ResourcesPractical guidance and standards for financial crime compliance practitioners

Wolfsberg Group Principle for Auditing for Effectiveness Simplified Chinese

Download Wolfsberg Group Principle for Auditing for Effectiveness Simplified Chinese (根据沃尔夫斯堡因素审计金融犯罪风险管理有效性的原则) 原版加颜色
PDF364.8 KB

沃尔夫斯堡集团 (以下简称“本集团”) 鼓励金融机构的第一道和第二道防线(以下简称“金融机构”)1 和监管机构根据沃尔夫斯堡要素开展金融犯罪风险管理的有效性评估,包括:

  1. 遵守金融犯罪相关法律法规;
  2. 建立一套合理且基于风险为本的控制措施,来缓释金融机构被用于非法活动2的风险;
  3. 向政府机构3在特定的优先领域提供非常有用的信息。

沃尔夫斯堡集团认为,内部审计可以通过使用沃尔夫斯堡要素来衡量金融犯罪风险管理的有效性,从而协助金融机构打击金融犯罪。沃尔夫斯堡集团成员银行的第二道和第三道防线共同合作,制定了评估原则,为金融机构提供了评估框架。

内部审计是金融机构内部的一个独立职能部门,构成第三道防线,应根据专业标准 (例如内部审计师协会) 以客观、全面和公正的方式开展独立审计4。内部审计应采用基于风险为本的方法开展审计,该方法遵循适用法律法规以及金融机构风险评估中确定的风险为依据。

内部审计在评估金融犯罪风险管理的全面性和有效性方面发挥着重要作用,可验证该风险管理是否是动态的且覆盖所有法律法规并详细地记录在案。内部审计应在确认金融机构的金融犯罪风险管理是否专注于风险相关方面发挥重要作用。

内部审计负责评估对金融机构行为和实体5 (关键) 控制的有效性,并可以不受任何限制地关注具体操作和执行的任何方面。此外,内部审计应采用风险为本的方式评估金融机构内部和外部的要求(例如当地法规可能的有特定的要求)。

内部审计应评估金融机构的金融犯罪风险管理计划的有效性,特别是确保政策和程序考虑了适用的规则、法规、最佳实践和相应的指导,以促进有效的运营、适当的管理风险敞口以及控制框架的相关性和可持续性。内部审计还应评估金融机构的风险意识,并依照其既定的审计方法和其对专业实践的期望,来提供是否合规的结论。为了履行其职责,内部审计应定期6进行风险评估,以确定其年度和/或一年多次审计计划的优先顺序。审计完成后,内部审计应根据其方法发布结论,其中应有一套标准化流程来报告、跟踪和上报已发现的控制缺陷。另外,内部审计应验证整改措施的效用,以弥补内控缺陷和/或缓释识别到的风险, 包括内部审计以外的各方提出的问题 (例如:监管机构发现或自我发现的问题)。

内部审计在承担独立审查职能部门作用的同时, 利用这些原则来补充其现有的审计方法。这样将能使内部审计促进有效的风险管理,并进一步提高健全金融机构的金融犯罪风险管理框架。此外,遵守这些原则将有助于提高金融行业发现、预防和报告金融犯罪问题的有效性。

要素 1: 遵守金融犯罪相关法律和法规

遵守适用法律法规是金融机构管理责任下金融犯罪风险管理的基础,也是沃尔夫斯堡第一要素。因此,内部审计应重点关注法律法规中的规定性要求。

原则 1

作为基准事项,内部审计应评估金融机构是否能够证明其管理性文档7是否囊括所有相关当地法律法规的要求,并评估金融机构是否有一套有效的控制措施来确保遵守这些要求。

金融机构应建立并维护一套基准要求来管理金融犯罪风险管理的法律要求。这些要求同样适用于从事类似活动或在同一司法管辖区运营的所有金融机构。

措施

**1.1 金融机构可以证明其管理性文档中已经覆盖了当地的金融犯罪法律法规。**这是由金融机构内部或与外部专家联合完成的一项工作。如果金融机构决定制定一项全球一致的政策,该政策所规定的标准高于当地法律或法规要求的标准,则应使用更高的标准,除非与当地法律或监管预期有冲突。某些司法管辖区的标准可能高于或低于集团政策,内部审计应根据适用于该司法管辖区/职能部门的标准评估每个实体的控制措施。在当地要求偏离全球标准的情况下,应实施提出、监督和跟踪这些偏差的流程。

**1.2 金融机构可以证明管理性文档中这些要素相对应的控制措施是经过有效设计和运作的。**基本原则是,金融机构管理层(或指定部门)通过设计和实施适当且可持续的控制措施来管理金融犯罪风险,然后由内部审计进行评估。金融机构应能够证明其符合当地法律法规的要求,并满足监管基准要求。

**1.3 金融机构能够证明机构有充分管理的流程以评估金融犯罪风险管理是否充分满足监管要求。**如 1.1 中所述,这项工作需要定期或在触发事件的基础上进行更新,例如,将监管要求的变化纳入(范畴内)。应识别任何监管要求的差距,并采取行动计划进行补救,补救措施应充分解决已发现的差距。这些流程的监督应由适当的管理委员会来管理。

要素 2: 建立一套合理的、风险为本的控制措施

金融机构必须符合法律和法规规定性要素 (原则 1) 以及法律和法规中原则性导向的风险管理要求(原则 2)。金融机构必须了解 : (a) 其业务战略和运营模式中固有的金融犯罪风险; (b) 监管机构的期望; 以及 (c) 自身风险偏好。只有充分理解这些情况,并在三道防线中拥有足够的专业知识来建立和维护有效的、风险为本的金融犯罪风险管理框架,金融机构才能设计一套合理的风险为本的控制措施。这些措施与它所面临的风险成正比,并使其能够在自己的风险偏好内运作。通过这种方式,金融机构可以降低其产品和服务被用于犯罪活动的风险,从而履行其保护全球金融体系完整性的职责。这是沃尔夫斯堡的第二个要素8

原则 2

内部审计应评估金融机构是否有一套设计良好、合理和风险为本的控制措施,然后评估控制措施的有效性。

各金融犯罪风险和风险偏好因金融机构不同而不同,为缓释风险并在其风险偏好内运作而实施的流程和控制也会受此影响。金融犯罪风险管理是一个动态的管理领域,需要持续应用健全的风险管理实践,以优先考虑资源和充足的资金为支持,根据风险偏好来管理风险。金融机构必须有足够的专项专家来建立和运作一套积极、有效、风险为本的金融犯罪风险管理方案。

在这种情况下,“控制措施” 的概念旨在被金融机构的金融犯罪风险管理内部控制框架所囊括,无论内部如何定义,需在缓释金融犯罪风险的风险偏好、政策、程序、流程和控制等项目中所包含。

措施

**2.1 金融机构能够证明其控制措施在设计时与其风险评估中确定的风险相称,且在合理覆盖范围内9。**金融机构需要做出相应的判断来确定控制覆盖范围是合理的, 且与所呈现的风险相适配,并在适当的治理下调整该覆盖范围以应对不断变化的环境和不断变化的监管预期。

**2.2 金融机构能够证明这套控制措施是有效的。**这些措施与 1.2 节措施一起反映了内部审计部门对既定控制措施实施的评估标准。措施 1.2 表明了对法律和法规的规定性要素的技术性合规,而措施 2.2 表明遵守法律和法规的原则性要素。虽然没有要求将控制映射到每个原则,但对差异的理解可能有助于金融机构识别调整其控制策略的时机。

**2.3 金融机构能够充分证明其拥有一套管理流程来调整其控制措施,并且这套管理流程合理地考虑了金融犯罪风险。**金融机构需要不时调整控制措施,以适应不断发展的业务战略、法律、法规和金融犯罪威胁。此外,对控制的增强可能是对控制漏洞进行持续评估的结果,包括识别无效或冗余的控制。调整可能包括扩展和启动新的控制措施 (例如与新产品相关的控制),或停止、减少或重新设计现有的控制措施 (例如多余或重复的控制)。内部审计独立审查和验证这些调整,以确保遵循合理的管理流程,以及金融机构保留了一套合理且基于风险的控制措施,并在适当时期提出了相应的挑战。作为一套控制措施有效性评估的一部分,内部审计还应借此机会强调哪些控制措施没有产生预期的风险管理结果,或者根本不再相关。

要素 3: 提供非常有用的信息

沃尔夫斯堡的第三个要素侧重于金融机构向执法机关和政府机构来提供相应的信息,以支持他们保护其管辖社区免受金融犯罪伤害。这类信息包括金融机构通过监管报告机制(如可疑活动/交易报告10),以及合作机制(如政府赞助的与行业内的信息共享 ,即公私合作伙伴关系(Public-Private Partnerships))提供的信息。这里的重点是金融机构在提供有用信息方面的有效性,这些信息支持相关政府机构保护其管辖社区免受伤害。换句话说,它是关于共享信息的质量和有用性,而不是信息的存在或纯粹的技术合规。

原则 3

金融机构能够选择建立一套向政府机构共享高度有用信息有关的定量和/或定性的指标。

金融机构可以选择定义他们认为非常有用的信息,并应用自己的判断制定在其信息共享和报告活动中系统适用的指标。这可能包括定量和定性指标,虽然这些指标不太可能作为向政府机构提供信息的有用性的绝对衡量标准,但这些指标可以推断表明信息共享的有效性。

可以理解并非所有的报告都能从政府机构获得相应的反馈。如果建立了金融机构指标,可以由内部审计和政府机构评估金融机构为实现这一原则所做的努力。如果金融机构选择开发这些指标,则以下措施可能有助于其维护和使用。

措施

**3.1,金融机构能够考虑制定一套可靠和合理的指标,以评估其在确定的优先领域向相关政府机构提供非常有用的信息的绩效11。**这些指标的制定和实施对于许多金融机构、其内部审计团队和监管机构来说都是新的,因此初步评估可能需要关注必要的转型本身。这对该行业来说是一个机遇来进一步地找到最佳实施做法,在可操作的范围中,找到最相关的指标来促进实施的一致性。

**3.2 金融机构能够证明它监测为其自身设定的指标。**金融机构可以考虑建立一套内部标准或指导意见来收集这些管理信息。如果金融机构建立了内部标准和指导意见,则内部审计可以使用这些标准和指导意见来评估金融机构是否正在按照标准和指导意见收集信息。这将有助于金融机构与其监管机构和执法机构就金融机构的金融犯罪风险管理这一组成部分的有效性,以及用于支持实现这三项原则的资源是否足够进行讨论。

**3.3 金融机构能够通过自我评估的这种正式管理方式,来证明其在相关政府机构提供非常有用信息方面开展了监督工作。**例如,金融机构可以在其向董事会的现有报告和与之进行的讨论中,重点介绍金融机构如何向执法部门提供有用的信息,并举例说明该信息如何有助于建立更安全社区。这可以使金融机构了解其在这个重要领域中投入大量资源所能带来的影响。

结论

在制定此框架和相关原则时,沃尔夫斯堡集团认为,内部审计可以通过使用沃尔夫斯堡要素来衡量金融犯罪风险管理结果,从而协助金融机构打击金融犯罪,以达到最佳效果。这样做时,内部审计不仅将促进金融机构的金融犯罪风险管理的有效性,而且同样能支持监管评估其监管的机构和行业的风险管理的整体有效性。

Footnotes

  1. 原则和措施中使用的术语 “金融机构” 是指与内部审计职能不同的第一道防线和第二道防线。

  2. 与 2019 沃尔夫斯堡集团声明关于有效性的顺序相比,因素二和三的顺序颠倒了。这提供了适用于本文档中的审核计划的更连贯的因素。

  3. “政府机构” 一词包括执法和安全机构以及负责保护其辖区免受 FI 报告中确定的危害的当局。

  4. 内部审计职能部门可以以各种不同的方式承担和表达其工作结果,包括发布审计报告,进行持续监控,提出实时问题等。

  5. 第一道防线和第二道防线还负责评估控制措施的有效性。

  6. 根据内部审计师协会发布的国际内部审计标准 2010.A1,行业标准至少每年一次。

  7. 术语 “管理性文档” 至少包括政策和程序,进一步的文件将取决于每个金融机构如何建立其更广泛的治理文件要求; 这可能包括标准、指南、桌面操作说明、技术用户指南等。

  8. 见脚注 2

  9. 此节措施与 1.1 中的措施相对应,后者侧重于法律和法规的规范性要求,并纳入了金融机构基础判断和定义的内容 (例如,解释 “合理控制措施” 的含义,定义 “风险偏好”,解释 “监管预期”,和规定“可疑活动”构成内容)。

  10. 值得注意的是,金融机构支持国家安全和外交政策目标的有效性可以通过没有向相关政府机构报告来证明,例如缺乏下游封锁、传票或资产冻结。

  11. 有关如何在确定的优先领域评估风险的更多信息,请参见沃尔夫斯堡集团声明关于证明有效性的说明。

Back to Effectiveness