保险业企业反洗钱内部审计情况调查与分析
2014-09-20□罗婷
□罗 婷
(中国人民银行合肥中心支行 安徽合肥230000)
2012年,反洗钱工作监管当局提出在反洗钱领域全面推广法人监管工作模式,其中一项重要内容是要求金融企业以法人为单位,依据顶层设计、全系统通用的原则建立健全科学的反洗钱内控制度,建设以客户为中心、与产品相结合的可疑交易识别标准和流程,对全系统反洗钱工作实效负总责。基于此,金融企业从上至下的内部控制在反洗钱工作中的作用愈显重要。
根据美国COSO委员会提出的 《内部控制——整合框架》,内部控制可分为控制环境、风险评估、控制活动、信息与沟通、监察五大要素。反洗钱内部审计工作,作为五大要素中重要的内部控制手段,在法人监管模式下,更有必要发挥其监督各项制度执行状况、查找风险、控制风险的约束作用。本文通过对安徽省保险行业内部审计状况的调查,分析该行业反洗钱工作的内部控制能力,尝试提出法人监管模式下,保险行业反洗钱内部审计工作最优模式。
一、调查基本情况
笔者于2014年对安徽省46家保险公司二级企业开展了内部审计情况的调查。其中财险类公司23家,寿险类公司23家。调查内容主要包括以下几个方面:总部及二级企业反洗钱内部审计企业设置、反洗钱内部审计制度、二级分公司接受总部反洗钱内部审计状况、二级分公司自主开展反洗钱内部审计状况。
二、调查的保险业企业反洗钱内部审计状况分析
(一)反洗钱内部审计职能设置
在被调查的46家保险企业中,全部落实了反洗钱内部审计职能部门,其中38家设置在审计、稽核部门。二级企业中未落实反洗钱内部审计职能的共13家。而在具有反洗钱内部审计职能的保险企业二级企业中,有22家企业承担反洗钱内部审计职能的部门与总部职能部门未对应。此类企业承担该职能的部门为“反洗钱工作领导小组”、办公室、人事行政部等部门。
(二)反洗钱内部审计制度状况
46家保险企业中,有37家建立了专门的反洗钱内部审计制度,但涉及的多为审计目标、审计频率、审计内容等框架性内容。对于审计流程、审计技术等具体业务缺乏操作性与指导性规定。
(三)反洗钱内部审计工作开展状况
46家保险企业二级企业中,2010年以来接受反洗钱专项审计的为15家。自身主动开展反洗钱专项审计的有22家。审计内容多为反洗钱内部控制制度是否建立,客户身份识别和大额可疑交易报告在具体操作中是否执行,宣传培训是否开展等,以满足本企业能达到反洗钱法律法规的基本要求。46家保险企业均未对反洗钱制度的科学性、具体工作流程科学性、洗钱风险控制能力等体现反洗钱质量水平的深层次内容开展审计。
(四)反洗钱内部审计结果在业绩考核中的应用状况
在总部开展内部审计中,有19家企业将内部审计结果纳入业绩考核工作中。二级企业中,有18家将该结果纳入业绩考核中。在纳入考核的企业中,多以整改做要求,未严格将其与责任人的晋升、物质奖励等结合。
三、法人监管模式下保险业企业反洗钱内部审计存在的问题
(一)由上至下的反洗钱内部审计职能部门设置不顺畅
从被调查的保险业企业中发现,总部多能将承担反洗钱业务审计的部门设置在稽核、内审等专业审计部门。而在二级企业中,承担此项职能的部门则多为非专业的内部部门,有的甚至是为满足基本的合规性要求,而草率地将此职能由反洗钱牵头部门,甚至是由反洗钱领导小组来承担。总部与分支企业此项职能承担部门的不一致,直接影响了反洗钱内部审计的水平与独立性,进而影响反洗钱内部审计质量。
(二)内部审计制度粗略,缺乏操作层面的指导作用
金融企业的反洗钱工作是一项涉及面广、专业性强的新型业务。而保险企业针对此项业务的内部审计,虽在内容上依据《中华人民共和国反洗钱法》等法律法规涉及制度建设、客户身份识别、可疑交易报送、宣传培训等需履行义务的各项内容,但在审计策略、审计技术上却很少涉及,导致目前此项工作的内部审计多流于形式。如在审计反洗钱组织企业时,多看本企业是否成立了反洗钱领导小组,领导小组每年是否按要求召开会议,而未对领导小组的组成结构、会议内容中布置的具体项目质量开展审计。对客户身份识别工作执行情况的审计也多流于表面,多是审计在与客户建立业务关系时客户身份资料留存的完整程度,而不能根据各业务条线各金融产品多角度分析客户身份识别工作执行的好坏。
(三)内部审计内容着眼于操作性风险,忽略流程控制风险
流程控制是执行好反洗钱工作的重要内容之一。且随着保险企业业务产品的不断创新,新型产品的洗钱风险高低也未被保险企业充分评估。相应的内部审计则多注重在投保、理赔等环节的操作环节风险,在审计技术上采取简单的随机抽样技术,不能根据不同产品洗钱风险高低,客户资金来源等风险状况,审查本企业整个的反洗钱业务操作流程,导致虽能少量发现部分违反反洗钱法律法规的事实,但无法从流程设计上查找出基于内部控制的风险控制缺失问题。
(四)绩效考核工作与内部审计结果结合度不高
目前保险业企业多将发生重大洗钱行为或后果的,被监管企业处罚的行为等纳入从业人员业绩考核,属于事后风险控制的范畴。就日常内部审计中发现的违规情况,无法按照业绩考核办法中的规定对相应人员实施奖励或惩罚。保险公司反洗钱内部审计结果无法充分运用,使其在内部控制中的作用大打折扣,无法真正发挥其提升反洗钱工作整体质量,有效控制保险公司洗钱风险的审计目标。
四、相关建议
(一)构建顺畅的内部审计组织架构
要实现反洗钱内部审计在内部控制中的保障、监督作用,必须确立其在组织架构中的地位。规范法人治理结构,科学定位,明确职责,选择恰当的组织架构。对总部及二级分公司,应理顺上下级履行该职能的部门,尤其是二级分公司,应根据总部企业设置状况,将反洗钱内部审计职责落实在相应部门,保证该项工作纵向与横向的顺畅沟通(见右上图)。
(二)建立基于风险的反洗钱内部审计模式
金融企业在开展反洗钱内部审计时,可通过结合经典案例,分析本企业各业务条线在经营中存在的洗钱高风险点,从制度的制定决策层面到制度的操作层面对产生此类风险的因素进行排查,突出重点环节,在发现表面问题的同时,挖掘出隐藏在问题表象后的风险盲点。具体内容见下表:
审计目标有效控制洗钱风险基于风险的分类产品风险客户风险地域风险代理风险风险子因素财产险、人寿险、分红型、万能型等新型险种等个人、团体、从事职业,投保金额、投保方式等是否为利用保险企业从事犯罪的高发区域等代理渠道,代理方反洗钱能力等符合性测试 实质性测试评估此类风险的内控措施依据内控措施有效性开展
(三)适当引入外部审计资源
针对目前保险行业整体反洗钱内部审计职能落实不清、审计制度不健全,审计质量不高的状况,基于反洗钱审计目标的实现,一些中小型保险企业或业务量较小的分支企业在考虑成本控制、审计独立性等因素的基础上,可适当考虑引入会计师事务所审计等外部审计方式,以达到通过外部的监督促进反洗钱内部审计水平的提高和反洗钱内部控制制度的有效执行两种目的。
(四)加大与内部考核机制的关联程度
对于目前多数保险业金融企业反洗钱内部审计结果与考核制度挂钩不紧密的现状,可结合当前内部审计发现的主要问题,从操作流程与操作环节入手,逐步细化保险企业考核制度中反洗钱执行内容,如将客户身份识别质量、异常交易分析甄别质量等纳入考核。一旦反洗钱内部审计发现此类问题,即可根据考核内容中相应标准实施奖惩。切实发挥反洗钱内部审计的事后评价功能,以达到提升内部控制有效性的最终目的。