观点:金融机构反洗钱整改实务探析
The following article is from FTI Consulting Author 王欣
编者按
自2018年以来,全国系统性重要金融机构已经历了一轮、甚至两轮不同形式的反洗钱现场检查工作。同时,监管机构也通过走访、非现场监管等方式持续关注着金融机构的问题整改情况,并由此决定下一轮的监管周期。在此推进下,大部分金融机构提高了履职意识,主动开展了一系列反洗钱内部检查与审计工作,并将反洗钱整改质效纳入考核评价范畴。但由于反洗钱问题大多涉及范围广泛、成因复杂,因此从实践情况看,能真正有效做好反洗钱整改还是比较困难的,“屡查屡犯”甚至成为了常态化现象。
为帮助金融机构切实做好自查整改工作,人行印发过《关于做好反洗钱执法检查后续整改工作的通知》(银办发〔2021〕43号)等文件,提出“以执法检查为起点,以有效整改为终点”的管理目标,业内有关专家也曾发表过有关反洗钱行政处罚整改的专业文章,如:人行营业管理部刘丽洪老师发表的《反洗钱行政处罚整改工作难点探析》等,都提出了很好的工作建议。受篇幅所限,本文不再分析反洗钱整改工作中的难点或障碍,而是重点就整改组织、方法、流程等实务性工作开展介绍,希望为广大反洗钱从业者提供有针对性的参考与帮助。
第一、整改方案制定与启动
“凡事预则立,不预则废”,整改方案是否全面、有效、可行,对于做好反洗钱问题整改工作至关重要,笔者认为整改方案制定工作至少应考虑三个方面:
治病讲究对症下药,整改也同样要先摸清病根。《检查意见书》或《事实确认书》(以下统称《确认书》)中往往只体现了问题的客观表现,并不会直接给出问题的产生原因,而且普遍存在同一成因造成多类问题或一项问题由多个成因产生的情况。因此,金融机构在实施整改工作时不能“眉毛胡子一把抓”,而是要先花时间和精力,组织相关部门、机构对问题进行逐项复盘与分析,在确定真正“病因”的同时,也可以为后续合理确定整改分工职责奠定基础,还可以通过“确诊”来避免“表面整改”现象。在分析过程中,重点要关注:
1
界定问题的性质
搞清哪些属于机制类问题、哪些属于系统类问题、哪些属于操作类问题?以便于后续制定不同的整改措施与验收要求。
2
做好问题的分类 进行根本成因溯源
对于同一成因造成多类问题的(比如:因同一客户存在多个客户编号而造成同一客户身份信息不一致和客户洗钱风险评级结果不一致),就可以合并为一个问题,从根本上进行解决;对于一个问题涉及多个成因的(比如:信用卡境外刷卡大额交易漏报,可能既涉及信用卡交易跨境标签配置有误,也可能涉及信用卡交易与核心系统传输不及时,还可能涉及信用卡客户与借记卡客户未统一编号管理等多个成因),则必须进行问题拓展,主动挖掘检查时未发现的潜在成因或隐患。
3
做好难点问题的客观评估
“冰冻三尺非一日之寒”,金融机构不可能做到完全“零风险”“零瑕疵”,对于一些确实无法彻底整改的历史性遗留问题(比如:较早开户的客户确实无法联系,不能单方面对其多个客户号进行合并处理等),可根据风险为本原则,对其数量、风险影响度进行客观的评估,采取相应的控制措施,在尽可能控制已知风险的基础上确保不再产生新的类似问题,并做好过程记录,作为后续向监管报备的依据。
在搞清问题成因的基础上,金融机构需要形成切实可行的具体整改方案,一般而言都会以“3W”的形式出现,即做什么(WHAT)、谁来做(WHO)、什么时间做完(WHEN),但在制定时仍有诸多细节需要充分考虑,具体而言:
1
明确整改内容(WHAT)
从实践经验看,完善的整改内容一般应当包含问题类别、具体表现、整改要求(或目标)与交付物等具体项目。其中,问题类别、具体表现可根据《确认书》中的问题类别与前述的问题成因分析结果,进行整合与合理化归类,确保对检查问题的全面覆盖。而整改要求(或目标)与交付物的明确与否,会直接影响最终整改质量和效果,是整改内容的核心要素。为防止“表面整改”和“屡查屡犯”,金融机构可以考虑制定分层、递进、明确的整改要求,并区分不同阶段的交付物要求,重点要突出一个“实”字,不能只停留在问题表象层面。这样才能帮助整改机构建立明确的整改方向,实施科学的整改动作。举例如下表:
2
明确整改分工(WHO)
整改责任划分可以说是反洗钱整改工作中的一个难点,从笔者的经验看,金融机构普遍存在部分部门“想办法撇清责任”或“愿意配合但不愿意牵头”等现实情况。针对此类问题,可以尝试通过以下方法解决:一是要充分做好前述问题成因分析工作,这个环节最好由总牵头部门组织所有涉及的部门进行共同讨论,一方面可利用问题成因的客观性解决主观性偏颇,另一方面可以对涉及多个部门的职责分工形成初步共识,而且可以会议纪要的形式固化为集体意见,以备后用,根据笔者的经验,此过程可以解决大部分问题的职责分工。二是遵循统一的分工原则,对于成因分析后仍不能确认责任归属的待整改问题,可以依次按照“有制度规定的,按制度规定的职责划分”[1]“没有制度规定的,按问题涉及的客群或产品管理归属划分”“前两项仍不能确定的,按问题涉及产生的利润归属划分”等公开、合理的原则进行分配。三是对于经上述流程仍不能解决的职责归属,可在充分讨论、尊重各方诉求的前提下,转化为待解决问题,与整改方案一同上报反洗钱工作领导小组或高级管理层会议进行审议,由高级管理层合议后进行责任归属“拍板”,切忌搁置问题或掩盖问题。此外,整改分工除了明确具体部门,还应注意细化到具体的责任处室(团队)和具体责任人,要确保真的有人在实际推进与对接整改。
[1] 其实,对于具体义务或履职要求,如果没有明确的职责分工制度,本身也是一项需整改的问题。
3
明确整改时限(WHEN)
整改时限同样是整改质量控制的重要手段,只有给出明确的时限性要求,才能确保责任部门提高紧迫意识,为整改工作配置充足必要的资源。在设置具体时限时,有必要考虑:一是要落实检查机构的底线要求。一般而言,无论监管机构还是金融机构总部,在实施内外部检查后,都会对整改时限做出明确要求,部分还会设定整改方案上报、阶段性报告的时限要求,这些关键时点应作为设置内部整改时限的到期时间,并应有所提前,打出“富余”[2]。二是要充分考虑不同问题的整改难度。对于制度类或流程类的问题,一般而言整改难度相对较小,时间安排应当从严从快,确保“立行立改”;对于系统类或需客户配合类等问题,受系统资源、客户配合度等因素影响,整改难度相对较大,时间安排应与系统开发排期等客观性规律保持一致,避免“强人所难”。三是要给予过程性的控制节点。大部分整改问题不是“一锤子买卖”或“一站式直达”,而且分阶段、分步骤推进的产物,为了保证最终结果不走型、不跑偏,定期要求反馈进度就变得很重要,而且也可以为向高管层、监管汇报阶段性进展提供第一信息来源。
[2] 对于前述确实无法整改或客观上确需较长时间整改的问题,应当充分评估和说明难度的客观性,做好监管报备工作。
(三)做好启动安排
[3] 以银行为例,可通过行长办公会、反洗钱工作领导小组会等形式。
[4] 对于重大检查事项,监管机构一般也会要求向董事会、高级管理层汇报检查问题与整改方案。
[5] 一般应为各责任部门或反洗钱工作领导小组各成员部门的高级管理人员,亦可根据整改事项范围扩大到经营机构主管反洗钱工作的高级管理人员。
[6] 考虑到疫情防控要求,部分地区主要以非见面报备形式进行报告。
第二、整改过程督导与控制
“行百里者半九十”,笔者在金融机构从业多年,观察到很多整改项目(不仅是反洗钱整改)往往启动规模很大,但最终整改成效却不尽如预期。究其原因,大多是因为缺少过程管理,一份整改通知发下去后再无跟进措施,即使责任部门最初持有整改主动性,但在相对“漫长”的、“无人问津”的整改过程中,也不免有所消耗,而且还有可能造成整改方向跑偏。为避免“雷声大、雨点小”的整改偏差现象,笔者建议金融机构把整改过程监督视为整改最重要的环节,投入必要的精力与资源,重点做到三个抓:
1
抓时间进度
如前所述,做好整改过程时点控制,对于确保整改质量至关重要。笔者认为抓时间进度应当关注好三个维度:一是关注反馈进度的频率,以确保过程管理的科学与适当,既能保证对责任部门形成一定的督促压力,又不会因过于频繁而增加无谓的工作成本。一般而言,按双周或月度反馈是较为合理的频率,也可以充分考虑不同整改问题的特性而设置有所区别的反馈频率,如:系统类改造问题的进展必然会慢于制度类问题,反馈频率可以适当放宽等。二是关注与整改方案中进度时点的一致性,确保现实整改情况与计划相吻合,可以考虑设置临期预警机制,对于只剩余1、2个反馈周期仍未完成实质性整改的,要给予正式的进度提示,督促责任部门不可随意拖沓。三是关注整改过程中的特定难点事项,通过进度反馈可及时了解各责任部门在整改过程中因未能预料的突发事件、客观困难所造成的整改障碍,这时总牵头部门应充分发挥“反洗钱工作协调”职能,进行统筹解决或及时上报。
2
抓质量验证
笔者认为,确保真正有效整改的关键方法,就是要对整改结论或佐证材料进行充分、客观地验证。不能只通过“报告整改”“会议整改”等文字材料就作为整改完成的依据,而是要按照问题性质设定不同的整改验证要求,如:对于制度类问题,要验证修订发文后的制度文件;对于系统类问题,要验证开发需求与上线测试报告;对于履职类问题,可能既要看制度、流程等机制措施方面的整改依据,也要进行一定量级的履职抽样检测等等,并将佐证依据作为最终提交整改报告的证明材料。此外还需提示的是,虽然总牵头部门会负责整改质量验证的整体组织,但不代表总牵头部门要负责对所有问题都进行验证与测试,这种做法无论从资源、效率,还是从能力上,都是不可实现的。因此,各类问题的责任部门要对自身整改情况负第一责任,自身要主动对内部团队、人员、下辖机构提交的整改材料进行验证和抽样测试,并承担未充分整改的责任后果。总牵头部门可以责任部门的整改反馈为基本依据,再辅以要式性审核或额外的抽样或交叉验证,履行复核与评价的责任。
3
抓汇报评价
有效的过程管理结果应当体现为阶段性的汇报与评价。金融机构可根据定期进度反馈情况,以月度或双月整改工作简报的形式将最新整改进度及时向高级管理层报告,并发送整改各相关部门与经营机构,同时还可主动抄报监管机构,一方面使得监管机构和高级管理层及时了解整改情况,展现积极的整改态度,让监管与高级管理层放心,并给予更多肯定和支持;另一方面也可通过“公示”效应促进责任部门/机构加快整改进度。此外,对于过程管理中发现的整改快、效果实等优秀典型或进度慢、质量差等整改不利情况,应当在简报中予以客观的表扬或提示。对于多次出现整改不利情况的,亦有必要纳入同一周期内的反洗钱考核,以真正体现过程管理的奖优罚劣作用。
第三、整改成果总结与应用
在全部整改工作完成或截止时间到期后,金融机构有必要对整体情况进行全面盘点、总结与报告,并充分利用整改取得的工作成效,确保整改价值充分发挥,笔者认为至少可以开展三方面工作:
在完成最后一批问题整改材料验证工作后,总牵头部门应当整合整改过程中的各项材料,形成《全面整改情况报告》,内容可包含整改组织安排、整改方法与分工、责任追究情况(如需)、具体问题整改情况(如问题较多,可以附件清单形式列明)、遗留待解决问题情况(如有)、后续强化提升措施等要素。此外,还可根据整改过程中的督导情况,对各责任部门的整改表现形成汇总点评材料。金融机构完成《全面整改情况报告》及整改佐证材料收集后,应当按照有关流程依次向高级管理层、董事会提起审阅或审议流程。如果是监管检查问题,还应经审核同意后,向监管部门提交正式整改报告,并一定要注意报告内容要符合“实事求是”原则,真实、客观的反馈实际整改情况,特别是对于前述暂不能彻底整改类问题的原因、规模、管控措施等情况要汇报清楚,不要避免不谈或故意隐瞒。上述流程既是落实反洗钱监管要求的规定动作,也是金融机构各层级反洗钱履职的基本要求,以充分体现反洗钱整改工作的重要性与严肃性。
(二)建立长效机制
1
强化员工培训教育 提升履职意识
实践证明,案例讲解往往是最深入人心的培训方式,而检查所发现的问题,特别是被处罚的履职问题就是最典型的“身边人”案例,最易引起员工的共鸣与警惕。金融机构应当及时将最新检查问题及时转化、融入至反洗钱培训课件体系,甚至可以考虑安排“当事人”开展案例专项培训,用“现身说法”的方式提高案例说服力,引导员工提高重视程度,依规主动履职。
2
完善检查监测方法 提升预警能力
每一次接受内外部检查,都是被查机构获取思路、学习方法、探索创新的最佳机会,特别是监管机构的日常监管视野广阔、检查经验丰富,必定能通过检查给被查金融机构带来新的检查手段。金融机构应当珍惜检查机会,将监管检查问题的方式方法和整改过程中总结出的成因特征,转化为自身检查、监测的模型或规则,提升“自我体检”的水平,努力由“治已病”向“治未病”迈进。
3
持续开展常态化检查 提升履职实效
在强化培训与更新检查预警指标的基础上,金融机构可将已知问题与整改情况纳入反洗钱常规检查范围,并作为重点事项开展常态化非现场督查,以进一步检验整改成效。对于屡查屡犯问题,一方面要严肃考核和问责,另一方面也可确认是否仍存在机制、系统等方面整改不到位的问题,从而易导致问题的重复发生。
(三)助力风险评估
总体而言,上述三个部分相互依存、相互融通,共同构成反洗钱有效整改的全流程。需要强调的是,笔者在本文中刻意淡化了总牵头部门与具体整改责任部门的详细分工描述,目的是要突出“反洗钱问题整改”是金融机构全体成员的共同责任,需要高级管理层、反洗钱管理部门、业务部门、经营机构之间形成合力,共促有效整改和充分整改。此外,还需说明的是,本文虽然用了7000余字的篇幅对反洗钱整改流程与组织中的普适性方法进行了相对全面的梳理,但在具体整改工作中,受每家金融机构所处行业、产品、客群、企业文化等因素的差异影响,各自整改问题性质、难度、具体方法均会有所不同,还需要各家金融机构充分发挥主观能动性,结合实际情况,摸索更契合自身特点的整改方式、方法。
作为FTI Consulting的一员,笔者非常期待在后续实践过程中,能够有机会与广大反洗钱从业者进一步深入探讨、交流反洗钱整改心得,助力金融机构持续深化反洗钱整改工作,为全面提升金融行业反洗钱工作有效性贡献专业力量。当然,受笔者经验与能力所限,本文一定仍存在诸多不足或不当内容,欢迎大家的批评与指导。
本文作者:
王欣 Winston Wang
金融犯罪合规部
董事总经理
北京
winston.wang@fticonsulting.com
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's《巴伦周刊》, WSJ《华尔街日报》, MarketWatch, Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌,由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系道琼斯风险合规中国负责人:Johnson.Ma@dowjones.com