防洗錢兩要素:獨立稽核、模型驗證
防洗錢兩要素:獨立稽核、模型驗證
為協助台灣業者完備反洗錢三道防線,安侯建業洗錢防制暨反資恐顧問服務負責人朱成光從人員、科技與流程角度,闡明獨立稽核的定義,並分享過去曾協助國際大型行庫進行模型驗證的經驗,供國內業者參考。
防洗錢兩要素:獨立稽核、模型驗證
國際社會對反洗錢日益重視,去年底台灣接受亞太洗錢防制組織(APG)的第三輪評鑑,自此法令遵循的三道防線架構,已深植台灣金融機構法遵風險管理文化中,包含第一線的業務部門、第二線的法遵部門,以及當前二道防線建置與執行後,透過第三道防線落實持續監督與持續改善精神,推動執行內部的獨立稽核部門。
然而,台灣金融機構雖已以原則性基礎精神(Principle based)及風險導向方法(Risk based approach)導入風險評估方法論,產出風險評估報告書,並投入資源引進科技方法,建置洗錢防制資訊系統,以整合洗錢防制作業流程,強化及落實KYC、交易監控與通報作業等法遵程序。但與歐美先進國家相比,台灣金融機構的洗錢防制系統仍處草創階段,需要更多的模型驗證其可行性。
為協助台灣業者完備反洗錢三道防線,安侯建業(KPMG)洗錢防制暨反資恐顧問服務負責人朱成光從人員、科技與流程角度,闡明獨立稽核的定義,並分享過去曾協助國際大型行庫進行模型驗證的經驗,供國內業者參考。
稽核部門具獨立性 不等於業務及法遵部門
朱成光表示,所謂獨立稽核,指的是有別於第一線業務執行單位、及第二線法令遵循單位的執行人員或單位,互不相屬,具有獨立性。因此在實務上,只要是參與法令規範設計、建置、推動或執行的單位或人員,都不適合擔任獨立稽核的角色。
朱成光指出,由第一道防線人員執行的稽核測試,僅能視為第一道防線的自我檢核;至於第二道防線人員執行的稽核測試,也僅能視為驗證內控設計與規劃的法令遵循程序,是否被落實執行推動,屬於「自我評估」,因此金融機構中,只有內部稽核單位可符合「獨立性」的定義。
朱成光說,當內部稽核單位的報告對象是法遵主管,或稽核主管由法遵主管兼任,該主管同時兼具第二道與第三道防線之責,從嚴格的角度來看,也可能違反獨立稽核的定義。
稽核測試兩大關鍵 範圍與風險導向
針對金融機構內部稽核測試,朱成光認為主要有兩大關鍵因素。首先在規劃範圍面,朱成光說,金融機構進行獨立稽核作業規畫時,應思考稽核範圍、期間、稽核測試方法,並與反洗錢(AML)系統驗證,從人員執掌(組織)、政策與作業規範(流程)與洗錢防制系統(科技)三大範圍,規劃稽核測試項目,以完善測試作業。
然而,受限於資源與時間等限制,朱成光建議,金融機構在規劃稽核範圍與期間時,應參考以風險為本的方法,來設計稽核測試相關作業。
其次,在「風險導向測試」方面,朱成光則將測試方法分為三大類,其中包含控制「設計」的有效性測試,以及控制「執行」的有效性測試。這兩類主要是針對反洗錢流程內所設計的控制點建置,以及在稽核期間內,以抽樣方法檢視與評估控制點是否有效地執行。因此會涉及抽樣方法論的探討。朱成光說,評估查核風險時,需個別考量機構的固有風險與控制環境(減抵措施)因子後,納入前期主管機關查核結果,與前次內部稽核結果等兩項因子,以定性方法決定查核風險程度。
最後一類則是「證實測試」。朱成光說,當部分控制措施無效,則可規劃證實測試,評估流程作業是否存在補償性控制,或評估衝擊的影響程度。
在正式測試的規劃上,較小規模的證實測試可引進電腦輔助稽核技術(Computer Assisted Audit Techniques, CAATs),透過專用稽核軟體,以資料分析的方法,對於特定控制點交易進行查核期間內的全面性資料,或交易的檢核與檢查。
針對內部稽核的系統驗證與資料驗證,朱成光表示,在過去幾年,金融機構無論是自行研發或採購專用的AML系統,均已引進科技協助輔助人工執行AML法遵作業,例如名稱檢核、黑名單比對,及交易監控作業,但這些科技系統猶如「黑盒子」,金融機構需評估黑盒子是否能發揮當初設計的功能,並評估能否達到預期設定的目標。
因此,機構規劃獨立稽核作業時,需併同思考科技系統的相關控制,並規劃至稽核計畫範圍。
關鍵驗證4項目 風險可控化並降低誤判率
安侯建業(KPMG)洗錢防制暨反資恐顧問服務負責人朱成光提出4大關鍵驗證的項目,首先是一般資訊科技控制(General IT control),主要是針對目前正在運行的AML系統,進行評估存取控制、系統開發、系統維護與系統操作管理等控制環境,透過合理機制評估AML系統基礎運作管理,確認是否具備適當內部控制。
第二項是應用系統控制(IT application control),針對目前運行中的AML系統,進行流程面的系統控制測試。一般測試重點在於系統權限控制、介面拋轉控制、異常報表控制與系統設定控制四大環節。
第三則是資料驗證(Data Validation)。朱成光說,AML系統主要資料與數據來源,均會從前台系統或核心系統拋轉而來。因此測試前台資料拋轉到中間平台(資料倉儲等)、再拋轉至AML系統間,是否存在資料遺失、重複拋轉或短少資料等問題,是當前採用AML系統中不能忽視的議題。
因此,倘若資料出現遺失或重複或短少的情況,金融機構又不知情,則有可能衍生出「應偵測而未能偵測到」的風險,或是「應控制而未能控制」的風險。
最後則是系統驗證(System Validation)。朱成光表示,當前採用AML系統的主要應用,當屬名稱檢核比對及交易監控,尤其是透過AML系統進行交易監控與異常交易篩選的作業。當機構將監控態樣設定至系統中,機構需評估該些態樣能夠完整篩選出異常交易,並與監控態樣參數值設計期望目標一致外,亦需思考合理範圍內,以降低誤判率。
朱成光說,前面提到的人員、政策、流程與科技面的資料驗證與系統驗證項目,以及獨立稽核作業規劃應考量的重點,是根據目前金融機構採用中小型AML系統輔助洗錢防制作業為基本獨立稽核項目為基礎。但金融機構若有意採用大型AML系統,且擬就整體大型系統與洗錢防制作業流程結合程度進行更詳細的演示與驗證作業時,朱成光建議可參考美國通貨監理署頒佈的OCC 11-12模型驗證規範(Model Validation),去規劃相關稽核測試與驗證作業。朱成光表示,此模型驗證規範從模型開發、建置與使用層面,治理與政策層面及模型驗證層面,均有定義相關的方向與規範,是能夠讓大型金融機構參考與發展專屬模型驗證的方法論。
(本文轉載自工商時報3月26日)
© 2024 KPMG, a Taiwan partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance.
上列組織及本文內任何文字不應被解讀或視為上列組織之間有任何母子公司關係,仲介關係,合夥關係,或合營關係。 上述成員機構皆無權限(無論係實際權限,表面權限,默示權限,或任何其他種類之權限)以任何形式約束或使得 KPMG International 或任何上述之成員機構負有任何法律義務。 關於此文內所有資訊皆屬一般通用之性質,且並無意影射任何特定個人或法人之情況。即使我們致力於即時提供精確之資訊,但不保證各位獲得此份資訊時內容準確無誤,亦不保證資訊能精準適用未來之情況。任何人皆不得在未獲得個案專業審視下所產出之專業建議前應用該資訊。