观点 | 金融机构可疑交易管理实务中典型问题及对策
本期作者:
刘丽洪
中国人民银行营业管理部
注:本文已获作者授权发布,谨代表作者个人观点。
FATF建议20规定,“如果金融机构怀疑或有合理理由怀疑资金为犯罪收益,或与恐怖融资有关,金融机构应当依据法律要求,立即向金融情报中心报告。”金融机构向监管当局上报可疑交易,是金融机构履行反洗钱义务的体现,也是打击洗钱犯罪活动的最有效和重要措施之一。在《金融机构大额交易和可疑交易报告管理办法》(以下简称3号令)颁布实施后,3号令不再规定需要上报的可疑交易情形,而是要求金融机构根据本机构面临的现实或潜在威胁自定义交易监测标准。从此,金融机构再也不能“按图索骥”上报可疑交易,有的金融机构在履职中出现了低级错误或严重的问题,导致较为明显的可疑交易漏报或错报,存在洗钱风险敞口,因此受到监管部门的行政处罚。本文指出了金融机构可疑交易管理实务中,在可疑交易管理机制建设及执行,可疑交易监测系统功能等方面存在的典型问题,分析了问题的成因,并提出了应对建议。
一、典型问题
(一)
可疑交易管理机制建设不合理
1. 未定期评估本机构外部威胁
金融机构评估出自身面临的外部现实或潜在威胁,是金融机构开展反洗钱工作的起点。金融机构的各项反洗钱管理措施应与自身面临的外部现实或潜在威胁相匹配,才能有效缓释洗钱风险。3号令第十二条、《义务机构反洗钱交易监测标准建设工作指引》(银发〔2017〕108号印发)第二章第一款和第二款等法规,虽然没有直接规定金融机构定期评估自身外部威胁,但是相关条款中已经隐含了相关要求,否则金融机构制定的交易监测标准容易偏离外部现实威胁,从而出现风险敞口。
例如:在当前“打老虎拍苍蝇”的形势下,某大型金融机构没有设计职务犯罪模型,该机构解释为预防此类犯罪的模型在“某类资金收付”监测标准中。然而,现实的情况是,该机构长年没有发现过或上报1份涉嫌职务犯罪的可疑交易。这明显与该机构面临的外部现实威胁情况不符,该机构很可能漏报此类可疑交易。
2. 未定期评估本机构交易监测标准
3号令第十三条规定,金融机构应定期对交易监测标准进行评估,并根据评估结果完善交易监测标准。如发生突发情况或者应当关注的情况的,金融机构应当及时评估和完善交易监测标准。实务中,金融机构很少开展此项工作,或者此项工作开展不到位,甚至笔者发现某机构开展此项工作的原因是可疑交易监测系统预警量大,人工分析资源无法匹配,调整监测模型的阈值,减少预警量。但是,现实中有些金融机构的交易监测标准有效性较差,却没有通过定期评估机制发现此类问题。
例如:设备号地址相同是一人控制多账户的明显标志,而有些金融机构却是以IP地址当作监测的关键指标,导致预警的异常交易不够准确。再例如:某金融机构对“开户后短期内大量买卖证券,然后迅速销户”这一监测标准,根据不同营业部设计了不同的监测阈值,但同一城区面临的洗钱威胁相似,阈值设定差异却超过两倍。再例如,某金融机构设置了职务犯罪模型,但此模型长年不预警异常交易,或者预警的异常交易并不是职务犯罪类型。甚至有些金融机构仅在内控制度中罗列了本机构需要监测的可疑交易情形,而这些可疑交易情形没有在系统中设置和运用。再例如:以金融机构同样的交易监测标准筛选同期交易数据,经比对发现,与金融机构可疑交易监测系统筛选出的结果差异较大。
3. 可疑交易分析结果利用不足
(1)对上报可疑交易涉及的客户未及时开展客户身份重新识别,未及时调高客户洗钱风险等级,也未及时采取管控措施。
例如:某金融机构对某客户已经上报三次可疑交易,且公安机关对该客户进行协查,但该机构直到上报最后一次可疑交易的两个月后,才开展客户身份重新识别,调高客户洗钱风险等级,并关停企业网银功能,通知客户销户。期间,该客户已经累计发生双边交易3.6万笔,共计人民币近2亿元,该机构在一个客户身上触发三重违规。
(2)未利用可疑交易分析结果进行洗钱风险管理。
此类问题可分两点,一是未利用可疑交易分析结果指导客户尽职调查政策。金融机构没有通过分析一段时间内可疑交易报告涉及客户的身份信息,归纳这些有风险客户的异常身份特征,进而调整客户尽职调查政策。例如:某金融机构在省界附近的网点,为邻省一批偏远山区的人员开立银行账户,并开通网银支付功能,该批账户“沉睡”一段时间后,资金交易呈电信诈骗特征,该机构上报了可疑交易,但该机构对客户尽职调查政策没有任何调整。
二是未利用可疑交易分析结果评估产品(业务)洗钱风险。金融机构没有通过分析一段时间内可疑交易报告涉及金融产品(业务)情况,发掘这些金融产品(业务)被有风险客户利用的原因,进而利用这些信息进行金融产品(业务)风险评估,或调整金融产品(业务)管理政策。例如:某金融机一段时间内,A产品和B业务涉及的可疑交易报告份数分别占上报的可疑交易报告总份数的40%和50%,但这两个产品(业务)均未划分为高风险产品(业务)。
4. 人工分析资源与预警的异常交易量不匹配
此类问题主要指金融机构可疑交易监测系统预警的异常交易量较高,而可疑交易分析人员数量配备有限,两者矛盾十分突出。这种情况会导致两方面问题,一是上报的可疑交易报告质量不能保障。例如:经测算,某金融机构的可疑交易分析人员需要三分钟内分析上报或排除一笔预警的异常交易,这样的工作节奏,分析质量可想而知。二是未及时甄别预警的异常交易。例如:某金融机构规定应于10个工作日内完成初审甄别分析,复核岗应于5个工作日内完成复审。但该机构某季度内,初审超期(预警后超过20日未初审)案例共1.7万个,占比25%。复审超期(初审后超过10日未复核)案例共7千个,占比10%。另外,该机构初审岗、复核岗、审定岗均存在“批处理”情况。
5.未对可疑交易分析人员提供足够的信息资源
此类问题主要指金融机构可疑交易分析人员不能掌握足够的客户身份信息,分析预警的异常交易。例如:某金融机构客户影像资料和受益所有人信息,分别保存于该机构“影像与内容管理平台”和核心业务系统,但该机构可疑交易分析人员无相关系统查询权限,不能利用上述信息,影响了可疑交易分析工作。
(二)
可疑交易管理机制执行流于形式
3号令第十四条规定,不作为可疑交易报告的,应当记录分析排除的合理理由。《中国人民银行关于〈金融机构大额交易和可疑交易报告管理办法〉有关执行要求的通知》(银发〔2017〕99号)规定,复核岗应当逐份复核初审后拟上报的交易,并按合理比例对初审后排除的交易进行复核。实务中,有些金融机构复核岗并没有将初审岗存在的问题复核出来,并加以纠正。
1. 未复核出排除异常交易理由不合理
有些金融机构将排除的异常交易理由记录为:“不了解”“不可疑”“未发现异常”“无异常”“已甄别” “经甄别不可疑”“正常交易”“经小组讨论不可疑”“资金来自客户银行存款账户,所以不可疑””经领导批示不可疑”等。上述排除理由均缺少对直接证据和分析过程的客观描述,无法构成排除的“合理理由”。
2. 未复核出上报的可疑交易报告缺少客户“全景”信息
虽然金融机构可疑交易分析人员不必将每份上报的可疑交易理由写成“长篇小说”或“八股文”,但是客户的基本“全景”信息应写清楚,实务中常见问题如下:
①仅描述开户资料中的基本信息,或仅有年龄、籍贯、身份证号、联系住址及电话等简单客户信息。未通过本机构内部信息资源,或利用互联网信息等了解客户的工作单位、关联公司及人员、舆论报道等情况,也很少反映通过电话回访、实地走访等措施了解到的情况。
②交易行为分析时仅罗列数据统计,分析理由难以支撑可能的洗钱类型判断,资金链延伸分析不足。可疑行为描述仅为监测模型特征的描述,缺少人工分析判断。
③涉及团伙型的可疑交易报告,未能横向关联分析团伙成员身份关系,未能纵向延伸分析资金链,难以有效追索资金的最终来源和去向,无法得出合理结论。
3.未复核出明显排除错误的异常交易
例如:某金融机构系统预警的信息显示,一个七十八岁老人,每晚八点至十点在ATM存款30至40万元,连续一周。某金融机构分析人员将此交易排除未上报,理由是该客户是该机构VIP客户。此案例也反映出初审岗人员可疑交易分析技能亟待全面提高。
4.未复核出不同分析人员对同一客户的异常交易相反的操作结果
例如:某机构A分析人员因某公司大量公转私交易,账户不留余额,与其经营情况不符为理由,上报可疑交易。半个月后,B分析人员以该公司虽然交易量大,但是交易情形正常,交易频度和金额符合该公司结算特征为理由,综合分析后予以排除。
5.未复核出可疑交易报告要素不完整、不准确
此类问题主要指的是金融机构上报的可疑交易报告没有按着《中国人民银行关于大额交易和可疑交易报告要素及释义的通知》(银发〔2017〕98号)规定填报。因为该文件规定很具体、很清楚,具体案例略。
(三)
可疑交易监测系统功能不完善
1.已经明确的交易监测标准未在系统中实现
此类问题主要指在金融机构反洗钱内控制度中已经明确或者规定的交易监测标准,在可疑交易监测系统中完全没有实现,或实现部分功能。例如:在某金融机构反洗钱内控制度中规定监测“一人控制多个账户”的可疑情形,但未在该机构可疑交易监测系统中设置和运行,该机构也未充分结合客户的身份信息进行人工综合分析,导致多名客户的异常交易未被预警、分析和报告。例如:某金融机构的电信诈骗模型涉及监测指标25条,实际嵌入系统并有效运行的指标为16条,另外9条监测指标由于该机构业务系统未采集IP地址和设备号等原因,实际无法有效运行,只能实现电信诈骗模型的部分功能,导致预警的异常交易不准确。
2.交易监测标准脱离金融机构实际业务
此类问题主要指金融机构实际不开展某项业务,却制定交易监测标准监测该项业务带来的洗钱风险。例如:某外资银行不开展现金业务,但是该行却制定了有关现金类的交易监测标准,并在可疑交易监测系统中运行。
3.交易监测标准在系统中实际设置与标准描述不符
例如:某金融机构描述的交易监测标准是“短期内资金分散转入、集中转出,或者集中转入、分散转出,与客户身份、财务状况、经营业务明显不符”,然而,该机构可疑交易监测系统实际设置和运行仅体现“短期内资金分散转入、集中转出,或者集中转入、分散转出”的交易特征,未体现出与“客户身份”“财务状况”“经营业务”的关联关系。再例如:某金融机构交易监测标准是对客户某一特征的区间段进行监测,实际在可疑交易监测系统中设置和运行的是监测客户某一特征的某一个节点。
4.交易监测指标设计不合理
此类问题主要指金融机构交易监测指标不科学,设计的不合理,不能防范风险。例如:某金融机构“电信诈骗”模型中,监测指标描述是监测非柜面交易,但是可疑交易监测系统监测的是交易摘要中是否含有非柜面交易的关键字,而不是监测非柜面交易的交易标识,交易监测指标设计明显不合理。
5.交易监测标准未通过系统稳定运行
此类问题主要指金融机构在可疑交易监测系统里设置了某类交易监测标准或模型,但是该类监测标准或模型并不能在可疑交易监测系统中稳定的运行,系统预警数据和真实客观存在数据有差异。例如:根据某金融机构提供的交易监测标准和有关交易数据,筛选出符合该机构“某退保”交易监测标准的客户100名,而该机构可疑交易监测系统仅预警出70名,另外有33名客户未被筛查出来。再例如:根据某金融机构提供的交易监测标准和有关交易数据,筛选出符合该机构“某证券交易较为活跃的….”交易监测标准的客户100名,而该机构可疑交易监测系统仅预警出50名,另外有50名客户未被筛查出来。再例如:对某金融机构“分散转入集中转出”监测标准进行了验证,发现该机构一段时间内有4万个客户,涉及3400万笔交易符合该项监测标准未被预警。
(四)
可疑交易监测系统与业务系统信息交换不完整
1.业务系统数据不能准确映射至可疑交易监测系统
此类问题主要分两类,一是客户交易数据未准确映射至可疑交易监测系统。例如:某金融机构客户办理现金业务并销户,该机构业务系统中记录的业务类型为“现金销户”,可疑交易监测系统中记录的业务类型却为“其他”,从而导致该类现金交易脱离监测范围。二是客户身份信息未准确映射至可疑交易监测系统。例如:某金融机构可疑交易监测系统获取的客户职业信息是A,核心系统记录的职业信息却是B,结果导致依赖职业信息性质的交易监测标准失效。
2.未以客户为单位监测资金交易
3号令第二十一条规定,金融机构应当以客户为单位开展资金交易的监测分析。有些金融机构客户存在多客户号,或者以账户号、保单号进行客户管理,或者客户信息、交易分别在不同业务系统中储存或运行,导致可疑交易监测系统无法以客户为单位开展资金交易的监测分析。例如:监测客户的借记卡账户业务却不能监测贷记卡业务,监测客户本币业务却没有监测外币业务;监测客户的A保单却没有监测同一客户的B保单;监测客户的经纪业务却没有监测客户的非经纪业务等。这些情况可能导致可疑交易漏报的同时,也可能导致大额交易的漏报。
3.监测范围不全
3号令第二十一条规定,金融机构应全面、完整、准确的采集各业务系统的客户身份信息和交易信息。实务中,有些金融机构的可疑交易监测系统不能监测全部业务系统的交易信息。例如:有些银行机构未监测贵金属投资、联合个人信贷、离岸业务等交易信息;有些保险机构未监测个人保单质押贷款等交易信息;有些证券机构未监测集合资产管理计划等非经纪业务涉及客户身份信息和交易信息。再例如:有些金融机构未采集和监测委托代销机构展业涉及客户的身份信息和交易信息。甚至有些金融机构设置两套账户业务系统,可疑交易监测系统只是对其中一套账户系统进行监测,导致很多客户和业务不能纳入该机构可疑交易监测系统监测范围。
(五)
漏报应上报的可疑交易
此类问题不难理解,但这是笔者写作整篇文章中最纠结的部分。鉴于可疑交易报告的主观性、复杂性、多变性,无论在合规为本,还是风险为本的背景下,在合规资源投入一定范围内,固有风险较高的金融机构不漏报可疑交易几乎就是不可能完成的任务,只是漏报的程度是否在可以忍受的范围内。如果漏报的可疑交易具有常识性、重复性、非偶发性,那么将是不可容忍的。具体案例略。
二、问题成因
产生上述问题的原因是多样的,甚至有些原因呈嵌套关系,笔者总结原因如下:
(一)
“风险为本”的理念尚需进一步实践
自FATF 2012年版四十条建议颁布以来,各成员国都在践行“风险为本”的理念。从我国第四轮互评估的结果看,我国“风险为本”的反洗钱理念尚需进一步实践。一方面我国反洗钱法律法规体系贯彻“风险为本”的理念仍需进一步完善,3号令算是贯彻“风险为本”的理念的先行者,期待陆续修改颁布的反洗钱法律法规能够坚决贯彻“风险为本”的理念。笔者认为更重要的是,贯彻“风险为本”理念的监管方法还需进一步探索,特别是在行政处罚方面, 贯彻“风险为本”的反洗钱行政处罚将会极大的推动金融机构落实“风险为本”的反洗钱理念;另一方面,鉴于洗钱风险不能给金融机构带来直接较高的经济损失,甚至个别情况下带来收益,金融机构没有内在动力去识别、缓释洗钱风险。有些金融机构尚未将洗钱风险真正纳入全面风险管理,还没有将洗钱风险与信用风险、流动性风险、市场风险、声誉风险放在“同一场合”讨论。
(二)
人工分析资源尚需进一步投入
人力资源不足是反洗钱工作老生常谈的问题,一般水平的反洗钱合规人力资源不足,专家级别的就更“凤毛麟角”。培养出一个专家级别的反洗钱合规人员需要3-5年,甚至更长时间,且还得多个有利条件叠加才有可能培养成功。当前金融机构有限的反洗钱人力资源的重心,主要分布在可疑交易分析岗位上,制度建设、风险评估、系统建设、客户管控、业务审核、案件管理等岗位人力资源配备严重不足。因可疑交易监测系统预警的异常交易不准确,且数量较大,人工审核排除率过高,耗费过多的人力资源,这种局面导致金融机构很难培养出专家级别的反洗钱人员。然而,一支专业、充足、稳定的反洗钱队伍是做好一切反洗钱工作的基石。
(三)
洗钱风险评估工作体系尚需进一步夯实
金融机构反洗钱工作贯彻“风险为本”理念的起点,是识别或评估出自身面临的现实或潜在的洗钱风险,然后采取相对应的管理措施,把洗钱风险缓释到金融机构可以接受的范围。实践中,有些金融机构洗钱风险评估工作体系尚需进一步夯实,具体表现为:洗钱风险自评估工作还未开展或未开展到位,客户洗钱风险评估工作处在疲于应付状态,产品(业务)洗钱风险评估刚刚起步,这导致有些金融机构不知道哪些犯罪与本行业、本机构有直接或间接联系。不知道本机构哪些客户从事违法犯罪行为的可能性高,是高风险客户。不知道哪些业务或产品,哪些业务环节,哪些渠道容易被犯罪分子利用等等。基于上述现实状况,有些金融机构为缓释洗钱风险而建立的可疑交易管理机制,以及可疑交易监测系统功能的有效性就可想而知。
(四)
可疑交易管理机制尚需进一步完善
3号令以“合理怀疑”作为上报可疑交易报告的基本原则,这对金融机构可疑交易分析能力和模型构建能力提出了极高的要求。当前,金融机构交易监测标准或可疑交易监测模型构建主要以专家经验为基础,这是过去经验的总结,标准或模型的准确性、覆盖性、前瞻性都强烈依赖专家的水平。因为不同人对于“合理怀疑”的认知可能存在很大的差异,再加上缺乏现实威胁案例和数据支撑,所以有些金融机构交易监测标准或模型的确定,不能不说是“闭门造车”。
2012年,以反洗钱监管部门推动36家金融机构开展大额和可疑交易报告综合试点为标志,大多数金融机构可疑交易管理模式走上了“集中做、系统做、专家做”的道路。在看到这种管理模式具有成本集约、保密性强、利益冲突少等优势的同时,我们也不得不看到此种管理模式存在的BUG,一方面,此管理模式容易给“一道防线”(前台业务部门)一个错觉,可疑交易监测和分析就是合规条线的工作,甚至认为反洗钱工作与己无关。其实“一道防线”(前台业务部门)获得客户的“活信息”,是金融机构预防洗钱风险和信用风险的“狼烟”,具有任何监测系统不可替代的作用。遗憾的是,笔者在监管工作中,只了解到极个别金融机构在展业过程中,及时防范了某笔业务的洗钱风险。另一方面,此管理模式也存在可疑交易分析人员了解客户身份信息有限,过度依赖“一道防线”(前台业务部门)尽职调查工作的不足。在当前金融机构普遍客户尽职调查质量不高的情况下,这在很大程度上制约了可疑交易分析工作的质量。另外,由于可疑交易监测系统预警的异常交易不够精准且预警量较大,内部信息利用不畅,缺乏有效分析工具,高素质分析人员配备不足等多因素叠加,容易导致初审、复审、审定三个工作环节失控。有时候也让可疑交易分析人员深有“有心杀贼,无力回天”之感。
(五)
可疑交易监测系统开发过程尚需进一步理顺
当前,金融机构开发可疑交易监测系统有两种模式,自建系统和外购系统,两种模式都存在各自的BUG,导致出现不少问题。
采用自建系统模式的金融机构数量很少,这些金融机构基本都是超大规模金融机构。其自建的可疑交易监测系统功能设计、数据映射对本机构核心业务系统的依赖程度过高,设计思路上往往难以创新和突破。一方面,自建模式也受到多种因素制约,可疑交易监测系统并不能实现快速更新,以便应对洗钱手法(渠道)不断翻新、监管要求不断提高的挑战。另一方面,这种模式可能会对同业动态和先进经验了解不够,在管理理念、新技术应用等方面容易“墨守成规”。
采用外购系统模式的金融机构众多,涵盖银行、证券、保险、第三方支付机构等行业。开发可疑交易监测系统有很强的专业性,对软件开发商要求较高。目前提供反洗钱(可疑交易)系统的软件开发商众多,良莠不齐,市场竞争激烈,这导致金融机构可疑交易监测系统水平普遍不高,同质化严重,主要原因有:一是软件开发商竞争处于白热化状态,恶性竞争频发。例如,某行业软件开发商提供“一条龙”服务,不但提供账户系统、交易系统、监管报表系统开发服务,且还绑定反洗钱(可疑交易)系统,封闭了“环境”。通过不提供账户系统或交易系统源代码,或不开放数据接口的方式,排斥金融机构选用其他软件开发商提升反洗钱(可疑交易)系统功能(这种情况下是否涉嫌垄断,需要专业人士研究),金融机构只能“干瞪眼”。甚至有些反洗钱(可疑交易)系统开发商打出不负责任的口头广告--“利用本公司开发的反洗钱(可疑交易)系统不会被监管部门行政处罚”。笔者认为,这种系统在理论和现实中都不可能存在,甚至笔者认为这是对监管能力提出的挑战。二是金融机构只是采取以价格孰低原则选定中标者时,大概率得到 “大路货”产品。因为软件开发商为中标且不亏损,不得不压低成本,无法根据金融机构的外部现实或潜在威胁,并结合金融机构客户群体、经营的金融产品(业务)、地域等因素,“量体裁衣”,提供高质量的“个性化”产品。或者是软件开发商先低价中标,为不至于亏本,后续以增项的模式要求金融机构进一步追加预算资金,在笔者看来,这样的软件开发商在经营道德上的欠缺,其开发的可疑交易监测系统就失去了“灵魂”。
(六)
对可疑交易监测系统的态度尚需进一步改变
当前,金融机构对可疑交易监测系统的态度主要有三种。一是“无所不能”心态。这种心态导致有些金融机构不能正确认识可疑交易监测系统缓释洗钱风险的能力,认为可疑交易监测系统能够预警所有的可疑交易,忽视了可疑交易分析人员的能力,这容易引发金融机构片面追求金融科技赋能可疑交易监测工作。笔者在此要提醒的是,一方面金融科技也需要反洗钱专业人员的支撑,另一方面金融科技也做不到“无所不能”。
二是“甩手掌柜”“花钱买心安”心态。这种心态导致有些金融机构对外购的可疑交易监测系统运行状况,以及是否缓释本机构面临的外部现实和潜在威胁毫不关心,甚至外购的“黑匣子”里面装有“什么东西”都不知道。笔者在监管工作中曾发现,某金融机构外购含有30个监测模型的可疑交易监测系统,实际只有27个。殊不知金融机构对系统的把握能力和意识,很大程度上决定着系统的应用效果。
三是“固步自封”心态。这种心态导致有些金融机构不能及时转变工作理念,不能及时应用新技术和新方法,不能持续创新可疑交易监测技能。当前,以单一客户为基础的监测模型,如果没有大数据筛查和分析思路作为补充,可能防范不住那些专业化的洗钱犯罪团伙。围绕单一客户为中心周边的客户信息和交易信息,有待利用大数据技术去发掘,否则可能大量有价值的数据信息没有被有效利用,难以发现洗钱手法高超的可疑交易。另外,在当前信息化、数据化、移动化的支付环境下,交易监测标准或模型应逐步考虑使用数字身份信息指标、设备信息指标、地理信息指标、生物指标等,否则难以缓释新业态带来的洗钱风险。实务中,笔者遇到能讨论这些话题的金融机构并不多。
金融机构上述三种心态都会给可疑交易监测系统带来较大的负面影响,从而产生各式各样的问题。
(七)
可疑交易监测系统依赖的底层数据质量尚需进一步优化
底层数据质量是金融机构可疑交易监测系统能否达到设计要求的生命线。常言说的好“基础不牢,地动山摇。”本文指出的不少问题究其原因都与底层数据质量不高有关。金融机构底层数据质量不高主要表现为,客户信息不全、客户信息不一致、资金交易信息不成链。以商业银行为例:一次性金融服务,账务上一般通过内部账处理,业务信息在登记簿登记,难以识别完整客户、业务信息的交易流水,进而纳入统一客户交易流水进行监测;核心系统、信用卡系统、信贷系统、国际业务系统等不同系统中同一客户的信息不一致;核心账务处理不关心交易对手,一般核心交易流水不直接记录交易对手信息,需关联到相关登记簿获取,而部分业务的交易设计是通过内部账户过渡,导致资金关联路径中断,无法获取真实交易对手信息。甚至金融机构在获取信息时就是错误的信息。例如:某金融机构对于××平台向其发起的某金融产品客户,该机构将客户交易的IP地址记录为平台地址,导致某监测模型直接失效。
三、应对建议
针对本文指出的金融机构可疑交易管理实务中的典型问题,笔者建议如下:
(一)
深入实践风险为本的反洗钱监管理念
进一步完善我国反洗钱法律法规体系,在法规中贯彻“风险为本”的理念。从目前《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法(修订草案)》《金融机构反洗钱和反恐怖融资监督管理办法(修订草案)》等征求意见稿看,这些法规在贯彻“风险为本”的反洗钱理念方面都做了有益的实践。笔者认为,在威胁信息、监管信息披露,建立监管周期制度,行政处罚等方面,都可考虑进一步探索贯彻“风险为本”的反洗钱理念。
(二)
将洗钱风险纳入全面风险管理
金融机应充分认识在开展业务和经营管理过程中,可能被违法犯罪活动利用,对社会产生危害,进而给金融机构带来的严重声誉风险和法律风险,并导致客户流失、业务损失和财产损失。为此,金融机构应把洗钱风险和信用等风险放在同一个“场合”讨论并防范,将洗钱风险纳入全面风险管理。笔者本想在此给出一些工作建议,但是如何将洗钱风险纳入全面风险管理是个很大的话题,笔者以后会专门写文章讨论此话题,建议大家可以先参考笔者的《金融机构高级管理人员反洗钱工作履职思路探析》一文(可以百度搜索)。
(三)
积极发挥人的作用
以“合理怀疑”为基础的可疑交易分析,本质是分析客户身份、行为、交易的匹配性,人工甄别的作用无法取代。大数据,甚至AI技术只是作为可疑交易人工甄别的重要辅助手段和有效工具,更有效地服务于金融机构反洗钱工作。金融机构应更加深入思考反洗钱从业人员在新模式下的反洗钱风险管理体系中能够发挥的作用。一方面,继续增加制度建设、风险评估、系统建设、客户管控、业务审核、案件管理等岗位人力资源投入,特别是增加具有信息科技背景的人力资源的投入,同时加强对现有反洗钱从业人员的科技培训,促使反洗钱从业人员获取以计算机和数据为导向的新技能;另一方面,金融机构应积极建立反洗钱和业务融合式工作模式,搭建反洗钱从业人员和业务部门人员一起研发重点项目和产品机制。以项目驱动的方式,反洗钱从业人员与业务人员一同工作,一起接触市场和客户,共同制定产品方案、制定营销(投标)方案,促进反洗钱理念在业务与技术之间全流程无缝对接。
(四)
完善可疑交易管理机制
一是在金融机构洗钱风险自评估工作机制下,建立交易监测标准评估机制,评估可疑交易监测系统的有效性。一方面根据本机构面临外部现实和潜在威胁的变化情况,评估本机构的交易监测标准或监测模型是否能够相应对;另一方面评估交易监测标准或监测模型的运行情况,验证可疑交易监测系统是否能稳定运行,验证系统预警的异常交易、人工分析上报的可疑交易报告,是否和交易监测标准或监测模型描述相符。再一方面,新产品、新业务上线,应及时评估可疑交易监测系统能否监测覆盖。旧产品、旧业务下线也应及时评估是否需要排除在可疑交易监测系统的监测范围之外。
二是运用大数据思维和理念构建可疑交易监测模型。仅以客户为单位的监测模式,已经不能满足洗钱犯罪专业化,黑灰产业合作化的严峻形势,应探索构建基于某一客户信息特征,账户信息特征,交易特征为中心,关联上述三个信息特征周围客户、账户、交易等建立多种层次的监测模型,实现“全方位”监测和分析,并进一步运用机器学习、知识图谱等人工智能技术,不断对模型进行优化,提高预警精准度。
三是严格执行《中国人民银行关于〈金融机构大额交易和可疑交易报告管理办法〉有关执行要求的通知》(银发〔2017〕99号)的有关规定,完善可疑交易报告操作流程,复核岗应逐份复核拟上报的可疑交易报告,不能“批处理”。抽样复核初审岗排除的异常交易,抽样比例在保底的基础上,应根据复核的结果动态确定,复核发现问题越多,就应越加大抽样的比例。
四是充分利用可疑交易分析结果,闭环反洗钱工作程序。探索以可疑交易分析为反洗钱工作程序发起点之一,带动整个反洗钱工作(具体如下图)。笔者在此提醒的是,“第一道防线”(业务部门)应积极参与可疑交易分析工作。一是按有关操作规程对客户尽职调查,确保客户信息客观性、准确性和及时性;二是在展业过程中,发现可疑交易及时报告,或拒绝为客户提供服务。
(五)
正确对待可疑交易监测系统成本投入和作用
开发一个功能强大、运行稳定的可疑交易监测系统,是一个专业的、复杂的、成本较高的、工作量庞大的工程,对金融机构各方面要求都很高,不是每一个金融机构都能玩得起的“游戏”。即使外购可疑交易监测系统,其价格绝对不是“白菜”价格,因为软件开发商研发出一个精准的监测模型会投入不菲的成本,如果再提供个性化的产品,成本就会更高。那种以“白菜”价格外购可疑交易监测系统的想法,大概率得到的是“大路货”产品。笔者在此特别提醒的是,可疑交易监测系统需要定期“保养”,不断调整交易监测标准或标准的“阈值”,以便让可疑交易监测系统能够满足反洗钱工作的需要,这意味着金融机构要为此持续资金投入,绝不是外购系统时的“一锤子买卖”,是一个长期“烧钱”的过程。
金融机构应抛弃“无所不能”“甩手掌柜”“花钱买心安”“固步自封”心态,客观、理性对待可疑交易监测系统。
(六)
扎实开展反洗钱数据治理工作
当前,反洗钱工作已经进入大数据分析时代,甚至AI技术也在蓬勃发展,这些应用效果基于金融机构的数据质量。由于金融机构底层数据质量管理较差,已经直接制约可疑交易监测和分析工作,同时影响金融机构进行风险评估、高风险客户管控、名单监控等反洗钱核心工作,其实也间接影响了监管效率。一方面,如不对金融机构反洗钱工作利用的数据标准加以规范,反洗钱工作水平很难进一步提高。笔者建议研究制订《商业银行反洗钱数据规范指引》(先在银行机构试点),将反洗钱数据要求前置,进行早期“干预”,纠正源数据与目标数据的偏差,一是在数据的生产环节,在源头上对数据标准予以规范,二是对数据从源向目标的转换过程予以规范。力图在业务数据进入反洗钱系统之前加以规范,提高反洗钱信息系统的效率,进而提高商业银行反洗钱工作的有效性。另一方面,金融机构不等不靠,主动作为,应先打破本机构内部的数据“孤岛”,拔除数据“烟罩”,实现数据在本机构内部互联互通,形成数据从生产环节(业务系统),到集成环节(数据平台/数据仓库),到消费环节(反洗钱系统)的纵向贯通。
在此基础上完善数据信息,优化数据结构,提高数据质量。(以商业银行为例)一是参考监管“300号”文件中有关反洗钱现场检查数据格式标准要求,统一规范系统数据的字段、格式、内容、数值标准,确保系统平台能准确理解接口数据提取范围、格式要求、数据表字段含义等内容;二是重新审视自身数据仓库、核心业务系统、渠道系统、产品系统之间的数据匹配和映射关系,积极改造业务流程和业务系统,确保系统之间推送数据的准确性和完整性;三是精细梳理各金融产品、业务,精准确定并打好可疑交易监测分析依赖的关键数据标签;四是持续加强客户信息质量治理,对存量客户、交易数据,按客户归属、渠道归属、产品归属等多个维度,多部门协同,逐步解决“老问题”;五是加强数据兼容治理工作,加强本单位不同业务系统间数据的可利用性;六是建立数据质量监控和管理机制,对数据质量进行常态化监控和管理,形成 “哨兵”模式,了解数据质量水平,及时发现数据问题,并采取治理措施。
四、后记
应业内不少网友之约,在2021年元旦假期期间,写作完成本文大部分内容,然后利用工作之余完成本文,时间仓促,文中不妥之处还请业内网友包涵和批评指正。
本人在此提醒的是,文中案例虚构,如有雷同,纯属巧合;本文只代表本人的个人观点,与任何单位无关;本文只供业内网友内部学习使用,侵权必究。
作者:刘丽洪,中国人民银行营业管理部
编辑:Elise Jiang,道琼斯风险合规
注:本文版权归作者所有,未经许可不得翻译或转载。
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险管理和合规治理品牌,由道琼斯风险合规中国团队运营。欢迎关注公众号或联系:Johnson.Ma@dowjones.com