观点 | “穿行测试”在反洗钱现场检查中的应用探析

本期作者：

刘丽洪

中国人民银行营业管理

注：本文已获作者授权发布，谨代表作者个人观点。

【按】为探索“风险为本”反洗钱监管理念的实施路径，不断完善反洗钱现场检查手段，笔者在反洗钱现场检查中尝试引入“穿行测试”方法。从实践结果看，该方法的施行在丰富检查手段，消除检查“瓶颈”，在提高检查工作、锻炼检查队伍等方面都取得有意义的实效。建议下一步完善制度和流程设计，加强人员培养，以便更好的发挥穿行测试在反洗钱现场检查中的作用，提高反洗钱监管工作水平。

一、穿行测试的基本概念及应用背景

(一)

穿行测试的基本概念

穿行测试（walk through testing）通常是指在审计领域，注册会计师评估被审计单位的内控制度风险程度，了解被审计单位业务流程及其相关控制的有效性时，经常使用的审计方法。具体来讲，就是注册会计师将“初始数据输入”被审计单位内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。

穿行测试审计方法的本质与风险为本反洗钱监管理念有高度的契合。将穿行测试审计方法应用在反洗钱现场检查中，利用金融机构业务系统以往生成的数据，以及业务纸质档案，追踪检查人员所选择样本客户数据及资料的形成过程，可以对被查机构反洗钱内控制度执行的有效性进行评价，发现被查机构反洗钱工作存在的风险。

(二)

穿行测试的应用背景

一是国际反洗钱工作标准不断升级，对我国反洗钱工作提出新的挑战。2012年2月召开的金融行动特别工作组织（FATF）全会，通过了新的《反洗钱、反恐怖融资和反扩散融资国际标准》（新版４０条建议），新标准增加了引入风险为本的反洗钱方法等要求。在此情况下，完善以风险为本的监管手段，探索新的检查方法，是摆在我们面前的重要课题。

二是当前金融机构反洗钱工作现状迫切要求转变监管模式。2007年《反洗钱法》实施以来，反洗钱监管部门加大了对金融机构的现场检查力度，推动了金融机构反洗钱工作水平的提高。但随着工作的深入开展，金融机构应对反洗钱现场检查的能力也在不断提高，反洗钱工作“表面”合法化的问题突出，有效性却不足，现场检查进入“瓶颈”期。提高反洗钱现场检查工作水平，探索使用新的现场检查方法成为当务之急。

二、穿行测试在现场检查中的运用分析及实际案例

(一)

传统模块化现场检查方法的特点分析

传统模块化现场检查方法的特点分析二是针对及时纠正措施，第十六条规定投保银行因重大资产损失等原因导致资本充足率大幅度下降，严重危及存款安全以及存款保险基金安全的，存保机构、人行、银保监会均有权对其采取补充资本、控制资产增长、控制重大交易授信、降低杠杆率等措施。

在反洗钱工作开展初期，金融机构在合规方面存在的问题比较普遍和明显。监管部门从推行“规则为主”入手，对金融机构实行“合规即免责”的监管要求。应用模块化现场检查方法能够比较快速、直观地发现金融机构各反洗钱业务模块中存在的问题，有针对性的对各模块分别提出整改要求和处罚建议，模块化现场检查方法可以较好地满足工作的需要。随着工作的深入开展，金融机构反洗钱工作水平不断提升，模块化检查方法的局限性开始显现。主要表现在通过此种检查方法，有可能得出被查机构的反洗钱工作基本符合法律法规的检查结论；而实际上被查机构反洗钱工作的有效性不足，检查结论和被查机构反洗钱工作实际情况出现一定程度的偏离。

(二)

穿行测试在反洗钱现场检查中的应用

分析

针对当前反洗钱工作的需要，笔者在反洗钱现场检查中探索应用了穿行测试方法。从具体实践看，运用穿行测试的方法，变“模块式”检查为“链条式”检查。以客户为中心，即追踪检查人员选取的样本客户，以金融机构开展反洗钱工作业务步骤为链条，从被查机构为样本客户提供金融服务开始，至样本客户退出金融服务终止；通过一系列链条式的检查，了解被查机构在业务开展过程中是否履行了反洗钱内控制度，对样本客户采取了哪些具体的反洗钱管理措施，进而判断被查机构反洗钱内控体系的有效性，最后得出检查结论。

总结起来，穿行测试方法的五个步骤是（见图2）：

第一步，反洗钱内控制度评估。检查人员查阅被查机构的反洗钱内控制度，并判断其合理性或风险程度。如果判断内控制度设计不合理或风险程度较高，则不具备进行穿行测试的前提条件，仍采用模块化检查方法进行检查。如果判断内控制度设计合理或风险程度较低，则可对被查机构反洗钱内控体系进行穿行测试。

第二步，选取风险客户样本进行测试。检查人员抽取部分中、高风险客户为样本，追踪样本客户业务开展过程，验证样本客户在客户身份初次识别、风险等级划分、客户身份重新识别、可疑交易报告等业务环节履行反洗钱义务的情况，判断被查机构反洗钱工作的有效性。

第三步，选取可疑交易客户样本进行测试。检查人员抽取部分产生可疑交易报告的客户为样本，验证样本客户在客户身份重新识别、风险等级划分、异常交易监控、客户身份初次识别等工作环节的有效性。

第四步，对以上测试进行分析得出结论。经过以上两轮穿行测试，判断样本客户反洗钱工作“链条”的延续性、有效性，发现被查机构反洗钱工作是否遗漏必要的步骤、措施，反洗钱内控制度是否得到有效执行。

第五步，样本比对分析并得出结论。选取全部高风险客户和产生可疑交易报告的客户为样本，对这两组样本进行比对。如果两组样本契合度越高，说明被查机构在客户身份识别阶段就能发现高风险客户，并能适时、严密地监测到客户的异常交易，调整风险等级，及时报告可疑交易，反洗钱内控体系有效性越强。反之则说明被查机构反洗钱内控体系有效性越弱，只是做了“表面合法化”的工作（见图3）。

(三)

具体案例分析

在某金融机构现场检查中，笔者探索应用了穿行测试的方法。具体做法是：

首先，检查组查阅了被查机构的反洗钱内控制度，判断其比较合理，风险较低。

其次，检查组从被查机构上报的可疑交易“数据包”中筛选出高风险特征明显客户为样本，追查样本客户的客户身份初次识别、风险等级划分、重新识别工作环节，发现样本客户的客户身份初次识别所采取的措施，与低风险客户没有区别。客户产生可疑交易报告后，被查机构也没有及时调整客户的风险等级和对客户采取身份重新识别措施。

第三，检查组在被查机构全年业务数据中，筛选出5组符合被查机构反洗钱可疑交易筛选系统标准的“数据包”为样本。检查组将样本“数据包”与被查机构可疑交易筛选系统产生的“数据包”，及上报反洗钱监测分析中心可疑交易“数据包”进行比对，结果发现有2组样本数据均不在上述2个数据包内，这说明被查机构的可疑交易筛选系统和人工分析程序均没有发现这2组数据，经检查人员分析，其中有1组数据包内客户的交易符合可疑交易报告标准。被查机构未对这1组数据包内的客户进行身份重新识别、异常交易监控、风险等级划分，客户身份初次识别强度不够。

第四，经过上述两个步骤，可以判断被查机构客户身份初次识别工作流于形式，对高风险特征明显的客户未进行更为严格的身份识别措施。样本客户产生可疑交易报告后，被查机构没有采取客户风险等级调整和身份重新识别等措施，也没有对客户进行交易监控。另外，该机构可疑交易筛选系统和可疑交易分析机制均有重大缺陷。

最后，检查组把被查机构上报的可疑交易“数据包”与中高洗钱风险等级客户“数据包”进行比对，发现上述2个“数据包”之间客户重合度很低。说明被查机构客户风险等级划分工作较差，不能在客户洗钱风险等级划分工作环节发现高风险客户，并及时监控，客户被报告可疑交易后，客户风险等级也未做适时的调整。

通过上述的穿行测试程序，可以得出被查机构反洗钱内控体系存在较高风险的检查结论。

四、穿行测试方法应用于反洗钱现场检查的初步成效和下一步工作建议

(一)

穿行测试方法应用的初步成效

一是丰富了风险为本反洗钱检查手段。穿行测试方法通过对被查机构业务全流程进行测试，能够动态和有效发现被查机构反洗钱内控体系存在的风险，为风险为本反洗钱现场检查工作提供有力“抓手”。

二是有效化解反洗钱现场检查面临的“瓶颈”问题。穿行测试应用到反洗钱现场检查工作中后，现场检查结论能够触动被查机构的“痛处”，促使被查机构积极推动反洗钱工作，增强反洗钱内控体系和工作措施的有效性，进而提高反洗钱工作水平。

三是确保检查结论更加公正、客观。穿行测试方法是以客户为中心，验证被查机构整个反洗钱工作链条的有效性，视角更加开阔，避免了“模块式”检查视角的局限性，得出的检查结论更加贴近被查机构反洗钱工作的实际情况。

四是提高了监管人员的工作水平。应用穿行测试方法，需要检查人员熟悉了解被查机构各业务条线的运营状况，以及反洗钱工作程序的执行情况，更重要的是需要检查人员有较高的职业敏感性，较高的分析能力和判断能力。因此，这种方法的使用，直接推动监管人员深入学习反洗钱法规，研究各类机构的业务特点，进而提高了监管人员的自身业务素质。

(二)

相关工作建议

一是继续完善风险为本的反洗钱法规制度。穿行测试检查方法是建立在风险为本的基础之上，是在评估被查机构反洗钱内控制度风险较低或有效的情况下采用的方法。当前实施的反洗钱法规，偏重于“合规”理念，为更好地发挥穿行测试的作用，应不断修改完善风险为本的反洗钱法规制度。要求金融机构以风险为导向开展反洗钱工作，对不同风险的客户采取不同的管理措施，同时将反洗钱内控制度的有效性纳入行政处罚的范围。

二是指导推动金融机构建立风险为本反洗钱内控制度。穿行测试方法的运用，目的是推动金融机构不断提高反洗钱工作水平。建议在逐步完善风险为本反洗钱法律法规的同时，加强对金融机构的指导，督促各机构加快建立以风险为导向的反洗钱内控制度。一方面，有利于金融机构提高内部管理水平，主动发现自身问题，建立自动纠错机制；另一方面，将有效降低检查人员对被查机构反洗钱内控制度的评价难度，更易于选取穿行测试样本，穿行测试得到的检查结果会更客观，现场检查工作效率得到有效提升。

三是有针对性加大检查人员培训力度。穿行测试方法的运用对检查人员综合素质提出了更高的要求。首先，检查人员必须熟悉掌握不同类型被查机构的业务流程和运营情况，才能在检查中按照不同机构业务特点进行测试。其次，检查人员要能够合理评估被查机构反洗钱内控制度的有效性，如果评价结论不准确， 穿行测试的结果就会出现较大的偏差，甚至是错误的结论。另外，选择穿行测试的样本也是难度较大的工作，穿行测试的样本不是一成不变的，需根据不同被查机构的实际情况选择不同的样本组合。为适应上述工作需要，必须有针对性加大对检查人员的培训力度，不断提高业务素质和工作水平。

四是加强对穿行测试流程和步骤的总结和细化。穿行测试方法运用到反洗钱现场检查中，目前只是探索，还有不尽完善的地方。在进一步实践的基础上，还需要不断对这一方法的总结和归纳，对其工作流程和步骤进行模式化设计，以更好地推广运用，在反洗钱现场检查工作中发挥更大作用。

【注】本文是作者在2012年写的一篇文章。现在通读，仍有一定的参考价值，虽不免文中也有当时的局限性，但总体上还是非常值得推荐阅读，希望为当下金融机构自查本机构反洗钱工作，或做好迎检工作都有一定的帮助。

Edited by Elise Jiang

道琼斯公司(Dow Jones) 创建于1882年，旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险管理和合规治理品牌，由道琼斯风险合规中国团队运营。欢迎关注公众号或联系：Johnson.Ma@dowjones.com