新规解读 | 美国联邦金融机构检查委员会《反洗钱检查指导手册》合规指南

原创穆耸等中伦视界 2022-08-01

作者：唐梦沅盛于兰穆耸

前言

2020年4月15日，美国联邦金融机构检查委员会（简称“FFIEC”）颁布了《银行保密法及反洗钱检查手册》（以下简称《手册》）的更新，《手册》最初发布于2005年6月，为美国监管机构的检查人员开展银行保密法及反洗钱（以下简称“反洗钱”）检查工作进行全面指导。《手册》包含了关于反洗钱制度的要求、反洗钱风险和风险管理的目标、健全的行业惯例和检查程序等方面的概述，并提供了关于如何识别和控制与洗钱和恐怖融资相关风险的指引，是美国各机构检查人员开展反洗钱工作的重要参照。

本次《手册》的更新（以下简称“《手册(更新)》”）是联邦储备委员会、国家信用社管理局、金融犯罪执法网络等部门（为美国的反洗钱监管相关部门）对上一版《手册》在进行为期两年的评估工作后最终呈现的工作成果。

FFIEC指出，本次更新旨在提出对弹性检查方式的支持，并完善检查程序的透明度，而非增加监管重点。笔者认为，作为监管部门开展检查的全流程指导文件，《手册》不仅对中国在美金融机构的反洗钱合规工作提供了指导，也为中国本土及在其他监管较严格地区的金融机构应对监管检查提供了具体详细的参考材料。本次《手册(更新)》更新的是核心检查流程部分（《手册》的整体结构见下图），出于行文目的考虑，笔者将以简单梳理部分条款的方式对本次更新内容进行介绍。

（《银行保密法及反洗钱检查手册》整体内容结构）

一

确定检查范围并制定检查计划

《手册》所称反洗钱检查主要是针对美国监管机构对银行的反洗钱检查，同时，对于非银行金融机构（NBFI），《手册》中以专章的形式对其检查与要求进行了说明。值得一提的是，在此语境下的金融机构除包括我们一般意义上理解的大部分金融机构外，还包括证券经纪人、贵金属及矿石交易商、典当行、旅行社、车船及航空销售相关业务主体、不动产交易相关业务主体等[1]。

反洗钱检查的目的是根据银行的风险情况，评估银行反洗钱制度的有效性，以及银行是否符合《银行保密法》的监管要求。《手册(更新)》指出，确定范围和制定计划的意义在于能够使检查人员了解银行的洗钱、恐怖融资以及其他金融违法活动的风险情况，以及使检查人员将审查重点放在最具风险的领域，去评估银行是否制定并履行合格的程序以识别、衡量、监控和控制该等风险。

《手册(更新)》指出，检查人员应当尽可能在反洗钱检查的现场部分结束前确定范围和制定计划。并需要注意的是，每个银行的检查范围各有差异，需是针对银行的风险状况有所调整，并考虑银行的规模、复杂程度以及组织结构等要素。对于海外资产控制办公室（简称“OFAC”）合规问题，《手册（更新）》再次指出，OFAC并不是反洗钱检查的必需部分，需结合银行业务判断是否要对OFAC违规风险进行评估。

采用风险为本的检查方式

2019年6月22日，美国联邦储备委员会联合其他监管部门发布了《关于以风险为本的反洗钱监管方法的联合声明》，指出监管机构应适用风险为本的方法计划和开展反洗钱检查。《手册(更新)》指出，鉴于银行的规模，复杂性和组织结构各不相同，每家银行都有独特的风险状况，因此反洗钱检查的范围因银行而异。

为了更好地了解银行的风险情况，检查人员应当将检查计划与银行的风险状况相匹配，包括从以下方面进行分析：

（1）银行自身的反洗钱风险评估情况；

（2）独立测试或合规审计；

（3）以往检查的结论和分析；

（4）管理层的回应，包括对独立测试、合规审计以及检查结果的整改情况；

（5）非现场和持续的监管情况；

（6）银行及其监管机构间的往来情况，包括处罚、传票、司法措施等；

（7）了解银行的信息技术系统情况评估是否需额外技术专家支持；

（8）来自金融犯罪执法网络（简称“FinCEN”，为反洗钱执法监管机构）的报告。（《手册(更新)》指出，检查人员可以请求从FinCEN获取可疑交易报告、现金交易报告、现金交易免报报告等。该等报告可以帮助检查人员识别重要客户、可疑交易报告的数量及特征、可疑交易报告的主体、现金交易报告、现金交易免报报告的数量及性质等，但不得因其报告数量本身对银行提出批评。对于该等报告及相关信息，由于可能具备敏感性及保密性，检查人员需要遵守《FinCEN银行保密法信息再传播指南》和《FinCEN银行保密法信息访问安全计划》等相关规定予以使用，对此欧盟也有类似规定）。

制定反洗钱检查计划

《手册（更新）》指出，应当根据银行的风险情况，制定并记录反洗钱检查计划，包括将要进行的反洗钱检查流程。在制定检查计划时，应当考虑银行的风险情况、规模、复杂程度以及组织架构、独立测试（合规审计）的质量、银行反洗钱合规官或合规部门的变化等因素。

一旦检查人员确定了检查和测试的程序，则应当准备一个书面要求函件发送银行要求银行做好准备。以《手册》附件的函件模板为例，类似于法律尽职调查清单，该等函件应是直接易懂且与检查计划相紧密联系的。

二

检查银行自身风险评估情况

1. 《手册（更新）》指出，为检查与评估银行的反洗钱制度，需先行对银行进行风险评估，这一程序也是对银行自身风险评估能力的检查。《手册（更新）》强调，银行的反洗钱工作应当以风险为本，这并非具体的法律要求，良好的风险评估程序帮助银行以此原则识别洗钱及其他金融违法活动风险，并采用最适宜的方式减少和管理固有风险。风险评估通常包括两个步骤：

（1）识别特定风险类别。银行的风险评估程序应当能够根据产品，服务，客户和地理位置等要素识别不同的风险程度。同样，识别风险类别针对不同银行具有特定性，应当综合考虑各种信息，单一指标无法确认风险的高低；

（2）分析特定风险类别。该等分析涉及评估与银行产品、服务、客户、地理位置有关的活动的交易数据，以便进行内部控制规避风险。例如，通过评估国内或国际资金转账的数量和金额、私人银行客户或国外代理账户的性质、银行从事业务时的国内或国际地理位置等来进行风险量化。《手册（更新）》指出，在银行的产品、服务、客户以及地理位置等发生变化时，反洗钱风险评估应当及时更新，以便准确反映银行的洗钱以及其他金融违法活动风险。

2. 在程序上，《手册（更新）》指出，检查人员可以参照以下流程：

（1）查明银行是否识别其独有的，与产品、服务、客户、地理位置有关的洗钱及其他金融违法活动风险；

（2）查明银行是否分析、评估其独有的，与产品、服务、客户、地理位置有关的洗钱及其他金融违法活动风险；

（3）查明银行是否存在反洗钱风险评估更新流程，以反映产品、服务、客户、地理位置等变化，并可持续准确地对洗钱及其他金融违法活动风险作出反馈；

（4）如果银行没有制定反洗钱风险评估程序或者其程序存在缺陷，检查人员需为银行完成反洗钱风险评估；

（5）检查人员需记录并与银行讨论在风险评估程序中发现的问题。

三

评估反洗钱制度合规性

《手册（更新）》指出，检查应首先对银行的反洗钱制度进行整体查阅，并核实反洗钱制度是否在程序上需得到金融机构董事会的批准并写入董事会记录，从质量上是否满足适用性标准，如是否包括客户识别、客户尽调程序在内的制度模块等。

评估反洗钱制度合规性综述

《手册（更新）》指出，应当至少从四个方面核查银行的反洗钱制度及评估本次检查程序，主要包括：

（1）反洗钱制度是否得到董事会的批准并写入董事会记录；

（2）反洗钱制度是否与银行的洗钱/恐怖融资及其他金融违法活动风险状况相匹配，并满足具有风险控制能力的内部控制程序、具有完善的独立测试（合规审计）制度与能力、明确日常监控责任主体（合规官）、具备适当的培训机制等要求；

（3）确定客户识别、客户尽调、受益所有人识别程序作为反洗钱制度的一部分；

（4）根据检查情况确定本次检查计划是否需进行调整。

反洗钱内部控制

《手册（更新）》指出，董事会在建立合规文化及控制内控制度方面具有重要作用，需评估在董事会及高级管理人员的领导下，银行内部控制程序（包括其银行内部政策、程序、流程）是否满足要求。对此需主要关注：

（1）银行内部控制程序是否可以减少洗钱/恐怖融资及其他金融违法活动并符合监管要求；

（2）银行内部控制程序是否与其固有风险相适应；

（3）银行内部控制程序是否可以独立运作而不受其他因素影响（比如管理层、员工的变动）；

（4）银行内部控制程序是否可以对信息技术系统做到有效监管；

（5）银行内部控制程序是否不时地进行更新；

（6）管理层合规风险应对及内部传达与纠错程序；

（7）合规责任识别等。

独立测试（合规审计）

《手册更新》指出，独立测试（或合规审计）是内部独立审计部门或第三方顾问进行评估的流程。独立测试（合规审计）一般为周期性（如每12-18个月）或在银行风险状况、系统、合规人员等发生重大变化时进行。独立测试（或称合规审计）后应对银行反洗钱合规情况进行报告，其应关注内容包括：

（1）独立测试（合规审计）的独立性；

（2）独立测试（合规审计）是否完整涵盖反洗钱制度；

（3）独立测试（合规审计）是否直接向董事会或其指定委员会、独立董事汇报；

（4）独立测试（合规审计）的工作范围、报告及支持文件、测试人员是否适宜；

（5）独立测试（合规审计）应包括对可疑活动监控与报告系统的评估；

（6）独立测试（合规审计）应与银行风险状况相适应。

反洗钱合规官

《手册更新》指出，董事会应当指定专人作为整体协调与日常监管的反洗钱合规官，该合规官应当有足够的授权并且具备独立性。就反洗钱检查而言，具体需关注：

（1）银行董事会是否任命合规官，并给予合规官适宜的授权；

（2）合规官是否时常向董事会报告合规情况及可疑交易报告（此次更新强调合规官与董事会间的日常汇报要求）；

（3）合规官是否称职；

（4）合规官是否具有独立性（包括独立报告流程、不受业务部门影响等）；

（5）合规官是否能够调用资源（包括相应员工及系统等）。

反洗钱培训

《手册更新》指出，反洗钱培训应当因地制宜，并应针对全部因工作需要具备反洗钱知识的人员，具体需关注：

（1）确定是否全部需要了解反洗钱合规的人员均参与培训，且董事会成员也获得相应的培训（此次更新强调培训应与具体个人的工作责任和业务条线相适应）；

（2）确定合规培训材料是否可反映董事会及管理层持续培训的重要性、不合规的后果、监管要求及目的、内部政策程序及流程、洗钱及金融犯罪行为案例分享、业务条线的具体风险、监管动态、相关外部人员等内容；

（3）审查是否保留历次培训材料，包括对未定期参加培训人员的记录与处理等。

检查结论出具

《手册更新》指出，检查结论应指出强项、弱项、缺陷、违规情况及可能的补救方式，且应做好工作底稿展示检查全过程备查。

对于违规情况的分类，包括系统或重复性违规情况（比如客户尽职调查程序未基于风险为本原则设置、对外国客户身份的尽调程序不合理、大量可疑交易报送存在错误或遗漏等）及单项或技术性违规情况（比如时而的漏报或晚报可疑交易报告、偶发的未能获得客户身份信息情况等）。如果发生系统或重复性违规情况的，意味着银行存在重大系统性风险，笔者认为，在此情况下，合规处罚与刑事风险将处于较高水平。

最终，合规检查应当对机构合规情况出具调查结论并佐以足够的事实证明支撑，并应对整改或优化合规体系提供可行的建议。

四

FFIEC《手册》及其更新对合规工作的影响

本次FFIEC《手册》的更新文件对于反洗钱合规检查工作的进行提供了更多指引，并赋予更强的灵活性及更高的透明度，旨在强化反洗钱制度及流程与金融机构自身风险特点、风险倾向的匹配性，并通过强化董事会、高管与合规官间的责任义务来切实落实反洗钱合规要求。

笔者本次采用的是梳理性的介绍方式对更新文件进行了简要介绍，主要是考虑到国内银行及其他金融机构在进行反洗钱制度落实与日常工作中，缺少对监管检查流程及思路的把握。从现状上，目前国内反洗钱行业人员不充足、监管压力较大、监管趋势与重点变化快，导致反洗钱合规人员疲于起草各类报告，但往往仍因各种细节因素导致被监管机构屡屡检查与处罚，吃力不讨好。就此，笔者认为：

1.《手册》及其更新给世界各国反洗钱工作提供了良好参考

不可否认的是，在反洗钱工作方面，美国及欧洲由于反洗钱工作开展最早，在制度设立与解释等方面具有较强的权威性，并由于美元的强势地位，使得世界各国均很难绕过美元体系进行金融行为，因此，其合规制度要求对全世界范围内的金融机构均有较强的参考意义。

我们需要看到，在美欧国家的反洗钱制度中[2]，对于反洗钱义务主体的范围是明确的，对于反洗钱合规的要求是成体系的、类似法律尽职调查式的，尤其关注于金融机构对于其制度与运行“以风险为本”原则的落地情况。

在经过历时两年的评估后，本次《手册更新》也再次强调了监管检查工作也应“以风险为本”，并针对不同金融机构的特点展开检查，为监管部门确定了工作原则。

从内容上看，美国联邦金融机构检查委员会的建议要求与我国反洗钱制度匹配度很高（各国的制度总体承继于FATF建议，且制度制定主体也在互相参考），《手册》所示的具体制度内容大多可在我国反洗钱法规内找到对应条款，具有很强的参考价值，也是目前金融机构外部顾问合规检查与提供咨询的重要参考内容。

2.反洗钱工作在世界范围内均属新课题，银行等金融机构需从国内外司法与行政监管实践中吸取经验，活用规则不断优化自身制度

根据笔者对10年间涉及反洗钱的行政及民事案件的梳理分析，以银行为主的金融机构大量面对因反洗钱工作不到位而被处罚、被客户追责的行民案件（我们以后会逐步发文与大家讨论），但在应对时往往不能对自身的反洗钱工作流程合理合法性、与客户间合同权利义务关系等给予良好说明。

当然，该等问题是世界性的，在世界各国的银行等金融系统中都在持续探索如何完善反洗钱制度，也因此，欧美国家仍在持续的出台与更新反洗钱相关制度规定。中国的金融机构应当从国内外司法与行政监管实践中吸取经验，不断优化自身反洗钱制度。

3.我们应当关注FATF建议、《手册》及国内反洗钱法规中的原则性规定要求，结合自身特点予以落实，用巧劲而不用蛮力

随着全球反洗钱监管的不断加码，各个金融机构对于反洗钱工作的投入也达到了空前的高度，笔者认为，反洗钱工作是很难做到完美的，关键是结合自身情况用巧劲解决实际问题。举例而言：

如：本次《手册（更新）》不厌其烦地强调董事等管理人员对反洗钱工作的参与和领导，强调董事会的最终负责制，在较多国内[3]及国际反洗钱案例中，金融机构的董事会往往因反洗钱处罚而受波及，但问题时常出在业务前段，董事会实则鞭长莫及（按照我国规定，董事会承担最终责任、高管层承担实施责任，业务部门承担直接责任）。就此，笔者认为，对于中小型金融机构而言，董事会应全面参与和领导反洗钱工作，可考虑探索合规官与公司董事、监事合一的方式，将反洗钱制度流程与董事会决策挂钩，切实提升合规制度的运行高度，提高机构内全体管理人员及员工的重视程度。

再比如：《手册》及《手册（更新）》指出，在监管人员进行检查时，会参考适宜的内部独立测试或合规审计（一般为外部律师、会计师、咨询顾问进行）结果，并要求银行等金融机构根据测试及合规审计结果进行整改，整改情况作为评估金融机构合规性的重要参考内容。笔者认为，该等要求促使金融机构定期进行自我（或第三方）核查，一方面可减少监管部门的检查工作频次、另一方面也减少金融机构的违规风险，对于包括我国在内的其他国家反洗钱合规工作具有正面参考意义。

另外，《手册（更新）》不断强调，理想的反洗钱制度应该是有弹性、灵活和可监督的，在面对外部政策环境及内部业务情况变化时，可以作出调整而不出现重大风险，在出现内部问题时，可以通过监督机制快速反应予以纠正，这应该是合规制度建立的优等方案。

结语

参考其他国家的制度要求并真正理解我国反洗钱法规文件的立法目的与背景，有助于我国的反洗钱合规工作与国际合规理念接轨，有助于提升我国反洗钱合规工作的水平，也有利于我国应对下一次FATF的评估（目前反洗钱法修订也已提上日程，此次修订将可能主要结合FATF本轮评估为不合规的若干条目展开修订[4]）。

从宏观环境上看，随着我国不断深入参与国际事务，反洗钱合规工作对于我国在国内外的政治经济活动有非常深远的影响，因此国家对此项工作的重视程度只会越来越高，金融机构需对此有比较深刻的认识，并反映到日常业务条线之中，随着金融环境的不断健康优化，合规工作也应不断深入。

[注]

[1] Appendix D: Statutory Definition of Financial Institution from BSA/AML Examination Manual, and BSA 31 USC 5312(a)(2)。

[2] 对相关问题，如有进一步兴趣，可以阅读我们此前的时评文章：

《如何应对欧盟反洗钱新指令（聚焦主体问题）》

《如何平衡反洗钱合规与数据合规》

《反洗钱视角下的<个人金融信息保护技术规范>解析》

《美国反洗钱长臂管辖案例速览与思考》

[3] 就国内反洗钱相关规定及观点，如有进一步兴趣，可以阅读我们此前的时评文章：

《再议反洗钱合规-如何正确认识反洗钱义务》

《刍议非银行机构反洗钱和反恐怖融资内控制度建立的必要性及可行性》

[4] “央行：反洗钱法修改工作正式启动”，法制网，http://www.legaldaily.com.cn/government/content/2020-04/16/content_8171753.htm，最后访问时间：2020年4月23日。