本文試圖開門見山地與大家分享現行嚴峻的國際與國內洗錢與恐怖融資風險局勢以及常態化的國內外反洗錢監管形勢下,如何以風險為本的反洗錢工作原則為準繩,做好反洗錢與反恐怖融資工作履職。
所述內容主要結合自身工作實際,未必通用,亦未必完全正確,還請批評指正。
What!反洗錢?對於支付機構來說,不就是可疑交易的監測和報送嗎?採購一套反洗錢監測系統、做標準化監測模型不就可以了嗎?反洗錢系統是事後監測系統,搭建起來有什麼難?
作為曾經混跡過第三方支付行業的合規從業者,聽過很多對反洗錢工作本身的一些忽視和誤讀,以上觀點可能代表了大多支付人對反洗錢工作的最直接認識。
2018年下半年至今,整個金融行業因反洗錢履職不到位而遭受的巨額處罰案例屢見不鮮,處罰頻率高、處罰金額巨大史無前例,被處罰機構不乏各支付機構。
去年至今,中國人民銀行先後頒布《中國人民銀行關於非銀行支付機構開展大額交易報告工作有關要求的通知》(銀髮【2018】163號)及其配套大額交易報告報文接口規範、《網際網路金融從業機構反洗錢和反恐怖融資管理辦法(銀髮【2018】230號)》、《中國人民銀行辦公廳關於進一步加強反洗錢和反恐怖融資工作的通知(銀辦發【2018】130號)》、《中國人民銀行關於進一步做好受益所有人身份識別工作有關問題的通知(銀髮【2018】164號)》以及支付機構非現場檢查數據接口規範(301號文)等一系列反洗錢規範性文件,不斷釋放出行業強的監管形勢。
這也預示著對於第三方支付行業,無論從其風險管理架構、風險管理政策和程序、信息系統建設、數據治理、內部檢查審計以及績效考核等各方面,監管當局都提出了更為明晰、更加嚴格的管控要求。
近年來,第三方支付機構面臨著客戶信息泄露、網絡欺詐、境內外黃賭毒資金以及空殼商戶利用三方支付通道進行洗錢等風險,監管當局重新審視第三方支付這一新興支付結算體系參與者的創新性和風險性後,以處罰警示為契機,以規範促管控,為支付機構反洗錢義務有效履職指明了方向。
相較於銀證保等傳統金融機構,支付機構反洗錢風險管理架構、策略程序以及數據治理雖起步較晚,但通過明確反洗錢工作總體要求、借鑑已相對成熟的金融行業最佳洗錢與恐怖融資風險管理實務經驗,同樣能逐步完善自身洗錢風險管理基礎,提高反洗錢履職效能,避免因洗錢履職不到位遭受的處罰。
01明確反洗錢履職總體要求
《FATF新40項建議-打擊洗錢、恐怖融資和擴散融資建議》(2012)出台後,2013年初FATF全會通過了新的反洗錢體系互評方法,首次將有效性評估與合規性評估置於同等重要的地位。
為順應國際形勢,我國反洗錢監管體系逐步更新發展,《金融機構大額交易和可疑交易管理辦法》(俗稱新3號令)作為第一個落實風險為本法規落地實施。
規範可疑交易主體後續控制措施的117號文進一步明確對於可疑報告主體的後續控制及風險防控措施,為數不多地提到了「拒絕開戶」的風險防範機制;洗錢風險內涵逐步擴大至對洗錢、恐怖融資、逃稅(國務院辦公廳關於完善反洗錢、反恐怖融資、反逃稅監管體制機制的意見,國辦函〔2017〕84號)以及擴散融資風險(法人金融機構洗錢和恐怖融資風險管理指引(試行))的預防和管控。
客戶身份識別、大額交易和可疑交易報告以及客戶身份資料和交易記錄的保存為基礎的反洗錢履職三要素逐步深入細分,客戶風險等級劃分、產品(業務)洗錢風險評估、涉恐名單及制裁類名單監控和交易報告等已成為反洗錢核心履職要求。
02客戶身份識別
(1)客戶身份識別基礎性工作:這是一個老生常談但也十分容易被片面理解的話題。說到客戶身份識別,幾乎所有的專業的、非專業的人們都會自然聯想到KYC(了解你的客戶)。可是,了解客戶的什麼呢?決不僅僅是三要素、四要素鑒權,也不僅僅是採集自然人身份信息9要素、非自然人13要素這麼基礎。KYC包含了客戶、交易、資金的完整識別和監控,即:
客戶是誰,幹什麼的?(身份基本信息的登記);
資金從哪裡來,是否有相關背景?(實際控制人和受益所有人);
交易與身份是否相符?(盡職調查);
客戶是否屬於監控名單內(恐怖融資及恐怖活動、涉高風險或制裁相關、外國或本國政要及特定關係人)等一系列調查分析和登記。
(2)客戶風險等級劃分及動態管理:客戶風險等級管理作為洗錢風險評估體系中重要組成部分,與客戶身份識別、可疑交易報告(可疑主體後續控制措施)密不可分。
在KYC的基礎上,基於標準型盡職調查和強化型盡職調查,支付機構可完成客戶風險等級管理。需要注意的是客戶風險等級應以客戶為單位,而非以帳戶為單位,亦與帳戶等級分類無關。也就是說同一客戶在一家機構具有唯一的風險等級評定結果。帳戶銷戶而客戶號仍為有效的,機構仍應按內部管理規定對該客戶進行風險等級管理。
關於客戶風險等級評定,目前較具有參考性的文件是《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》。
《指引》從風險等級評估指標體系(客戶特性、行業(職業)、業務產品及服務、地域等維度及其風險子項)、存量及新開客戶風險等級劃分操作流程(存量、新開客戶的風險等級調整時限要求及操作流程)、風險分類控制措施(風險較高客戶的控制措施、風險較低客戶的控制措施等)等方面為義務機構客戶風險等級劃分工作提供了執行依據。支付機構可據此結合本機構實際情況開展客戶風險等級動態管理工作。
(3)以客戶為單位:說到以客戶為單位而非以帳戶為單位開展的客戶身份識別,自然就要講到I類支付帳戶主體的身份識別是否可簡化的問題,答案自然是否定的。「以客戶為單位」即意味著無論是支付I類戶還是銀行帳戶III類帳戶,其對應主體的身份識別程度應與支付III類戶、銀行帳戶I類戶識別程度相當。
帳戶三級分類管理執行之前,支付機構開立帳戶流程大多簡單粗暴,甚至有中小機構僅憑一個手機號便可為客戶開通支付帳戶並進行資金收付。
2012年頒布的《支付機構反洗錢和反恐怖融資管理辦法》緊緊圍繞「了解你的客戶」原則,對支付機構反洗錢客戶身份識別工作提出了具體的細化要求,規定了自然人9項(其中應特別關注客戶職業、證件有效期、住所地三項)、非自然人11項、特約商戶13項基礎信息。
但就實際執行情況來看,完整採集和保存以上必要信息的機構甚少、能做到在「個人客戶單筆收付金額人民幣1萬元以上或者外幣等值1000美元以上支付業務、個人全部帳戶30天內資金雙邊收付金額累計人民幣5萬或者外幣等值1萬美元以上的」等情形下能準確核對客戶有效身份證件,並留存客戶身份證件複印件或者影印件的支付機構更少。
另外,支付機構非現場檢查數據接口規範(301號文)為支付機構客戶及交易信息採集提供了完整的數據規範,也是人民銀行現場檢查必提取的數據文件之一,客戶、商戶信息、交易信息在各報表中一目了然,支付機構應重視和確保該報表數據的完整性和準確性。
03大額和可疑交易報告
《中國人民銀行關於非銀行支付機構開展大額交易報告工作有關要求的通知》要求支付機構自2019年起報送大額交易報告,並制定支付機構大額交易報告要素及釋義規範。但截至目前了解到的情況是報送接口暫未對支付機構開放。
大額交易報告除依據支付機構大額交易標準報送外,還應注意:
(1)符合大額免報的交易可不報送大額報告或者不計入大額累計範圍(詳見《中國人民銀行關於非銀行支付機構開展大額交易報告工作有關要求的通知》正文);
(2)大額交易標準中的「其他帳戶」:包括他人的支付帳戶、本人或他人的銀行帳戶;其他的銀行帳戶,包括本人或他人的銀行帳戶;
(3)大額交易報送時限要求:主要影響大額交易報告的及時性。新3號令等文件中多要求為「交易發生日起5個工作日」,但人行實際執行的日期為「交易發生後的5個工作日」;
(4)涉及跨境交易兩類情形:交易標示為跨境或交易一方為非居民境內帳戶的,均按照跨境交易處理,並按規定提交大額交易報告;
(5)客戶當日交易幣種同時涉及本外幣,且本外幣任一幣種累計均未達到大額標準的,分別以本幣、美元單邊折算累計,按孰低原則合併提交可疑交易報告;本外幣任一幣種單邊累計達到大額標準的,合併提交大額交易報告(可參照新3號令補充文件(銀髮【2017】99號))。
新3號令要求各義務機構在合理懷疑的基礎上上報可疑交易報告,並取消了原2號令標準的可疑監測規則,體現了自主監測的內在要求。對於支付機構而言,基於盡職調查判斷,對其客戶或者商戶無法排除洗錢嫌疑,或者有合理理由認為客戶或者商戶涉嫌非法交易或洗錢的,均應報送可疑交易報告。
04涉恐監測及交易報告
涉恐名單監測及交易報告依據《涉及恐怖活動資產凍結管理辦法》(中國人民銀行公安部國家安全部令〔2014〕第1號)、《關於落實執行聯合國安理會相關決議的通知》(銀髮【2017】187號)、以及《金融機構大額交易和可疑交易報告管理辦法》及有關執行要求的通知(人民銀行令【2016】3號、【2018】2號及銀髮【2017】99號)等法律法規展開。
(1)名單範圍:中國政府發布的或者要求執行的恐怖活動組織及恐怖活動人員名單;聯合國安理會決議中所列的恐怖活動組織及恐怖活動人員名單;中國人民銀行要求關注的其他涉嫌恐怖活動的組織及人員名單。
(2)名單的獲取途徑:目前該類名單可通過聯合國官網發布、國家安全部和公安部轉辦、中國人民銀行轉發及相關風險提示文件取得。支付機構可自行選擇手工維護或採購上游數據供應商不定時更新推送。
(3)名單的實時監測與回溯監測:以上名單應納入支付機構實時監測流程中(開戶、所有交易、所有業務線、所有環節)。對開戶或交易的客戶證件號碼、帳號卡號命中監測名單的,系統應進行實時阻斷並提示預警,支付機構應在業務發生後的24小時內提交重點可疑交易報告,並以電子或者書面形勢向所在地人行報告。
若開戶或交易僅命中姓名或名稱的,支付機構可酌情在業務發生後的一定時間內儘快完成客戶盡職調查,判斷是否為涉恐名單客戶。人行未規定「儘快」的具體時限,一般認為業務發生後的24小時以內。
涉恐監控名單發生調整的,對於增量名單,支付機構應立即對本機構存量所有客戶(包括續存客戶和已銷戶客戶)和上溯3年內的所有交易進行回溯調查,發現客戶或其交易對手與名單匹配的,應立即提交可疑交易報告。
05新產品、新業務、技術的洗錢風險評估
業務、產品及服務的洗錢風險評估是一直是人民銀行強調的義務機構洗錢風險管理履職重點之一,也是反洗錢與反恐怖融資應覆蓋所有業務、所有客戶的集中體現。實操中,機構首先應根據自身業務特定製定本機構的產品、業務洗錢風險評估內部管理制度,制度內容應至少包括:
(1)新產品、新業務或新技術的界定標準,以便在具體執行洗錢風險評估時不至於發生漏評情況;
(2)洗錢風險評估指標及流程,即按照哪些要素或維度去最終確定某一產品或業務的洗錢風險等級,以及如何流轉以便完成整個評估過程;
(3)與風險等級匹配的控制措施,即針對不同風險類型的業務、產品應採取的控制措施,以便提醒業務部門做好風險預防;
(4)產品生命周期的洗錢風險管理,包含上線前風險防控措施的落實、運行中風險監測及可疑交易報告機制,以及下線時客戶信息、交易信息處理機制等。
洗錢風險評估指標可參考《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》中關於客戶風險等級劃分的指標體系進行搭建。支付機構應結合自身業務特點自行研發評估指標,以便風險評估能真實體現本機構產品及業務實際的風險狀況,例如可引入網絡特約商戶快捷支付或網關支付服務開通情況、商戶(客戶)所屬行業情況、交易及退款情況等。
洗錢風險評估也可併入本機構產品業務合規風險評估流程中,但在合規評估資料中應體現洗錢風險評估的過程及留存相關依據和記錄。
06受益所有人識別
關於受益所有人的識別,就分享一點。即識別受益所有人的證明材料中,類似於企查查、天眼查等第三方商業機構提供的資料只能作為識別輔助,不能獨立作為識別核實受益所有人身份的證明材料。
07國際監管建議
《打擊洗錢、恐怖融資和擴散融資建議-FATF40項建議》中對資金或價值轉移服務提供商的洗錢風險監管建議對我們的反洗錢工作很有參考價值:
「各國應當採取措施,確保本國提供資金或價值轉移服務的自然人或法人獲得許可或進行註冊,並受到有效系統的監測,以符合FATF建議要求的相關措施」;
「各國應當採取行動,發現未經許可或登記註冊而提供資金或價值轉移服務的自然人和法人,並給予適當處罰。在資金或價值轉移服務提供商及其代理商開展業務的國家,任何作為資金或價值轉移服務代理商的自然人、法人必須獲得主管部門的許可或登記註冊;資金或價值轉移服務提供商必須保存一份可以隨時被相關主管機構獲得的代理商名單」;
「各國應當採取措施,確保資金或價值轉移服務提供商將其代理商納入自身反洗錢與反恐怖融資計劃,並對其合規情況進行監測。」(FATF40項建議第14條)
作者簡介: 靜靜只,混跡過四大行,飄蕩過三方。做過內控合規、干過反洗錢。目前在一家小銀行負責反洗錢系統的高知妹紙。
2019年,央行擬定個人金融信息保護監管規則,在此新形勢下,移動金融機構如何做好個人信息收集和保護、開放模式下的信息和數據安全如何保障、刷臉支付如何平衡好安全與便捷?
藉此,北京移動金融產業聯盟、移動支付網將於11月5日在深圳舉辦以「安全合規 面向未來」為主題的——MFSC 2019第四屆中國移動金融安全大會,主題演講及報名通道已開啟。