观点 | 金融机构洗钱和恐怖融资风险自评估 典型问题及建议
本期作者:
刘丽洪
中国人民银行营业管理部
注:本文已获作者授权发布,谨代表作者个人观点。
自2021年《金融机构洗钱和恐怖融资风险自评估指引》(银反洗发〔2021〕1号文印发,以下简称《指引》)颁布以来,各家金融机构紧锣密鼓地开展洗钱和恐怖融资风险自评估工作(以下简称“自评估”),并制定了有关自评估的内控制度,甚至有些金融机构在2021年就完成了一轮自评估。从目前的情况看,能够完全依靠自身力量完成自评估的金融机构寥寥无几,大部分金融机构是通过委托第三方专业机构完成的自评估。在此过程中,金融机构自评估存在的问题不容忽视。本文无意对比金融机构依靠自身力量完成自评估和委托第三方专业机构完成自评估的优劣,仅指出当前金融机构自评估存在的典型问题及成因,并提出个人建议。
一
自评估存在的典型问题
虽然《指引》颁布一年有余,但是自评估对于绝大多数金融机构来讲,是一项全新的工作。金融机构对开展自评估的目的,如何操作、如何应用、应该投入多大的资源、需要怎样的专业能力等方面仍认识或准备不足,从而产生一些问题,笔者认为主要问题如下:
(一)目的不明,自评估尚未成为贯彻“风险为本”理念反洗钱工作的基础
有些金融机构只是将自评估当成监管部门规定必须完成的工作,为了评估而评估,自评估成为应付监管部门的“摆设”。没有认识到,自评估目的是为金融机构洗钱风险管理工作提供必要基础和依据,金融机构充分运用自评估结果,确保反洗钱和反恐怖融资资源配置、风险管理策略、政策和程序与评估所识别的洗钱和恐怖融资风险相适应;是金融机构加快反洗钱工作向“风险为本”转型,提升本机构反洗钱工作有效性的根本途径。金融机构通过识别、评估风险,根据评估结果完善风险管理政策,优化资源配置,制定和实施与其风险相称的管理政策或程序,进而采取强化或简化的反洗钱管理措施。例如,如果金融机构没有科学、完善、持续的自评估流程或基础,那么落实《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(中国人民银行 中国银行保险监督管理委员会 中国证券监督管理委员会 令〔2022〕第1号)第三十一条“金融机构参考以下信息,结合客户特征、业务关系或者交易目的和性质,经过风险评估且具有充足理由判断某类客户、业务关系或者交易的洗钱和恐怖融资风险较低时,可以采取相匹配的简化尽职调查措施:……”就成为泡影。
(二)应付了事,自评估内控制度“照搬”监管文件
有些金融机构未结合本机构的实际情况,细化本机构自评估的内控制度,机械照抄照搬《指引》。例如,某人身险公司的自评估制度,对产品业务风险指标的描述“产品业务是否可作为客户的资产(如储蓄存款、理财产品等),是否有额度限制,保值程度和流动性如何,是否可便利、快速转换为现金或活期存款。”照搬了《指引》第十条的有关内容,但《指引》这一提示明显针对银行机构举例,即使该公司反洗钱工作水平不高,但在拟定内控制度时,也应知道保险公司并不经营“储蓄存款”业务,遗憾的是,此内控制度居然通过该公司的层层复核或审核发布。另外值得注意的是,“照搬”《指引》的金融机构还不算最差,个别金融机构甚至连《指引》都懒得抄写,仅是寥寥摘抄几段《指引》了事,敷衍迹象更加明显。
笔者认为,金融机构自评估内控制度还存在下述问题,一是未明确董监高层、反洗钱牵头部门、各业务部门的工作内容和职责;二是未明确自评估结果与本机构选择的风险偏好的关系,即未明确剩余风险等级偏离风险偏好后应采取的下一步工作措施;三是未明确本机构自评估指标和权重的数值确定原则或方法(也许评估方案中有)。
(三)质量不一,自评估报告内容存在明显的瑕疵
自《金融机构反洗钱监督管理办法(试行)》(银发〔2014〕344号文印发,目前已废止)发布以来,有些金融机构开始尝试自评估,从报备的自评估报告内容看,有的像反洗钱工作计划,有的像洗钱类型分析报告,甚至有的像反洗钱工作总结。直到《指引》发布后,金融机构报备的自评估报告格式和内容趋向于统一,但笔者认为报告中仍存在典型问题如下:
1. 评估指标设置不科学
此类问题主要有,一是未在充分考虑本行业洗钱风险水平、本机构在行业内的地位等因素基础上,建立评估指标体系,评估指标颗粒度与本机构固有风险状况不符;二是评估指标设计未结合本行业、本机构客户群体、提供的金融产品或服务、客户引流渠道等实际情况,存在明显缺陷,难以充分、准确揭示实际风险状况;三是固有风险指标体系相对薄弱,未针对各评估单元或业务条线实际情况设定指标,指标设计较为原则;四是控制措施有效性指标不能突出本行业、本机构各评估单元或业务条线的具体特征。
2. 指标、权重等赋值方法不清晰
指标、权重等科学赋值方法决定最后剩余风险的真实水平。有些金融机构自评估报告没有解释说明指标、权重等赋值的方法或逻辑,也未给出评估指标具体打分分档原则(也许在自评估底稿有),过度依赖“专家经验”, 导致从评估指标,到评估单元,到全辖评估结论的逐层合并逻辑不清晰,未利用可回溯的算法,形成可逆的检视路径,不能自圆其说,影响评估结论的客观性。例如,某项评估指标因风险较高而分值的赋值较高,但其权重反而赋值较低,自评估报告并没有给出合理的解释;再例如,某项评估指标可以打1-5分,自评估报告并没有给出打分的分档原则,打分的科学性、合理性无法大致把握。
3. 固有风险评估不“瓷实”
多年来,从监管部门推行“5C”评价,到分类评级,金融机构更习惯或擅长对控制措施有效性的评估。固有风险评估是全新的领域,金融机构对此有弱化的倾向。主要表现为,一是未明确固有风险指标取数口径和逻辑;二是获取的基础数据不全面、不准确,遗漏部分客户类型、产品业务种类;三是数据汇总、分析与评估结论关联性不强,各说各话。
另外,虽然金融机构更习惯或擅长对控制措施有效性进行评估,但表现也不是十全十美,同样存在评估理由过于简单,评估依据不充分等问题。
4. 评估结论指向性、精准性不足
(1)自评估报告仅反映金融机构整体风险评估结果。
报告的内容仅是对固有风险中的客户、交易、渠道、地域的状况进行阐述,没有得出评估单元或业务条线固有风险、控制措施有效性、剩余风险的等级;没有得出高风险金融产品或金融服务集中在哪个评估单元或业务条线;难以全面、准确反映本机构洗钱风险分布情况。
(2)忽视了现实威胁案例与固有风险较高的评估单元或业务条线、金融产品的关系。
评估出的固有风险较高的评估单元或业务条线、金融产品没有现实威胁案例佐证,有现实威胁案例佐证的评估单元或业务条线、金融产品却评估成较低风险。例如某机构自评估报告显示“新三板协议转让”、“大宗交易”两项业务评估为高风险,其所在评估单元固有风险也较其他高。从实际情况看,这两项业务几乎没有涉及现实威胁案例。也许金融机构评估出的风险是潜在的,应该加以防范,无可厚非,但笔者认为,用有效的、有限的反洗钱资源,缓释现实的洗钱风险,更能体现“风险为本”的反洗钱工作理念。
(3)自评估结果运用不够充分。
有些金融机构自评估结果没有发现本机构体系性、系统性的风险隐患。也许是真的没有,也许是不愿意展示,总之与监管部门通报的结果差异较大。自评估结果尚未达到影响一家金融机构洗钱风险管理策略、政策、程序的高度,仅是针对自评估结果提出浅层次的具体工作改进建议。评估结果共享机制也尚未建立,从反洗钱现场检查对各业务部门的访谈情况看,评估单元或业务条线对自身洗钱风险管理的关键工作环节和关键工作程序,以及相关的洗钱风险特征、程度并不清楚,自评估结果应用有限。
(四)过度依赖,对委托第三方专业机构开展自评估定位不准
金融机构如何利用第三方专业机构做好反洗钱工作,笔者曾经发表过《中国反洗钱外部审计咨询机构如何求发展》一文,提出过比较成体系的建议,限于本文的篇幅,在此不做过多阐述。从目前情况看,能独立完成自评估的金融机构凤毛麟角,大部分是委托第三方专业机构完成自评估,甚至有些金融机构还做“甩手掌柜”,第三方专业机构成为自己的“大脑和大腿”,而不是“拐棍儿”,违背了“不得将自评估工作完全委托或外包至第三方专业机构完成”的要求。
笔者根据实务中的情况,对第三方专业机构开展自评估咨询业务提示五点:一是某一家第三方专业机构(尤其业务量较大的第三方专业机构)帮助金融机构完成的自评估报告应相对实事求是,不能所有“甲方”的剩余风险等级都是“中”,这不符合客观事实;二是虽然理解第三方专业机构出具的自评估报告因各种原因有些“美颜”,但是应尽量少,绝不能上“滤镜”,不能失真;三是第三方专业机构运用“甲方”提供的评估数据或问卷结果,没有校验和考虑其合理性,导致评估过程就是缘木求鱼;四是在自评估报告“结果与运用”章节,缺乏给“甲方”决策层、高管层一些“直击灵魂深处”的风险揭示或建议;五是第三方专业机构出具的自评估报告有模板化的苗头。
另外笔者也了解到,有些金融机构业务条线人员对自评估的目的不了解,盲目排斥自评估结果,当第三方专业机构将某业务条线固有风险评估为高风险时,该业务条线人员就极力反对该结果,对第三方专业机构施加压力。甚至个别金融机构自身,或要求第三方专业机构,删除部分“敏感”段落,将“净化”后的自评估报告报备监管部门。
(五)期望过高,自评估系统脱离金融机构实际情况
目前,不少金融机构为提高自评估效率,减少人工工作量,外购自评估系统,试图提高自评估的科技含量。笔者一直支持科技赋能反洗钱工作,但让笔者担心的是,外购自评估系统是否贴合本机构的实际情况,即外购自评估系统所定义的评估指标的指向、颗粒度,权重赋值逻辑,数据使用口径等,是否与本机构的客群风险特征、产品风险特征、渠道风险特征、地域风险特征等实际情况相符。如果金融机构利用缺少“个性化”和“优化”措施的外购自评估系统得出评估报告,那么自评估结果的科学性可想而知。
在笔者看来,自评估很难通过什么系统自动出评估报告,自评估不少工作环节需要“专家”经验判断,也就是根据实际情况做“估”的过程,这些经验是系统无法替代的。《指引》也是把有关自评估的系统功能,定位在维护产品业务种类清单和客户类型清单,准确提取自评估所需的各类数据信息,提高自评估效率的层面。金融机构“花钱买省心”的想法是很难实现的。
(六)单打独斗,自评估由反洗钱牵头部门“自编自导自演”
自评估几乎是涉及到全辖各业务部门的工作,笔者个人认为,其工作难度和工作量,甚至高于金融机构的年终决算。尤其需要各业务部门以“主人翁”的态度和责任感参与。鉴于目前金融机构业务部门对反洗钱工作的认知和态度,对自评估抵触、畏难情绪更加高涨,“不会干、你帮我干”成为常见的推脱借口。反洗钱牵头部门为完成监管要求的于2022年12月31日前提交本机构自评估报告的目标,只能是本部门“单兵突进”开展自评估,或委托第三方专业机构出个报告了事,这种做法某种程度上更加让业务部门“站在高山观虎斗,趴在桥头看水流”。
(七)混淆概念,区分不清法人风险评估和自评估的作用
法人金融机构洗钱和恐怖融资风险评估(以下简称法人风险评估)和自评估均是贯彻“风险为本”反洗钱工作理念的具体工作方法。虽然两者运用的评估方法、框架大致相同,但是两者目的、程序、评估指标颗粒度和关切的方向、评估结果运用等方面均有较大的差异。有些金融机构反洗钱工作人员混淆了两者的概念,当监管视角的法人风险评估剩余风险等级高于自评估剩余风险等级时,金融机构就用自评估剩余风险结果,证明自己反洗钱工作开展地如何好。
在笔者看来,无论是法人风险评估,还是自评估,均有较强的主观“估”的色彩,再考虑到两者目的、程序、评估指标颗粒度和关切的方向、评估结果运用等方面均有较大的不同,两者结果不一致是正常的。同时,笔者也要提醒的是,两者结果不应该有跨越式的不同,很难出现前者剩余风险等级是高,后者剩余风险等级是低,反之亦然。笔者认为,当两者出现两个等级的差异时,可能需要双方共同找出问题的成因。
二
问题的成因
自评估产生上述问题的原因是多样的,既有思想理念和认识方面的,也有技术操作方面的,笔者认为主要原因如下:
(一)还未成为金融机构风险管理的内生动力
监管部门发布《指引》的初心,是推动我国反洗钱工作全面向“风险为本”转型。另外,修订中的《反洗钱法》,已经颁布的《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(中国人民银行 中国银行保险监督管理委员会 中国证券监督管理委员会 令〔2022〕第1号)、《金融机构反洗钱和反恐怖融资监督管理办法》(中国人民银行令〔2021〕第3号)、《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号)等法律法规有关条款,均需金融机构在识别风险、评估风险后,方能有效落实,否则金融机构采取的反洗钱管理措施将成为“无源之水”,漫无目的“盲干”,效率和效果均大打折扣,甚至增加不小的运营成本。有些金融机构并没有把自评估的重要性认识到位,只是为了应付监管部门的要求而做这么“一件事儿”而已,自评估还未成为金融机构风险管理的内生动力。
(二)没有驾驭自评估的能力
自评估是一项全新的工作,很多反洗钱从业人员对此项工作是既熟悉又陌生。熟悉是在有关法规或资料里看到有关自评估的表述,陌生是直到监管部门发布《指引》后才真正着手开展此项工作。当前,很多反洗钱“圈内人士”(包括笔者)都在探索自评估的具体方法、程序,积累经验,所以真正具备驾驭自评估能力的从业者很少。
笔者认为,金融机构真正做好自评估,需要自评估的“总工程师”了解本行业的外部威胁及洗钱手法,精通反洗钱法律法规和管理流程,掌握本机构各业务条线实际运营状况,通晓本机构的金融产品业务,熟悉本机构的系统架构等,否则很难真正做好自评估。
(三)欠缺自评估的基础工作保障
做好自评估需要坚实的反洗钱工作基础。笔者认为至少以下三方面影响了自评估:
一是尚未做好客户和产品业务洗钱风险评估。主要表现为,金融机构弄不准确客户和产品业务数量,甚至拿不出完整的产品业务种类清单和客户类型清单。客户洗钱风险和产品业务洗钱风险等评估结果不准确,弄不清实际的风险水平分布,影响自评估。
二是尚未划分清楚客户群体和产品业务的归属管理部门。主要表现为,有些客户和产品业务由部门多头管理,有利润时各部门蜂拥而上,认为应归属本部门,而需要对这些客户和产品业务做风险管理等“脏活儿、累活儿”时又无人问津。这就导致产品业务种类清单和客户类型清单维护不及时,存量客户和产品业务洗钱风险评估及时性、规范性欠缺,更别提结合洗钱风险评估的结果,制定有针对性的风险管控措施。
三是尚未建立规范化的自评估所需数据管理机制。主要表现为,金融机构在上线某产品业务,或开通新的获客渠道(如第三方互联网)时,事先没有对该产品业务、获客渠道打数据标签,导致无法区分交易数据(除非某种产品业务有独立运营系统)。当自评估需要按某种或某类产品统计分析业务规模,或按某渠道(如第三方互联网)统计分析客户数量、交易笔数与金额时,提取数据出现困难。
(四)缺乏自评估所需外部信息或数据
自评估需外部信息或数据的支持,从发布的《指引》有关条款看,“外部市场占有率,高风险行业或职业,已知存在洗钱案例、洗钱类型手法”,金融机构很难掌握这些权威信息,尤其很难及时了解金融产品或服务如何被黑灰产业 “钻空子”等信息。为此,金融机构不得不采取替代信息或数据,甚至主观判断,这在一定程度上影响了自评估结果的准确性。
三
几点个人建议
针对当前自评估存在的典型问题及成因,笔者提出以下几点建议供业内参考:
(一)提高认识,摆正自评估的位置
金融机构应进一步提高对自评估的认识,自评估是金融机构反洗钱工作从“合规为本”向“风险为本”转型的标志性工程,也是金融机构落实好当前反洗钱法律法规的重要基础和前提。摆正自评估的位置,以“自我审视和剖析”、“自我管理和完善”为工作目标,通过自评估主动发现和客观反映本机构反洗钱工作中存在的风险隐患和问题,并制定切实可行的整改措施,减少或免于反洗钱行政处罚,降低洗钱风险给本机构和社会带来的危害。不要主观、有意压低剩余风险等级,故意隐藏工作缺陷,心存侥幸,因为监管部门利用法人风险评估、监管走访,甚至现场检查等监管工具,迟早会了解到各家金融机构的实际风险状况。
(二)强化机制,划分好各业务条线、部门的责任
进一步强化自评估领导小组的组织协调作用,尤其强化高级管理层对自评估的支持。反洗钱牵头部门不能“大包大揽,单兵突进”,通过自评估领导小组会议,明确业务条线、部门应责无旁贷地按照评估方案,承担业务条线的自评估,并确保自评估的客观性与相对独立性。划分好客户群体和产品业务归属部门,建立规范化的自评估所需数据管理机制,打通风险评估结果共享信息渠道。反洗钱牵头部门与业务条线、部门共同梳理、研究本机构面临的洗钱风险和反洗钱工作存在的困难与脆弱性,提供自评估所必需的数据、信息和支持。
建立自评估的后评价机制,金融机构持续关注外部威胁、风险变化情况,及时更新、完善本机构的自评估指标及方法,特别是在接受外部司法查询情况、风险提示、本机构可疑交易监测分析结果与自评估结果出现明显偏差时,应及时分析原因,并调整自评估指标或评估方法,提高控制措施有效性。
(三)风险为本,进一步完善评估指标及权重确定方法
科学的评估指标和算法,是准确、高效完成自评估的关键。在评估指标方面,金融机构可根据本行业洗钱风险评估,或现实的外部威胁状况,结合自身业务规模,客户、产品业务的风险状况,确定自评估的广度和深度,重点抓住影响洗钱和恐怖融资风险的主要因素,制定的评估指标“够用即可”,现阶段以建立合理的评估框架为主要目标,循序渐进逐步完善,不必追求“一步到位”,不必追求“越细越好”,更不必过于追求评估指标的量化;在确定权重方法方面,金融机构可采用主观赋权评价法、客观赋权评价法、组合集成赋权法等。笔者建议最好采用简单易懂、客观直接,且能够自圆其说的方法,非必要不必刻意追求 “炫”。笔者特别提醒的是,金融机构经论证采用某权重确定方法后,不能在同年自评估中随意改动,下次评估不再采用上次运用的权重确定方法时,应说明理由。
(四)充分运用,切实发挥自评估导向作用
金融机构应根据自评估发现的固有风险点、控制措施的薄弱环节和风险隐患,按照《指引》第二十七条的有关规定,制定或持续调整、完善经高级管理层批准的洗钱风险管理政策、控制措施和程序,并关注控制措施的执行情况。同时,金融机构做好自评估的指标、方法和相关数据记录和保存,以便反洗钱管理或监管时使用。更重要的是,金融机构可根据自评估及相关法律法规的规定,对于评估发现的低风险情形,采取适当的简化措施,降低反洗钱管理成本,提高工作效率。
在笔者看来,自评估的过程可能比自评估的结果更重要。因为金融机构通过自评估,可以弄清楚反洗钱工作的广度和深度,也是对各业务条线、部门开展一次有针对性的反洗钱培训,甚至是给决策层、高管层提供一次全面了解本机构反洗钱工作现状的机会。
(五)以我为主,正确认识第三方专业机构的作用
金融机构利用“外部智力”是做好反洗钱工作的途径之一。在自评估过程中,金融机构要保持清醒的是,“法人金融机构可聘请第三方专业机构协助进行评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作,但评估过程中对各类固有风险、控制措施有效性及剩余风险的讨论、分析和判断应由领导小组、反洗钱牵头部门及各条线、部门、分支机构主导完成。不得将自评估完全委托或外包至第三方专业机构完成。”笔者对该法条的理解是,最了解本机构客户和产品业务真实情况的还是金融机构自己,第三方专业机构可以当金融机构自评估的“拐棍儿”,但是不能当金融机构自评估的“大脑和大腿”。同时笔者也提醒金融机构的是,应尊重第三方专业机构的独立性与专业性,否则没有必要“花钱聘请人家来帮忙”。
对于第三方专业机构而言,一方面,应拿出高人一筹的专业实力,给金融机构自评估以启迪和引导,而不是“流水线般”地出自评估报告;另一方面,也应严格保持自身的独立性,尽量实事求是地反映自评估的结果,至少要告知金融机构高级管理层该单位反洗钱工作的实际情况;再一方面,应坚持客观性原则,以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面、准确地揭示“甲方”面临的洗钱风险和管理漏洞。笔者在此提醒的是,第三方专业机构的专业性和独立性,是其开展反洗钱咨询业务的“生命线”。
(六)监管推动,发挥好法人风险评估的作用
监管部门统筹考虑好法人风险评估和自评估“一盘棋”,规划好二者的有效“分工”,更有利于金融机构做好自评估。对此,笔者有四点建议:
一是鉴于金融机构开展自评估时间不长,需要时间积累相关工作经验,不宜直接动用“硬性”监管措施,“干预”金融机构的自评估,先观察一段时间,视情况给金融机构1至2年,或2至3年,甚至3至4年的适应期;
二是对敢于通过自评估,发现自身反洗钱工作薄弱环节和风险隐患的金融机构,延长其监管周期,给予其更多的整改时间,通过非现场监管工具督促其按时整改,不能凭金融机构自评估发现的问题为依据搞“秋后算账”;
三是强化法人风险评估,提高法人风险评估的准确性、科学性,在为风险为本的分类监管提供依据的同时,起到矫正金融机构自评估随意评定剩余风险等级的潜在作用;
四是探索披露监管信息和提供行业信息的新方法、新路径,为金融机构自评估提供权威信息和参照依据。
四
写作后记
去年以来,业内人士在做自评估时遇到不少难题,笔者平时在帮助解答问题的同时,就有了写作本文的想法。继上一篇《“空壳公司”综合治理与风险防范思路探析》文章发表后,一直忙于工作,无暇写作。利用虎年春节假期,撰写了本文。本文仅代表笔者个人观点,与任何单位无关,文中有不当之处,欢迎各路大咖拍砖。
作者:刘丽洪,中国人民银行营业管理部
编辑:Elise Jiang,道琼斯风险合规
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's《巴伦周刊》, WSJ《华尔街日报》, MarketWatch, Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌,由道琼斯风险合规中国团队运营。欢迎关注公众号或联系道琼斯风险合规中国负责人:Johnson.Ma@dowjones.com