在文件上签字以证明他复核该份文件，那么应询问其复核的性质，即对什么进行复核，复核的要点是什么，签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司，应询问此类尽职调查的方法和措施。二是穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点，如客户身份识别措施―身份识别记录―风险等级划分―交易记录保存―可疑交易提取、分析―复核确认―分析报告结论，通过穿行测试，掌握内控薄弱环节，及对整体风险的影响程度。三是重新执行。审计实务中，检查复核人员是否认真执行核对时，不仅应检查是否在相关文件上签字，还应选取一部分凭证如销售发票进行核对。在风险评估中，可以选取部分可疑交易报告，评判可疑交易分析复核的合理性；在可疑交易分析系统及风险等级划分系统（或者是功能模块）中，评估人员从相关系统调取客户身份资料（一般是开户资料）和交易记录，以评价系统设计的合理性。四是实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中，实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序（如财务指标的横纵向比较）。在洗钱风险评估中，可以运用到实质性分析程序，如“可疑交易量/同类型交易量”的横纵向比较，“未登记客户职业信息数量/所有客户数量”的横纵向比较；如私人银行业务的投资理财品种和交易金额的变动情况。

四、审计成本控制对洗钱风险评估成本的借鉴

审计实务中，项目审计组基本为一年对一家上市公司财务报表年报进行审计，虽然企业所面临的经济环境和经营复杂程度的不断上升，注册会计师仍会在合理的时间内以合理的成本完成审计工作。风险为本的工作方法与此相同，需要以合理的成本完成洗钱风险评估工作。截至2012年底，我国具有反洗钱报告义务的金融机构共计1599家，以湖北省武汉市为例，该市具有反洗钱报告义务的金融机构共计201家，其中法人机构19家，在市内拥有下属机构的69家，无下属机构（如证券营业部、支付机构等）的113家。可以发现，监管机构与义务主体呈现一对多的现象，同时，洗钱风险评估只是反洗钱监管工作中的一部分。那么实现评估成本的节约和效果的提高，需要考虑评估的目的，继而在评估深度、时间安排及人员配置上作出具体调整。主要有以下三种模式可供综合或单独运用：一是动态风险评估。如每1至2年评估一次，其作用在于实时掌控金融机构的洗钱风险，由于被评估的反洗钱义务主体较多，则对每家机构评估的时间不宜过长。二是周期性评估。如3年及以上评估一次，该模式的假设前提是短期内金融机构的洗钱风险不会发生较大变化，当金融机构较多时，可以分配至各个年度，并采取“深入”评估的方式进行评估。三是法人监管模式的自主型评估与分支机构的配合型评估。即对法人金融机构进行全面、深入的评估，重点包括内控制度建设、管理体系及执行有效性上面；对于地方分支机构，应以配合上级部门为主，根据上级部门有关要求对金融机构分支机构采取针对性评估，重点在于评价分支机构内控执行有效性上面。

参考文献：

[1]沈征：《审计理论》，上海人民出版社2013年版。

[2]童文俊：《金融机构洗钱风险评估监管体系构建研究》，《金融与经济》2013年第2期。

[3]中国人民银行：《中国反洗钱报告》，中国金融出版社2012版。