观点 I 反洗钱行政处罚重灾区, 金融机构未按规定对高风险客户采取管控措施(上)
一、现状及存在的问题
根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第十八条第二款 “...对本金融机构风险等级最高的客户或者账户,至少每半年进行一次审核。”、第十九条第二款 “对于高风险客户或者高风险账户持有人,金融机构应当了解其资金来源、资金用途、经济状况或者经营状况等信息,加强对其金融交易活动的监测分析。客户为外国政要的,金融机构应采取合理措施了解其资金来源和用途。”、《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发〔2017〕235号)、《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知》(银办发〔2018〕130号)、《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》(银发〔2018〕164号)等规定,金融机构应该在与高风险客户建立业务关系时,或业务关系存续期间内,区别于中、低风险客户,对其采取高强度、高频次的管控措施,方能与其风险程度匹配,以便缓释风险。但从目前实际工作看,存在以下问题:
(一)管控“空白”
管控“空白”,是指金融机构对高风险客户完全没有管控或管控措施频度和强度不够。具体表现为:一是金融机构洗钱风险等级划分工作存在重大缺陷,根本不能按法定标准,或金融机构自定义标准将洗钱高风险客户识别和划分出来,当然就更谈不上对洗钱高风险客户进行管控;二是金融机构识别和划分出部分洗钱高风险客户,但把高风险客户和低风险客户一样对待,没有采取强化身份识别措施,或者只是再次审核了客户的开户资料等,并没有做更进一步的管控。
(二)管控“过头”
管控“过头”,是指金融机构在客户接纳环节或客户存续期间,对具有某同一性质的,且较多数量的客户全部拒绝提供服务。例如,某金融机构为控制风险,对来自被FATF公布的“高风险”的某国所有客户均拒绝提供服务。
(三)管控“单一”
管控“单一”,是指金融机构对洗钱高风险客户管控措施单一。金融机构应根据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第十九条第二款、《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知》(银办发〔2018〕130号)“二、加强洗钱或恐怖融资高风险领域的管理”、《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发〔2017〕235号)“二、加强对特定自然人客户的身份识别”、“三、加强特定业务关系中客户的身份识别措施”、《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》(银发〔2018〕164号)“四、义务机构应当根据洗钱和恐怖融资风险…”等规定,结合高风险客户的性质及其交易的可疑程度,采取上述法规中的管控措施之一,或几个措施的组合对客户进行管控。实务中,有些金融机构对所有高风险客户仅仅“形式上”在EXCEL表中记录了半年审核一遍客户的开户资料,或电话回访个别客户的事件,没有证据表明审核客户开户资料发现什么异常,电话回访发现什么问题,更没有结合客户的交易情况,判断客户身份和交易情况是否匹配,甚至有些金融机构管控资料显示,每半年一次的审核就是不断地复制、粘贴高风险客户的身份信息,再无其他管控动作。
(四)管控“混乱”
管控“混乱”,此问题分为三类:一类是金融机构对洗钱高风险客户管控目的和范围不清晰。例如某金融机构误将美国OFAC制裁客户当做洗钱高风险客户进行管控,且管控强度很高。一类是金融机构对同一客户在不同业务系统中,分别评级为高风险和其他风险等级,导致洗钱高风险客户管控措施出现矛盾;一类是有些金融机构制定了“还算是”有效的管控规定,有关部门却不执行。
(五)管控“不实”
管控“不实”,是指金融机构平时并没有对高风险客户进行管控,等到监管方现场检查入场前短时间内,或入场后,临时突击“管控”,日常管控工作的真实性存疑。此类问题的表象,一是该机构反洗钱内控制度没有规定如何对高风险客户进行管控,也未规定各业务条线在高风险客户管控工作中承担的职责和分工,以及工作流程等;二是该机构反洗钱系统没有设定对高风险客户管控的功能模块;三是该机构在反洗钱现场检查时,提供的是不盖章或盖章的纸质资料,资料只能显示该机构审核了客户资料或电话回访,看不到对哪个客户实施了控制措施,甚至有的金融机构在资料上签字的员工在管控作业时间尚未入职。
下面举一个比较典型的案例(本案例虚构,如有雷同,纯属巧合):
姓名:ABC,性别:男,国籍:非洲某国(FATF公布的高风险国家),身份证件类型:护照,证件号码:*****,职业:社会生产和生活服务人员,工作单位:北京****投资有限公司,住址:北京市***区***小区***门牌号。
该客户于2017年7月14日在某行开户。2018年1月1日至2019年8月31日,该客户存入(贷方)485010元,存入(贷方)笔数96笔,累计支出(借方)482980元,支出(借方)笔数621笔。期间通过ATM机存入现金66笔,累计金额469300元,均为每月选取1-2天分2-4笔存入,每月存入现金13600-35000元不等,通过第三方支付机构累计支出477070元,支出笔数614笔。
在客户准入阶段,该行于2017年7月14日将该客户评为“低风险”客户。在持续评级阶段,2019年7月重新审核该客户洗钱风险等级时,该行仍然将该客户再次评为洗钱“低风险”客户。
2018年1月1日至2019年8月31日,该客户共被该行反洗钱系统异常预警250次,但均被该行人工排除。截止2019年8月13日,该行未对该客户采取任何管控措施。该行纸质尽职调查表“显示”,2019年8月14日对该客户通过电话回访开展尽职调查,纸质尽职调查表“显示”没发现异常,调查后仍未提升客户风险等级,也未提交可疑交易报告。2019年10月14日,该行再次电话回访尽职调查时,发现客户手机已经无法接通,账户也不再使用。该行在2018年2月出台相关反洗钱内控制度中,要求对来自FATF公布的高风险国家客户划分为高风险并加强客户身份识别措施。
从本案例看,该机构同时出现本文的管控“空白”,未将客户划分为高风险客户,也未管控;管控“单一”,尽职调查表显示两次尽职调查均是电话回访,且没有关注客户的交易情况;管控“混乱”,有相关反洗钱内控制度却不执行;管控“不实”,只是在监管方现场检查入场前短时间内,或入场后,临时突击“管控”。
二、问题成因分析
(一)有关高风险客户管控的法规层级低,有待提高
目前有关高风险客户管控的法规,主要有《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》(银发〔2017〕117号)、《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知》(银办发〔2018〕130号)、《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发〔2015〕392号) 、《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发〔2017〕235号)、《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》(银发〔2018〕164号)等文件,都在不同角度规定,金融机构可以在建立业务关系时或客户关系存续期间,对高风险客户进行强化识别,或拒绝提供服务,并且在客户关系存续期间或触发可疑交易以后,可以根据客户实际洗钱风险状况,限制客户的交易方式、规模、频度等,但是这些文件层级偏低,阅知范围较窄,对被管控的高风险客户说服力有限。因为金融机构缺少高层级法规的支持,以及没有与客户在服务协议中签订相关的管控权利和义务的条款,所以在对高风险客户管控时,因顾虑客户的投诉而显得“畏手畏脚,犹犹豫豫”。
(二)不重视反洗钱工作,一切空谈
对高风险客户管控工作,处于金融机构反洗钱风险管理的最高端,其工作量、工作难度、工作复杂性,以及耗费的经营成本均较高。在反洗钱工作尚未得到金融机构足够重视的情况下,有些基础工作尚未达标的前提下,对高风险客户管控出现问题也就不足为奇。
(三)高风险客户划分不准确,缘木求鱼
对高风险客户进行管控的首要条件,就是金融机构能够较为准确的识别和划分出高风险客户。如果高风险客户本身划分是错误的,对其进行管控就是错上加错,甚至是“缘木求鱼”。高风险客户划分错误的主要原因有,一是划分指标不科学;二是客户初次识别、持续识别、重新识别、可疑交易分析等工作与风险等级划分工作脱节,不能支持风险等级划分工作。
(四)高风险客户管控工作无“软硬件”支持,缺少抓手
对高风险客户进行精准管控,需要有一套好的管理机制、一个功能强大的反洗钱管理系统、一支认真、专业、充足的反洗钱管理队伍,三者缺一不可。遗憾的是,当前各类型金融机构都缺少上述必备条件,或者虽然实现部分条件,但达不到工作要求。具体表现为:
一是金融机构在反洗钱内控制度中,在对高风险客户管控方面,没有规定董、监、高层的管理监督职责;没有明确“纵向”--总、分、支机构之间,“横向”--业务部门之间的分工与协作,工作职责、工作内容,导致工作流程不清晰,高风险客户信息传递不及时,或出现遗漏的现象。
二是反洗钱管理系统无对高风险客户管控的专门功能模块。当前商业银行主流的做法是,反洗钱系统将高风险客户名单推送给上游数据仓库、ECIF(企业客户信息系统)等数据平台,或者核心系统, 供各业务系统调取使用,由各业务部门分别落实具体的管控措施。例如对账户进行交易限制(冻结、只收不付等),需在核心系统变更账户状态;限制非面对面渠道(ATM、网银等)交易或交易规模,需在网银、手机银行、ATM等前端系统或者综合前置系统根据名单设置限额、限制交易;业务准入控制(贷款审批、信用卡审批等),需在信贷、卡申请系统中调用和匹配高风险客户名单,判断是否允许办理业务,或限制额度等。上述方式,从管控措施执行的时效、落实的程度都存在一定的不确定性。首先反洗钱牵头部门很难准确、全面掌握或评估对高风险客户管控措施的针对性和有效性,进而对其开展持续的跟踪与监测,并根据客户洗钱风险变化情况及时调整管控措施,以便缓释对应的风险。其次反洗钱系统缺乏管控策略设置、一键管控、管控撤销、效果跟踪、监测与分析、管控台账等功能。
三是缺少一支认真、专业、充足的反洗钱管理队伍,限于文章篇幅此处不做过多解释。
(五)担心“客户”流失,“不愿”管控
对高风险客户进行管控,会对营销“新”客户产生阻滞,甚至会导致存量客户流失。在强大的经营指标考核压力下,尤其面对能带来利润的客户,经营层偏向于下“软手”,避免客户流失。例如,个别金融机构不断重复上报某客户可疑交易报告,却继续与客户保持业务关系。值得注意的是,有些金融机构的高风险客户的账户日均余额几乎为零,账户资金交易呈过渡特征,金融机构仍不“舍得”对该客户采取管控措施,这一举动实在令人费解,从笔者以前大数据分析看,此类客户并不“赚钱”,反而损耗金融机构利润。值得警惕的是,个别金融机构的个别从业人员可能为达到稳固客户关系的目的,出现过把客户的洗钱风险评级情况泄露给客户的现象。
三、对金融机构高风险客户管控工作的建议
(一)明确营销客户定位,建立适合本机构的客户接纳政策
金融机构应倡导赚取 “滤掉”洗钱风险后的“绿色”利润为首要目标。在此过程中,金融机构应根据在本行业的定位、所处区域、风险管控能力、经营网点分布与规模、人力资源配备等情况,选准本机构能够服务好、能够管控好、能够“赚钱”的客户。为此,金融机构应明确营销客户定位,制定适合本机构的客户接纳政策,建立对客户收益、成本及合规风险的综合评估机制,平衡各方面的利益和损失,尽量去营销能达到平衡点以上的客户(普惠金融类客户此处不做讨论),不必“拥抱”所有客户,也不应对全部客户提供无差别服务,推销所有金融产品,开通所有支付渠道。从源头上排除掉部分高风险客户,或控制住部分洗钱风险。
(二)前置法律手段,在客户服务协议中增加管控条款
金融机构应根据《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知》(银办发〔2018〕130号)中 “按照法律规定或与客户的事先约定,对客户的交易方式、交易规模、交易频率等实施合理限制。” 在开户、签约申请或服务协议中增加相关条款,明确金融机构和客户的权利和义务,明确金融机构有权根据反洗钱法律法规有关规定,结合客户洗钱风险状况,采取相应的管控措施,甚至拒绝提供金融服务。同时建议金融机构与存量客户签订补充服务协议,明确反洗钱相关条款。金融机构应“未雨绸缪”,前置法律手段,摆脱因对高风险客户管控引发的恶意投诉甚至法律诉讼。同时也建议金融机构在其官网、营业网点以多种方式宣传有关法律规定。
(三)构建管控“软硬件”,升级反洗钱系统并建章建制
(未完待续)
作者:刘丽洪 中国人民银行营业管理部
(注:本文已获作者授权发布。文中所述仅代表作者个人观点。)
更多阅读:
观点 I 反洗钱行政处罚重灾区:金融机构与身份不明的客户进行交易
道琼斯公司(Dow Jones)创建于1882年,旗下有道琼斯指数、Barron's、WSJ、MarketWatch、Factiva、VentureSource、Risk & Compliance等品牌。“道琼斯风险合规”是全球风险与合规服务品牌。本公众号由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系:Johnson.Ma@dowjones.com