美国严格执法新常态下,中资金融机构境外合规体系怎么建设?
美国严格执法新常态下,中资金融机构境外合规体系怎么建设?
一、我国对金融机构跨境合规的
总体要求
对于开展境外投资与经营的中资企业而言,所谓的跨境合规,是指其境外分支机构或附属机构,应当学习和掌握驻在国家(地区)的法律法规,尤其是该国的禁止性规定,并予以严格遵守。国务院国资委2018年11月2日发布的《中央企业合规管理指引(试行)》第十六条规定:“强化海外投资经营行为的合规管理:(一)深入研究投资所在国法律法规及相关国际规则,全面掌握禁止性规定,明确海外投资经营行为的红线、底线;…。”
这些禁止性规定涉及的面就可能很广,其中包括反商业贿赂、反洗钱与反恐怖融资以及贸易管制。例如,2018年12月26日国家发改委等七部门联合发布的《企业境外经营合规管理指引》第九条要求企业在境外日常经营活动中,应该确保全方位合规,并明确提出全方位合规包括反贿赂合规、反洗钱及反恐怖融资合规及贸易管制合规。
具体到金融机构,2019年1月9日,中国银保监会发布《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》,强调了在境外设有经营性机构的中资商业银行在跨境合规方面的重要性,并明确要求中资银行应把“打造集团统一、全面有效的跨境合规管理体系”作为工作目标。
2019年1月29日,中国银保监会发布2019年第1号文件《银行业金融机构反洗钱和反恐怖融资管理办法》,[2]明确要求我国银行业金融机构境外分支机构和附属机构,应当遵循驻在国家(地区)反洗钱和反恐怖融资方面的法律规定,协助配合驻在国家(地区)监管机构的工作。管理办法第十二条明确要求银行业金融机构应当依法执行联合国安理会制裁决议要求。但美国国家关于经济制裁的法律法规及政府命令并不在应当执行的范围内。
可见,中国银保监会对于中资金融机构境外经营的合规要求是,其一,要严格遵守驻在国反洗钱与反恐怖融资的法律,并执行联合国安理会制裁决议要求,其二,要建立全面有效的跨境合规管理体系。
二、美国反洗钱及反恐怖融资
2017年,美国监管机构就反洗钱问题对15家金融机构开出逾17亿美元罚单,其中包括纽约州金管局对3家外银行纽约分行的罚款给6.6亿美元。除了罚款之外,美国执法部门更有力的处罚措施包括责令金融机构停止业务。
美国反洗钱及反恐怖融资法律框架主要由1970年《银行保密法》,1986年《洗钱控制法案》,1988年《洗钱检控改善法案》,以及2001年“9.11”事件后通过的《爱国者法案》之第三篇内容“铲除国际洗钱和2001年反恐怖融资法案”等共同构成。
美国在国际反洗钱合规项下的特殊性在于其拥有强大的美元金融系统。国际金融活动中,各国金融机构的美元结算交易均需通过在美国境内的代理行账户进行。代理行账户系指包括任何在美国境内特定外国金融机构而设立的账户,该账户系用于接收从该外国金融机构付来的存款,或者代表该外国金融机构对外支付款项或费用,或者用于处理其他与该外国金融机构相关的金融交易。根据美国的反洗钱法,出于开展非法活动(包括违反美国政府制裁令的行为)的目的,利用美国金融系统,从美国境外或者通过美国境外向美国境内转账,即构成反洗钱犯罪。
三、美国经济制裁与出口管制
美国的经济制裁与出口管制相关法律主要是基于美国国家安全和外交政策。比较重要的法律包括《国际紧急经济权力法案(IEEPA)》、《出口军火交易条例》及《出口管理条例》等 。
美国出口管制系统则主要由美国商务部工业与安全局(BIS)依据《出口管理条例》监管。1997年,BIS首次发布了一份实体名单(Entity List),将那些参与可能导致将物品出口、再出口和转移给大规模杀伤性武器项目的活动的实体列入名单。此后,被列入名单的实体扩大到参与违反制裁或者违反美国国家安全或外交政策利益的活动的实体。美国企业向被列入实体名单的实体出口物品时,需要事先向BIS申请审批许可。
相较于出口管制合规,经济制裁合规更为复杂。美国经济制裁的主要执法部门是美国财政部下属的海外资产控制办公室(OFAC),当经济制裁涉及刑事案时,美国司法部则会介入处理。OFAC负责发布包括SDN名单在内的制裁清单,并对涉及制裁对象的交易(包括金融交易)进行监管。如有任何人(包括美国和非美国实体)违反、试图违反、共谋违反或协助违反贸易制裁计划,即构成犯罪。
经济制裁与出口管制二者合规的大方向基本一致,即建立与完善机构的合规体系,加强对交易对象和各交易环节的合规筛查、完善日常交易记录,发现问题主动汇报等。
四、金融机构经济制裁与反洗钱合规
(一) OFAC《经济制裁执法指引》
2009年11月9日OFAC公布《经济制裁执法指南》,其中不少内容涉及对金融机构经济制裁合规的指引。如美国司法部与证监会在FCPA执法指南中明确的一样,OFAC对于企业尽早建立一套有效的制裁合规计划报以很大期待。《经济制裁执法指南》明确指出,执法部门发现违法行为后,衡量该采取什么样的行政措施,以及在确定要予以金钱处罚时,考虑该科以多少罚金时,会将一些通用因素作为考量基础。这些通用因素包括违法行为发生时是否存在一套有效的合规体系,以及违法行为发生之后企业如何将补救措施具体体现在合规体系改善上。
如果将这些通用因素以问题形式呈现,就是:
-
违法行为发生时,企业是否存在一套经济制裁合规体系?
-
合规体系建立前是否进行过合规风险评估?
-
合规体系的质量如何,内容是否完善?
-
合规体系是否有效运行,比如基层员工是否了解该体系?
-
关于有效性,企业管理层决心如何体现?
-
关于有效性,合规管理组织架构是否合理?首席合规官向谁报告?
-
企业是否有定期重新评估其所面临的经济制裁合规风险?
-
除了书面文件之外,合规体系是否有落到行动上,比如对员工进行定期培训?
-
违法行为发生后,企业在合规体系上有何反应?
-
企业立即采取了什么补救措施?
-
企业是否对现有合规体系进行了完善与补齐?
-
新就位的内控制度与程序是否足以防止违法行为再次发生?
由此可见,与反腐败合规体系建设一样,企业在跨境经营过程中,事先建设一套有效的经济制裁合规体系实有必要。违法行为发生时如果存在一套有效的合规体系,将被OFAC视为重要的减轻情节。
为协助金融机构评估自身所面临的经济制裁风险,OFAC在《经济制裁执法指南》里附上一份风险矩阵图,明确指出具有以下特征或问题的金融机构即属于风险程度较高的金融机构:
-
在国际环境里经营,客户基础庞大且具有波动性
-
拥有大量高风险的客户群体
-
设有海外分支机构,或者在外国银行开设多个代理账户
-
提供一系列电子产品(如电子银行)与服务(如转账、电子账单或互联网开户)
-
大量的客户及非客户资金转账,包括国际资金转账
-
最近多次涉入OFAC行动但机构没有解决问题,导致机构在未来产生同类违规行为的可能性增高
-
管理层不能理解或者选择无视OFAC合规风险的主要方面,在机构内部对合规的重要性没有进行强调与沟通
-
董事会未批准OFAC合规体系,或者机构的政策、程序、内控及信息系统不完备
-
管理层未提供适当的人力处理合规事务
-
合规的授权与责任追究体制未清楚建立,未设OFAC合规官或聘任不适格的合规官,或合规官的角色不清晰
-
培训零零散散、未能覆盖重要法律与风险区域,或者干脆就不存在培训
-
机构没有质量控制措施
存在以上特征或者问题的金融机构,通常都将面对较高的经济制裁合规风险。在列出的12点内容中,除了前5点为机构特征之外,后面7点问题,均可通过完善合规体系予以解决,值得金融机构关注。
(二)《OFAC合规承诺框架》
2019年5月2日,OFAC首次发布一份《OFAC合规承诺框架》的文件,明确OFAC强烈鼓励机构,包括在美国境内开展业务、与美国或美国人有业务往来、或利用源于美国的商品或服务的外国实体,通过制定、实施及定期更新自身制裁合规计划,建立起一套以风险为导向的制裁合规体系。
企业的合规体系会因企业不同规模与成熟度、不同产品、服务、客户、对手以及地理区位而有所不同,但OFAC强制合规体系应具备五个核心要素:(1)管理层承诺,(2)风险评估,(3)内控制度,(4)测试与审计,和(5)培训。
在具体内容上,《OFAC合规承诺框架》主要是对五大核心要素进行详细的阐述,以方便企业对照这些内容,反观自身的合规体系是否达到标准,并相应地补强自身的合规体系。
1. 管理层承诺
企业高层对于合规的积极态度、以身作则的姿态,是企业能够从上到下贯彻合规体系的基本保障。企业高层对于合规的积极承诺,可以从诸多细节上一一体现,包括:
-
对于高级管理层本身:是否亲自审查和批准合规体系的建设,在遵守合规制度上是否以身作则,合规制度可以监督高层行为,对高层是否有约束力
-
对于合规官及合规门:是否任命一名专门的合规官,合规官的资历经验与能力是否与企业合规工作规模相匹配,合规官与高层之间是否有直接的汇报通道与定期会商安排,是否给合规部门配备了足够的人手以及IT等必要的技术支持,是否给合规部门划拨了充裕的经费
-
对于普通员工:员工是否有畅通的渠道可以举报违规行为,员工举报违规行为是否会受到报复
2. 风险评估
OFAC一直强制经济制裁合规体系的建设应当以企业自身所面临的风险为导向。不同规模与成熟度、不同产品、服务、客户、对手以及地理区位的企业,所面临的风险均会不同,因此,企业的合规体系不可能千篇一律。随着时间的推移与企业业务的发展,所面对的风险也将产生变化,因此,企业对于风险的评估工作应当持续进行,定期更新。在企业进行兼并收购时还应当作好合规风险的尽职调查。
对于金融机构而言,比较重要的是在发展新的客户时,必须对新客户进行KYC审查以及客户尽职调查,对于已有客户、客户群或者账户关系,要根据制裁风险进行风险等级分类。
除此之外,金融机构还可以对照前述OFAC在《经济制裁执法指南》里附上风险矩阵图,清楚认识到自身的风险程度,从而能够让合规体系更有针对性。
3. 内部控制
企业的内控制度应当要落实到具体而且可操作的书面政策与程序文件上。而且企业还要采取必要的措施,把这些合规政策与程序传达给员工,尤其是风险程度较高的业务部门,甚至包括必要的外部第三方单位。
对于金融机构而言,所建立的内控制度,应该能够做到紧紧跟随OFAC经济制裁的新进展与新变化,包括随时留意SDN等制裁名单的更新,新出台的制裁计划与措施等。
4. 测试与审计
针对合规体系的定期审计工作,主要是想确保合规体系能够落到实处,有效运作,而非形同虚设,或者漏洞百出。很重要的一点在于合规审计应当具备独立性与客观性。合规审计最好聘请独立第三方进行,例如有经验的合规律师,可以全面客观地审视企业的合规体系,并提出有针对性的评价意见或者整改方案,从而令合规体系可以定时被查缺补漏,保持其有效性。
5. 培训
合规体系建设中的培训,主要是让企业制定的合规政策与程序能够有效传达给所有员工,包括管理层、业务部门及其他员工,有时候还要延伸到客户、供应商或其他外包第三方。具体培训的频率、范围与强度,应当与企业所处行业以及地理区位所存在的合规风险相匹配。
五、结语
如果将金融机构境外经济制裁与反洗钱合规体系建设要点,与英美法及世界银行反腐败合规体系建设要点相比较,不难发现,二者极为相似。OFAC所制定的执法与FCPA的合规逻辑内核相同,均是在探索一种可以在企业内部真正构建合规文化、机制、动态平衡与有效实施的最佳模式,以从根源上推动自主合规,降低执法需要。金融机构在与其他企业相类似的合规体系建设要点下,其行业特殊性主要体现于技术层面,即在具体落实各项合规要点的过程中,需要考虑到金融行业特性以及其所涉及到的技术问题。
【注]
[1] https://www.reuters.com/article/us-usa-trade-china-banks/us-appeals-court-upholds-ruling-against-chinese-banks-in-north-korea-sanctions-probe-idUSKCN1UQ03U
[2] 有关“金融机构”的定义或者范围,我国《银行业金融机构反洗钱和反恐怖融资管理办法》虽然名称上只体现银行业金融机构,但它不仅适用于在我国境内设立的商业银行、政策性银行和国家开发银行,还参照适用于在我国境内设立的非银行金融机构,包括金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等。美国则于1988年通过了《洗钱检控改善法案》,扩大了《银行保密法案》中关于“金融机构”的定义,将汽车、飞机、轮船的经销商以及从事房地产、邮政服务的人员也列入金融机构的范畴。