非银行金融机构的反洗钱合规困境与解决方向探讨
非银行金融机构的反洗钱合规困境与解决方向探讨
前言
近期,金融管理部门针对若干金融机构出具的八位数“天价罚单”引起震动,相关处罚虽然是包括反洗钱义务在内的各方面违法违规行为的综合处罚,并具有一定的清算效应,但其罚款金额之大、影响之广,亦再次显示金融领域强监管、严处罚的监管态势。近两年来,针对银行及非银金融机构的处罚金额呈极大提升的态势,尤其在非银金融机构方面力度增加较为明显。根据统计[1],2023年上半年非银行机构(含保险、支付、证券、期货)的反洗钱处罚数量共计14笔,占比为9%,但处罚金额占比为29%,远高于数量占比。
非银金融机构作为反洗钱义务主体,其业务模式种类多样,面临的反洗钱问题也不一而足,但相较于银行机构,其反洗钱的合规困境仍存在一定共性。本文从监管处罚作为切口,结合笔者的实务经验,对非银金融机构的反洗钱合规困境予以展示,并尝试提出解决方向。
由于自2022年底起,《反电信网络诈骗法》正式生效,反电诈义务正式从法律层面压实到银行业金融机构、非银行支付机构,从执行层面反电诈与反洗钱有较多相似与交叉处,故我们在某些部分亦会有所提及。
第一部分 监管处罚的启示
根据人民银行历来公示的非银金融机构反洗钱的行政处罚,处罚所涉违法类型并不复杂,均属于常规的反洗钱处罚类型。这意味着,对于非银金融机构而言,很难直接从处罚公示中吸取经验,解读出具象化以及具备可操作性的整改路径,以完善自身反洗钱工作。
以近期的天价罚单所涉处罚类型为例,处罚重点均仍在客户身份识别、大额交易或可疑交易报告、客户身份资料保存、为身份不明的客户提供服务等重点模块,基本涵盖反洗钱义务的各大版块。由于反电诈为近年来的关注重点,反洗钱与反电诈一并检查与处罚的案例也不鲜见,并综合处罚后罚单金额均超千万。
点击可查看大图
实际上,对反洗钱、反电诈监管熟悉的同业人士均了解,现阶段由于合规工作的逐步深入,在机构已建立一套可行的基础工作机制的前提下,问题主要爆发于各类流程执行端,比如因业务部门不理解工作内核导致信息采集错误与不准确、因渠道问题导致无法及时获取信息、可疑交易流程流于形式等等,但普遍问题出现的流程位置并不突出。在历次的现场/非现场检查中,由于监管机构会着重关注同批次机构的共性类问题开展重点检查,这导致最终的处罚事项仍然是各类“基本功”事项,但细看具体违法事实,历次处罚的事实情况实际又有所差异。
因此,看不懂监管处罚、不知道怎么自我整改、不了解怎么推进内部工作是目前各个机构的共性问题。
第二部分 非银金融机构反洗钱工作的合规困境
本文中之所以从非银金融机构出发,是因为银行基于常年的反洗钱监管,已普遍建立了一套完整的反洗钱、反电诈机制,并投入了不小的人力物力在反洗钱、反电诈合规端。由于银行柜面网点的先天优势,其开展反洗钱工作普遍比其他非银金融机构相对更易。当然,银行面临的反洗钱风险也更大,但这并非本文分析范围,笔者暂按下不表。
1. 在“风险为本”的监管理念下,法律规范不再提供标准化的规则指引,但绝大部分非银金融机构还没有充分理解已有的法律规定
从总体法规框架而言,《反洗钱法》《金融机构反洗钱规定》《金融机构反洗钱和反恐怖融资监督管理办法》《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《金融机构大额交易和可疑交易报告管理办法》《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》《法人金融机构洗钱和恐怖融资风险自评估指引》等现有法规框架中,直接规制非银金融机构的规定要求及工作指引已较为齐备且具有针对性,但部分规范仍需参照银行业金融机构的相关规定,例如《银行业金融机构反洗钱和反恐怖融资管理办法》中明确提及金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等均参照执行,并无针对性的相关规定。
此外,基于“风险为本”的监管理念,非银金融机构须结合自身风险确定反洗钱义务的履职方式,在法规细节上不再提供更细化的指导,在缺乏成熟反洗钱经验的情况下,该等监管规则无疑提高了对非银金融机构的要求。以2016年修订的《金融机构大额交易和可疑交易报告管理办法》为例,删除06版原有可疑交易报告标准,要求各金融机构自主监测,并对其标准的有效性负责,这加大了非银金融机构可疑交易监测及报送的工作难度。
而就反电诈而言,《反电信网络诈骗法》规定的义务机构系银行业金融机构以及非银行支付机构,对于其他非银类机构并未明确其义务主体身份。但结合反电诈法的立法目的及我国打击反电诈的强监管态势,实际上非银金融机构亦需要一定程度承担反电诈义务,在法规缺乏详细指导的情况下,非银金融机构的反电诈工作开展亦存在困境。
从整体的法律合规发展历史而言,非银金融机构因其成本控制及市场竞争的先天基因,其合规端的投入相对受限,而“风险为本”要求机构充分发挥自身主观能动性进行自发性合规,这对于机构的要求是相对较高的。不过,从实际情况来看,大部分的非银金融机构尚没有完整消化“以规定为本”的合规模式,这使得一步跳跃到“以风险为本”难度更高。
2. 业务规模及特性导致其客户尽调工作开展存在困境
银行的基础业务是存款,涉及公众人数数量大且日常使用频次高,因此,无论是大型商业银行,还是地方农商行,均有意愿且有实力设立众多线下网点,提供银行机构的基础服务及增值服务。而非银金融机构的业务特性导致其更倾向于使用线上以及与第三方合作的方式获客,例如理财子公司多使用代销方式,保险公司亦习惯通过线上以及保险经纪获客。
而该等获客方式的差异,势必带来反洗钱工作履行的难度差异。首先,线下获客相较于线上,能够更加方便且精准地开展客户身份识别义务。其次,客户尽调作为反洗钱工作开展的基石,信息的完整度及准确度至关重要,而相较于直接触达客户,通过第三方获客意味着非银金融机构无法直接获取客户信息,对非银金融机构开展反洗钱工作是一场极高的考验,不仅涉及非银金融机构自身的反洗钱业务水平,亦需考虑第三方的反洗钱业务水平以及配合程度。
从整体行业情况来看,获客与盈利仍然是非银金融机构的主要目标,而在大量获客渠道被银行、中介等第三方机构掌握的情况下,非银金融机构想要完整获取客户全面信息并第一时间开展管控交易,是存在客观困难的。
3. 兼具业务及反洗钱专业性的专业人员的缺失
非银金融机构自身业务多样化且专业性较高,而基于“风险为本”的监管原则下,反洗钱专业人员须精准识别不同业务类型的风险因素,并提出有效的风险防控措施。而我国的反洗钱工作处于发展阶段,并未积累大量的专业化人才,在本身人才储备存在不足的情况下,非银金融机构想要聘请充足的熟悉公司业务,并具备反洗钱专业知识储备和专业分析能力的反洗钱专业人员实属不宜。对于非银金融机构而言,即便市场上存在高水平的专业人员,其人力成本亦高于一般的从业人员,因此也需要在资源分配上进行考量,非银金融机构更倾向于以业务为导向将人力资源更多倾斜给业务部门,而非反洗钱部门。
虽然反洗钱可疑交易、名单筛查等可以借助系统予以处理,但为保障反洗钱工作的有效性,法律规定仍要求人工复审并留存工作痕迹,在实际工作中,人工复核的有效性经常需要打个大大的问号。一方面复核人员普遍在人员关系或管理上归属业务部门,客观上对其进行复核会产生一定影响,另一方面复核人员因为繁重的工作量及工作经验的限制,导致很可能无法产出有效的工作成果。日积月累,问题便会在某一次现场检查中集中爆发。
目前重系统轻人工的倾向普遍存在,这是时代与环境所造就的。但是,直面自身的困难并勇于解决困难,才能更好地解决合规问题,建立良好的市场口碑,并减少因合规风险引发的业务停摆、人员裁撤等连锁风险事件。
4. 业务选择与合规选择的两难局面
目前无论是传统金融机构还是新型金融机构,均在不断开拓新型业务、新型产品,理论上越便于消费者购买与投资的产品其合规风险会相对更高,这是符合市场规律的。但如何在业务与合规端进行取舍是各个金融机构需要面临的难题。
承受合规风险拓展新业务还是避免风险谨慎开展新业务,不同机构会有不同的处理模式,客观来讲无关对错,但新业务的合规风险边界如何,其风险后果是否能够承受,应当是每家机构均应该谨慎论证和考虑的。
在人民银行处罚金额越来越高的情况下,一宗大额罚单将导致本机构丧失很多对外合作机会(大量项目要求参与金融机构不得有重大行政处罚)、也导致资本市场业务开展受限,机构应当提前对此有所预判。
第三部分 探索困境的解决思路
1. 重新审视本机构工作制度流程是否真的有效
从笔者的工作经验来看,各家非银金融机构虽然都已建立一套反洗钱、反电诈制度体系,但该等制度流程基本停留在摘抄法律法规、借鉴其他机构制度流程的层面,对于制度流程如何落实,很多时候并无科学的、明确的指导性文件。
比如,从此前的处罚案例来看,客户职业登记错漏是一个普遍性的问题,但鲜有机构在其工作流程中明确客户职业信息的登记原则、证明文件、核实方法及不进行登记的补救手段。再比如,大量的处罚事由中存在可疑交易初次审查与复核分析质量低的问题,但绝大部分机构没有在其工作流程中明确可疑交易分析的必备要素及支持材料,亦没有总结错误的分析样式。再举例而言,在实践中存在机构无意间向客户透露其纳入高风险名单的情况,但机构的制度流程中从未对该等保密义务做出具体要求,更没有对客户服务部门进行相关培训。
因此,很多时候,机构出现反洗钱风险还是因为自身的制度流程有所缺失、不够详实所导致的,如果不能从根源解决这些问题,那么合规风险就会像癌细胞一样再次扩散,即使每次疲于切割癌变组织却总也无法根治顽疾。
当然,对于反洗钱与合规部门而言,推进一份或多份详实、细致的反洗钱工作流程并不简单,面临的内部阻力会很大,但机构至少要认识到问题的解决方案,充分考虑这些问题是否值得解决,避免面临巨额罚单后才知道其对本机构业务开展的重大影响,彼时将无法挽回。
2. “摸着石头过河”是现阶段非银金融机构的必经之路
不同于银行端相对完备的合规架构与细节性的合规流程可以大量参考外资银行,非银行金融机构可供参考的范例很少,很多问题具有我国特色,那么如何在现有环境的限制下合规审慎经营,就需要各个机构“摸着石头过河”,去探索与尝试。
以代销渠道的客户尽职调查为例,业内较为成熟的操作模式为在建立渠道关系前进行代销机构调研与评估,在代销端合同中对反洗钱义务权责分配进行明确约定,在业务关系存续期间定期或不定期进行机构风险筛查,不过以上流程仍然不足以覆盖全部风险,更无法解决代销机构不愿分享全部客户身份信息的痛点问题。
因此,在这些个性化问题无法使用一套标准模式进行处理的情况下,如何结合机构自身情况去降低风险则显得比较重要,比如,仍然以代销渠道为例:与代销渠道就客户身份信息传输及监管检查的应对方面做出明确具体的约定(包括时间、工作流程、取得客户授权等方面)有利于及时有效的获取监管所需身份信息;机构应针对自身的可疑交易模型分析所必备的客户身份信息种类,并尽可能要求代销渠道提供该等必备的客户身份信息;重点关注未在代销机构(以银行为例)开户并使用该银行账户进行操作的客户,因为该等客户可能并未经代销机构的严格反洗钱审查等。
这些模式与手段并不具备在各个机构各个场景中均统一适用的条件,因此不同风险情形下,如何有效地避免自身机构的风险,要从认识自身风险开始,并不应惧怕做出尝试。
3. 技术发展与人才培养的相生关系
AI技术的不断发展给予了大量金融机构跳过“人海战术”进行反洗钱合规的机会,在若干年前全球范围内的技术供应商们已经在开拓人工智能风控的解决方案,目前在虚拟货币领域,第三方反洗钱系统已可一定程度的降低交易所的洗钱风险。这是正向的、不可逆的科技发展趋势,也是每家机构均需要了解及学习的。
但是,反洗钱工作本身仍然是一项法律合规工作,这就意味着其“人”的属性无论在处罚端还是管理端均无法被改变。现阶段的AI技术并不能进行价值衡量与取舍,但作为金融机构,尤其是非银金融机构,业务的拓展与合规的成本考量是一项永恒的主题,而管理与决策在短期内并无法由AI执行。
因此,非银金融机构除了引进成熟的反洗钱人才参与管理外,要在充分借助技术力量的同时培养自身的反洗钱人才,依靠人的力量不断推进技术力量的迭代,助力于自身的业务发展。
4. 机构需要正确理解处罚事由及对应的法律基础
反洗钱处罚是一种行政处罚,根据我国法律法规,其处罚的依据事实必须准确并有明确的法律依据。从现有反洗钱处罚的具体认定来看,大部分情况下处罚所列明的事实与法律依据是比较详实的,比如“在定期审核中未发现XX客户已注销营业执照,仍为其提供服务”的违法事项对应的是1号令第28条“客户先前提交的身份证件或者其他身份证明文件已过有效期,金融机构在履行必要的告知程序后,客户未在合理期限内更新且未提出合理理由的,金融机构应当中止为客户办理业务。”及《中国人民银行办公厅关于“三证合一”登记制度改革有关反洗钱工作管理事项的通知》中“企业先前提交的有效身份证件已过有效期的,企业未在合理期限内更新且没有提出合理理由的,金融机构应当中止办理业务。”等规定;又如“未按规定对触发异常交易预警的XX客户开展重新身份识别”的违法事项对应的是《金融机构反洗钱规定》中“在办理业务中发现异常迹象或者对先前获得的客户身份资料的真实性、有效性、完整性有疑问的,应当重新识别客户身份;”1号令中“金融机构与客户业务存续期间,应当持续关注并审查客户身份状况及交易情况,发生以下情形时,金融机构应当审核本机构保存的客户身份信息,及时更新或者补充客户身份证件或者其他身份证明文件、身份信息或者其他资料,以确认为客户提供的各类服务和交易符合金融机构对客户身份背景、业务需求、风险状况以及对客户资金来源和用途等方面的认识:(一)客户有关行为或者交易出现异常,或者客户风险状况发生变化的;”,《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》中“对于通过可疑监测标准筛选出的异常交易,各金融机构和支付机构应当注重挖掘客户身份资料和交易记录价值,发挥客户尽职调查的重要作用,采取有效措施进行人工分析、识别。这些措施包括但不限于:1. 重新识别、调查客户身份,包括客户的职业、年龄、收入等信息。”等规定。
不过,有时的处罚事实情况的定性又仍有提升空间,比如“异常交易分析质量低”并不是违法事由,如果机构已按照法律法规完成全部应做工作,则不应再依据主观定性的质量高低进行处罚。
据此,随着合规意识和能力的不断提升,机构应正确认识到处罚事由的基础法律法规基础,从而反向地打磨与修正反洗钱工作流程与细节,从欧美金融机构的反洗钱工作情况来看,脱离基础处罚事由只是时间问题,在不远的未来,更加考验机构合规管理水平的是内部舞弊与特殊风险事件的应对与处理。
结语
合规工作本身亦有价值,只有在公平公开的金融环境下发展,才可以良性竞争,获取应得之利益。对于不可预期的利益,在充分衡量风险与收益后,做出对本机构最有利的选择也是值得肯定的。
[注]