原 创 声 明 | 本文仅代表个人观点,文字和图片均为原创。欢迎个人转发,谢绝媒体、公众号或网站未经授权转载。
作者 | 王静, 企查查科技有限公司高级业务顾问; 汪灵罡, 方达律师事务所资深律师 上海国际经济贸易仲裁委员会仲裁员;张博,微信公众号“张博反洗钱”创始人
【摘要】“洗钱风险自评估”,是当下中国金融机构正在开展的反洗钱反恐怖融资风险管理实践工作之一。这项工作的难点不仅在于其覆盖业务和客户的全面性,更在于其对数据和指标模型设计的合理性和精确度等方面的要求非常高。其广度跨越所有分支机构和业务条线,且深度涵盖每一个具体产品和服务的细微环节。上至总行层级的统计扎口管理,下到分支机构层级的数据提供,细分指标维度的权重赋值和存量数据的质量把控,都可能影响最终评估结果的准确性。
本文基于对国外相关实践的解读、国内政策的比较、FATF的方法论学习以及实践层面的思考,探索落地实施该项工作的方法和策略,并结合上一篇《“风险为本”之风险的认识与自评估》展开具体模型搭建和指标设计方面的阐述。
全文共8850字,框架如下:
第一部分 国家风险评估的境外实践
识别、评估并理解洗钱和恐怖融资风险,是国家反洗钱反恐怖融资战略的重要组成部分。国家洗钱风险评估的结果,无论其覆盖范围如何,可以为金融机构、特定非金融机构提供一定程度有用的信息,来支撑机构自身的风险评估【7】。
第一部分,我们将结合FATF在2013年2月发布的《国家洗钱和恐怖融资风险评估指南》(National Money Laundering and Terrorist Financing Risk Assessment》,以及美国、澳大利亚、德国等国家的实践,认识并了解洗钱风险评估的一些通行做法。
1、美国
2005年,美国启动了首次由多个部门共同参与的洗钱风险评估【1】。其评估方法是通过定量输入诉讼数据或者可疑交易报告数据,以及定性参考执法和监管通报的案例信息等等,最终对不同类型的金融机构(例如银行、保险、证券经纪商)在反洗钱各项法定义务执行层面给出“是”或者“否”的结论,并最终以《洗钱威胁评估》报告的形式呈现整体的评估工作。
1.1 《洗钱威胁评估》(Money Laundering Threat Assessment)
在最终发布的《洗钱威胁评估》(Money Laundering Threat Assessment,MLTA)报告中,我们注意到,以金融犯罪活动高发地区(High Intensity Financial Crime Area,HIFCA)为例,美国在1988年的《洗钱和金融犯罪策略法》(The Money Laundering and Financial Crimes Strategy Act,the 1998 Strategy Act)中,列举了洗钱活动高发的联邦、州或者地区,例如洛杉矶、旧金山、纽约等【2】。列举这些地区的目的,是为了集中打击洗钱等违法犯罪活动高发的状况。
上述金融犯罪活动高发地区既可以按照地域进行划分,也可以按照洗钱活动在相关产业、单一金融机构或者金融集团的外在风险特征来进行划分。最终的《洗钱威胁评估》报告当中,针对上述金融犯罪活动高发区的交易和调查亦进行了专项分析。
1.2 《拟定规则的预先通知》(Advance Notice of Proposed Rulemaking,ANPRM)
除了上述2005年的《洗钱威胁评估》报告以外,FinCEN在2020年9月17日发布的《拟定规则的预先通知》(Advance notice of proposed Rulemaking ,ANPRM)【4】中,针对“设计有效、合理的反洗钱程序”和“风险评估”两者之间的关系,FinCEN明确认为有必要将“风险评估”流程纳入“设计有效且合理”的反洗钱程序。
其中,“有效与合理的反洗钱程序设计”包含以下三点。
an effective and reasonably designed AML program as one that:
(1)Identifies,assesses, and reasonably mitigates the risks resulting from illicit financialactivity—including terrorist financing, money laundering, and other related financial crimes—consistent with both the institution’s risk profile and the risks communicated by relevant government authorities as national AML priorities.【4】
识别、评估并适当减轻非法金融活动(包括恐怖主义融资、洗钱和其他相关金融犯罪)带来的风险,并与机构的风险概况和相关政府部门传达的国家反洗钱优先事项相一致。
(2)Assures and monitors compliance with the record keeping and reporting requirements of the BSA.【4】
确保并监控对于交易记录的保存和上报符合《银行保密法》(The Bank Secrecy Act ,BSA)的要求。
(3)Provides information with a high degree of usefulness to government authorities consistent with both the institution’s risk assessment and the risks communicated by relevant government authorities as national AML priorities.【4】
向政府当局提供高度有用的信息,与机构的风险评估结果以及相关政府部门代表国家反洗钱优先事项传达的风险保持一致。
对于“设计有效、合理的反洗钱程序”和“风险评估”两者之间的关系,《拟定规则的预先通知》中表述如下:
Given the importance of the risk assessment process to establishing an effective and reasonably designed AML program, FinCEN believes that it warrants explicit incorporation【4】.
鉴于风险评估流程对建立有效且合理的反洗钱程序设计的重要性,FinCEN认为有必要将其明确纳入程序设计中。
FinCEN is considering whether its AML program regulations should be amended to require the establishment of a risk assessment process that includes the identification and analysis of money laundering, terrorist financing, and other illicit financial activity risks faced by the financial institution based on an evaluation of various factors, including its business activities, products, services, customers, and geographic locations in which the financial institution does business or services customers【4】.
FinCEN正在考虑是否改进当前的反洗钱规定程序,并通过建立风险评估的流程来实现改进,包括金融机构应当如何识别和分析洗钱、恐怖融资和其他非法金融活动所形成的风险,例如基于业务活动、产品、服务、客户和金融机构对客提供服务或开展业务的地理位置等多种因素的评估。
2、澳大利亚
澳大利亚在2011年完成了首次的国家洗钱风险评估(National Threat Assessment ,NTA),其采取了一种“自上而下”的方式,评估信息来源包含了多个主要政府部门提供的信息,以及对相关案例的分析和洞察,并结合了国际和国内专家经验等等。由于从定量方面来看,缺少与洗钱活动直接相关的经济数据,因此,澳大利亚的国家洗钱风险评估更倾向于一种“定性”评估【7】。
为了对潜在威胁(threat)更好地进行识别,澳大利亚从以下五个维度构建了一个外部威胁矩阵【7】,分别是:
(1)Accessibility可访问性。例如产品或服务可能被误用来进行洗钱或相关犯罪活动,而产品或服务又比较容易获得。
(2)Easeof use易用性。例如产品或服务可能被误用来进行洗钱或相关犯罪活动,但对产品或服务的使用,并不需要具备一定的知识或技能。
(3)Deterrence威慑。例如反洗钱或者其他滥用金融产品或服务而面临的惩罚措施,威慑力越明显,对洗钱或相关犯罪活动构成的威胁越有效。
(4)Detection监测。例如机构可以有效识别洗钱行为并及时报告,或者由于情报缺陷、透明度低等导致的监测困难。
(5)Criminalintent犯罪意图。通过机制的建立健全来识别当前和未来洗钱或相关犯罪活动行为与趋势。
由于这是第一次澳大利亚的国家洗钱风险评估,从这一过程中得到的经验是,数据是决定评估结果的基础,除此以外,还取决于从可靠情报和专业经验中获得的价值,与风险评估相关的专业知识和资源保障对于从事国家洗钱风险评估是必不可少的【7】。
3、德国
德国联邦金融监管局(Federal Financial Supervisory Authority,简称BaFin)建立了基于五项基本维度的评估框架,这五项维度分别是:地理位置、业务范围、产品结构、客户结构和分布结构【3】。其中,“客户结构”这一项维度的评分占总体的权重最高,因为洗钱活动的主体一定是“客户”。当金融机构自身评估结果为最低风险或者最高风险的临界值时,监管机构会根据金融机构过往的历史情况审慎判定机构应归属于哪一级别的风险。
最终的评估结果,横向以控制措施有效性为轴、纵向以潜在威胁为轴,将评估结果划分为12类。例如潜在威胁高、控制措施弱的情况下,则会落在红色区域(3D);而潜在威胁低、控制措施强的情况下,则会落在绿色区域(1A)。
第二部分 国内政策比较
第二部分,将基于对以下两份中国人民银行发布的监管文件的横向比较,得出其中的相同点和差异点,以供实践层面作为参考。两份文件分别是:
• 《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号,以下简称“19号指引”),2018年9月29日印发,2019年1月1日起施行。
• 《法人金融机构洗钱和恐怖融资风险自评估指引》(银反洗发〔2021〕1号,以下简称“1号指引”),2021年1月15日印发。1号指引要求法人金融机构应于2021年12月31日前制定或更新本机构洗钱和恐怖融资风险自评估制度,并于2022年12月31日前完成基于新制度的首次自评估。
1、相同点
相同点1:风险自评估,应将“定性”与“定量”相结合。
• 19号指引第三十三条规定,“法人金融机构在广泛收集信息的基础上, 采取“定性与定量”分析相结合的方法,建立洗钱风险评估指标体系和模型对洗钱风险进行识别和评估”。
• 1号指引第二十五条规定,“法人金融机构实施风险评估应当选取科学合理的评估方法,通过恰当的……形式,定性或定量开展评估”。
相同点2:法人金融机构需要建立并维护业务(含产品、服务)类型清单和客户种类清单。
• 19号指引第三十六条,“为有效开展洗钱风险评估工作, 法人金融机构应当建立并维护业务(含产品、服务)类型清单和客户种类清单”。
• 1号指引第三十二条,“法人金融机构应当积极加强自评估相关系统建设,建立并定期维护产品业务种类清单和客户类型清单,逐步实现通过系统准确提取自评估所需的各类数据信息,提高自评估工作效能”。
相同点3:信息来源方面,“内部管理”中获取的信息仍作为来源渠道之一。
• 19号指引第三十四条,“法人金融机构应当根据风险评估需要,统筹确定各类信息的来源及其采集方法.信息来源应当考虑国家、行业、客户、地域、机构等方面,包括但不限于以下来源:......(五)内部管理或业务流程中获取的信息,包括内部审计结果”。
• 1号指引第二十四条,“法人金融机构收集自评估所需的各类信息, 应当充分考虑内外部各方面来源,例如:......(六)内部管理或业务操作中发现的各类风险事件信息”。
2、不同点
不同点1:信息采集方式,除了问卷调查方式以外,增加了“现场座谈”的方式。
• 19号指引第三十四条,“法人金融机构应当根据风险评估需要,统筹确定各类信息的来源及其采集方法.信息来源应当考虑国家、行业、客户、地域、机构等方面,包括但不限于以下来源:......法人金融机构应当将信息采集纳入相应业务流程,由各业务条线工作人员依据岗位职责、权限设置等开展信息采集。必要时,通过问卷调查等方式开展针对性的信息采集”。
• 1号指引第二十五条,“法人金融机构实施风险评估应当选取科学合理的评估方法,通过恰当的书面问卷、现场座谈、抽样调查等形式,定性或定量开展评估”。
不同点2:信息采集主体,明确了“分支机构”在数据信息采集方面的职责。
• 19号指引第三十四条,“法人金融机构应当将信息采集纳入相应业务流程,由各业务条线工作人员依据岗位职责、权限设置等开展信息采集。必要时,通过问卷调查等方式开展针对性的信息采集”。
• 1号指引第二十一条,“各条线、部门、分支机构应充分梳理和反映自身面临的洗钱风险和反洗钱工作存在的困难与脆弱性,提供自评估工作所必需的数据、信息和支持”。
不同点3:“不定期”评估调整为“及时”、“专项”评估。
• 19号指引第三十六条,“不定期评估包括对单项业务(含产品、服务) 或特定客户的评估,以及在内部控制制度有重大调整、反洗钱监管政策发生重大变化、......开展重大收购和投资等情况下对全系统或特定领域开展评估”。
• 1号指引第三十条,“法人金融机构出现以下情形时应及时开展自评估工作...”
• 1号指引第三十一条,“在两次自评估间期, 法人金融机构应在拟作出以下调整或变化时,参照本指引第二章相关内容,对相应的地域、客户、群体、产品业务、渠道或控制措施开展专项评估,并考虑其对机构整体风险的影响...”。
不同点4:针对“开发新产品、使用新技术”,由“不定期评估”调整为“专项评估”。
• 19号指引第三十六条,“开发新产品、使用新技术时,法人金融机构应当开展不定期评估”。
• 1号指引第三十一条,“开发新的产品业务类型,或在产品业务(包括已有产品业务和新产品新业务)中应用可能对洗钱风险产生重大影响的新技术时,法人金融机构应对相应的地域、客户、群体、产品业务、渠道或控制措施开展专项评估”。
不同点5:在“设立新的境外机构”时,由“不定期评估”转变成“专项评估”。
• 19号指引第三十六条,“设立新的境外机构时,法人金融机构应当开展不定期评估”。
• 1号指引第三十一条,“在新的境外国家或地区开设分支机构或附属机构时,法人金融机构应对其固有风险或控制措施开展专项评估”。
不同点6:“拓展新渠道”时,由“不定期评估”转变成“专项评估”。
• 19号指引第三十六条,“拓展新的销售或展业渠道时,法人金融机构应当开展不定期评估”。
• 1号指引第三十一条,“采用新的渠道类型与客户建立业务关系或提供服务,法人金融机构应......开展专项评估”。
不同点7:“内部控制制度作出重要变更”时,由“不定期评估”转变成“专项评估”。
• 19号指引第三十六条,“内部控制制度有重大调整时,法人金融机构应当开展不定期评估”。
• 1号指引第三十一条,“内部控制制度或信息系统等作出重要变更时,法人金融机构应......开展专项评估”。
不同点8:1号指引新增“系统提取自评估数据信息”的要求。
• 1号指引第三十二条,“法人金融机构应当积极加强自评估相关系统建设,建立并定期维护产品业务种类清单和客户类型清单,逐步实现通过系统准确提取自评估所需的各类数据信息,提高自评估工作效能”。
第三部分 FATF方法论
根据FATF2013年发布的《国家洗钱和恐怖融资风险评估指南》(FATF Guidance National Money Laundering and Terrorist Financing Risk Assessment),洗钱和恐怖融资风险的评估分为三个步骤,分别是identification(识别)、analysis(分析)和evaluation(评估)【7】。
1、Identification(识别)
第一步“识别”,强调了首要明确国家洗钱风险评估工作的目的和范围,然后进一步确认洗钱或恐怖融资风险所表现出的三个外部特征,即潜在威胁(threats)、漏洞(vulnerabilities)和影响(consequences),这三者一定是与评估工作目的和范围密切相关的。
例如毒品走私集团通过现金形式转移非法收益、恐怖组织利用捐赠形式筹集资金、非盈利组织被利用来为恐怖融资活动提供掩护等等,由“潜在威胁”、“漏洞”和“影响”三者共同组合,从而形成对“风险”的认识(清单形式),“识别”是进入下一步分析环节的基础【7】。
2、Analysis(分析)
第二步“分析”,从外部宏观环境的角度,分析上述风险(清单)中的不同指标项目,并对指标项目的重要程度进行判断。外部宏观环境因素包括政治、经济、地理和社会等方面,而对于风险的大小或者严重程度的衡量,可以通过不同的技术方式来实现。例如根据风险的重要性或者程度高低进行排序,或者以矩阵形式表示最终的风险水平。
FATF认为,了解洗钱和恐怖融资活动发生的原因,对理解“洗钱和恐怖融资风险”至关重要。因为大多数与之相关的犯罪活动是为了获取最终的利益,所以犯罪分子通过多种资金转移的形式从而达到获取最终利益的目的。此外,洗钱和恐怖融资活动对国家以及企业乃至个人层面均会产生一定程度的影响。
3、Evaluation(评估)
第三步“评估”,从初始设定的风险评估工作的目的出发,通过第二步的“分析”过程,形成对风险重要程度的认识,进而确定处理这些风险事项的优先级。而风险应对的方法,包含了预防、缓解或者应急等等,从洗钱和恐怖融资风险的角度,“预防”仍是最主要的风险应对方法。
评估洗钱和恐怖融资风险,为下一步制定风险应对方法和策略提供了保证,例如针对高风险情形,需要更加及时地采取措施来有效降低风险。风险为本,能够在国家层面以更灵活的方式分配资源,包括通过金融机构和相关部门部署更灵活的预防措施。
第四部分 实践探索
1、评估工作目标
工作目标,不仅是开展机构洗钱风险自评估的重要方向,也是作为该项工作的衡量尺度。
按照1号指引中的第五条,“洗钱风险自评估目的,是为机构洗钱风险管理工作提供必要基础和依据,法人金融机构应充分运用风险自评估结果,确保反洗钱资源配置、洗钱风险管理策略、政策和程序与评估所识别的风险相适应”【5】。
首先,从时间维度来看,评估是对“过去”的衡量,对过去的分析、判断和总结,是未来下一步工作的基础。因此,回溯并检视存量客户的“风险”,并将应对风险的策略和机制部署到今后的工作当中,是机构洗钱风险自评估工作的重要意义。
其次,从数据维度来看,数据是机构洗钱风险自评估工作的基石,在自评估数据采集的过程当中,审视并观察存量客户中存在影响的数据,既是做好评估工作的重要前提,也是反向通过自评估可以完善和改进的领域。下文中将在第4点<评估工作方法>中的“定量分析”部分进行阐述。换言之,反洗钱数据治理和机构洗钱风险自评估,这两项工作既独立又统一,相互促进协同发力。
最后,从资源配置来看,合规资源是有限的,通过洗钱风险自评估工作,对合规资源配置能够起到何种推动作用?从风险管理实践来说,在面对一些高优先级的风险事件或者高风险等级的客户预警时,需要相对有策略、有倾斜地分配和调度合规资源,一成不变地资源配置,可能导致在真正面对高风险时并不能快速、灵活予以应对。1号指引中强调了“灵活性”原则,机构应根据各种不同类型风险因素的变化,及时调整自评估指标和方法,一方面是更加及时地审视当前或未来可能面临的风险,另一方面也可以对风险制定预案以积极应对。
2、评估工作导向
“风险为本”是当下反洗钱管理工作的总体原则,对机构洗钱风险评估这项工作来说,同样遵循这一原则。
不论是自评估指标体系中地域、客户、产品或渠道、四项基本维度中的哪一项,我们最终需要衡量的是,在“单一维度”和“组合维度”两个不同的框架下,满足了“高风险”特征因素的样本,经过“控制措施”缓释以后的剩余风险。
• 单一维度,即,地域、客户、产品、渠道。
• 组合维度,是指以“客户”为主,按照“地域”、“产品”、“渠道”三个维度为辅,共同组成对“风险”的认识。
举例来说,疫情防控期间重点关注发热群体,目的就是通过锁定可能携带病毒的样本,通过快速和有效地跟踪,实现对整体疫情的防控。而发热可能只是病毒携带的表象之一,还可能有其他因素促成携带病毒。
因此,自评估工作遵循“风险为本”,应是拿着“高风险”这把尺子,去测量对整体风险的管控水平。
3、评估工作方法
3.1 定量分析
定量分析的前提,是基于上述的“单一维度”,“组合维度”两个不同的框架,明确哪些风险特征是可以“定量”的,或者可以通过数据提取获取到最终结果的。
客户尽职调查工作的及时性和质量,是作为“控制措施有效性评价”中的参考项目之一,以高风险客户持续(或强化)尽职调查为例,需要考虑的因素主要包括以下三点:
• 时间因素。假设数据采集的时间节点为截至2020年12月31日,账户为“正常”状态或者业务关系处于“存续”状态的客户。
• 业务因素。按照业务类型区分授信客户、非授信客户。
• 风险因素。按照风险等级划分,区分高风险(或较高,具体视机构客户风险等级划分结果来定)客户及高风险等级以下客户。
通常情况下,授信客户的尽职调查深度较深、广度也较广,频率和强度相对非授信客户更高,从数据层面而言属于相对可识别或者可采集的范围。
非授信客户,如果是曾经触发过可疑交易模型预警的,或者司法查冻扣、证件过期未更新等各种因素导致,经由内部系统、抑或线下邮件等形式流转的持续(强化)尽职调查材料,需要在评估前期数据准备的过程中,予以充分收集和整理。
如果前期日常工作开展过程中,并没有通过有效形式落实对这部分非授信、高风险客户的持续(强化)尽调的信息留存,则必然对最终的评定结果有影响。
因此,基于机构自评估工作本身,反向对于日常工作中可能存在的数据或者信息缺失,可以通过建立健全适当的机制进行查漏补缺,并在第二次以及后续的自评估工作中予以对照和验证。
3.2 定性分析
定性的难点在于无法量化,且定性的“主观性”容易导致对最终评估结果产生影响,这里可以通过“从定性→到定量→再到定性”设计指标的方式,适当降低主观性对评估结果的影响。
例如,先将定性指标转化为可量化的数值,再通过可量化的数学模型构建,进而验证定性指标的这些“量”设定地是否足够合理。
如不合理,修正设定的量化数值。如合理,则证明模型可接受。
以下按照“识别客户身份的方式(客户)+来自高风险国家或地区(地域)+产品记录跟踪去向程度(产品)”这一固有风险下的组合维度为例。
• 第一步,从定性到定量,先搭框架。在每一个单项维度下,进行具体的指标设计。
(1)识别客户身份的方式。按照支持核查、不支持核查两种不同的方式划分,并给两种方式设定初始分值。
(2)高风险国家或地区,按照不同等级的国家或地区分别设定初始分值。
(3)产品记录跟踪去向程度。按照产品大类对应的交易用途能否获取,将存量交易数据大致划分为“是”和“否”两类,“是”代表可获取交易用途,“否”代表不能获取交易用途,并给两种分类各自设定基础分值。
这里可抽样产品大类中,可能被用以洗钱或相关犯罪活动的产品类型,例如像定期存款,从单一机构层面而言,通常不会用以进行洗钱或相关犯罪活动。此外,针对使用较广泛的“电汇”业务,也可以考虑按照不同的交易系统或渠道进行“是”或“否”的分类。
• 第二步,定量计算过程。借助一定的模型或者工具,得出全量客户在上述组合维度框架下的分值区间以及不同分值区间的分布情况。
• 第三步,从定量回到定性,进行模型合理性评价。从风险的角度来看,“高风险”如果占比过高或者过低属于两种极端情况,显然也是不合常理的。因此,在上述模型构建并完成最终结果输出时,需要根据结果对模型初始分值设定进行评估,并重新对上述第一步的要素分值予以重新设定。
第五部分 结语
本文从实践经验出发,结合监管政策要求以及境外相关实践,对机构实施洗钱风险自评估工作进行了一定的探索,具体落实需要结合机构自身客群特征、业务产品类型、渠道分布情况等多重因素予以考量和设计。
机构洗钱风险自评估工作,不仅涉及到系统建设、流程设计、业务产品、人员经验、数据信息等多方协同与配合,也是面向未来优化反洗钱机制建设、合理配置资源的最佳时机。其过程以及最终形成的结果对认识和评估潜在洗钱和恐怖融资风险有很大的帮助,在反洗钱工作“风险为本”转型的背景下,通过机构洗钱风险自评估工作进一步提升反洗钱工作有效性,具有长远意义。
参考及注释
【1】U.S. Department of theTreasury. 《Money Laundering Threat Assessment Working Group》 .2005
【2】What is a HIFCA?.https://www.fincen.gov/hifca
【3】FATF. Risk Based Approach Guidance For The Banking Sector.2014
【4】FinCEN. Advance Notice of Proposed Rulemaking.ANPRM,2020
【5】《法人金融机构洗钱和恐怖融资风险自评估指引》银反洗发〔2021〕1号
【6】《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法(修订草案征求意见稿)》
【7】FATF. 《National Money Laundering and Terrorist Financing Risk Assessment_FATF Guidance》.2013
【8】《法人金融机构洗钱和恐怖融资风险管理指引(试行)》银反洗发〔2018〕19号
【9】《法人金融机构洗钱和恐怖融资风险评估管理办法(试行)》银反洗发〔2018〕21号