金融行动特别工作组(FATF)曾发布了针对银行业运用风险为本方法的指引(以下简称《指引》),《指引》旨在强调反洗钱和反恐怖融资工作应采用风险为本方法,并通过总体指导意见和现行案例,协助各个国家、监管部门和银行机构,更好地设计和实施这一方法。《指引》从关注风险和缓解措施两个方面,帮助成员国有效开展反洗钱和反恐怖融资工作,并进行监管,从而促进共识。《指引》分为两部分,第一部分针对监管部门提供指导意见,第二部分针对银行业机构提供指导意见。
一、针对监管部门的指引
(一)采取风险为本的监管方式
FATF《四十项建议》要求各个国家针对银行业制定完善的反洗钱和反恐怖融资法规条款,其释义要求监管部门首先要充分认识国家层面的洗钱和恐怖融资风险,并掌握所有现场与非现场相关资源,在此基础上判定一家银行的风险级别,将监管资源合理分配到洗钱和恐怖融资风险较高的区域。
1.监管部门要认识到银行业所面临的洗钱和恐怖融资风险
这些风险包括但不仅限于管辖区域内的国家风险评估,国内和国际上出现的风险类型以及监管方法,还应考虑金融情报机构反馈的信息。
2.对于单个银行来说,监管部门要考虑其内在的风险
银行内部风险包括银行产品和服务的复杂性、规模、商业模式、管理结构、会计财务信息、销售渠道、客户档案、地理位置及其业务开展的区域等。监管部门同时应考虑其现行的管理措施,包括该银行风险管理规定的有效性和内部监督体系的运行状态。监管部门应定期审核银行业及银行机构的洗钱和恐怖融资风险,并且只要银行的情况发生变化或有新的风险出现就应该重新审核。
3.合理分配监管资源
监管部门可以通过以下方式进行调整。一是调整审查力度,确保监管资源向风险高的机构倾斜。二是调整监管方式,如对高风险的机构更多使用现场监管的方式。三是调整持续监管的频率和性质。当发生特殊事件(如举报)时,监管部门应调整监管的频率,并辅以定期审查,同时还应有一些临时性的特殊监管方法。四是调整监管力度,根据风险等级采用与其范围和等级相适应的评估方式。强化的监管方式包括:对其系统做详细测试,审核银行的风险评估、客户尽职调查、执行有关规定、内部审计等执行力度,约谈银行运营人员、高管人员和董事会等,对特定业务进行反洗钱和反恐怖融资评估。
(二)对银行风险为本方法采取适当的监管措施
1.监管部门应对不同的银行机构采用灵活的方式
这要求监管人员在开展风险评估和判定银行风险承受能力时,应能判断其规定、工作程序和内控等是否合理。监管部门应确保管辖银行遵循自身的规定、程序和内控等,所有决策均要基于合理的判断。监管部门应将监管要求清晰地传递给银行机构,确保监管行为的可预见性、连贯性和均衡性,并保持前后一致。
2.监管部门可以通过对比不同银行机构的反洗钱和反恐怖融资计划,对单个银行的内控质量作出判断不同银行运用风险为本的方法。由于不同的原因可能存在差异,监管部门应评估这些差异的特点,尤其要对比不同银行间业务特性的不同。
3.监管部门应对从业人员加强培训
培训使从业人员能评估一家银行的洗钱和恐怖融资风险,从而根据相应的风险对该银行的反洗钱和反恐怖融资规定、程序和内部控制的充分性、均衡性、有效性作出评价。培训不仅能让监管人员形成合理的判断,还能有助于在全国范围内形成统一的监管步调,防止监管权限出现冲突或产生不同的监管模式。
4.监管部门应考虑加强和国内其他监管主体之间的联系,确保对法定义务进行统一解释,尤其是当一个地区存在不同的监管主体时多重指导的结果不应出现管理仲裁、产生漏洞或在银行业产生不必要的混淆。如果条件允许,相关的监管主体可以考虑出台联合指引。
二、针对银行业的指引
风险为本方法需要制定与洗钱和恐怖融资风险相匹配的预防和缓解措施。对银行而言,这意味着银行要合理配置其合规资源、不断调整内部控制和内部结构,条件允许的话在集团层面上采取组织监测洗钱和恐怖融资的规定及程序。
由于银行业涵盖了范围广且风险各异的金融产品和服务,银行在评估和缓解所面临的洗钱和恐怖融资风险时应考虑不同产品的属性。
(一)对风险进行评估
风险评估是一家银行风险为本方法的基础。一家银行应清楚地认识自身面临的洗钱和恐怖融资风险达到何种程度,并对这些风险作出适当的划分,从而配置与之相适应的反洗钱和反恐怖融资资源以降低风险。这些工作应记录和保存下来并传达给银行内部相关人员。
1.一家银行的风险评估体系要与其属性、规模和业务相匹配
如果一家银行的客户类型比较单一,或者其产品和服务的范围有限,则运用简单的风险评估体系即可,反之则要求银行具备一个更完善的评估体系。
2.在评估其洗钱和恐怖融资风险时,银行应全面考虑风险因素
这些因素有:银行的性质、规模、业务的分布、目标市场、被划分为高风险的客户数量、银行面临的地域风险(包括与银行自身开展业务相关的区域或是客户活动相关的区域,尤其应关注那些腐败或组织犯罪高发的区域,和被FATF列出的缺乏反洗钱和反恐怖融资制度的区域)、销售渠道、内部审计或检查、交易的数量和规模等。
3.银行应充分利用内部和外部资源不断完善用于评估的信息
信息可来源于相关企业的负责人、客户经理、国家风险评估、政府间国际组织、政府部门、FATF互评估和后续报告、其他相关评估主体和洗钱类型研究等。银行应定期审核其评估结果,或在新情况、新威胁出现时不定期审核评估结果。
4.银行的风险评估应获得高层管理者的认可,并作为制定下一步计划和工作程序的参考
风险评估反映了一个机构的风险承受能力。风险评估的结果应予以定期审核和更新,所有降低洗钱和恐怖融资风险的规定、工作程序、措施和内控等均应和风险评估的结果相匹配。
(二)采取措施降低风险
1.对业务关系进行定性、核实,了解业务关系的目的和用途
银行应不断完善并应用内部规定和工作程序来减轻洗钱和恐怖融资风险。客户尽职调查的第一步是评估一个特定业务关系的洗钱和恐怖融资风险,从而确定采取何种客户尽职调查措施来预防客户从事非法交易。初始的客户调查包括:(1)识别客户及其实际受益人;(2)至少在法定要求层面核实客户的身份;(3)了解客户要求建立业务关系的目的和用途,对于高风险的情形应采集更多的信息。除此之外,银行应根据联合国或其他制裁名单对客户或实际受益人进行筛选,确保符合国内和国际制裁法规。一般来说,客户尽职调查措施适用于所有情形,但尽职调查的程度可以根据法规的要求和面临的风险进行适当调整。
银行机构要建立客户风险档案。通过持续的监测来确定是否建立、继续提供或终止与客户的业务关系。风险档案可以建立在单一客户层面,也可以把具有同类特征的客户归属到同一风险级别。
2.持续进行事中监测
事中监测是发现潜在可疑交易的一个重要组成环节。事中监测让银行对客户、银行产品的属性和业务关系等有一个动态了解,随时根据客户的行为、银行产品的使用情况和交易金额的大小等更新客户的档案信息,并以此确定是否应对目标客户采取强化的尽职调查措施。事中监测应该是常规性的,或者在达到特定条件时开展。可以把单一客户的行为与其同类群体进行对比从而发现异常。
银行应该了解监测系统的阈值设定,定期审核系统的运行状态,确保监测系统能有效识别洗钱和恐怖融资风险。监测的广度和深度与客户的风险等级应是相匹配的,高风险情形应采取强化监测,一家银行的反洗钱和反恐怖融资计划应包括定期审核监测系统。
银行应将有关客户的分类标准、参数和评级结果进行归档,保证这些要素清晰透明。银行应将监测的结果归档、保留并反馈给内部相关人员。
3.及时报告可疑交易
银行应具备发现异常资金交易并加以分析的能力,建立案件分析系统以便能及时审查资金和交易并确定是否属于可疑交易。可疑交易应按照规定的形式及时报告给金融情报中心。
(三)完善内部控制、管理和监督
1.从整体出发制定完善的内控制度
完善的内部控制是制定洗钱和恐怖融资风险规定和程序的基本保障。内部控制包括责任明确的管理结构、监督内部员工的控制措施和测试内部体系有效运转的合规措施。对于一些大型银行集团,应从整个集团层面制定措施确保反洗钱和反恐怖融资方法的一致性。
2.通过有效的内部管理保证反洗钱和反恐怖融资措施的有效性
高级管理层可以考虑从以下几个方面来支持反洗钱和反恐怖融资。(1)把合规作为银行的核心文化之一。向员工传递一种清晰的信号,即银行绝不会建立和保留那些具有过高洗钱和恐怖融资风险且无法有效降低风险的业务关系。高管和董事会对风险管理和控制措施负责。(2)建立内部沟通机制,将银行面临的现有和潜在的洗钱和恐怖融资风险在内部进行有效沟通。这个机制应涵盖银行内部的董事会、反洗钱和反恐怖融资主管人员、相关的特设委员会。(3)制定降低洗钱和恐怖融资风险的措施,确定银行能接受的风险范畴。(4)充分利用银行的反洗钱和反恐怖融资资源。
银行高管不仅应该知晓银行面临的洗钱和恐怖融资风险,并且要了解为降低风险所构建的反洗钱和反恐怖融资内部管理体系。因此,高管应做到以下几点:(1)有充分、持续和客观的信息来源了解银行经营活动和业务关系中的洗钱和恐怖融资风险;(2)有充分和客观的信息来源了解银行反洗钱和反恐怖融资内部控制是否有效;(3)确保影响银行识别、控制风险能力的决策程序到位。
为保证反洗钱和反恐怖融资措施的持续性和有效性,应将相关责任落实到有银行内部充分管理权限的个人,从而凸显出洗钱和恐怖融资风险合规管理的重要性。《四十项建议》建议18指出,成员国应要求辖内银行在管理层层面任命一位合规管理人员,合规管理人员的职责除了建议相关人员如何履职外,还应监督和评估银行的洗钱和恐怖融资风险,以及银行所采取措施的充分性和有效性。因此合规专员应具备必要的独立性、权威性、管理权限、资源和业务技能以有效履职,还应该具有获取内部所有信息的能力。
3.建立合规的内部环境和加强持续监督
一家银行的内部控制环境应涵盖相应的措施以保证员工的正直、尽职和合规。这些措施和业务、财务和运营风险的识别应协调一致。
银行应审查员工,尤其是那些实施反洗钱和反恐怖融资控制措施的员工是否正直,是否具备相应的知识和技能以确保履职。对员工的审查程序应反映员工面临的洗钱和恐怖融资风险,并且这种检查不应仅限于高级管理职能。注意员工自身与反洗钱和反恐怖融资责任之间的利益冲突。
银行员工不仅应了解他们要实施的程序,同时应了解其中的风险以及这些风险可能引发的后果。因此员工接受反洗钱和反恐怖融资业务培训是至关重要的。培训项目应达到以下要求。(1)高水准。培训内容与银行的业务活动和洗钱及恐怖融资风险息息相关,并根据新的法律法规及内部控制规定等及时更新;(2)强制性。所有的相关人员均应参与;(3)专项培训。专门针对特定业务设计以帮助员工认识他们将面临的洗钱和恐怖融资风险以及他们应尽的义务;(4)有效性。培训应该达到预期的效果,如要求员工通过测试,或通过监督银行的反洗钱和反恐怖融资内部合规程度,对于未达标的员工采取适当的措施;(5)持续性。聘用员工的培训不是一劳永逸的,而应保持常规性和相关性;(6)补充性。应将反洗钱和反恐怖融资的信息适时反馈给相关员工。总体来说,培训应该让银行职工树立起一种将合规思想根植到所有业务活动和决策中的观念。
银行应逐步做到确保其反洗钱和反恐怖融资规定和内部控制被严格遵守且真正发挥作用。为了达到这种效果,合规部应持续对内控体系进行审核,此外,应将内控体系纳入审计范畴。《四十项建议》建议18指出,成员国应要求管辖银行对自身的反洗钱和反恐怖融资计划进行独立审计,从而在其运营过程中、各部门之间、国内外分支机构之间搭建有效的风险管理平台。审计应着眼于所有的风险因素而不仅仅聚焦于高风险。合规和审计的开展应建立在获取全面信息的基础上,这些信息可以从相关的内部机制或举报热线等秘密渠道获取,其他信息来源包括培训的通过率、违规事项和员工提交的问题分析等。