无论是有意还是无意，银行都越来越频繁地被罪犯利用作为实施违法行为的渠道与平台，并逐渐形成了一种趋势。正是因为察觉到这方面的风险，巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称“巴塞尔委员会”)在2016年2月时修订并重新发布了官方指引，即《指引文件－反洗钱反恐怖融资风险的稳健管理》(Guidelines-Sound management of risks related to money laundering and financing of terrorism,以下简称“指引”)用于阐述当面临反洗钱反恐怖融资风险时，银行应当如何去进行管理和控制。

长期以来，出于维护金融体系健康稳定的初衷，巴塞尔委员会始终致力于推进和发展银行机构反洗钱反恐怖融资管理政策。关于这方面的举措，最早始于1988年时的第一份声明，当时曾出版了数份文件和报告。到了2012年9月，巴塞尔委员会更将这一命题纳入到《有效银行业监管核心原则》(Basel Core Principles for Effective Banking Supervision,以下简称“核心原则”)之中，可见其非比寻常的重要性和关注度。

巴塞尔委员会虽然本身不具有跨国监管的法定权力，所作结论或监管标准与指导原则在法律上亦没有强制约束力。但因该委员会成员均来自于世界主要发达国家，影响甚大，一般情况下，巴塞尔委员会期望各国能否采取立法规定或其它措施，并结合实际国情，逐步实施其所订监管标准与指导原则，或实务处理相关建议事项。在“国外银行业务无法避免监管”与“适当监管”的原则下，逐步融合世界各国监管范围之间的差异正是巴塞尔委员会所追求的目标。

在国际领域，巴塞尔委员会也一直与金融行动特别工作组(FATF)有着密切且卓有成效的合作。参与了FATF很多官方文件的制定，例如2012年2月的新《打击洗钱和恐怖、扩散融资国际标准 (International Standards on CombatingMoney Laundering and the Financing of Terrorism and Proliferation, 以下简称“FATF建议”) 》和2013年3月时的《金融普惠指引 (Financial Inclusion Guidance) 》等等。

巴塞尔委员会之所以要单独再发布一份有关反洗钱反恐怖融资风险管理的指引，究其原因是为了与FATF的新建议形成一定的互补，并籍此相互促进两个国际组织之间的合作与交流，共同提升这一领域的专业水准。这份《指引》兼顾了《核心原则》和《FATF建议》中的内容和精神，适用于几乎所有银行及监管机构用来参考和构筑其自身的风险管理框架。

这份《指引》在政策目标以及管理宗旨方面与《FATF建议》是一致的，并不会构成对后者的任何修改，同时也无意去加强或弱化FATF的建议。文件中的一些案例或内容，巴塞尔委员会也参考或引用了《FATF建议》，这并不是简单地例行公事或机械地重复已有的标准，其真正目的是为了在全球银行风险管理框架内更好地落实这些建议。

巴塞尔委员会一直都有着一个使命，那就是－通过加强全球银行的监管以及实践从而实现金融稳定(to strengthen the regulation, supervision and practices of banks worldwide with the purpose of enhancing financial stability)，而为了应对洗钱以及恐怖融资的这场战争所采取的政策准备，也恰恰印证了这一点。稳健的风险管理实践，将会有利于全球银行体系的稳定与安全，对于巴塞尔委员会来说，反洗钱反恐怖融资的首要目标在于：

1) 协助银行以及国际银行体系抵御犯罪所得和非法资金的侵袭；

2) 协助各国政府有效地解决贪腐并对抗恐怖融资，将其隔离在国际金融体系，从而实现后者的诚信与健康。

正如我们所熟知的，如果疏于管控洗钱以及恐怖融资的风险，那么，银行将会面临巨大的风险，特别是声誉风险、操作风险以及合规风险。

这些风险彼此之间往往也都是息息相关的，任何一个风险都可能给银行导致经济成本上的巨大消耗(例如高额罚款、终止业务资格、不菲的调查取证费用、资产冻结与贷款损失)。所以，对于银行而言，如何消弭管理措施上的短板，进而解决问题就显现出了尤为重要的价值和意义。

这一次所发布的《指引》在使用时，可以结合巴塞尔委员会的其他官方文件同步阅读，主要有：

1) 2012年9月发布的《有效银行业监管核心原则》- Core principles for effective banking supervision；

2) 2012年6月发布的《银行内部审计》- The internal audit function in banks；

3) 2011年6月发布的《操作风险管理的稳健原则》- Principles for the sound management of operational risk；

4) 2010年10月发布的《加强银行公司治理的原则》- Principles for enhancing corporate governance；

5) 2009年5月发布的《跨境电汇支付信息的尽职调查和透明度要求》- Due diligence and transparency regarding cover payment messages related to cross-border wire transfers；

6) 2005年4月发布的《合规与银行内部合规部》- Compliance and the compliance function in banks；

同时，也融合了巴塞尔委员会此前的两份官方文件，分别是：

1) 2001年10月发布的《银行客户尽职调查》- Customer due diligence for banks；

2) 2004年10月发布的《KYC一体化风险管理》- Consolidated KYC risk management；

基于这样的背景，《指引》应当被建议与其他官方文件结合使用和参考，这将有助于全球各国的监管机构搭建符合当地风险水平的管理架构和策略。虽然部分内容仅仅是针对小型或特定机构提出的要求，但在宏观层面上所折射出的理念，同样对于任何机构都有着重要的借鉴价值。

笔者希望借助以下章节从账户开立业务入手，简介一下巴塞尔委员在客户身份识别与核实以及尽职调查程序方面的建议与标准，以期与业内分享。

账户开立业务的一般性指引 - General guide to account opening

《指引》文件中使用了相当一部分的段落(paragraphs 35–41)用来阐述银行在进行账户开立业务时，应当如何更为有效地开展客户身份识别与核实的工作，以协助银行更好地认知客户的风险水平。

账户业务是任何银行都有的常见业务，也是所有业务的起点。巴塞尔委员会与FATF持有一样的观点和态度，即提倡和推崇银行基于风险为本这一准则进行开户环节的客户身份识别与核实工作，也鼓励对于高风险客户采取加强型的尽职调查程序。同理，对于低风险客户则允许采用较为简化的管理要求。

而对于风险水平的认定，则建议由银行根据自身对于风险的理解认知去设定合理的风险评估框架，并且提倡银行本着“金融普惠”和“尽责勤勉”的原则去实施评估，进而认定不同客户的风险水平。在认定的过程中，巴塞尔委员会鼓励银行考虑其他更多因素，例如结合客户的地域、资料提交的渠道(delivery channel)以及客户预期业务的类型等等方面信息进行全盘考虑和综合研判。

根据这样的原则和指导方针，《指引》论述了账户开立业务中，对于自然人以及法人实体应当如何开展尽职调查工作、应当如何实施好客户身份识别与核实工作的相关建议和实践经验。

自然人

个人客户、实益所有人以及有权签字人的识别

进行客户身份识别时，针对个人客户，也就是自然人，银行应该至少按照下述标准采集信息：

最低限度：

1) 完整的全名；

2) 曾用名以及别名；

3) 常住地址；

4) 政府机构或官方证件中的身份号码或其他类似的唯一识别代码；

5) 出生日期和地点。

基于风险水平的不同，可以要求提供其他额外信息：

1) 工作地点、邮政信箱编号、电子邮件地址、移动电话号码；

2) 目前的居住地点；

3) 性别。

能够反映客户风险水平的信息

进行银行账户开立业务时，在身份识别的基础上，为了更好地评估客户风险，银行可以至少按照下述标准采集信息：

关键属性

1) 职业、有否公共职位；

2) 收入；

3) 开立账户的目的和计划开展的业务种类；

4) 客户是否有其他金融产品或服务的需求。

基于风险水平的不同，可以要求提供其他额外信息：

1) 雇主的信息；

2) 客户的资金来源；

3) 客户资金来源于或经过哪些其他账户；

在相关客户资料的核实阶段，巴塞尔委员会鼓励银行建立相应的流程，通过对文件、数据以及信息与来源于独立第三方的公开资料结合起来实施交叉分析，并最终实现准确核实客户身份资料的目标。

基于资料进行核实的流程

1) 通过有效期内的法定证件核实客户所提交的个人/实益所有人身份识别资料(例如护照、身份证、居住证、社会保险记录、驾照等)，且这些证件应当带有照片；

2) 通过有效期内的法定证件核实出生日期和地址(例如出生证、护照、身份证、社会保险记录等)；

3) 通过有权人签署来核实有关证件的效力(例如大使馆、公证处)；

4) 核实居住地址(例如物业帐单、税单、银行对帐单、政府函件等)；

在某些情况下，银行应当根据客户体现出的风险水平，考虑选择其他必要的资料进行佐证与对照。

不基于资料进行核实的流程

1) 使用电话或者信函的方式进行核实(如果电话无法接通或信函被退，则应当实施进一步的调查)；

2) 参考来自于其他金融机构的信息进行验证(例如贷款卡记录)；

3) 利用独立第三方资源进行核实(例如征信机构)。

而对于个人客户、代表公司办理账户业务的被授权人，银行也应当实施必要的身份识别与核实，同时，对于被授权人，银行还需要去核实授权书等类似文件的真实性。

基于风险水平，可以考虑采用的进一步核实流程

对于某些高风险客户，银行须要实施加强型的尽职调查，例如可以：

1) 通过提交官方住所证明或实地拜访的方式来核实常住地址；

2) 了解此前的银行交易记录；

3) 根据雇主情况来核实薪俸收入和资金来源；

4) 从公开渠道核实雇佣信息；

如果当地法律法规允许可以为非面对面(Non-face-to-face)客户办理账户开立业务的话，那么，银行就需要根据这一特定的类型去设定符合风险水平的身份识别与核实流程。

法人客户与实益所有人

对于法人客户，银行同样应当根据客户的风险水平去识别和核实客户身份并认知客户的业务情况，同时掌握客户的实益所有人以及企业治理架构。

所谓法人客户，巴塞尔委员会给出的定义为：任何一个经济实体(例如商业或非营利组织，而不是任职其中的官员或股东)，它不是一个自然人或其他类型的法律安排。(The term legal person includes any entity (eg business or non-profit organisation, distinct from its officers and shareholders) that is not a natural person or a legal arrangement.)

实务中，由于法人客户的组成形式各不相同，所以，在进行客户身份识别以及核实时，就需要根据不同类型的客户，针对其差异化的风险水平，选择与之相适应的方式和流程进行。

法人客户的识别

对于法人客户，在进行身份识别时，银行应该至少按照下述标准采集信息：

最低限度

1) 客户名称、法律形式、法人注册的状况及证明；

2) 法人实体经营活动的主要区域和地点；

3) 官方识别号码(例如公司登记注册号码、税务登记号码)；

4) 客户的注册及通信地址；

5) 办理账户业务的被授权人识别，如无该类被授权人，则需要将高级管理层纳入识别的范畴；

6) 实益所有人的身份识别；

7) 规范和约束法人的权力。

基于风险水平的不同，可以要求提供其他额外信息：

1) 法人机构识别码(Legal entity identifier)；

2) 联系电话与传真；

3) 高级管理团队的身份识别；

[ 注：全球法人机构识别码系统的目的是为全球金融交易的双方提供唯一的身份识别。G20 已经通过了2012 年6 月金融稳定理事会提交的“金融市场的全球法人机构识别码”。同时，一套过渡性的系统已经开始启用。作为旨在提高金融数据质量的重要基础设施，LEI将承担起许多金融稳定、风险管理以及降低企业间的操作风险等任务。]

能够反映法人客户风险水平的信息

进行银行账户开立业务时，在身份识别的基础上，为了更好地评估客户风险，银行可以至少按照下述标准采集信息：

最低限度

1) 法人实体的业务类型和创办目的，及其合理性；

2) 法人实体计划开立的账户数量、类型以及预计开展的交易类型。

基于风险水平的不同，可以要求提供其他额外信息：

1) 法人实体的财务状况；

2) 法人实体的资金来源以及初始与途径账户情况。

法人实体的身份核实

对于法人实体的身份核实环节，巴塞尔委员会建议至少需要获得相关文件证明的一份副本/复印件，并基于风险为本的准则开展尽职调查工作。

基于资料进行核实的流程

1) 审查最新一期审计报告

不基于资料进行核实的流程

1) 适用的情况下，委托商业调查或咨询公司进行辅助性的核实；

2) 利用来源于独立第三方的资料与信息进行核实；

3) 从政府公开资源来核实法律实体识别信息的有效期(例如工商注册信息)；

4) 获取此前的银行交易/业务记录；

5) 实地拜访公司实体；

6) 通过电话、信函或电子邮件联系公司实体。

巴塞尔委员会在《指引》文件也承认了以上建议并非详尽无缺，因此，在实务中，银行还需要基于自身的风险水平和客户的实际情况，采取合理的身份识别与核实工作。

被授权人/实益所有人的身份识别与核实

对于办理银行账户业务的被授权人而言，银行应当如同针对个人客户那样开展身份识别与核实工作，同时，审查授权书或类似的公司文书是否确为明确授权以及其授权范围。

而对于实益所有人的核实，巴塞尔委员会则鼓励所有银行都可以基于可信的基础和风险为本的准则，制定和采取相应的措施与流程，同时，至少必须与《FATF新建议》里的相关内容保持一致。

巴塞尔银行监管委员会的期望

巴塞尔委员会认为，采取有效的尽职调查措施是银行对抗洗钱以及恐怖融资风险的有效武器，其基本要素应从银行的内控制度与风险管理程序出发，归纳起来则包括四个部分：客户的准入政策、客户的身份识别、高风险账户的持续监控、及风险管理。

在客户准入时，《指引》文件要求对高风险客户规定清晰明确的且更为严格的加强型尽职调查；在进行客户身份识别时，巴塞尔委员会希望银行获取到能够令其满意地确认每个新客户身份及其业务关系目的和本质的一切必要信息，而信息的详尽程度与实质内容则取决于客户的类别(个人、企业等)以及账户类型和预期业务情况。

在账户和交易持续监控的部分，《指引》认为银行只有对其客户正常与合理的账户行为具备真正的理解，从而得以识别偏离正常账户行为模式之外的交易，才能够有效控制和降低风险。而持续性监控则应当主要针对高风险账户实施；与此同时，《指引》也述及了内部审计(internal audit)和员工培训的重要性。

文章来源：论根本策

文章整理：项杨 蒋孜遇