实战丨筑牢境外合规管理第一道系统防线
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国农业银行研发中心广州研发部 李欣 刘英
在人民币国际化、反洗钱合规、信息安全监管要求日趋严格的背景下,全球性金融风险进一步上升,商业银行在反洗钱制裁合规方面迫切需要建立与境外机构自身规模、业务复杂性以及银行风险偏好相适应的境外合规服务体系。境外合规服务体系包括事前客户尽职调查、事中制裁名单筛查、事后可疑交易监控,有效形成合规管理业务闭环,牢固建立三道系统防线进行全面风险监控,实现洗钱风险的全流程管控、全方位监测。
中国农业银行研发中心高级专家 李欣
识别客户真实身份,严控客户准入
境外监管机构在对境外银行业审查时强调,跨境业务开展存在通过离岸公司、挂名公司或代理人办理,以规避制裁等常规性风险,说明对客户身份及业务背景调查、客户交易对手调查、了解并持续监控客户关系的性质和目的等方面的管理对商业银行开展反洗钱合规的重要性。因此在如何满足监管机构要求,达到商业银行境外合规第一道防线上,我们提出如下办法。
1.客户全生命周期管理。按照“了解你的客户”原则,对新客户和存量客户分别设计准入身份识别及尽职调查、持续身份识别、定期复审以及事件触发式复审四个工作流程,覆盖客户全生命周期。
2.全面的尽调档案。新客户尽职调查档案包括客户身份识别与核实;主要关联方身份识别与核实;名单筛查情况;客户制裁风险等级评定及调整情况;制裁相关负面新闻搜索情况;制裁风险问卷等。
3.严格的准入尽调流程。客户经理应采用系统或手工方式开展监控名单筛查,制裁负面新闻搜索。筛查预警处理采用分级审核处理方式,基本要求分为初审和复审双人复核两个环节,但对特殊客户、特殊行业、特殊国家可以设立更高级别审核。了解客户与我行建立业务关系的性质和目的,预期使用的产品和服务,资金的来源和用途,账户资金流向等,对高风险及以上客户、符合加强型尽调情形的客户,应开展加强型尽职调查。
4.制裁风险等级评定。根据制裁风险等级模型评定客户的制裁风险等级,确定客户的高中低风险等级,并对系统初评的风险等级结果进行人工复评,复评同意初评结果,制裁风险等级即正式生效,若存在异议,则需在一定时限实现逐层审核。
5.持续识别及尽职调查。在客户关系存续期内,客户经理应持续关注客户及其日常经营活动、金融交易情况,及时提示客户更新身份识别资料,开展持续身份识别及尽职调查。并按照客户风险等级,定期对客户身份识别和尽职调查档案进行复审,识别出跨境交易关联方持股50%以上的股东及受益所有人及在交易过程中的实际受益人持续进行身份调查。
6.客户尽调后的严格管控措施。持续识别、重新识别、尽职调查复审必须在规定时限内完成,如果因客户配合延迟或其他合理理由无法按时完成的,客户经理需逐级上报或暂停跨境业务、或终止客户关系,并保存相关审计记录。
境外客户尽职调查系统建设
在以上解决方案指引下,农业银行积极探索适合境外业务体量、满足境外监管要求的专门从事客户尽职调查的系统(Oversea Know Your Customer,OKYC),针对不同地区信息采集流程不同、监管要求不同、评级要求不同、分行职责分工要求不同等特点,实现对客户准入、复检、筛查等的定制化尽调服务,实现了境外合规建设领域的第一道系统防线。OKYC系统主要包括客户尽职调查(CDD)、加强型尽职调查(EDD)、客户风险自动评级、客户制裁名单扫描、客户影像资料管理以及任务自动流转等功能。系统架构如图所示。
图 境外客户尽职调查系统应用架构
同时,根据境外监管当局对境外客户调查系统数据有独立性与安全性要求,但不同的监管当局对客户信息有着不同的监管标准,根据不同的国家监管要求提供如下技术方案。
1.数据隔离要求。对于监管相对宽松的地区,多家分行按照境外三大时区(亚太、欧非、美洲)建设,数据在同一个时区数据库中分区保存,实现数据的物理隔离,同时通过对用户访问权限控制,确保不同分行之间的数据不可互相访问,对于数据隔离要求严格的地区,单独申请数据库进行分库保存。
2.数据存储要求。对于要求客户数据本地保存,不允许出境的地区,支持在分行本地存储客户信息。对于结构化数据支持本地安装数据库,对于非结构化数据,支持境外机构本地部署存储设备,通过存储动态路由支持文件压缩、校验、索引、归档及清理等管理功能,同时降低压缩比,根据分行数据增长量合理分配存储空间,实现对客户档案的精细化管理。
3.数据加密要求。对于有数据保密要求的国家,系统提供可配置化敏感数据加密存储的功能。在文件上传及下载过程中计算文件摘要值,确保文件不损坏、不被篡改;使用农行专用加密机实现数据不被破解,动态生成秘钥对文件进行加密;基于REDIS实现令牌机制鉴别用户身份,基于角色及权限机制、实现数据授权访问。
应对境外挑战,实现灵活设计
农行境外现状是同一地区不同银行,不同地区相同银行,在客户尽职调查过程中,客户信息采集内容不同,监管要求不断变化,银行内部结构,人员职能分工存在差异,在客户尽调过程中审核步骤存在差异,客户风险评级模型存在差异,制裁黑名单筛查内容存在差异等,因此需要实现一套系统适用于不同地区客户尽职调查的方法及流程。系统设计并实现了对信息采集的个性化定制,采取全流程可定制的模式,分行合规官可以针对当地的监管要求,在系统中选择与合规检查相关的信息组成问卷,灵活组装形成页面组,再搭配定制的风险模型,根据采集的信息内容不同获取不同分数,并针对风险进行自动评级,获取初步的评估信息,具体步骤如下。
1.定制客户信息采集页面集。客户信息采集内容包括基本信息,如姓名、联系方式、住址、关联人士信息、政治敏感人物信息、监管要求调查信息、银行特色信息等。将以上类别信息拆分成尽调节点,银行可根据自身情况选择需要的节点进行定制化组合,设计问卷模块。问卷模块提供单选类型、复选类型、单行文本、多行文本、表格、下拉选项等多种可视化编辑类型,供业务人员按需编辑信息要素,形成一个个客户尽调信息采集页面,相同类型的采集页面可组合成一个页面集。
2.定制客户风险等级评级模型。根据客户身份信息及监管要求,各银行有独有的风险评级方式。每项客户属性均为一个评级因子,可定制因子及其权重,也可由页面集中问卷自动提取因子与评级模型进行匹配,从而形成本机构特有的风险等级模型。风险等级评级模型由评级因子组成,业务人员选择重点关注的信息,制定相应的权重,风险评级得分采用加权平均算法,计算客户的风险得分,风险得分将作为结果返回给业务人员。
3.定制制裁黑名单筛查内容。业务人员选择需要筛查的客户要素,分客户类别分关键域进行扫描,确定个人客户扫描方案、企业客户扫描方案、个人董高监扫描方案以及企业董高监等方案,在触发黑名单筛查时,自动将相应的信息抓取送入银行内名单库进行筛查,并记录扫描结果。
结合以上1.2.3部分的定制内容,在不同应用场景选择不同工作流,由此完成了客户尽职调查系统的全流程定制化。
2019年中国顺利通过FATF第四轮反洗钱互评估,这也意味着中国即将进入“后评估时代”,中国的反洗钱监管要求正在向国际最高标准看齐,对反洗钱义务机构的履职能力提出更高标准和要求。一是把反洗钱工作的重要性提升至更高的高度,加快推进“零容忍”的风险偏好落实在第一道防线系统建设,明确非自然人客户受益所有人判定标准,加强对非自然人客户受益所有人、政治公众人物等特定自然人客户、特定业务关系的客户身份识别。二是促进各类风险管控模型和环节的智能化建设,逐步推动尽职调查从“人工控制”为主向“机器控制”为主转型,持续优化完善尽调方法及模型,实现客户关系网络的分析与实际受益人的多层次深度挖掘,与二三道防线无缝对接,形成多产品、全流程的评价监督合规闭环管理,实现风险数据分析挖掘的自动化、标准化,满足监管要求,实现对境外风险的有效管控。
(栏目编辑 :韩维蜜)
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧