本文基于对银反洗发{2021}1号《法人金融机构洗钱和恐怖融资风险自评估指引》的解读,并从“方法论”的角度,提供了一套基础的评估方法步骤,仅供参考,实务操作需根据机构实际情况,以机构内部的政策及操作为准。
背景
一、认识与评估的关系
二、洗钱风险认识
1、维度... 3
2、问题... 3
三、洗钱风险评估.
1、评估方法与步骤
第一阶段:评价“固有风险”
第二阶段:评价风险管理措施
第三阶段:评价“剩余风险”
2、其他关键条款
3、注意事项
3.1 关于计分模式
3.2 关于风险偏好
3.3 关于高风险行业/职业
4、评分示例
四、目的
背景
风险为本,Risk-Based Approach,简称RBA。反洗钱和反恐怖融资风险管理当中的这一概念,源于2012版FATF新40项建议《FATF Recommendations 2012》。在建议10<客户尽职调查>的注释<Risk Based Approach>项下,明确列示了高、低风险的参考项目。例如客户风险因素(Customer risk factors)下,非居民客户(Non-resident customers)属于潜在高风险因素之一。
巴塞尔在2012版的《有效银行监管的核心原则Core Principles for Effective Banking Supervision》的<General approach>章节中,同样提出了风险为本的概念【1】。
银反洗发【2021】1号《法人金融机构洗钱和恐怖融资风险自评估指引》(以下简称《指引》)中,明确了《指引》是为了加快法人金融机构反洗钱工作向“风险为本”转型。
一、认识与评估的关系
风险为本,从机构角度而言,首要强调的仍是对“洗钱和恐怖融资”风险的认识,那么应当如何认识这一风险?评估,是其中的一种方式或者手段。对于风险的“认识”和“评估”,这两者是密不可分的。
评估,实质上是将可量化、或者可推导定性的因素,更加直观地、将机构可能面临的洗钱或恐怖融资风险结果予以呈现。
而“认识”,是作为评估的前提条件。换言之,认识你的客户,其所处地区、所在行业、从事职业、持有产品、交易渠道等是否可能成为潜在的风险暴露“盲点”,将这些盲点予以揭示的过程,正是“评估”这一过程。而评估过程的外在体现,是风险评价或评级的结果。
认识和评估风险的原则,仍是围绕潜在“高风险”这个总体的导向。怎么理解这个导向?纵观《法人金融机构洗钱和恐怖融资风险自评估模板》(以下简称《模板》),大部分的参考因素,是从可能产生风险的角度进行的衡量,例如当地是否属于较高风险国家和地区、客户属于高风险行业或职业的数量、是否属于洗钱类型手法的产品业务等等
二、洗钱风险认识
1、维度
对于洗钱风险的认识,从洗钱“行为”和“风险”认识两个方面展开。
l 洗钱行为,通常分为处置、离析、融合三个阶段,在此不做赘述。从金融机构的角度来看,实施该行为中,金融机构可能会被不法份子利用,成为资金流转(黑钱洗白)的“通道”而存在。因此,从预防洗钱风险的角度出发,现行《反洗钱法》的义务主体包含“在中华人民共和国境内设立的金融机构”和“按照规定应当履行反洗钱义务的特定非金融机构”,并在第三章<金融机构反洗钱义务>中详细列举了金融机构应当履行的义务。
洗钱行为本质上属于一种外部客观现象而存在,当然,一些洗钱行为也可能通过类似于地下钱庄,即非官方的通道而实施资金转移,从而达到黑钱洗白的最终目的。
l 风险认识。洗钱风险主要包括三个构成要素:(1)洗钱行为或相关事件属于一种客观存在;(2)金融机构可能暴露于该风险下;(3)金融机构由于风险暴露而导致的可能的损失。该损失主要源于两方面:ⅰ金融机构因未遵守反洗钱相关法律法规而导致的直接损失;ⅱ因洗钱和恐怖融资风险管理不善而导致的声誉影响。
2、问题
对洗钱和恐怖融资风险认识不足的原因有多方面因素。
首先,风险虽然客观存在,但不必然发生,不必然发生意味着损失不必然存在;其次,洗钱和恐怖融资风险涉及的“客户”,没有完全一模一样的客户,个体差异导致了难以用标准化的尺度衡量“风险”程度。举例来说,同样来自伊朗的客户,可能一个就是从事与石油贸易相关的,而另一个可能就是单纯的留学生或者打工族。当然,FATF对于国家风险的评估,是识别国家风险的主要信息来源,这是另外一个方面;最后,对洗钱和恐怖融资风险的控制往往并不能产生直接的效益。从金融机构内部来说,对风险的防范分两种,一类属于风控方向,另一类属于合规方向,这两种不同的方向往往对应着不同的资源支持和投入。
三、洗钱风险评估
风险评估的方法,核心思路是通过量化风险项目(以数据采集为基础),结合定性指标的评判结果,综合对机构自身洗钱和恐怖融资风险等级进行评价。
1、评估方法与步骤
根据《指引》条款,结合《法人金融机构洗钱和恐怖融资风险自评估模板》,风险评估步骤如下:
第一阶段:评价“固有风险”
① 第一步,将客户划分为“基本客户群体”和“特定客户群体”,分类的目的,是为了对完成分类的客户进行“固有风险评价与评级”。解释如下:
l“固有风险评价与评级”是指“对该类客户固有风险的总体评价、风险点剖析和评级”,评价结果应包含“总体风险的评价”,并给出相应的风险评级。
l 示例:以“客户风险”为例,可以将客户划分为特定客户群体,如政治公众人物客户、非居民客户。
② 第二步,根据客户数量、交易金额占比、身份信息完整程度、客户了解程度等,形成对该类客户、每一个维度(风险点)项下的固有风险评价与评级,评价内容应包含“主要风险点的分析”和对应的风险评级。解释如下:
l “维度”与“风险点”的关系解释。《模板》中将风险维度划分为地域、客户、产品和渠道四个大类,《指引》原文条款中的“维度”表述均是基于上述四个大类而展开。但四个大类下的“风险”如何计量?通过“风险点”(对应到《模板》中该字段名为“参考因素”)进行细分和量化。
l 示例:以“客户风险”为例,“非居民客户”数量以及该类型客户账户的交易金额可以构成一个细分的风险点项目,并可通过取数方式实现量化。
第二阶段:评价风险管理措施
③ 第三步,对机构“内部控制基础与环境”进行评价,例如:(1)董事会与高级管理层对洗钱风险管理的重视程度;(2)反洗钱管理层级与架构,管理机制运转情况等;(3)反洗钱工作主要负责人和工作团队的能力与经验等6个方面。
④ 第四步,对机构“洗钱风险管理机制有效性”的评价,例如:(1)机构洗钱风险管理政策制定情况;(2)反洗钱内控制度与监管要求的匹配程度,是否得到及时更新;(3)客户尽职调查和客户风险等级划分与调整工作的覆盖面等10个方面。
⑤ 第五步,对“特殊内控措施”进行评价。包含:(1)当地分支机构反洗钱合规管理部门设置与人员配备;(2)当地分支机构执行总部反洗钱政策情况;(3)当地分支机构接受反洗钱监管检查、走访情况和后续整改工作等22个方面。
⑥ 第六步,“分类控制措施有效性评级”的结果是如何形成的?以“非居民客户”为例,“特殊内控措施”包括对“对该客户群在建立业务管理、持续监测和退出环节的特殊管理措施,包括强化身份识别,交易额度、频次与渠道限制、提高审批层级”,最终形成“分类控制措施有效性评级”。
⑦ 第七步,“维度控制措施评价和评级”是如何形成的?汇总上述第二步每个维度(风险点)下的“分析与评级结果”,经过第三步至第五步的“风险缓释”以后,最终形成“维度控制措施评价和评级”。
第三阶段:评价“剩余风险”
⑧ 第八步,“分类剩余风险”=①-⑥。注:上述步骤③、④和⑤中列举的“控制措施”,是最终形成⑥“分类控制措施有效性评级”的条件。
⑨ 第九步,“维度剩余风险”=②-⑦。注:上述步骤③、④和⑤中列举的“控制措施”,是最终形成⑦“维度控制措施评价和评级”的条件。
⑩ 第十步,对照《剩余风险方法》矩阵,计量机构整体及不同维度的剩余风险等级。即,最终需要形成“定性”评价结果。
2、其他关键条款
l 第十六条,对不同地域、客户群体、产品业务、渠道有特殊控制措施的,可以在评估时分别考虑以下因素:……“在评估过程中,可采取映射方式反映同一控制措施与不同固有风险之间的对应关系,实现对不同维度控制措施有效性和剩余风险的差别化评估”。即,地域、客户、产品和渠道四个大的维度,不同机构的风险偏好不同。解释如下:
a) 纵向来看,A、B两家机构。A机构可能相对“地域风险”较弱(例如来自高风险国家或地区的客户较少),而B机构由于该类客户相对A占比较大,则针对该类型客户(来自高风险国家或地区),B机构的控制措施有效性和剩余风险不能与A机构以同样标准衡量。
b) 横向来看,在单一机构内部,针对“证件过期类型客户的控制措施”,境内客户相对境外客户,证件信息更新的周期相对可能更短,因此,针对不同类型的客户而言,虽然“证件过期”对应着未来时点账户存在“只收不付”或“不收不付”的控制措施,但依据客户群体自身的固有风险不同,最终剩余风险的评价结果可能不同。
l 第十九条,风险等级原则上应分为五级或更高。机构规模较小、业务类型单一的机构可简化至不少于三级。规模越大、结构越复杂的机构,其设定的风险等级应当越详细。
l 第三十一条,法人金融机构对新产品、新业务和产品业务中应用新技术有更详细、更严格评估机制的,可直接将该评估结果引用或映射至对新产品业务类型的专项评估当中。
3、注意事项
3.1 关于计分模式
总体评估政策原文和模板中,未见“计分”模式。无计分,意味着难以量化并进行“定性”衡量,对机构来说,可以对比参照的是《法人金融机构洗钱和恐怖融资风险评估管理办法(试行)》(银反洗发〔2018〕21号),该文中的风险评估采取的量化“分值”并计算的方式。
3.2 关于风险偏好
此外,关于风险评估中的“偏好”问题。
偏好,往往导致了在量化或者定性指标的过程中,可能存在一定的人为因素偏差。偏好,可能源自于对一些关键客户或者重点客户的准入,也可能源自于对一些高风险账户的管控,即,“偏好”往往是由一些相对“特殊”的“客户”或者“业务”决定的。因此,从这个角度来说,解决人为“偏好”导致的评估误差,最佳实践是通过一些数据或者事实验证的方法来进行闭环验证。
以下“评分示例”中将予以说明。
3.3 关于高风险行业/职业
在《自评估模板》表中,高风险行业/职业属于“客户”维度下的参考因素。但结合现实情况来看,哪些行业可以定义为高风险行业?
根据FATF等机构定义的“高风险行业”,例如废品收购、艺术品拍卖/收藏、交通工具经销商等,对标国民经济“标准行业”中的分类结果如下表:
从洗钱和恐怖融资风险评估的视角来看,需要明确国内反洗钱监管体系下的“高风险行业”具体指向哪些行业,才能明确这一指标的取数口径。即,取数口径的定义清晰,才能确保数据分析、评价的结果准确。
4、评分示例
以个人客户(基本客户群体分类的其中一种),将《模板》中的12项固有风险参考因素拆解成下表:
根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)中的四级指标权重评分法,该方法中的核心之一是确定各指标的“分值”和“权重”。不论单一指标的“分值”或“权重”是源于数学模型检验,还是专家经验评估,需要考虑的是,最终的评分结果是否可以精确衡量机构的洗钱风险。即,评估的结果需要支持数据验证或者事实验证。
试想场景如下,A、B同属于一家法人机构,A机构的客户群体偏向于中老年客群定位,以理财、定期存款等产品为主,B机构以当地外来人口为主,产品类型不固定。从过往两家机构的经营活动来看,B机构的客户,经过线下人工排查分析,符合可疑交易特征并上报案例的客户相对较多(对比A机构)。
从整体机构固有风险角度衡量,上述A、B两家机构总体处于“动态平衡”状态,因为风险相对来说,B机构要高于A机构,机构整体的固有风险被“打平”。
结合《指引》第十三条精神,固有风险评价完成以后,需要根据不同的固有风险分类,再进行“控制措施”评价。
还是以上述A、B两家机构为例,控制措施评价,B机构针对线下发现的人工可疑案例涉及客户,应当采取后续控制(含持续关注并检验持续与否)措施。但B机构由于客户或者业务拓展偏好等综合原因,未能及时采取后续控制措施,则理论上视为控制措施有效性不足,则其剩余风险相对更大。
以上仅是从相对单一的两项维度出发做的示例,从机构整体风险评估的角度,需要考虑的维度和因素更加多样。
四、目的
洗钱和恐怖融资风险的认识与评估,最终需要达到什么目标?明确目标,是开展并实施此项工作的方向。目标区分以下两个方面:
一方面,为了满足反洗钱主管部门对于银行等金融机构的监管要求,保证以银行为主体的金融机构对洗钱和恐怖融资风险有着较好的屏蔽或隔离。
另一方面,回到第二章节中对洗钱风险认识不足的问题。最终以结果形式呈现的可量化、可视化的信息,仍是我们衡量风险的重要尺度。因此,从这个角度来说,“认识与评估”是帮助我们更进一步建立对风险的认知,而认知偏差或局限正是导致损失的潜在可能。让“看不见”的风险转变为“看得见”的风险,应当成为正确认识风险评估工作的基础。
小结
洗钱和恐怖融资风险评估,总体是“理论模型+专家经验”两个方面互为补充、相得益彰的过程,无论评估过程中,这两者的比例分配如何,最终的评估结果,仍然需要结合机构的实际业务与客户情况,对评价结果本身予以最终验证。
同时,风险评估是一个“综合分析”各个维度、并确定不同维度的“影响程度高低”的过程。简言之,地域、客户、产品、渠道四个风险维度,共同交织作用、而形成了潜在的“风险”。横向来看,对这四重维度的固有风险评价,仅是对于数据的量化和分析。纵向来看,需要结合机构的整体情况,按照这四重维度进行优先级排序,确认是否符合机构的实际情况。这不仅是《指引》当中“分别评估”和“汇总评估”的要求体现,也充分体现了根据机构的实际情况做好自评估的灵活性原则。
注释
【1】《Core Principles for Effective Banking Supervision,2012》Consequently, the Core Principles acknowledge that supervisors typically use a risk-based approach in which more time and resources are devoted to larger, more complex or riskier banks”。