洗钱和恐怖融资风险自评估年度总结及建议(下篇)——自评估的行业实践及未来趋势
编者按
2021年1月15日,中国人民银行下发《法人金融机构洗钱和恐怖融资风险自评估指引》(银反洗发〔2021〕1号,以下简称“1号文”)。评估指引贯彻和落实以风险为本的监管理念,提出了评估参考指标、风险计量方法、工作流程与结果运用等方面的要求,对金融机构洗钱和恐怖融资风险自评估(以下简称“自评估”)工作带来巨大的挑战。
按照指引要求,各机构陆续于2022年年底完成了首次基于新制度的自评估。站在当前行业背景下,本文(上、下篇)系统回顾自评估的由来与监管要求,剖析真实的行业案例,总结当前评估工作存在的痛点与难点,并分享自评估的行业实践及未来趋势判断,提出基于科技手段的规划建议。
洗钱和恐怖融资风险自评估
年度总结及建议(下篇)
——自评估的行业实践及未来趋势
在《洗钱和恐怖融资风险自评估年度总结及建议(上篇)》,我们回顾了自评估的由来与监管要求,总结当前评估工作存在的痛点与难点。本文(下篇)锐合将结合真实的行业案例,分享自评估的行业较佳实践,并提出基于科技手段的规划建议。
三、自评估的行业较佳实践
笔者从2014年就开始协助不同规模、不同类型、不同地区的金融机构设计并执行自评估,迄今为止已成功主导实施几十个自评估咨询服务项目。笔者看到,随着中国监管机构对自评估要求的不断深入和明确,金融机构的自评估工作实践也在不断发展变化。特别是在1号文出台后,业界对自评估工作的重视程度、自评估的组织形式、自评估工作的效率和效果都有一定程度的提升。结合笔者多年的自评估项目实施经验,笔者总结了近两年金融行业自评估的较佳实践,供各位借鉴参考。
1、充分发挥各风险评估职能作用
行业领先的自评估体系对董事会、监事会、高管、反洗钱部门、业务部门等都有详细的自评估职责分工。有效的风险评估需要各职能有效履行自己的职责。
董事会、高级管理层——高层定调,自上而下切实完善自评估机制
指定高级管理人员全面负责自评估工作,建立跨部门工作领导小组,协调组织开展自评估工作
了解本机构的风险状况及控制措施有效性,审批本机构自评估报告
对于自评估结果运用开展监督,确保机构人员配备、资源投入与规模、风险相适应
反洗钱管理部门——牵头组织开展自评估
建立反洗钱工作协调机制,充分调动业务部门、分支机构积极性,组织开展自评估
具备足够专业能力,对业务部门、分支机构自评估结果进行实质审查,确保自评估结果能够真正揭示风险
结合自评估结果,针对性制定风险管理政策和措施,确保自评估结果能够确实得到运用
业务部门——承担对本条线评估的直接责任
充分参与自评估过程,掌握自评估方法,清楚自身定位和角色,评估、监测本业务条线的洗钱风险
了解自评估结果,主动有效管理本条线的洗钱风险,建立相应的工作机制,将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作
2、考虑机构特点合理切分评估维度
为充分、恰当地评估机构整体面临的风险水平及缓释各类风险的控制措施有效性,自评估面临的首要工作是划分评估维度。按照1号文相关要求,评估维度的划分应秉承全面性和适用性原则,从地域、客户群体、产品业务和渠道四个角度将机构整体进行细分、切分。
在行业较佳实践中,金融机构充分结合自身的组织架构、股权结构、业务类型、管理维度和管理层对风险评估的预期划分评估维度,充分覆盖各类客户、产品、渠道和地域,考虑不同维度的特性及呈现的洗钱风险,例如对产品/服务的划分,应考虑产品可转移性、保值程度、流动性等特征对产品类型进行细分评估。此外,还需要考虑维度划分的颗粒度问题,避免个别维度颗粒度过粗或过细,影响对该维度评估的准确性。
3、建立与风险相称的定制化指标体系
1号文对风险评估的指标体系进行了大幅扩充,金融机构必须逐一开展适用性评估。在行业较佳实践中,金融机构充分考虑本机构的规模、行业地位、业务性质和特殊洗钱风险,融合国际标准、监管预期和行业最佳实践,构建科学合理指标体系。
例如,证券业务有着产品结构复杂、交易全球化、交易高额高频、产品价格波动等风险特征,此外,其交易链条往往涉及各类中介机构,导致单个机构可能无法完全掌握客户风险全貌,从一定程度上提高了产品的匿名性[1]。在传统、通用指标的基础上,证券期货业应从地域、客户、产品或服务、渠道等维度出发,将中介人、综合账户等特殊风险点拆分细化后纳入指标体系中予以综合评估,形成有针对性且兼具可操作性的指标体系。
值得注意的是,指标不是越多越好。指标过多可能导致评估模型整体敏感度下降,影响评估的精准度,在极端情况下,可能出现各评估维度评估结果趋同(例如均为较低风险或中风险),无法有效识别较高风险领域的情况。行业较佳实践中,金融机构对指标进行更为精准的分类,对指标开展聚类分析,识别同类型的、洗钱风险趋同的指标,结合数据可用性和准确性情况,经甄选后将“精品”指标纳入评估模型,有效提高模型精准度。
部分中小型金融机构也可能面临数据可用性不足导致数据不可取,形成指标过少、无法完全满足1号文要求的局面。此类金融机构可以通过寻找替代性数据、利用日常报表体系、业务专家估计、引入定性指标等手段提高指标体系的丰富程度。
4、充分开展数据检查和验证
风险评估数据质量直接影响评估结果的准确性,因此数据验证是风险评估工作的关键步骤。数据验证应基于风险,专注于对风险评估影响最大的数据。在行业较佳实践中,金融机构建立数据风险管理的三道防线机制:业务部门是数据的所有者,他们对风险评估所采集的数据完整性和准确性负首要责任;业务部门实施恰当的程序以审查和验收风险评估数据,包括从IT部门、合规部门和其它相关部门获取的必要数据。业务部门管理层应监督数据采集和处理流程,并审查数据的准确性和合理性。合规部门应充分了解数据获取和验证的过程,并分析数据结果是否合理、有效地反应本析构的洗钱风险。内审部门是确保风险评估数据质量的第三道防线。内审部门对风险评估数据的质量和准确性开展事后检查和验证,包括审查获取和验证数据的流程。
在自评估过程中也可以考虑使用数据检查工具开展数据校验工作。业界较佳实践中,金融机构建立检查系统,基于大数据分析技术和先进的规则算法,执行自动化的反洗钱数据质量检查、校验,及时发现数据问题,有效提高自评估数据准确性和完整性。
四、自评估工具及技术应用
1、痛点与难点
结合实践经验和行业普遍实践,笔者归纳总结出近些年在开展自评估工作中发现的普遍痛点和难点,有些难点痛点更是在疫情中被放大,对机构形成了巨大的挑战。痛点难点可归纳为以下:
费力劳心的流程化工作依然靠人工来完成
熟悉反洗钱工作或反洗钱工作从业者都清楚,“勤勉尽责”的开展一次全面、有效、且定性定量兼备的机构洗钱风险评估工作是一项结构复杂、程序繁琐且费力劳心的工作。尤其是对规模庞大,结构复杂的跨国金融机构来说,其涉及面之广,参与人员之多,往往依赖于大量的人力物力投入来完成数据收集、问卷设计、问卷填报与反馈、评级结果计算和汇总等工作。如此这般庞大的工作量,我国业界的普遍做法依然是通过Excel、Word等辅助工具手工完成,效率低下的同时产生了操作风险。
定量数据提取工作难以固化开展
自评估所需采集的数据具有一定的特殊性,且特定于洗钱风险管理。首次开展自评估工作的金融机构往往需要耗费大量精力梳理定量数据提取逻辑,而受限于IT资源的不足,数据提取工作往往也耗费巨大的时间。笔者曾遇到因IT未能及时响应业务部门的数据提取需求,而导致自评估的定量数据采集工作拖延了长达一年之久,这大大降低了风险评估的时效性和参考意义。即便是那些已经开展多次自评估的金融机构,数据提取仍旧是个不小的挑战。IT资源更倾向于优先解决与金融服务和客户紧密相关的问题,合规相关的问题往往被排在了靠后的位置。
全员参与度、积极性不高
自评估工作从来不是反洗钱合规部一个部门可以独立完成的。横向来看,它要求包括业务、审计、人力资源、IT等多个部门的通力合作;纵向来看,它需要全集团的充分重视、积极参与以及跨区域、跨机构、跨职能的通力合作。而很多金融机构的业务部门普遍存在合规工作与己无关的错误观点,对自评估工作的参与度、积极性不高,主要体现在未能充分理解评估方法和流程、未能按数据提取逻辑提供数据、问卷回复质量不高等方面。
2、科技是助推机构洗钱风险评估工作的良方
众所周知,金融行业正在经历着前所未有的全方位变革,随着数据与科技应用的提速,传统金融机构正通过开放合作突破自身体制机制,加速智能化应用的落地,以满足自身持续增长的效率与质量需求。事实上,金融机构的某些工作版块已经在智能化管理的进程中找准了自身的生态占位,但是对于反洗钱合规这类并非与前端金融服务紧密相关的工作版块,多数仍在延续耗时耗力的传统工作模式。
笔者基于过去10年间协助海内外大型全球化金融机构的实际经验以及对于当下市场上自评估工作开展的最新动态研究,提出了如下规划建议,以适应绝大多数金融机构的迫切需求,有效克服其当下面对的困难和阻力。
打造自己量身定制的评估系统
对于已经成熟开展机构洗钱风险评估工作的大型金融机构,这类机构通常数据基础较好、信息化程度较高并且机构洗钱风险评估工作的各个环节已经做得比较完善,但是由于国内外洗钱趋势不断变化、监管场景日趋严格,笔者建议这类金融机构量身定制一个可以适应外界不断变化的、强大且稳定的评估系统。针对金融机构的特点因地制宜的部署使用整合型机构洗钱风险评估系统,可有效提高评估效率,减少人力物力资源的投入。
这类系统覆盖职责分工、指标体系建设、问卷设计、问卷分发、填制、审批、风险评级计算和报表等风险评估全流程,并对这些工作进行中心化实时追踪与管理,以全面实现流程自动化。此外,系统基于金融机构其企业特点出发,搭建其特有的组织架构和评估体系。金融机构在系统默认的评估方法论基础上可以有足够的自由度,在评估的各个环节调整其评级参数,以满足监管以及集团管理层面的各种要求。
值得一提的是,我们在目前开展的项目中已经观察到,业界较先进的机构洗钱风险评估系统可以直接向原始客户和交易数据系统提供接口,实现定量数据的直接获取,不仅保证了数据获取的统一标准,也避免了因填报问卷随之而来的数据准确性问题,同时有效提升了数据提取与分析工作的效率、解放了IT资源。
借助智能化整合型辅助平台
对于非首次进行机构洗钱风险评估工作,以及对本项工作开展有优化需求的金融机构,这些机构往往已经形成了初步的评估方法论、必要的评估指标以及符合自身需要的评估政策等,但是其评估流程往往依赖于大量的人力资源,且信息传递时效性较低。
笔者建议这类机构适当的借助第三方平台对其现有的机构洗钱风险评估工作进行规范与优化。据观察,很多金融机构日趋选用智能化培训平台通过全员培训、专题研讨、座谈会等形式宣传机构洗钱风险评估的重要性、提供有关定量数据提取和定性信息收集的指导,并且在数字化和智能化科技的支持下,在线上完成机构洗钱风险评估的所有准备工作。在此基础上,金融机构可以选用整合型机构洗钱风险评估系统,这类系统不仅已经内置了具备业界较佳评估方法论指导下的评估流程,同时系统整合了完整的、全面的评估指标库以及问卷库,金融机构可以在系统中完成全部评估工作并生成评估报告,满足其一站式机构洗钱风险评估需求。
[1]Guidance for a Risk-Based Approach for Securities Sector
关于锐合
锐合新创科技有限公司(简称“锐合”)是一家融合了行业先进的合规与风险咨询服务与创新监管科技应用的新创企业。锐合的专家团队来自全球各地大型金融机构、知名风险与合规咨询公司、新兴金融科技公司、高新技术企业等,对监管要求和金融业的最佳实践有着深刻的认识和见解,也曾协助客户设计、开发和执行合规与风险管理数据、系统与技术解决方案,精通各类编程语言及工具,熟练使用各种无监督/受监督的机器学习模型,在风险建模、数据采集与挖掘、系统开发与维护等方面极富经验。
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's《巴伦周刊》, WSJ《华尔街日报》, MarketWatch, Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌,由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系道琼斯风险合规中国负责人:Johnson.Ma@dowjones.com