观点 | 洗钱风险纳入金融机构全面风险管理思路探析
本期作者:
刘丽洪
中国人民银行营业管理部
注:本文已获作者授权发布,仅代表作者个人观点。
FATF在2014年发布的《银行业风险为本的方法指引》、巴塞尔委员会在2017年发布的《关于银行业洗钱和恐怖融资风险管理监管指引》、银保监会在2019年颁布的《银行业金融机构反洗钱和反恐怖融资管理办法》等有关条款,对洗钱和恐怖融资风险(以下简称洗钱风险)纳入金融机构全面风险管理做出了规范。《法人金融机构洗钱和恐怖融资风险管理指引》(银反洗发〔2018〕19号印发)对法人金融机构深入实践风险为本方法,落实《关于完善反洗钱、反恐怖融资、反逃税监管体制的意见》,加强法人金融机构反洗钱和反恐怖融资工作,有效预防洗钱及相关违法犯罪活动做了详细的指导。然而,在工作实践中,不少机构对洗钱风险如何纳入金融机构全面风险管理仍存在不少疑惑,甚至在实务中走了“弯路”。笔者根据监管实务,结合金融机构实际情况,从最困难的洗钱风险评估与度量、洗钱风险管理策略制定、董监高层履职等三方面入手,阐述笔者对洗钱风险如何纳入金融机构全面风险管理的理解。
一.
洗钱风险的评估与度量
无论FATF在2014年发布的《银行业风险为本的方法指引》、巴塞尔委员会在2017年发布的《关于银行业洗钱和恐怖融资风险管理监管指引》、银保监会在2019年颁布的《银行业金融机构反洗钱和反恐怖融资管理办法》,还是《法人金融机构洗钱和恐怖融资风险管理指引》(银反洗发〔2018〕19号印发),上述指引或法规,虽然将洗钱风险纳入金融机构全面风险管理框架之下,但都没有给出方法评估与度量洗钱风险,计量出洗钱风险给金融机构带来的损失,反映洗钱风险的状况。
从笔者多年的监管实践看,金融机构展业和经营过程中,被违法犯罪活动利用,导致洗钱或恐怖融资犯罪发生,主要是对社会产生危害(对社会如何危害本文不做进一步讨论)。大多情况下,洗钱风险事件和案件本身并不给金融机构带来直接风险和直接经济损失,甚至某些情况下还会产生收益,金融机构因此产生的更多的是间接风险或间接损失。正如巴塞尔委员会在2017年发布的《关于银行业洗钱和恐怖融资风险管理监管指引》中指出,“洗钱和恐怖融资风险管理的缺失或不完善给银行带来严重风险,特别是声誉、运营、合规和集中度风险。值得注意的是,这些风险都是相互关联的。然而,在带来监管机构罚款和处罚的同时,任何一种风险都可能给银行机构带来巨额的财务成本(例如,由于批发融资和贷款终止、对银行的索赔、调查成本、资产扣押冻结和贷款损失带来的成本),以及将有限、宝贵的管理和运营资源分散投入,以解决因洗钱风险带来的问题同样会带来成本。”《法人金融机构洗钱和恐怖融资风险管理指引》(银反洗发〔2018〕19号印发)中所述“任何洗钱风险事件或案件的发生都可能带来严重的声誉风险和法律风险,并导致客户流失、业务损失和财产损失。”
笔者认为,在当前的形势下,在“强监管,严问责”带来反洗钱行政处罚之外,金融机构未能在采取适当的风险管理政策、程序和控制措施方面勤勉尽责,都会使洗钱风险所造成的直接或间接成本加大。如果金融机构能持续实行有效的风险为本的反洗钱和反恐融资政策和程序,这些成本、损失是可能减轻或能够避免的。为此,金融机构需要评估洗钱风险,度量洗钱风险导致的直接或间接损失,直观的反映洗钱风险状况,以便制定的洗钱风险管理策略与本机构面临的洗钱风险状况和系统重要性水平相匹配。笔者结合使用历史模拟法和情景分析法,试图计量洗钱风险带来的直接或间接的损失,具体做法如下:
(一)
计量合规风险导致的损失
上文说到洗钱犯罪主要是对社会产生危害,政府监管部门代表社会大众的利益监督金融机构履行反洗钱义务,以减轻洗钱犯罪对社会的危害。当金融机构履行反洗钱义务缺位时,监管部门(包括其他司法辖区)将对金融机构实施处罚。监管部门不但可以罚款,还可以采取责令金融机构停业整顿,暂停或停止某项业务,不批准新业务,各类基金上缴比例上调(存款保险基金、投资者保护基金、保险保障基金等)等处罚措施。假设因合规风险导致的损失用T1表示,罚款损失用t11表示,发生的概率用p11表示;责令金融机构停业整顿损失用t12表示,发生的概率用p12表示;暂停或停止某项业务损失用t13表示,发生的概率用p13表示;不批准新业务损失用t14表示,发生的概率用p14表示;加大上缴的各类基金比例损失用t15表示,发生的概率用p15表示;那么T1=t11×p11 +t12×p12 +t13×p13 +t14×p14+t15×p15 。各金融机构可根据机构注册地、分支机构所在地、境外分支机构所在国家或地区的反洗钱监管力度、频度和实际处罚情况,尤其要对标同质同类机构的处罚结果,结合本机构洗钱风险自评估结果,以及发现的潜在违规事实确认t11和p11的数值;同理,t12、p12、t13、p13 、t14、p14、t15、p15的数值,可以结合实际或历史数据确定。
(二)
计量声誉风险导致的损失
声誉风险导致的损失评估是非常难的工作,笔者只是从较为直观的方面展开。在某家金融机构被曝出洗钱案件丑闻,或被曝光反洗钱重大行政处罚负面信息后,可能会导致客户(新老客户)流失,在减少收益的同时,甚至会发生挤兑事件。另外,同业会谨慎对待该金融机构带来的业务(代理行业务、跨境汇款等),会增加业务开展“摩擦系数”,耗费该金融机构有限、宝贵的管理和运营资源,导致潜在损失,甚至同业会与其解除合作关系。假设因声誉风险导致的损失用T2表示,客户流失损失用t21表示,发生的概率用p21表示;业务损失用t22表示,发生的概率用p22表示;那么T2=t21×p21 +t22×p22 。各金融机构可根据本机构正在或潜在服务客户的实际情况,设计调查问卷,抽样评估客户在知悉一家金融机构被曝出洗钱案件丑闻,或被曝光反洗钱重大行政处罚负面信息后,客户将采取的行动,进而评估因此带来的损失,然后确认t21和p21的数值;业务损失可以根据同业合作办理各项业务时,需要增加的各类文件、信息成本,以及降低的工作效率确定t22、p22 的数值。
(三)
计量法律风险导致的损失
法律风险导致的损失主要是指一家金融机构发生洗钱案件后,导致特定群体客户,或受害客户发起的索赔行动,金融机构为避免索赔或赔偿过程中产生的损失。例如,某银行因境外某洗钱案件遭遇索赔行动,该银行为此支付了以亿美元计的律师费。假设因法律风险导致的损失用T3表示,客户赔偿用t31表示,发生的概率用p31表示;律师费用t32表示,发生的概率用p32表示;那么T3=t31×p31 +t32×p32 。
(四)
计量运营风险和集中度风险导致
的损失
对于运营风险和集中度风险导致的损失,笔者认为这两种风险有其本身产生的损失(本文不做探讨)外,如何评估与度量其在洗钱风险方面带来多大损失,目前笔者也没有好的建议。但笔者认为,运营风险和集中度风险是合规风险、声誉风险、法律风险的“放大器”。当金融机构存在运营风险和集中度风险时,会增大发生其他风险的概率,更容易导致合规风险、声誉风险、法律风险的发生,进而产生损失。具体为:当金融机构存在操作风险时,容易使金融机构反洗钱内控体系失效,甚至产生“内外勾结”,让反洗钱内控制度形同虚设。例如某行柜员应客户要求,办理“伪现金”业务,最后导致洗钱案件的发生,引发监管部门对该机构处以500万元的罚款;当金融机构存在集中度风险时,在反洗钱工作方面可能会有四个表象:一是交易对手集中在洗钱高风险国家和地区;二是客户集中在洗钱高风险国家和地区;三是交易量集中在洗钱高风险业务或产品;四是交易量集中在洗钱高风险客户;五是同一个受益所有人控制的法律工具或法律安排,形成的表象规模和资金优势,或者大量的关联交易;这些集中度风险的表象,更容易引发洗钱风险。
综上,假设金融机构因洗钱风险导致的总损失用T表示,那么T=T1+T2+T3 。在一定时间内,这些损失需要金融机构用资本去弥补,甚至要提前拨备。
笔者对洗钱风险导致的损失评估与度量,考虑的只是实务中常见元素。实践中,这些风险元素会相互作用,一项风险元素发生会影响另一项风险元素的发生概率。另外,没有考虑金融机构的沟通协调能力、舆情引导能力等方面的影响,也没有考虑其他洗钱风险元素导致的损失。
笔者深知,本文对洗钱风险评估与度量的方法肯定有需要完善之处,业内人士可以研究和探索其他更高明的方法。
二.
洗钱风险管理策略制定
实务中,金融机构往往将反洗钱工作总结和工作计划当作洗钱风险管理策略。主要原因:一是多年来反洗钱人员习惯从制度、操作、业务系统等中微观层面开展反洗钱工作,擅长的是管具体的“事儿”,缺乏从宏观策略角度管理洗钱风险的思维。二是制定洗钱风险管理策略尚无可量化方法或规范指标,金融机构缺少像管理信用风险、市场风险、操作风险那么明确的法规要求和有效管理工具。
笔者认为,洗钱风险管理策略是一家金融机构开展反洗钱工作的指导思想,处于反洗钱工作核心地位。金融机构应在洗钱风险评估与度量完毕后,将其结果与金融机构洗钱风险自评估结果相结合,作为金融机构制定洗钱风险管理策略的基础。其内容包括但不限于:
(一)
分析外部洗钱威胁
金融机构面临的洗钱威胁、上游犯罪形势不会是一成不变的,洗钱犯罪分子会不断翻新洗钱手法,尝试利用金融机构的各种金融产品或服务存在的漏洞进行洗钱。在洗钱犯罪越来越专业化,黑灰产业合作化的严峻形势下,金融机构每年应在评估和更新洗钱风险管理策略时,要不断的对自己拷问,“当前与本机构相关的司法管辖区,在重点金融犯罪领域存在哪些现实或潜在的威胁,这些威胁是否危及本机构,以及随着时间的推移,这些威胁发生了哪些重大变化。”沿着这些“问题”的脉络,找到应对“答案”。根据本机构面临的外部洗钱威胁情况,以便对应本机构洗钱风险偏好、洗钱风险因素限额、投入的合规资源等的合理性。
(二)
明确洗钱风险偏好
关于洗钱风险的风险偏好,笔者认为主要包括两方面内容。一是固有风险偏好;二是剩余风险偏好。金融机构结合本机构目标客户群体、发展战略、经营计划、资本规划、绩效考评和薪酬机制等方面,书面明确本机构的风险偏好。例如,如果某金融机构目标客户群体洗钱风险总体较低,且本机构处于快速成长阶段,那么金融机构可将风险偏好定位在中高(较高)、中、中低(较低)级别,留出一定的风险空间。反之,就可以定位在中高(较高)、中级别。此时,金融机构一定对比风险偏好促进业务发展带来的收益,和选定风险偏好带来的损失,如有风险敞口,结合愿意承担的风险总量,考虑后面如何投入合规资源,或采取其他的事先行动。
(三)
确定洗钱风险因素限额
在一家金融机构反洗钱工作中,能构成洗钱风险因素的点较多,笔者认为金融机构可以考虑对包括但不限于(括号内星数代表重要度)以下洗钱风险因素设定限额:
1.洗钱高风险客户数(☆☆☆);
2.经营或提供的洗钱高风险产品和服务数量(☆);
3.洗钱高风险产品和服务的交易数量(☆☆☆☆);
4.使用了洗钱高风险产品和服务的洗钱高风险客户数量(☆☆☆☆☆);
5.洗钱高风险客户的洗钱高风险产品和服务的交易数量(☆☆☆☆☆);
6.交易对手来自洗钱高风险国家和地区数量(☆☆☆);
7.在洗钱高风险国家和地区建立分支机构数量(☆☆);
8.能明确洗钱犯罪客户司法查询增长数量(☆☆☆☆);
金融机构根据选定的洗钱风险偏好,结合自身的合规资源情况,分别或统一确定上述限额。例如,对于洗钱高风险客户数限额的确定,金融机构要考虑根据本机构现实的合规资源能管理好多少个高风险客户,而不能无限增长,否则就要增加合规资源投入。在此,综合评估管理一个洗钱高风险客户消耗的合规资源,要结合本机构的合规人员的数量、能力,结合本机构反洗钱系统的管理功能等确定。
另外,值得注意的是,洗钱风险因素限额与洗钱风险偏好两者不能背离过大,这样一是会导致洗钱风险管理策略前后脱节,不构成逻辑;二是会导致金融机构自身的合规资源不能弥补两者之间的“鸿沟”。
(四)
明确合规资源投入
金融机构根据本机构洗钱风险可能带来的损失、洗钱风险偏好、洗钱风险因素限额,明确要投入的合规资源,包括但不限于人(人员)、财(资金)、物(系统),以及赋予有关人员履行职务所必需的权限等。如果投入的合规资源与洗钱风险因素限额要求有差距,金融机构应有替代措施,或者明确要接受因此带来的洗钱风险,否则要有计划、有步骤去解决,以便合规资源能够满足洗钱风险因素限额,缓释风险,否则就可能存在风险敞口,进而导致洗钱风险的发生,从而给金融机构带来损失。
(五)
突破风险限额应采取的措施
笔者认为此部分内容主要包括两方面,一是突破洗钱风险因素限额;二是突破既定的洗钱风险偏好。金融机构可考虑采取的措施有,反洗钱牵头部门或管理有关洗钱风险因素限额的业务部门发现突破洗钱风险因素限额或既定的洗钱风险偏好的事实后,应当及时分析原因,制定解决方案。反洗钱牵头部门要及时向高级管理层报告,再由高级管理层向董事会或其授权的专门委员会报告或批准。解决方案的内容包括但不限于:自留风险,金融机构愿意承担突破风险限额的结果;规避风险,金融机构放弃部分客户和业务;缓释风险,金融机构加大合规资源投入。
(六)
监管部门的监管导向
监管行动无论是以风险为导向,还是以问题为导向,金融机构都要持续关注监管动向,关注的点包括但不限于,行政处罚的金融机构类型(尤其关注与本机构同质化的)、处罚的违规问题、处罚的金额、处罚密度或频度、风险提示、颁布的法规、下发的规范性文件等。金融机构应从上述监管信息分析和评估监管部门的监管导向或趋势,在洗钱风险管理策略中予以明确,以便调整本机构反洗钱工作的重心。
金融机构可考虑上述六个方面,制定清晰的洗钱风险管理策略,在本机构内部得到充分传导。洗钱风险管理策略至少每年评估一次其有效性,并根据业务发展、业务规模、外部威胁、合规资源的变化,对洗钱风险管理策略及时进行调整。
三.
董监高层履职
无论FATF在2014年发布的《银行业风险为本的方法指引》、巴塞尔委员会在2017年发布的《关于银行业洗钱和恐怖融资风险管理监管指引》、银保监会在2019年颁布的《银行业金融机构反洗钱和反恐怖融资管理办法》,还是《法人金融机构洗钱和恐怖融资风险管理指引》(银反洗发〔2018〕19号印发),上述指引或法规,都把董监高层反洗钱工作履职放在突出位置。笔者认为,董监高层在洗钱风险纳入金融机构全面风险管理中,需要考虑具体实施的管理动作提示如下:
(一)
在董事会层面
金融机构董事会承担洗钱风险管理有效性的最终责任。是反洗钱工作的决策机构,其工作要突出决策、引领的特点。
一是审定与本机构发展战略目标相一致,且适用于全机构的洗钱风险管理策略;书面明确“坚决不让本机构提供的金融产品或服务成为洗钱的通道和工具”为本意的洗钱风险管理文化;通过有力的奖惩制度,在全机构范围内有效地推动洗钱风险管理文化、洗钱风险管理策略得到落实,而不是停留在“口头上、报告中”。
二是通过审批、审阅高级管理层有关洗钱风险的履职、监测及评估报告制度,确保本机构有效的洗钱风险管理政策和程序在全机构得到充分执行,并尽可能地确保将本机构从事的各项业务洗钱剩余风险控制在可以承受的范围内。
三是定期审阅高级管理层提交的洗钱风险管理报告,内容包括但不限于:反洗钱法律法规变化及趋势、重大洗钱风险事件及处理、反洗钱检查发现的问题及整改进度、重要洗钱风险指标变化情况、反洗钱年度工作计划开展情况、重点反洗钱工作项目实施情况等。
四是定期审阅内部或外部审计部门对本机构洗钱风险管理体系的审计结果,并督促高级管理层对违规的部门和人员进行追责。
笔者特别建议董事会专题审阅法人金融机构洗钱和恐怖融资风险自评估报告。以充分了解本机构洗钱高风险客户、洗钱高风险金融产品或业务的分布及管理情况,充分了解合规资源与本机构面临洗钱风险的匹配情况,充分了解本机构洗钱风险管理的总体情况、高级管理层管理洗钱风险的有效性,确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释洗钱风险。董事会不能片面追求完全通过定量指标了解本机构的洗钱风险。笔者认为定性分析也很重要,甚至比数据更重要。
值得提醒的是,董事会要理解和支持高级管理层有关管理洗钱风险合规资源投入,或为规避洗钱风险而放弃部分客户或业务的建议。
在此过程中,董事会成员要真正“懂事儿”,应切实履职,切忌“画圈、打勾”审阅、决策、审查。
(二)
在监事会层面
金融机构监事会承担洗钱风险管理的监督责任,负责监督董事会和高级管理层在洗钱风险管理方面的履职尽责情况,并督促整改。对金融机构的洗钱风险管理提出建议和意见。
实务中,笔者几乎没发现哪家金融机构的监事会在洗钱风险管理方面履职有“存在感”,更别提对本机构洗钱风险管理提出建议和意见。有些金融机构试图通过人力资源部门在监事会的监督下,对高级管理层的反洗钱工作履职情况进行考核,但是这种管理框架设计,如果没有监事会的强力监督执行,人力资源部门对高级管理层的履职考核,就成为“水中月,镜中花”。
金融机构监事会的履职记录应该显示对董事会、高级管理层反洗钱工作履职的监督意见,特别是要书面明确董事会、高级管理层的履职行为是否推动本机构洗钱风险管理策略、洗钱风险管理政策和程序等一整套管理体系按着既定的“路线图”前进。另外监事会应监督董事会和高级管理层,对洗钱风险管理中违规部门和责任人进行责任追究是否到位。
(三)
在高管层面
金融机构的高级管理层负责执行董事会批准的洗钱风险管理策略、总体政策及体系,承担洗钱风险管理的实施责任。笔者认为,金融机构的高级管理层在一家金融机构的洗钱风险管理工作中居核心地位,高级管理层洗钱风险管理履职情况直接决定一家金融机构反洗钱工作质量的优劣、洗钱风险敞口的大小,以及洗钱风险管控的成效。
高级管理层要做到知悉和掌握本机构洗钱风险管理的状况,知悉本机构合规资源与洗钱风险的匹配度。如果洗钱风险和合规资源不匹配,存在风险敞口,高级管理层无论是否接受因此带来的洗钱风险,都应及时向董事会报告,并得到解决。此部分内容笔者不再做详细论述,建议大家可以参考笔者的《金融机构高级管理人员反洗钱工作履职思路探析》一文。
四. 洗钱风险纳入金融机构全面风险管理的几点感悟
(一)反洗钱行政处罚是金融机构做好反洗钱工作的源动力
合规风险,也就是反洗钱行政处罚给金融机构带来的损失,是金融机构开展反洗钱工作的源动力。反洗钱工作虽然直接呈现的是成本中心的形式,但实际上也在为金融机构创造隐形收益,还间接减少声誉风险损失、法律风险损失等。我们不得不承认,反洗钱工作更多创造的是社会效益。
为防范洗钱风险,需要金融机构合规资源投入,建立和完善金融犯罪防控体系,构建绿色金融的“钢铁长城”。这就像“生产性企业安装的环保、净化设备,否则我们很难看到蓝蓝的天空,呼吸到新鲜空气”。加大反洗钱监管力度,来自外部的监管压力将是推动这项工作的最强动力。
从我国第四轮互评估情况看,反洗钱监管处罚与国际标准还有巨大的差距;从国外的处罚具体情况看,处罚金额折合人民币大几千万、上亿是常态,甚至动辄以“扣人”的方式追究高级管理人员责任。我国是否能走出一条不高额处罚金融机构,就能做好反洗钱工作的道路,还需要反洗钱业内的同仁们进一步探索。
(二)担当社会责任是金融机构做好反洗钱工作的天然使命
金融机构不仅仅是营利性机构,还应承担社会责任,绝不能“重业绩、轻责任、重利润、轻合规”,赚钱不要命,什么客户都敢接,什么客户都敢拥抱,给犯罪分子留下可乘之机,给社会带来伤害,导致人民群众生命财产受到损失。金融机构及从业人员更不能与犯罪分子内外勾结、沦为帮凶。
金融机构应更加主动地承担社会责任,不吃“人血馒头”,坚决守住“本机构提供的金融产品或服务决不成为洗钱的通道和工具”的底线,即使可能因为做好这项工作付出较高成本。
(三)董监高层履职是金融机构做好反洗钱工作的决定性因素
风险为本的反洗钱理念,决定了金融机构应根据不同领域给其带来洗钱风险的高低,合理分配对不同领域投入的合规资源。只有董监高层能够决定一家金融机构各类资源如何分配。为此,监管部门对金融机构董监高层履行反洗钱工作职责情况进行重点监管,金融机构上级部门对董监高层履行反洗钱工作职责情况进行考核,并规范董监高层履职不到位的行为,这对推动反洗钱工作有“事半功倍”的作用。
(四)嵌入业务运营之中是金融机构反洗钱工作的生命线
金融机构面临的洗钱风险,与金融机构服务的客户群体,以及提供的金融产品或服务相伴相生。反洗钱工作不能脱离金融机构的具体业务而独立存在,不能“自娱自乐”, 也不能和业务运营“两张皮”。
洗钱风险管理措施应嵌入金融机构业务运营之中,在展业的同时就开展反洗钱工作,这也是为何将业务部门定位于防范洗钱风险的“第一道防线”的根本原因。反洗钱合规部门或人员应该深入探索如何通过洗钱风险管理措施,助力金融机构稳健经营,防范信用风险、运营风险、流动风险,这样的反洗钱工作就会更有生命力。
五.
后记
在写作《金融机构可疑交易管理实务中典型问题及对策》时文中提到,后续会对“将洗钱风险纳入全面风险管理”这个话题进行讨论。不少业内人士一直在关注这个伏笔。应大家之约,利用春节假期写作了本文。洗钱风险纳入金融机构全面风险管理是个非常大、非常难的话题,也是“虚”与“实”不好把握的话题。笔者没有对相关法规条款做解读,只是从笔者的个人理解角度,尽量将有关法律条款“落地化”“落实化”。这些理解只代表本人的个人观点,与任何单位无关。本文只是“抛砖引玉”,如文中有不妥之处,欢迎业内人士一起讨论。
Edited by Elise Jiang
注:本文版权归作者所有,未经许可不得翻译或转载。
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险管理和合规治理品牌,由道琼斯风险合规中国团队运营。欢迎关注公众号或联系:Johnson.Ma@dowjones.com