洗钱风险与业务风险管理如何融合——以“反电诈工作”为例
- 来源:银行家 smarty:if $article.tag?>
- 关键字:风险,管理,建议 smarty:/if?>
- 发布时间:2024-10-26 14:19
李 英
2021年6月1日,中国人民银行发布《中华人民共和国反洗钱法(修订草案公开征求意见稿)》(以下简称《反洗钱法》)明确规定金融机构须“防止金融体系被利用进行洗钱等违法犯罪活动”。2022年12月1日起施行的《中华人民共和国反电信网络诈骗法》(以下简称《反电诈法》),明确要求金融机构应“防范银行账户、支付账户等被用于电信网络诈骗活动”。两部法规都明确规定金融机构应当履行风险管理的法定义务。而在实践中,商业银行反洗钱工作与反电诈工作存在“两张皮”现象,洗钱风险管理与业务风险管理相融合的长效管理机制难以有效建立。本文从商业银行实际出发,探讨反洗钱工作与反电诈工作的关系,对二者的有效融合提出建议。
洗钱风险管理与业务风险管理的关系
洗钱风险管理在履行风控义务方面起到统领作用。反洗钱的三大核心义务是“客户身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告”。反洗钱义务机构的履职是现代社会治理的基础,商业银行以“管理资金”为日常经营内容,反洗钱以“追踪资金”为日常工作内容,反洗钱关系到社会稳定,是一项涉及多领域、跨部门的系统性工作(王宝运,2020)。目前商业银行反洗钱工作机制存在的主要问题是客户信息整合不足和反洗钱机制运行不畅,主要原因是不同部门间各自为战,信息割裂,发生风险事件时是由单独的部门进行处理,反洗钱部门不知晓相关情况(聂涛,2022)。FATF(反洗钱金融行动特别工作组)正在力推旨在打击“金钱”这一洗钱犯罪驱动因素的“资产追回”行动,而这些行动需要赋予反洗钱主管机构(人员)适当的权力、技能和资源(熊安邦,2022)。
“风险为本”的原则须体现在业务风险管理过程中。反洗钱工作的原则已由“规则为本”转向“风险为本”,商业银行要履行反洗钱义务,关键抓手是要确保“风险为本”的原则得以在各业务板块中落实。为落实“风险为本”的措施,义务机构要分析哪些产品、服务和业务洗钱风险较高,哪些领域、渠道和环节易于传递或放大洗钱风险,这些行为应形成长效机制(冯怡,2022)。通过分析客户收入、成本、盈亏平衡点,计算客户洗钱风险行为对银行成本收益的影响,可印证“风险为本”贯穿于银行展业过程,商业银行应正确评价和掌控风险管理的成本收益(刘丽洪,2022)。
数据管理与系统架构的支持至关重要。要将“风险为本”的原则贯穿于业务过程,离不开银行机构自身软硬件设施的配套。洗钱风险管理涉及的数据来源多、数据量大,要建立可以持续优化升级的系统体系,要评估各个系统的能力,提高风险甄别效率,降低人工甄别成本(朱彤,2020)。通过大数据技术在反洗钱领域的应用,对海量数据、信息整合、模型规则的研究结果显示了技术基础支持对保障业务交易链完整性、监测有效性和全面性的重要性(程相镖、杨鼎璞,2022)。可见,反洗钱工作是服务于商业银行日常经营管理的基础性工作,商业银行应牢牢把握反洗钱的核心义务,统领全行不同业务板块、不同机构履行义务,使洗钱风险管理贯穿于业务风险管理的具体流程中,同时研究业务开展、数据采集、模型规则等方面的关联关系,促进其有效履行反洗钱义务。
洗钱风险管理与电诈风险管理融合的难点
政策机制方面
监管报送不统一。商业银行反洗钱工作的行业主管部门是中国人民银行反洗钱部门,可疑交易报送的对口部门是中国人民银行反洗钱部门和公安机关经侦部门。
而商业银行反电诈工作的行业主管部门是人民银行支付结算部门、银保监会或银行业协会(或支付清算协会)相关部门,反电诈数据报送的对口部门是以上监管部门及公安机关刑侦部门。反洗钱、反电诈工作分属不同的监管机构或监管机构中不同的部门,工作要求不尽相同,报送规范不尽相同,导致商业银行将反洗钱工作与反电诈工作相拆分,使得上报的可疑信息线索有时难以在不同的主管机构间进行共享,可疑线索的应用时滞较长。
商业银行内部职能交叉。在商业银行内部,反洗钱工作与反电诈工作往往由不同部门负责,有的银行反洗钱工作由合规部门负责,反电诈工作由安保、零售或运营部门负责;有的银行虽然将反洗钱职能与反电诈职能放在同一部门,但为了响应不同的监管要求,设置不同团队分别开展工作;有的银行为了避免重复取数,虽然反洗钱和反电诈部门分设,但将反电诈数据报送工作合并到反洗钱部门负责。无论分工如何,工作要求、工作规则、工作内容交叉重叠难以避免。
风险识别方面
洗钱风险名单与电诈预警名单范畴不一致。现行洗钱风险名单库基本上是各商业银行按照反洗钱和反恐怖融资管理、受益所有人、洗钱风险自评估等监管文件规定,在行内建立法定名单库,这已是通行做法。但此类通用名单专门针对电诈信息的不多,很难根据电诈犯罪的地域化、集中化、个性化等特点配套提供预警名单支持,导致反电诈工作部门不得不另行建立电诈风险预警名单库。
反洗钱尽职调查与反电诈场景调查不一致。反洗钱日常尽职调查由银行员工开展,除了借助反洗钱名单库、洗钱风险评级指标工具外,按照自然人客户、非自然人客户对于客户信息的基本规定开展信息要素的基本识别。而反电诈工作的要求不仅如此,尤其是在“断卡行动”中,公安部门针对客户识别发布很多场景化要求,为配合反电诈的事前识别、快速拦截等场景,商业银行内部出台许多反电诈日常尽调指标,但这些反电诈尽调信息要么不留存,要么由经办机构临时留存,或由反电诈部门临时留存,没有纳入到洗钱风险管理档案体系中。
风险监测方面
“反洗钱模型”难以与“断卡模型”匹配。银行机构推出的各种“断卡模型”与“反洗钱电诈可疑交易模型”(以下简称“反洗钱模型”)各自独立运行。原因是“断卡模型”时效性要求高,命中后“T+0”或“T+1”日阻断;而反洗钱模型从命中到尽调到分析再到阻断,有一定停留时间,不能立即阻断。且“断卡模型”根据监管部门发布的线索进行动态调整的频率较高,而反洗钱模型多布放在反洗钱监测系统,该系统是银行全行级系统平台,布放构造、参数设置较复杂,关联系统多,模型调整工作量大,造成反电诈部门宁愿自己单独管理“断卡模型”而不愿将“断卡模型”与“反洗钱模型”整合,由此造成两套模型并行,重复命中重复管控。
反洗钱管控与“断卡”管控存在矛盾。“断卡模型”独立于“反洗钱模型”导致反电诈部门管理的高风险客户独立于反洗钱高风险客户,两份客户清单可能存在重叠,也可能造成反洗钱高风险客户评级失真或漏评,甚至出现同一客户洗钱风险等级与其管控措施错配,例如出现洗钱风险等级为低风险,但断卡管控为高等级“怪象”。
洗钱风险管理与电诈风险管理融合的建议
明确工作定位
《反洗钱法》与《反电诈法》角度不同,但二者脉络相通,并不割裂。《反洗钱法》要求“金融机构应当依照本法规定建立健全反洗钱内部控制制度,评估机构洗钱风险状况并制定相应的风险管理措施,结合实际情况建设反洗钱相关系统”,即要求金融机构全覆盖、体系化地建立反洗钱机制,涵盖金融机构风险管理的基本要求,管理措施针对包括电诈在内的各种不法行为;《反电诈法》针对电诈活动特点,要求要避免不法分子“利用电信网络技术手段,通过远程、非接触等方式,诈骗公私财物”。“可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息……”则是专门针对电诈场景提出的措施。
监管部门对义务机构在工作措施和数据报送上的规范是可以共享互通的。反洗钱监管部门关注包括电诈上游犯罪在内的所有洗钱上游犯罪线索,反电诈可疑交易线索属于反洗钱可疑交易线索中的一类。相关监管部门可以明确要求商业银行在进行反洗钱和反电诈数据报送时,保持数据报送规范和报送内容的一致性。
在商业银行内部,反洗钱与反电诈虽由不同部门负责,但反电诈工作从其风险管理涉及的制度流程、系统监测到客户资料管理、数据报送,都与反洗钱工作对业务条线管理的基本规范一致,反电诈工作可以也应当结合反洗钱要求,开展风险管理。
统一风险识别路径
在反洗钱监控名单库中建立反电诈自定义名单。对于反洗钱监控名单库中的通用名单针对性不强的问题,解决措施是在库中建立电诈预警自定义名单,可以参考洗钱风险管理的全视角逻辑,从地域、渠道、客户、业务四个方面考虑。地域是指采集电诈风险高发地区名单,主要来源于各区域监管部门发布的信息;渠道是指采集不同渠道的行业名单,如反电诈部门主动向阿里、腾讯等第三方支付机构或其他具备资质的数据平台获取行业名单;客户是指采集电诈可疑客户名单,名单的来源是电诈涉案人员及本行电诈模型分析结果;业务是指综合地域、渠道、客户三方面的预警名单后自定义业务或产品预警名单。实际操作中,电诈自定义名单完全可以纳入洗钱风险名单库中,需要注意的是在名单使用环节要注意依法合规,对被筛查客户履行授权使用手续。
根据场景细化“反洗钱尽职调查”指标。在应用上,反电诈尽职调查称得上是反洗钱尽职调查的“教科书”。在按反洗钱要求开展客户身份信息识别等日常尽职调查的基础上,可以结合电诈特点,开展三方面的场景化尽职调查。一是调查交易目的和性质。主要用于识别不合理的开户或激活。在反电诈识别中,可以通过工作地(或生活地)、过往史等维度进行识别。例如对社保、缴费、网购等信息进行无纸化核实。过往史主要基于行内档案,一般设置于系统台账中,根据过往记载作出评价。二是调查经济状况或经营状况。主要用于识别不合理的支付额度。电诈高发区在非柜面交易,因此,应通过客户职业、客户资产、客户流水等维度对客户进行非柜面交易额度识别,在客户同意的条件下,可以将他行资产、他行流水也纳入登记。三是调查资金来源和用途。主要用于识别具有电诈特征的异常交易。在反电诈识别中,可以对满足一定数量和规律的交易对手、交易方式、交易摘要进行登记和标识,将其纳入反洗钱模型体系中。
统一风险监测机制
以洗钱风险等级为总阀门进行客户分类分级。商业银行对客户进行分类分级的目的是配置不同的非柜面支付限额,不论如何分类,都应以洗钱风险等级为总阀门,也就是说,非柜面支付限额要首先校验客户的洗钱风险等级,当风险等级对应“不允许交易”时,应阻断分级分类的结果应用,即分类分级结果只能用于划型不能用于交易;当风险等级“允许有条件交易”时,应适用孰严原则,即风险等级允许“非柜面交易”时,非柜面支付额度要同时响应分类分级限额。
将反洗钱管理系统作为模型运行入口。解决电诈模型、电诈可疑客户另行管理等问题,就要考虑将电诈模型及客户纳入反洗钱管理系统中进行统一管理。一是将断卡模型与反洗钱模型进行“去重翻写”,分别对应“断卡行动”的快速拦截要求和反洗钱管理的周期性观测要求,分拆出事中模型及事后模型,前者可布放在反洗钱监测系统之外的具体业务平台,以便于参数快速迭代,后者应布放在反洗钱监测系统内进行统一管理;二是所有模型均与反洗钱监测系统中的评级体系挂钩,不论是事中模型还是事后模型,触发模型的客户同时要触发评级,以避免管控错位;三是将疑似客户与反洗钱名单建库进行联动,视模型击中类型、评级理由、管控要求等不同情况,进入黑名单或灰名单,作为后期再次击中模型、再次调级以及管控、解控的参考,周而复始,形成对客户及其交易进行监测的闭环管理体系。
电诈风险管理是洗钱风险管理在业务应用上的实践案例,从案例中可以看出,不论从法规、监管还是商业银行内部来看,洗钱风险管理与业务风险管理的关系是“面”与“点”的关系,前者是基础管理和全面管理,后者是条线管理和产品管理;前者是基本规范,后者是场景应用。理顺商业银行洗钱风险管理与业务风险管理之间的关系,将不同业务板块的资金流监测置于洗钱风险监测的基本框架内,从而促进商业银行形成稳健的风险管理长效机制。
【参考文献】
[1]王宝运.反洗钱和反恐怖融资理论与实践[M].北京:中国商业出版社,2020.
[2]聂涛,万江晗.大数据在反洗钱案件分析中的应用研究[J]. 金融科技时代,2022(3):58-63.
[3]熊安邦.金融行动特别工作组反洗钱动态[J].现代世界警察,2022(10):20-27.
[4]冯怡.风险为本反洗钱监管机制建设研究[J].金融会计,2022(5):56-62.
[5]刘丽洪.基于洗钱风险的客户接纳与展业策略探析[C].反洗钱工作部联席会议办公室.中国反洗钱实务,北京:中国金融出版社,2022(2):40-51.
[6]朱彤.以风险为本的反洗钱监测系统内部审计[J].中国内部审计,2020(5):63-65.
[7]程相镖,杨鼎璞.大数据赋能反洗钱[J].中国金融,2022(17):99.
(作者系广西北部湾银行运营管理部总经理)
责任编辑:杨生恒