观点 I 金融科技赋能反洗钱监管转型之路探析
本期作者:
刘丽洪
中国人民银行营业管理部
本文已获作者授权发布。文中所述仅代表作者个人观点。
当前,随着互联网技术的发展,金融机构的产品或服务不断向远程化、移动化、复杂化、数字化演变,金融交易和资金流动日益呈现快速、复杂、跨境、虚拟的特点和趋势。特别是近年来,复杂的结构性金融产品、虚拟货币等已经成为洗钱犯罪的通道,区块链技术应用,以及近期我国数字货币已经开始在某些地区进行内部测试,洗钱风险管理不断面临新技术、新产品、新支付渠道的挑战。现实情况要求,一方面,金融机构需要考虑在洗钱风险管理工作中如何应用金融科技,管控洗钱风险;另一方面,反洗钱监管方也需考虑在工作实践中,如何利用金融科技赋能反洗钱监管,以便把监管“探头”前置,以应对金融机构不断创新带来洗钱风险的考验,及时“吹哨”。本文介绍了当前反洗钱监管利用金融科技的现状,分析了需要进一步完善之处,并提出金融科技赋能反洗钱监管工作转型的建议。
一、反洗钱监管利用金融科技的现状
(一)非现场监管以人工操作为主
根据《中国人民银行关于印发〈金融机构监督管理办法(试行)〉的通知》(银发〔2014〕344号)、《中国人民银行办公厅关于落实〈金融机构监督管理办法(试行)〉有关事项的通知》(银办发〔2014〕263号)、《中国人民银行关于印发〈法人金融机构反洗钱分类评级管理办法(试行)〉的通知》(银发〔2017〕1号)、《关于印发〈法人金融机构洗钱和恐怖融资风险评估管理办法(试行)〉的通知》(银反洗发〔2018〕21号)、《关于印发法人金融机构洗钱和恐怖融资风险评估指标(2019版)的通知》(银反洗发〔2019〕1号)等文件,金融机构需向监管方报送非现场监管信息,以实现监管方对金融机构监管的全覆盖。其中,审核内控制度、分类评级、风险评估工作量较大。
当前现状是,在金融机构端,有些机构直接报送纸质材料,有些机构报送电子文档(主要是PDF/JPG格式文件)和纸质材料,有些机构通过监管部门开发的系统报送电子文档;在监管端,监管方对金融机构报送的纸质材料,或电子文档等非结构化数据类非现场监管信息(一般指各类型办公文档、文本、视频、音频等),只能通过人工审阅和判断。对金融机构报送的结构化数据类非现场监管信息,有些地方监管部门在尝试开发系统实现自动汇总和分析,并取得一定的效果,但非现场监管工作仍是比拼人工的状态。例如,某金融机构上报1份15页的内控制度,从审阅到撰写评语、登记归档完毕,1名监管经验相对丰富的人员至少需要1小时;对某金融机构进行风险评估,在固有风险已经实现自动评估,不需要人工干预的情况下,1名监管经验丰富的人员评估1家法人机构至少需要3天(分类评级工作耗费时间与风险评估差异不大)。笔者监管辖区有法人和非法人机构几百家,工作量可想而知。然而,上述非现场监管信息主要都是非结构化数据,这一数据特性,决定了采用金融科技助推当前非现场监管工作存在相当大的难度。
(二)现场检查主要应用检查系统或数据库
《中国人民银行关于印发〈银行业金融机构反洗钱现场检查数据接口规范(试行)〉的通知》(银发〔2017〕300号)、《中国人民银行关于印发〈非银行支付机构反洗钱现场检查数据接口规范(试行)〉的通知》(银发〔2017〕301号)、《中国人民银行关于印发证券期货保险机构反洗钱现场检查数据提取接口规范的通知》(银发〔2019〕63号)等文件的出台,标志着当前现场检查进入运用数据库时代,被查金融机构提供的客户信息和交易信息,都属于结构化数据类信息。
为此,有些地方监管部门开发了检查系统(软件),将被查机构提供的CSV格式或MYSQL等数据库文件格式数据导入检查系统(软件),利用系统(软件)事先设定检查标准,进行数据的筛选和查询。也有些地方监管部门没有开发检查系统(软件),直接将被查机构提供的CSV格式或MYSQL等数据库文件格式数据导入数据库,根据现场检查实际需求编写SQL语句,进行数据的筛选和查询。相比较反洗钱非现场监管,现场检查利用金融科技更多。
二.反洗钱监管利用金融科技需进一步完善之处
(一)需反洗钱法律法规更深入助力
01
尚无法规明确“纸、电”一致
对于金融机构而言,因其产品、业务和交易的复杂性,其将纸质业务单据上的客户信息和交易信息电子化或数据化,并保证纸质业务单据中的信息与电子化或数据化以后的数据内容一致,是其保障反洗钱工作有效性的先决条件。遗憾的是,目前尚无反洗钱法律法规明确金融机构应将其纸质业务单据电子化或数据化,并保证纸质业务单据中的信息与电子化或数据化以后的数据信息一致,进而保障反洗钱工作的有效性。
02
未有法规约束标准统一
当前,对金融机构的反洗钱数据规范文件主要有:一是规范金融机构大额和可疑交易报送行为的《金融机构大额交易和可疑交易报告数据报送接口规范》(银反洗中心发〔2017〕19号)、《关于进一步明确大额交易和可疑交易报告数据报送要求的通知》(银反洗中心发〔2018〕13号);二是规范金融机构提供现场检查资料的《银行业金融机构反洗钱现场检查数据接口规范(试行)》(银发〔2017〕300号)、《中国人民银行关于印发〈非银行支付机构反洗钱现场检查数据接口规范(试行)〉的通知》(银发〔2017〕301号)、《中国人民银行关于印发证券期货保险机构反洗钱现场检查数据提取接口规范的通知》(银发〔2019〕63号);三是规范反洗钱内控机制的《关于印发〈法人金融机构洗钱和恐怖融资风险管理指引(试行)〉的通知》(银反洗发〔2018〕19号)。
这些规范文件虽发挥了积极作用,但相较于当前反洗钱工作标准日益提高的形势,也显现了不足。主要是数据接口规范“立足点”靠后,定位于监管方对数据应用的最终需求,不能对金融机构前期业务系统设计和开发加以指导,规范金融机构反洗钱数据标准。金融机构业务、系统、数据的体系庞大复杂,从原始的交易流水数据,提取出反洗钱需要的交易流水,并且标识出业务类型,需要通过交易代码、科目代码、产品代码等不同的表达方式,或多个表达方式的组合来区分,致使在产出数据接口的过程中,会遇到诸多问题,存在诸多不确定性,进而可能导致金融机构提数结果与监管期望存在较大偏差。
(二)当前非现场监管信息主要“短板”
01
利用金融科技难度极大
当前,金融机构日常上报的反洗钱内控制度、年底上报的反洗钱年度报告及12张附表、上报的分类评级材料以及上报的风险评估材料,其中不少内容存在重合之处,且主要是非结构化数据类信息。这些信息利用金融科技的难度极大,例如文本类的反洗钱内控制度,很难通过大数据分析或AI分析判断其优劣。现实可行性的做法是,文本相似度比对,或者通过大量人工标注,机器学习算法训练,进行语义分析,或者音、视频数据通过定点截留分析等方式,进行初步判断,但这些金融科技处理的结果,不能满足反洗钱内控制度审核、分类评级和风险评估工作的现实需求。
02
事后信息跟不上数字化时代
近日,中国人民银行金融科技委员会2020年第一次会议提出,要贯彻落实《金融科技(FinTech)发展规划(2019—2021年)》,引导金融机构加快推进数字化转型,持续增强科技应用能力,为健全具有高度适应性、竞争力、普惠性的现代金融体系贡献力量。
在此形势下,金融机构不断在数字化转型方面发力,“薄前台、厚中台、强后台”已经成为各家金融机构管理模式整合的趋势。在此过程中,反洗钱非现场监管信息收集、处理、分析手段尚未跟上金融机构数字化转型的进程,还几乎停留在主要看“纸质报告”阶段。随着金融机构进一步数字化转型,反洗钱非现场监管的有效性可能将逐渐显现不足。
03
信息准确性难以保障
我国的反洗钱非现场监管的目标是,试图通过非现场监管信息搜集和分析,开展分类评级、风险评估、内控制度审核等工作,实现对金融机构监管的全覆盖。但笔者看来,目前这些非现场监管信息(尤其控制措施有效性方面),始终解决不了监管方和金融机构之间信息不对称偏离度大的问题。一方面,监管方看到的大部分非现场监管信息是定性的非结构化数据,相对容易被金融机构“粉饰”而失去应有的作用。另一方面,即使有部分非现场监管信息是结构化数据,由于这些数据尚无标准的统计口径和数据标准定义,数据的准确性和完整性很难得到保障。
从国外的经验看,美国反洗钱监管部门并没有明确的非现场监管的措施,实现对所有机构的监管覆盖。审计测试是美国反洗钱监管五大支柱之一,美国反洗钱监管部门是依靠金融机构内部,或者外部审计来实现“监管”全覆盖;英国反洗钱监管部门为解决风险评估中信息不对称问题,是通过对评估对象的现场走访,搜集未能了解的信息,对特定领域的风险进行调查,或者对初评结果进行验证。这些监管方法,从目前我国现实情况来看,操作起来都有各自的困境。
(三)金融科技不支持所有检查点全量检查
目前有些地方监管部门开发了反洗钱检查软件,但不能实现对金融机构留存的客户有效身份证件或其他身份证明文件的复印件或者影印件、受益所有人进行全量检查。
从反洗钱现场检查内容看,理论上、技术上所有检查点(内控制制度除外)都可以直接或间接数据化,形成结构化数据,利用数据库进行处理和分析,从而达到反洗钱全量现场检查目的。至于全量检查对硬件存储、运算能力的要求,现实技术都可以得到解决,只是看对此项工作的资金投入如何。
(四)IT专业人才短缺
目前,反洗钱监管队伍主要由法律、会计、金融专业背景的人员组成。近年来,监管方增配一定数量有IT专业背景的人才加入反洗钱监管团队,提高了反洗钱监管工作利用金融科技的水平。现实情况是,一方面,大多把IT专业背景的人员定位在“筛数”的位置,没有进一步要求IT专业背景的人员,利用金融科技推动反洗钱监管工作向纵深发展。另一方面,以现有的IT专业人才数量,也很难把金融科技赋能反洗钱监管推向纵深。
(五)创新非现场监管需谨慎
从FATF发布的指引看,尚未对反洗钱非现场监管有明确的技术指引,这表明反洗钱非现场监管如何做应该是世界难题,FATF尚未找到具体结构化数据类监测指标,揭示金融机构洗钱和恐怖融资剩余风险。所以,任何试图通过金融机构二次以上加工后,提供的结构化数据,进行分析就能发现金融机构洗钱和恐怖融资剩余风险的做法,应该是谨慎的。此途径一方面,金融机构为取得相关数据将花费较高成本改造和升级系统,且工作量较大;另一方面,如果现行的法规没有相关数据标准定义,金融机构也很难将数据采集准确和完整;再一方面,监管方根据相关“不准”的信息分析得出的结论会受到较大影响,准确性难以保障。
三.金融科技赋能反洗钱监管工作的建议
根据《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》(国办函〔2017〕84号,以下简称:“三反意见”)“(十六)健全监测分析体系,提升监测分析水平”“有针对性地做好对重点领域、重点地区、重点人群的监测分析,不断延伸反洗钱监管触角…丰富非现场监管政策工具,弥补书面审查工作的不足的”有关精神,提出以下建议:
(一)突破传统,探索“现场检查非现场化”的监管方法
根据“三反意见”有关精神,非现场监管再走书面审查的传统路线已经不通,所以新的非现场监管方法采集的信息最好满足以下几个条件:一是金融机构可按现有的规定标准提取,对金融机构各方面影响较小;二是结构化数据,且数据质量受金融机构干扰度轻,以便利用金融科技处理,并能得到相对准确的结论;三是尽量靠近资金链条前段,以便监管“探头前置”,能发现苗头性的问题,也能做一定程度的预测分析。为此,笔者建议探索“现场检查非现场化”的监管方法,这里的现场检查非现场化,是指非现场监管工作利用现场检查分析被查机构数据的方法,具体是:
01
采集结构化数据,用系统集中处理
为贯彻风险为本的原则,可考虑先在银行机构和支付机构行业试点,按照《银行业金融机构反洗钱现场检查数据接口规范(试行)》(银发〔2017〕300号)、《中国人民银行关于印发〈非银行支付机构反洗钱现场检查数据接口规范(试行)〉的通知》(银发〔2017〕301号)规定,监管方根据银行机构和支付机构的风险情况,要求其上报指定业务时间段,指定特定业务的交易数据和客户管理数据,或全口径数据,监管方利用数据分析系统对银行机构和支付机构提供的数据进行集中、自动分析,必要时进行人工分析,发现银行机构和支付机构存在的苗头性问题,实现远程监管,甚至实时监管。
02
开发数据分析系统,对数据全方位分析
利用大数据、机器学习等人工智能技术,参考金融机构的智能风控系统,构建监管方的反洗钱智能数据分析系统,以法人为单位,实现对银行机构和支付机构的监管全覆盖,不定时的进行非现场数据分析。对单个机构可发现个性化的洗钱风险点,再综合所有机构个性化的洗钱风险点,可发现行业苗头性的洗钱风险,根据行业苗头性洗钱风险,可进一步预测和判断趋势性洗钱风险。监管方可根据不同情况,发出风险提示、监管提示函等,或在战略和宏观层面提前制定相关法规防范风险。这样,非现场监管的深度、广度会达到前所未有的水平。在此情况下,监管方可考虑适当减少其他非现场监管措施,从而金融机构和监管方工作量和工作强度也会大大减轻。
同时,监管方也可考虑利用反洗钱智能数据分析系统,在现场检查前,根据被查机构提供的数据,提前锁定重点人群、重点业务、重点交易、重点网点、重点领域。
03
利用现有渠道,保证数据安全
为保证数据的安全性,银行机构和支付机构上报的数据,通过目前金融机构机构上报大额交易和可疑交易的渠道,数据统一保存在反洗钱监测分析中心,各地方监管部门只能线上做数据分析,不能下载保存。因非现场监管是软约束,反洗钱监测分析中心定期删除使用后相关数据,进一步保证数据的安全性。同时,制定相关数据管理办法,规范数据的使用程序和责任。另外,也可考虑利用金融城域网,各地方监管部门与银行机构和支付机构直接实现点对点相连,在数据不离开机构的情况下,线上分析银行机构和支付机构的数据。
上述两种模式,分别与云计算和边缘计算有相近的应用场景,反洗钱监管IT专业人士可考虑进一步推动有关应用。
当然,现场检查非现场化的监管方法,需要在反洗钱法规中明确,并对工作程序、步骤、责任,以及数据安全等方面加以规范后才能执行。
(二)利用科技,赋能反洗钱监管措施
01
利用AI技术,构建反洗钱智能监管系统
利用人工智能技术,构建监管方的反洗钱智能现场检查系统,该系统与实用数据库结合,在反洗钱现场检查时,一键检查金融机构假名开户、与不明身份客户建立业务关系、客户身份识别、名单筛查、特定高风险客户群体、受益所有人、大额和可疑交易等检查点,提高现场检查效率。
监管方搭建自己的实用数据库,数据库内容包括但不限于公民身份信息、工商注册信息、制裁名单信息、可疑交易信息、各执法部门公布的执法信息。同时,利用大数据和人工智能分析技术,对实用数据库进行分析和归纳,为反洗钱智能现场检查系统提供外部数据支持。
自2003年以来,监管方积累了大量的一般可疑交易、重点可疑交易、行政调查案例、判决洗钱案例,其中,“地下钱庄、非法集资、电信诈骗、网络赌博”等客户身份或资金流特征显著的案例,非常适合训练“人工大脑”,监管方可考虑引入AI技术,在开发智能反洗钱检查系统时,发挥积累案例适合机器学习的天然优势,做强可疑交易检查模块的功能。
监管方对金融机构反洗钱履职中遇到的常见问题,进行归纳总结,利用人工智能技术,通过构建虚拟反洗钱监管机器人的方式,解答金融机构咨询的问题,提高反洗钱非现场监管工作的效率。
02
利用OCR,RPA技术全量检查证件留存
目前,大多数金融机构已经将留存的客户有效身份证件或其他身份证明文件的复印件或者影印件扫描后形成PDF/JPG格式文件保存。对这些制式文本,可通过OCR技术把PDF/JPG格式文件内容读取转为结构化数据,然后将这些数据与公民身份信息联网核查系统和企业信息联网核查系统的信息相连,通过调用批量接口,实现“数据批跑”;如不能实现“数据批跑”,可利用RPA技术,将OCR识别的信息封装成自动化调度场景,从而完成对金融机构留存有效身份证件或其他身份证明文件的复印件或者影印件、金融机构系统登记信息、官方系统信息比对,实现对金融机构全量客户证件留存情况进行检查的目的。虽然OCR技术不能完全准确识别所有PDF/JPG格式文件内容,必要时还要通过人工判断,但是通过此技术,检查效率将极大的提高,反洗钱现场检查对金融机构证件留存情况合规与否,会达到前所未有的深度和广度。
(三)增配人才,加强监管队伍建设
进一步充实有IT专业背景的人员加入反洗钱监管队伍。一方面,研究如何在反洗钱监管工作中利用金融科技,积极运用大数据、人工智能、云计算、区块链等技术加强数字监管能力建设,不断增强洗钱和恐怖融资风险技防能力,提升监管专业性、统一性和穿透性,进一步推动金融科技赋能反洗钱监管向深度发展;另一方面,研究如何规范金融机构数据标准。例如,数据要素如何规范、数据采集如何规范、数据校验如何规范等。
充实数学专业人才加入反洗钱队伍,构建反洗钱监管模型,开发数据分析、数据挖掘工具。
加强对现有反洗钱监管人员的科技培训,促使反洗钱监管人员获取以计算机和数据为导向的新技能。
通过组建跨专业、多学科背景的反洗钱监管团队,才能够在不论金融机构的数据有多复杂的情况下,均能通过数据处理和信息分析得出结论,从而在大数据应用时代下,进一步提高反洗钱监管的有效性。
(四)数据治理,强力助推反洗钱工作
当前,反洗钱工作已经进入大数据分析时代,甚至AI技术也在蓬勃发展,而这些应用基于金融机构的数据质量。由于金融机构底层数据质量管理较差,已经制约金融机构和监管方利用相关应用。一方面,数据质量差直接影响金融机构进行风险自评估、可疑交易监测、高风险客户管控、名单监控等反洗钱核心工作;另一方面,数据质量差间接影响了反洗钱监管工作效率,直接影响了金融科技赋能反洗钱监管进程和应用。为此,监管方应未雨绸缪,可考虑对金融机构反洗钱工作利用的数据标准加以规范,将反洗钱数据要求前置,进行早期“干预”, 数据源头治理,纠正源数据与目标数据的偏差,强力助推反洗钱工作。
作者:刘丽洪 中国人民银行营业管理部
编辑:Elise Jiang
更多阅读
关于我们
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, VentureSource, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险与合规服务品牌,由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系:Johnson.Ma@dowjones.com