洗錢風險評估的主要目的是為透過識別金融機構所面臨的一般及特殊洗錢風險,即確定該風險如何因公司的防制洗錢計畫控制而抵減,及確認金融機構所剩餘的剩餘風險,以推動改進金融犯罪風險管理。風險評估的結果可以用於各種原因,包括:
• 確定防制洗錢政策、程序及流程的缺失或改進機會。
• 就風險偏好及控制工作的執行、資源分配、技術支出作出明智的決策。
• 協助管理階層了解業務部門或業務類別的防制洗錢合規計劃框架是否與其風險情境一致。
• 制定風險抵減策略,包括適用的內部管控機制,從而降低業務部門或業務類別的剩餘風險。
• 確保高級管理階層了解主要風險、控制缺口及補正措施。
• 協助高階管理階層做出關於商業退場及處置的戰略決策。
• 確保監管機構了解整個金融機構的主要風險、控制缺失及補正措施。
• 協助管理階層確保資源及優先事項與其風險保持一致。
進行企業風險評估是一項複雜且資源密集型的任務,但仍然是了解金融機構的風險環境所必需的任務。整個企業風險評估的周期取決於許多因素,包括所採用的方法、進行臨時審查/驗證的類型及程度、風險評估的結果,以及內部或外部風險事件。
金融機構應決定風險評估的適當頻率,以保持其調查結果與風險抵減計劃的相關性。一些金融機構每年都會更新風險評估,但如果風險環境沒有重大變化,有些金融機構可能會選擇不那麼頻繁地進行風險評估。在特殊情況下,例如監管機構干預時,風險評估可能比每年一次更頻繁地進行。
無論整個企業風險評估進行的頻率為何,金融機構通常每年都需要報告洗錢風險環境的狀況。這可以用年報或其他類型報告的形式為之。因此,其中一種方法是對最近的風險評估進行以觸發為基礎的臨時審查,以突顯先前確定的風險環境是否有產生任何變化。這些變化可能源貣於內部(例如可疑活動報告的顯著增加)或外部(例如針對同行機構的重大執法行動)等因素。任何變更都可能導致額外行動計劃的制定,或強調需在某些領域進行更深入的評估。
此外,可以進行臨時風險評估,著重在高風險領域及為解決特定風險而實施的具體控制措施。然後,這些臨時風險評估的結果,可以納入下一次定期的洗錢風險評估。
金融機構應定期(最有可能每年)審查其方法,以確保任何內部或外部因素的任何變化,都被適當地涵蓋在其方法內,以期盡可能準確地了解風險。從一個年度到下一個年度所採用的方法如有任何變化,都需要明確紀錄下來,並經相關管理部門核准(例如高級管理層,金融犯罪執行委員會(Financial Crime Executive Committee))。相關變化應依據金融機構每年比較結果來評估,否則結果中所發生的重大變化可能是不合理、無法被明確解釋或被理解的。金融機構亦可以選擇透過獨立的審查部門定期審查其方法,例如:審計或獨立第三方。這樣應該可以使金融機構內部風險管理一致,且可以就該方法在整個行業的比較提出觀點。
無論選定何種方式,金融機構應確保他們的方法有被明確紀錄且經高級管理階層核准。風險評估的方法必需被清楚的闡釋,尤其是關於被評估的因素、評分的標準、評分方法中使用的必要比重、適用的任何評分範圍,包括其理由及任何業務類別/業務單位特定參數等。雖然恣意評分否決(arbitrary scoring overrides)並非常態,但特別是在進行風險評估前幾次,直到所採用的方法較穩定為止,可能仍需要手動否決存在的情況。
關於何人擁有及管控風險評估的決定權可能會受到風險評估如何進行的影響,即是否按業務類別、國家、地區或整個企業範圍進行,且該決定將受到金融機構架構、全球足跡及複雜性的影響。對於整個企業的風險評估,許多風險評估可以匯總到單一層面以適用到整個企業,儘管戰略行動可能存在於業務類別層面,而不是適用在整個金融機構/集團層面。策略行動則可能由集團或區域層面擁有並進行。行動的掌控掌控權者可能依據金融機構的規模及複雜程度而有所不同,但應該是那些最有能力確保行動可以完成的人。
風險評估的範圍應明確闡述,以確認業務及合規所確定的問題,即風險評估是否獨立於業務並合規進行,或者是否為綜合風險評估。
同樣地,所採用的評估形式,或提出的問題類型,可能會取決於正在被評估的業務領域,或金融機構是否僅有一個或不同業務領域而有所差異。例如:僅提供財富管理服務的金融機構可能會選擇將其問題及管控框架更多地放在地理位置及客戶風險上,而不是在產品或交付管道風險(這可能更有利於零售業務)這部分。這將使正在被評估的領域得受到更多關注及分析。
在進行風險評估時,金融機構應選擇適當的格式來整理風險評估。可用的選項包括建置一個定制的內部系統,以紀錄風險評估結果並形成風險評等,或使用電子表格程序,或手動計算風險評等,以及其他可能的選項。所選擇的方法應適合於金融機構的規模及複雜性,因為這可能會影響風險評估的有效性及可管理性。一個金融機構應調查何種方法最合適,並紀錄決定的背後理由。在作出此決定時,金融機構還應考慮該方法是否能夠產生風險評等,並追踪在風險評估過程中產生的行動。雖然行動可能位於不同的內部系統中,但應紀錄該行動是因風險評估而產生的。
如果在金融機構中使用不同的方法,則應始終遵循風險評估方法的原則,以便可以依據所識別的風險大小來比較相對結果。一旦已設計風險評估方法,如果該方法在某一層級一致,將可使金融機構受益,亦即針對方法所做的任何改變,仍應允許對先前的風險評估結果進行比較,以便在任何特定的金融機構中,有意義的增加/穩定/降低風險。附表 B 說明如何建置風險評估的示例流程。
金融機構的高級管理層是風險環境的整體掌控者。他們可能將風險評估委託給法律/金融犯罪法規遵循/洗錢防制單位,使該單位對洗錢防制的風險評估的執行與交付負有主要責任。這將包括例如方法開發、維護、定期更新程序/活動進行及完成評估的紀錄保存等任務。業務類別負責人以及其他部門,例如資訊技術、運作風險及支付,也可能需要提供協助。值得注意的是,雖然金融機構高級管理層可能會將風險評估程序委託給洗錢防制單位處理,但風險的掌控權仍然與企業緊密相關,企業也可能負責執行因風險評估活動中所發現的差距或缺陷導致的任何行動(見上開問題 3)。
風險評估的目的及各方所需提供的協助應被明確列出,金融機構應考慮是否將風險評估的協助及執行具體責任作為相關工作人員年度目標設定過程的一部分。金融機構還應確保向參與完成風險評估的工作人員提供及時與適當的培訓/指導,以確保其均採取一致的方法,例如:與特定術語意義有關。
所選擇的風險評估框架應得到金融機構高級管理層的充分認可,並作為可以推動合規文化的工具之一。 洗錢防制單位應確保為管理風險評估程序及其結果分配足夠的資源。
大多數金融機構的洗錢防制法規遵循單位都在一個部門(通常是金融犯罪法規遵循部門)內,管理洗錢防制(包括打擊資助恐怖主義活動(CTF))、制裁及反賄賂與貪腐(AB&C)。在開始進行洗錢風險評估之前,金融機構應首先評估並確定風險評估的全部範圍。從歷史上看,洗錢風險評估主要著重於與更傳統洗錢模式相關的客戶、交易及其他風險。然而,隨著時間的推移,其他金融犯罪已成為洗錢的前置犯罪,洗錢防制法規遵循的範圍也同樣擴大到包括更多的可疑活動。因此,風險評估程序可能涉及評估多種(有時是不同的)活動,包括洗錢、國際制裁、賄賂及貪腐、各種欺詐、內線交易及市場操縱、逃漏稅等。雖然評估不同風險的因素可能會重複,但在某些情況下,這些因素也可能存在很大差異。
因此,金融機構可能因此選擇透過單獨的評估流程或其組合,在單一風險評估中涵蓋所有這些領域。以下是確定風險評估範圍時,需要考慮的問題:
應該可以依據已收集的數據作為基礎,在風險評估中分離任何該類的風險類型。這將有助於提出具體的風險觀點。
無論金融機構是透過洗錢風險評估或透過單獨的評估流程正式評估上述(及其他)金融犯罪風險,金融機構的洗錢防制單位都有責任了解金融機構之間存在的風險程度。同樣地,無論洗錢防制單位是否掌控控管措施的管理及維護,洗錢防制單位應了解金融機構相應抵減控管措施的有效性及不足之處。
最近,例如像內線交易及市場操縱等犯罪已經成為洗錢的前置犯罪,因此可以在洗錢風險評估中列入考慮。然而,儘管用於評估所呈現風險的方法是相似的,目前這些通常都被與洗錢風險評估分開被考慮。如果監管機構/立法聲明增加了新的前置犯罪,應針對方法進行審查,以確保其適當的被涵蓋在內。
在目前許多進行洗錢風險評估的方式中,越來越普遍被金融機構採用的方式,即被稱為「傳統/標準方法(conventional/standard methodology)」。下列圖表大致描述了此方法於實務上可預見的情形,惟實際情形亦可能依金融機構之不同而有所出入:
風險評估應涵蓋該金融機構的全部業務,惟可區分不同部分,或以滾動循環一部分的方式,針對特定領域,例如部門、單位或特定業務類別、國家及/或法律實體為之。風險評估應考慮所有相關固有的洗錢風險因素以決定其風險概況,並以設計與運作有效性的觀點,依次評估其降低風險控管的內容,以達到於該金融機構已建立的風險偏好內剩餘風險的控管。整體而言,風險評估為金融機構的義務,至於洗錢防制風險則通常會由負責的防制洗錢單位,以專門知識及技能,配合相關外在及內在資訊的收集來設計並執行。風險評估程序可區分為三個階段:
第 1 階段:決定固有風險;
第 2 階段:評估內部控制環境(依設計及運作有效性觀點);以及
第 3 階段:導出剩餘風險。
6.1. 第 1 階段 – 固有風險評估
固有風險代表於並未適用任何控制環境的情況下,暴露於洗錢、制裁或賄賂及貪腐等風險的暴險情形。
由於每個金融機構的情況皆不一樣,固有風險評等可能依據金融機構的規模、業務範圍及所涉及的風險有所不同。為認定金融機構的固有風險,雖尚有其他需要考慮的因素,但普遍來說會就以下五個風險項目進行綜合評估:
1. 客戶
2. 產品及服務
3. 管道
4. 地理因素
5. 其他定性式風險因素
一個組織所可能面對的風險項目可能非常廣泛。這些廣泛的風險項目會被細分入源於法令規範、期待以及具主導性產業實務的固有風險因素,並包含混合了定性及定量的標準。風險因素即為金融機構可能被金融犯罪相關目的利用的潛在原因或情況。
對風險因素的不當管理,可能導致商譽風險、監管或法律制裁,以及可能因此產生財務成本。基於特定業務單位或業務類別產品及服務的特性以及客戶基礎,應使用風險基礎法來決定固有風險。每個風險因素通常會被賦予一個可以反映該因素的風險層級的評分或比重,以及與其他風險因素相比該風險的普遍性程度。
金融機構應決定若資訊被方法定義為無法輕易取得時(例如,就特定問題回答「不知」時,即可能導致被自動歸類為高風險/有缺陷的評等) 所適用的評等,並須考慮取得該資料所必須採取的補正措施。
6.1.1. 客戶
為評估一個業務部門、單位或業務類別的固有洗錢風險,應評估其客戶基礎及業務關係。許多客戶類型、產業、活動、專業及業務內容,併同其他因素,例如與一個客戶的合作時間長短,皆可能增加或減低洗錢風險。以下項目類別可被用於分層區分客戶基礎,並用於特定客戶風險特性:客戶類型、所有權、產業、活動、專業及/或業務內容。依據被檢視5的特定部門、單位或業務類別,以上項目類別中的部分或全部,皆可能具有相關性。
依據每種客戶類型所被預期的洗錢防制風險,每個客戶類型都會被賦予一個風險評分。針對有問題的業務部門、單位或業務類別,應決定/預測落入該客戶類型的客戶數量。這個資料可用來確定依據風險分類對每個業務部門、單元或業務類別的客戶類型的百分比(%)進行評等,例如,低風險與中等風險,高風險與更高風險相比,以確定總體固有客戶風險。金融機構的風險分類方法必須被明確紀錄。針對不同客戶類型的固有風險評分的範例,詳如附表 C。
6.1.2. 產品及服務
除客戶之外,另一個主要的風險成分可於考慮產品與服務風險時被發現,其間金融機構會嘗詴特定其對主要產品/帳戶種類的投資,並依據各項的一般固有特色及呈現的洗錢風險程度,賦予一個固有評分(例如:低、中、高或更高)。而後,針對被詢問的業務部門、單位或業務類別,應決定/預測該業務提供的產品/帳戶數量,及若可能,另決定/預測相應的帳戶餘額或相關聯的營業額。此資料可被依據風險分類,例如:低風險、中風險、高風險及更高風險等,用於決定各業務部門、單位或業務類別產品/帳戶種類的百分等級,藉以決定整體的固有產品風險。針對不同產品/服務及交易製作的固有增加風險評分的範例表詳如附件 D。
6.1.3. 管道
某些交付管道/服務方法可以增加洗錢風險,因為其增加了部門、單位或業務類別並不真正知悉或了解其客戶身分及活動的風險。因此,必須評估帳戶開戶或帳戶服務,如非面對面開戶或牽涉包含仲介機構在內的第三方的情形,是否及至何程度可能增加固有洗錢風險。須注意者,此等帳戶可能並不必然造成固有洗錢風險的增加,例如:雖其活動係以非面對面的方式進行,但金融機構認識該客戶的情形。非常規客戶,或金融機構不甚了解的客戶,係較容易帶來較高固有洗錢風險的客戶。
就此風險項目,業務部門、單位或業務類別應決定/預估依據風險分類(例如:低風險、中等、高或更高風險)後的帳戶或客戶百分比,以決定整體的固有管道風險。針對不同管道風險因素製作的固有風險評分範例表詳如附件 E。
6.1.4. 地理/國家
特定有可能提高風險的地理位置是任何固有風險評估的核心要素,且業務部門、單位或業務類別應了解並評估隨著涉及在特定地理位置經營業務、開立並服務帳戶、提供產品及服務及/或促成交易所生的特定風險。
地理/國家風險亦可能依據業務部門、單位或業務類別所在地點來分析,且可能包含其國際及在地的分支機構、關係企業或營業所,其目標係在特定一個金融機構所涉足的地理區域範圍。就客戶項目而言,其目的係在特定其於各國家內所有的客戶數量。金融機構必須決定該數字是否應取決於以下全部或部分因素:居住地、公司設立地、國籍。為將地理/國家歸類於不同風險評等,可使用金融機構的本國風險模型或同等(經適當地審查)第三方供應商產品為依據。針對不同地理/國家風險因素製作的固有風險評分範例表詳如附件 F。
地理/國家風險亦可與部分其他風險分類中的風險因素一同考慮,例如,於金融機構中的客戶項目,及於交易中的產品與服務。舉例而言,一個業務部門、單位或業務類別與高風險國家間交易的百分比,即可以地理/國家的角度提供固有風險的指標。
地理/國家風險於任何制裁風險評估中皆很重要,不僅於被制裁國家中如此,且就其他可能與被制裁國家具有眾所周知/重要連結或其他重大關聯的國家亦同。這可能包含國界相鄰,或與被制裁國家鄰近,或其他有意圖違反或規避制裁規定並針對資金轉移提供潛在機會的國家。
此外,地理/國家風險亦於任何反賄賂或貪腐的風險評估中有適用。特定帶有較高賄賂及貪腐風險的地區,通常與掌權者如何濫用其地位取得個人經濟利益有關。當此等地區存在於金融機構營業範圍中,賄賂及貪腐風險即須被適當地反映。
6.1.5. 其他定性風險因素
其他風險因素可能對營運風險有所影響,且可能造成主要防制洗錢控管出現失靈可能性的增加或減少。定性風險因素會直接或間接地影響固有風險因素。例如,重大策略及營運方針的變更,例如推出主要新產品或服務、合併或收購案、增加新營業地點或關閉一個事業體,均可能影響固有風險。此等變更可能需要重新檢視既存的內部控制機制或需要建立新的內部控制機制,且假設此等控制機制需要一段時間才能有效運作,則該部門、單位或業務類別即須評估其固有風險是否暫時性地增加或有所改變。主要的其他定性風險因素可能包含:
針對不同其他定性風險因素製作的潛在固有風險評分例表詳如附表 G。
6.1.6. 產業固有風險評等是否有一個共通標準?
雖業務部門、單位及/或業務類別的固有風險可以適用並加總與客戶、產品及服務、管道、地理/國家及其他定性風險因素相關的風險方式確定,但於許多情形下,除非存在不尋常或特定附加風險,一個金融機構的特定部分會較其他部分取得一個較低的評等,而其他部分則取得一個相對較高的評等。
雖通用或相關的銀行業評等有其用處,該評等不應外於固有風險評估單獨使用。就最重要的銀行業的通用固有風險評等範例, 請參見附表 H。
6.2 第 2 階段 – 內部控制的評估
當固有風險已被特定並評估後,內部控制即應被評價來決定其抵減整體風險的有效性。內部控制係由金融機構設置的程式、政策或活動來防止洗錢風險的實現,或確保潛在風險已被即時發現。控制也同時被使用於維持管理一個組織活動的法規遵循。許多相同的控制可適用於金融機構內部不同的活動,亦可同時被前台人員(第一線)及法規遵循人員(第二線)執行6。施行中的控制係以其減緩固有洗錢風險有效性作為評估的標的,並藉以決定剩餘風險評等。防制洗錢控制通常係依以下控制項目綜合評估:
各部分皆應評估其整體設計及運作有效性。控制執行可能存有正面及負面指標,而這些指標皆應被明確紀錄以評估各項控制的運作有效性。此外,控制應盡可能與關鍵績效指標或其他指標連結。
評估控制有效性的一個方法,係透過業務單位/業務類別進行針對性的自我評估。此種自我評估可以專業知識及既存的內部資訊獨立檢視,例如業務風險審核、審計測詴及保證測詴。特定的控制可依據預先定義的評等量表或依據定性因素,例如:上開控制因素的「滿意」 、「需要改進」 或 「缺失」,來進行評等。
舉例而言,就「培訓」而言,一個有效的培訓框架必須存在許多要素。因此,控制評估將側重要素,例如是否評估員工培訓需求、是否為關鍵角色提供專業培訓,或是否按時完成培訓等,並要求金融機構評估以上各要素的運作是否令人滿意、需要改進或有缺失。就這些評等,「培訓」下的各要素都可以制定指導原則。這也可能伴隨著「培訓」的整體評等。若為此部分提供整體評等,則這些評等應反映其項下的所有評等。
若控制被標記為未設計或未有效運作或不存在,若尚未進行某項行動,則應提出補正措施來救濟這項缺失。以培訓為例,這可能包括為員工提供一個經修正針對性的培訓計劃,或建置一個增強盡職調查程序。若已進行某行動,則此項問題應在評論缺失時予以注意。然而,一項行動不應影響剩餘風險,即行動本身並非一個固有風險的抵減因素。固有風險及內部控制的評估為一個「單一時點」的評估,而有效執行一個補正行動僅會改善下次進行風險評估時的剩餘風險。
如同前述的固有風險因素,各個被檢驗的部分都會被給予一個評分,其加總後的結果即反映了各該控制的相對強度。各部分而後可基於該機構認定該控制的重要性為每個部分分配比重。舉例而言,我們可預期在風險評估中,客戶盡職調查的比重會比紀錄保存及保管大。此部分的範例表詳如附表 I 所示。
6.2.1 防制洗錢單位的否決權
風險評估方法應持續進化,以更切合地對應金融機構對風險的看法。在完成風險及控制項目的評估後,防制洗錢單位(或其他金融機構決定的部門)應進行一次資料質量審查,且於某些情形下得考慮是否需否決任何因素或項目的固有風險評等或控制有效性評等。雖然調升固有風險評等及/或調降控制有效性評等是較簡單的作法,但反過來的情形應該也有可能,惟不論在哪種情形下,若變化非常重大,則評估方法應被重新審查。
一些金融機構可能考慮於計算剩餘風險後才進行否決。惟於所有情形,此等否決背後的原因必須被完整紀錄、佐證並經具有適當權責的人核准。除提供固有風險評分或控制環境評分外,亦可使用風險趨勢指標,例如風險增加、穩定及減低的量表。否決的需求可能代表風險評估方法中存有缺陷,而應由金融機構於下次進行風險評估前重新審視。
6.3. 第 3 階段 – 取得剩餘風險
一旦固有風險及內部控制環境的有效性被納入考量,即可決定剩餘風險。剩餘風險是在管控固有風險後,仍存在的風險。剩餘風險係透過帄衡固有風險層級與風險管理活動/控制的整體強度而決定。剩餘風險評等係用以判斷金融機構內部的洗錢風險是否得到充分管理的指標。
剩餘風險得以 3 等級評等量表,將之評等為高度風險、中度風險及低度風險。亦得採用任何其他評等量表,例如以 5 級量表分為低度、低至中度、中度、中至高度及高度。可考慮以下列定義描述應用於 3 等級評等量表的剩餘風險程度:
評分方法得如何配置的範例詳如附表 J。
基於上述方法,於最終確定風險評等時,可以在洗錢風險評估中採用某些規則,例如:
6.3.1 比重及評分
因各業務部門的特殊業務活動、產品及服務(包括交易)、客戶群及所涉地區,固有風險係以風險基礎方式計算。各風險因素通常均會有一個可反應其相關風險程度的對應風險評分。各風險領域並將配有一個可反應其於整體風險計算中相較於其他風險領域的重要性比重評分。同樣地,各控管措施將配有一個可反應其控管強度的比重評分。金融機構如何處理比重的範例詳如附表 I。
例如,若金融機構中某業務部門服務著重於通匯銀行業務,且其客戶群一部分係來自不同的國家、地區,則此特點將被認為較業務部門的其他客戶類型具有更高關聯性(因此將得到較高比重)。同樣地,某些控管措施相較於其他控管措施,對於抵減洗錢風險具有較直接的影響,例如在第一線控制時,客戶盡職調查的比重較邊緣獨立測詴的比重為重。
6.3.2 報告及結果回報
防制洗錢單位應回報洗錢風險評估結果予利害關係人及業務部門,包括但不限於集團的高級管理階層及集團內部審計。監管及監督機關亦應被適時告知。產業中對於金融機構所持有的運作風險資本層級的關注逐漸提昇,而風險評估結果得作為計算各金融機構運作風險資本的有用指標。
因用以支撐洗錢風險評估的資料量龐大,所以評估方法應設計為可以多種不同方式呈現評估結果,並得透過紀錄的任何因素例如業務單位、產品類別、地理區或客戶類型等突顯風險。這不僅是結果帄均值的呈現,並可協助金融機構業務任何單位突顯其固有與剩餘風險以及控管有效性。
6.3.4 關於客戶風險評等方法連結性的說明
由於金融機構建置其風險評估方法時,得依���建立的風險分類(例如:國家、地區、產品及服務、管道、交易及客戶)作更一致的風險衡量,其於建置各別客戶關係風險評等方法時,即得將此風險分類納入考量。例如,若任何風險分類被用於評等客戶關係時,將可以得到一個此客戶的整體洗錢風險評分。金融機構將據此評分,以風險評估觀點得出該客戶相對於整體客戶名單的排名。金融機構應確保其內部控制強度與其客戶所具有的風險成比例,具有高度風險的客戶應為最高強度的防制洗錢控制措施的對象,不論係透過接納(onboarding)標準 、增強盡職調查、增強監控及/或提高定期審查頻率。
6.3.5 關於其他風險評分/評估模式連結性的說明
由於金融機構的風險評估亦得由法律遵循以外的控管機關執行,金融機構應考量所執行的其他風險評估,並尋求確保有一個基於共通原則來執行並回報不同風險評估結果的方式。例如,運作風險框架通常包含以數量及質量為基礎,用以協助評估風險的評分及評等方法。衡量固有風險的評估方案及影響,亦可用以辨別最高固有風險,並依據業務類別或區域對風險進行排名。若金融機構的運作風險框架已被完善建置,並以 5 等級評等方法評估剩餘風險,而不是採用 3等級評等方法,金融機構則可能於進行本身洗錢風險評估時選擇採用此一方法。
同樣地,內部審計機構亦得使用特定方法將其執行審計的結果進行分類。如洗錢風險評估的結果或行動於金融機構內部以共通原則進行分類,則其結果或行動對高級管理階層而言將更具有意義且容易被理解。例如,一項重要的審計發現有「高度」風險評等,將與洗錢風險評估被評等為「高度」風險評估結果具有一致性。
然而,如一家金融機構使用的洗錢風險評估方式不同於該金融機構內部所使用的其他方法時,不同控管機構間應討論其理由,評估並瞭解影響,上開全部均並應被完整紀錄且獲高級管理階層的支持。
於完成風險評估活動後,控管環境中的差距或缺失即得以被識別。此將產生一連串依重要性合理排序並集中追蹤的行動。這些項目的掌控權可能來自業務所有部分,但法律遵循部門將有權監督這些行動的完成。
所提出的行動一旦完成則可能對剩餘風險評等產生重大影響,因此必須得到高級管理層及其他利害關係人的最大關注及支持。在可能的情況下,建議在風險評估執行前,先對已採取的行動進行補正,以評估剩餘風險狀況是否有所改善。
相較於戰術行動可能由當地業務類別掌控,策略行動可能由集團或全球業務類別掌控。業務類別對於接受所面對的洗錢/制裁/貪污及賄賂風險極為重要,因為他們處在有效改變固有風險狀況且得使內部管控環境有效化的位置。
風險評估中所突顯的問題,可以金融機構共通的年度計畫、監控及測詴及管理資訊提供資料。因此,應有一個足夠強大的質量確保程序以檢測所提議的行動是否適當的補正所提出的問題。
金融機構的洗錢風險評估制度應由專門負責此議題的單位設計,例如:法律遵循部門或防制洗錢單位,並應經金融機構高級管理階層認可。此原則同樣適用於其他風險評估制度,包括制裁以及貪污與賄賂風險評估制度。
洗錢風險評估結果將可用以解釋金融機構密當前的剩餘洗錢風險。為了評估隨時間改變的組合穩定性及檢測趨勢,可以進行趨勢分析。
決定剩餘風險是否等同於金融機構對洗錢風險的風險偏好,或剩餘風險是否超過該金融機構的風險偏好是必要的。在後者情形下,有必要合意以一種措施降低固有風險或強化控管環境,使剩餘風險與金融機構的風險偏好相一致。或者,亦可就金融機構是否正確設定風險偏好展開討論。於此情形下,高級管理階層的參與尤其重要,因為金融機構的風險偏好對於其策略目標及驅動誘因具有關鍵影響。
金融機構的風險偏好得以其他洗錢風險評估計畫以外的因素進行校正。例如在描述及闡述與金融機構相關的一組情境及/或風險/非偏好事件的範例,可將影響門檻金額(例如每年度所能接受的民事訴訟損失程度)包括在內。
儘管如此,構成部份風險偏好評估及與高級管理階層討論的情境範例中,可將特定期望(風險偏好)包括在內,並針對聲譽、法律、民事責任及刑事責任等風險回報成功及/或缺失(剩餘風險):
不論洗錢風險評估的結果如何與一個金融機構的風險偏好進行比對,其所生的行動均應明確。因此,在此過程中角色及責任的明確定義係程序中的重要環節,以確保如所承擔的風險同時超出偏好及控制框架職權範圍時,後果管理/程序會到位。
某些金融機構可能覺得利用系統或軟體,有助於進行風險評估。決定何種系統或軟體最適於風險評估,可能是進行風險評估中一個較具挑戰的面向。各金融機構所使用的軟體差異極大,從於標準詴算表製作軟體中內建客製化模板,到由金融機構自製或由供應商處所購買的複雜資料庫系統。各種方式均有其相對的強處及弱點,而選擇正確的工具需仰賴多種因素,包括金融機構的規模及複雜度(及所對應的評估程序自身複雜度)、評估程序參與者的數量及地理分布、評估程序隱含的定量矩陣的廣度/主要風險判准、與評估結果相關的必要管理資訊及動態規模、可預測的現存評估變因。
使用標準詴算表軟體最常見的挑戰為欠缺資料庫基礎、必須構建大量的手動計算及公式,以及詴算表一般單用戶的特性。或者,供應商或內部構建系統雖通常提供更強大的報告及更新功能,但常常較難客製化。無論選擇哪種方法,以及是否使用系統或軟體,金融機構應於風險評估前進行充分的測詴,以確保其有效地運作。
