根據美國“反欺詐財務報告全國委員會”(coso)的定義,“內部控制”(inner control)本意是指“由一個主體(企業)的董事會、管理當局和其他人員實施的,旨在為經營的效率與效果、財務報告的可靠性、符合適用的法律法規等各類目標的實現提供合理保證的過程”,包括“控制環境”、“風險評估”、“控制活動”、“信息溝通”與“監控”五個相互關聯的要素,每個要素又分別承載“經營”、“財務報告”與“合規性”三個目標。內控制度特指企業單位為實現自己的經營目標、提高經營績效,而在經營活動的開展、財務報告的編制和法律法規的遵守等方面所作的一系列自律性或他律性制度安排。沒有一個合理的內控制度體系,企業單位的經營目標實現就缺乏必要的內部保障環境。
由於洗錢行為對社會經濟和保險行業自身都具有嚴重的危害性,不難理解保險機構的反洗錢活動也會影響其“經營的效率與效果”的目標實現。並且,由於國家制定了一系列的相關法規,保險機構的反洗錢還涉及對“適用的法律和法規”的遵守或違反等問題。所以,內控制度的建立和健全是保險等金融機構有效執行國家反洗錢法律法規的必要條件。反洗錢的內控制度是保證上述的客戶盡職調查、交易記錄保存和大額及可疑交易報告提交等反洗錢基本措施真正得以履行的實施機制的總和,是反洗錢制度的制度。
現在,保險機構已經被要求依法建立反洗錢的內控制度,可以借鑑國際社會的通行做法,遵循rba原則來進行反洗錢內控制度建設。保險機構應考慮將反洗錢的內控制度同自己的風險管理框架整合起來,識別、評估和控制經營風險的過程,包含洗錢風險在內。為此,提出如下建議:
(一)在風險管理戰略中加入反洗錢的目標和方案
保險機構是直接或間接提供風險轉移服務的特殊金融企業,自身也面臨著各種各樣的經營風險,所以有必要也有能力制定實施自己的風險管理戰略,這是保險機構核心競爭力的一種體現。因此,如果承認自己面臨的諸多風險因素中包括了洗錢風險,那么保險機構就應該堅持反洗錢的rba原則,把反洗錢以及反恐怖主義融資的工作方針嵌入其風險管理戰略或計畫。在風險管理框架下,保險機構應致力於建立與反洗錢相關的內部報告、內部審計和內部評估制度,它們構成反洗錢內控制度的主幹。其中,內部報告是針對反洗錢信息(例如來自客戶身份識別和交易審核的信息)的內部傳遞和共享;內部審計是針對反洗錢信息的內部分析、辨疑以及對反洗錢程式實施的稽核與控制(例如對是否提交可疑交易報告的決定);內部評估是指對反洗錢合規工作的自我評價與總結,以利改進和提高。
(二)指定反洗錢合規專員(compliance officer)
實施風險管理需要一個強有力的領導班子,保險機構建立和貫徹反洗錢內控制度應指定專門負責組織、安排、引導和協調反洗錢事務的合規專員,並以其為核心及時組建反洗錢合規部門。對合規專員的要求,首先是要掌握足夠的法律、金融、保險和財務等基本知識,其次要具有一定的組織、領導和協調能力,同時應具備基本的風險管理理念和經驗。在此基礎上,需賦予其相稱的職位和充分的職權,能在許可權範圍內相對獨立、不受掣肘地調配人、財、物以推進反洗錢合規工作的正常開展。綜合考慮國際標準和我國實際,為保證反洗錢內控制度的順利實施,應將多級制保險機構內部的合規專員建在地市級分支機構以上,並定為同級領導層的副職級別。此外,保險機構還應設定洗錢報告員(money laundering reporting officers,mlros),在反洗錢合規專員的領導下專門負責編制和提交交易報告,其數量根據本單位的業務規模和結構而定。
(三)搞好反洗錢的員工培訓(employee training)工作
風險管理是“由人員來實施的”,而目前國內保險機構實施反洗錢內控制度所面臨的最大困難之一即在於廣大員工缺乏對洗錢風險的正確認識和反洗錢的基本常識,所以,組織開展持續性、富有成效的員工培訓,是保險機構最佳化反洗錢內控制度建設的重要保障。培訓的渠道、途徑可以靈活多樣,既可利用保險機構已有的培訓網路(如保險公司的組訓部門),也可利用外部資源、通過第三方培訓機構(如大專院校)來完成,講授、座談、研討和觀摩等手段最好交替使用。從培訓的內容上看,對反洗錢內控制度的管理層和執行層應當有不同的側重點:對於高層管理人員,應偏重國家關於反洗錢的大政方針和法律法規、反洗錢制度的一般框架和實施原則以及自己的領導職責尤其是法定違規責任等內容;對於一線的合規工作人員,則更應偏重客戶識別、記錄保存、報告提交等反洗錢措施的詳細規定與執行流程等內容。培訓的目的是要不斷提高保險從業者反洗錢的思想意識、合規技能及綜合素質。