探析非銀行金融機構在強監管周期下的反洗錢管理系統建設

劉真言

近年來，境內金融監管機構對于金融機構反洗錢監管力度不斷加大、監管要求也隨之日益細化，縱觀 2018年以來印發的反洗錢監管法規要求，反洗錢系統建設作為金融機構開展反洗錢工作的必備資源配置，不斷高頻出現在名單監控、可疑交易監測等反洗錢各項核心工作要求中，甚至監管機構向金融機構開出的罰單中也不乏與其相關的事項。推進反洗錢系統建設，對于以銀行業為代表的大型金融機構來說已是一個老生常談的話題，其發展進程也早已從搭建起一套較完整系統體系的初級階段進階至不斷完善監測標準與管控細節的夯實提升階段，但對于規模較小的非銀行金融機構，鑒于其自身洗錢固有風險較低、在反洗錢管理投入方面預算有限、公司整體系統化建設尚在初級階段等原因，反洗錢系統建設工作開展速度一直較為遲緩。筆者結合自身在非銀行金融機構從事7年反洗錢管理工作并牽頭建立健全公司反洗錢管理系統的實踐經驗，分析權衡非銀行金融機構建立反洗錢管理系統的現實困境與深遠益處，以及如何事半功倍地建立起一套有效的反洗錢管理系統。

一、強監管周期背景下，建立健全反洗錢系統建設是金融機構確保自身合規的剛性要求

（一）反洗錢系統建設要求已明確植根監管規定

自 2019 年1月1日起施行，由中國人民銀行反洗錢局印發的《關于印發〈法人金融機構洗錢和恐怖融資風險管理指引（試行）〉的通知》（銀反洗發〔2018〕19 號，以下簡稱“19號指引”），作為各類金融機構洗錢風險管理需執行的綱要類文件，其頒布施行對各類金融機構反洗錢工作都有深遠的指導規范意義。

19號指引在風險管理框架、風險管理措施、信息系統和反洗錢數據、信息等章節中均對金融機構反洗錢系統建設作了明確規定：首先，在洗錢風險管理框架中，明確了高級管理層、反洗錢管理部門、信息科技部門各自的反洗錢系統建設管理職責；其次，在風險管理措施中，也將反洗錢系統建設作為客戶身份識別、可疑交易分析報告、反洗錢名單監控等反洗錢重點工作內容的有效實施方式予以規定；最后，還將反洗錢系統建設升級為一個獨立章節，與前面框架職責、管理措施呼應，再次明確金融機構在反洗錢信息系統建設方面，承擔的職責包括應當建立完善以客戶為單位，覆蓋所有業務（含產品、服務）和客戶的反洗錢信息系統，從而進行有效的洗錢風險管理。

緊接其后，中國銀保監會于2019年1月29日公布并施行的《銀行業金融機構反洗錢和反恐怖融資管理辦法》（以下簡稱“1 號令”），明確規定了非銀行業金融機構的反洗錢和反恐怖融資管理，參照本辦法對銀行業金融機構的規定執行，并在具體內容上要求銀行業金融機構應當將可量化的反洗錢和反恐怖融資控制指標嵌入信息系統，使風險信息能夠在業務部門與反洗錢和反恐怖融資管理部門之間有效傳遞、集中和共享，滿足對洗錢和恐怖融資風險進行預警、信息提取、分析和報告等各項要求。

綜上，無論是規定體系化、詳細度都很高的19號指引，還是從實質性角度高度概括的1號令，共同對非銀行金融機構做出了如下明示：有義務建立反洗錢管理系統，且系統建設情況應滿足監管機構規定標準。

（二）反洗錢系統建設要求已量化深入監管考核

目前，監管機構在對非銀行業金融機構進行非現場監管時采用的主要手段為法人機構反洗錢分類評級，該項工作開展模式為印發評級標準，要求金融機構對照標準開展自評，并在機構自評基礎上對其進行檢查考評。

縱觀北京地區非銀行業金融機構近年來收到的監管機構印發的機構洗錢風險考評指標中，43項二級考評指標中涉及系統建設功能的有7項，在100分的考評總分中合計占18分。對應中國人民銀行營業管理部印發的評級標準，金融機構根據最終得分情況，將劃分為 A（AAA、AA、A）、B（BBB、BB、B）、C（CCC、CC、C）、D、E 共 5 類 11 級[ A 類分數區間：95≤AAA≤100，90≤AA 95，85≤A ≤90。B 類分數區間： 80≤BBB≤ 85，75≤BB≤ 80，70≤B≤ 75。C 類分數區間：65≤CCC≤ 70，60≤CC 65，55≤C≤ 60。D 類分數區間：50≤D ≤55。E 類分數區間：E≤50]，如果非銀行業金融機構在系統建設管理能力方面存在硬性缺陷的話，最終評級只能在BB檔及以下，按照考評要求C類及以下機構應當由單位主要負責人或主管反洗錢工作高級管理人員每半年向人行營管部報告整改落實情況，屆時該類評級機構的高級管理層也將面臨較大的約談與整改壓力。

（三）反洗錢系統建設要求從同業罰單中可窺一斑

近年來監管機構頻開大額罰單，總結其中規律有兩點尤其值得引以為戒：一是受罰的非銀行金融機構數量呈遞增之勢；二是各類金融機構受罰事項主要集中在客戶身份識別與資料保存這個最基礎性反洗錢工作任務上。健全有效的反洗錢管理系統，既能便于金融機構維護、留存客戶身份識別基本信息，也能便于金融機構做好匯總與自查工作，避免因人工操作不規范、不及時造成的諸多缺陷。

二、非銀行金融機構在反洗錢系統建設方面存在的共性痛點問題

（一）因自身洗錢固有風險較低而輕視控制風險管理

相較于銀行業金融機構，非銀行金融機構經營業務與潛在客戶范圍都較窄，利好一面是保持了天然的低固有風險屬性，例如無賬戶開立職能、無法監控客戶資金流向、所涉業務多通過銀行轉賬實現、面向客戶群范圍固定，因此業務洗錢風險較低，客戶普遍洗錢風險較低等。但同時存在的弊端是，輕視了洗錢控制風險管理，誤以為公司開展業務不存在為客戶利用進行洗錢的風險，或者公司客戶無法通過與公司開展業務而從事洗錢活動，就不需要開展反洗錢工作了。

反洗錢牽頭管理部門在向公司員工開展宣傳教育時一定要深入貫徹的一個基本觀念是，洗錢風險防控是講究固有風險與控制風險的有效結合后評價其剩余風險管控情況的，如果單純因固有風險較低，而輕視控制風險管理，最終亦會導致較高的剩余風險，即非銀行金融機構的機構洗錢風險仍會較高，被監管機構予以負評，甚至出具行政處罰。通俗來說，這個風險管控全過程可以被理解為自證低風險，即非銀行金融機構通過一套健全的洗錢風險管理機制來證明自己在洗錢風險方面確實可以歸類為低風險。低風險的自定義不是理所當然自定義出來的，而是需要一套完整管控機制證明出來的。

（二）掣肘于反洗錢管理投入預算有限對反洗錢系統建設望而卻步

非銀行金融機構資產規模、利潤水平自然難以與銀行業金融機構比肩，管理費用方面的精打細算、能省則省也是普遍行情。依靠公司 IT 部門自行研發一套反洗錢管理系統大多不太現實，而如果通過外部采購一套配置齊全的反洗錢系統則面臨整套系統采購成本較高、后續運行維護費用不斷增加等問題。

（三）公司整體系統化建設尚在初級階段，孤木難成林

反洗錢系統建設需要依附于公司整體業務系統建設基礎之上，且需要縱觀大局地融入公司整個系統化建設規劃之中，方能有的放矢、合理布局。但多數非銀行金融機構系統化建設尚處在初級階段，業務系統尚未實現流程打通、數據準確的前提下，確實很難兼顧反洗錢系統的對接、整合。

三、漫漫系統建設征程應先始于全面客觀的反洗錢管理情況自評估

如何克服自身固有難點，落實監管硬性要求，非銀行金融機構首先要做的是客觀地給自己照個鏡子、理性地摸摸家底兒實際情況。對公司現有反洗錢管理情況進行了全面客觀地速寫后才能有的放矢、勾勒好系統框架、寫好業務需求。

（一）了解自身反洗錢管理體系基本情況

反洗錢系統是以系統化手段執行反洗錢管理體系的各項工作要求，因此，運行有效的反洗錢系統的本源仍是公司自身健全的反洗錢管理體系。

健全的反洗錢管理體系包含哪些內容？前文提到的19號指引可以作為一個最權威的參考標準普遍適用于各類金融機構。從風險管理架構、風險管理政策和程序——方法、管理政策和程序——措施，以及其他配合性資源與措施維度，框定出一套較為完善的反洗錢風險管理體系。只有首先明確各級主體責任、重要的反洗錢工作任務、具體工作開展標準，才能據此勾勒出一套完整的反洗錢管理系統應有的框架內容。對標后發現存在管控缺陷的環節，也應該先從自身管理機制層面予以優化才能付諸系統進行落實。

（二）評價既有的反洗錢操作流程是否合理

系統框架功能有了基本輪廓后，如何運轉具體功能就需要依據反洗錢管理中的操作流程來執行，其作用對于反洗錢系統這棵大樹來說，是極為重要的脈絡傳遞。

授權管理是否到位，不同職級崗位是否有合理授權進行審查審批；崗位職責設定是否制衡，業務部門提交的反洗錢工作是否由獨立的反洗錢管理部門＼崗位進行審查；權限配置是否審慎，除反洗錢管理崗位外，其他崗位是否嚴格遵循最小化授權原則接觸系統內的客戶反洗錢信息等均是在進行自我反洗錢操作流程梳理時需要考量的因素。管理規范、運行順暢的操作流程是反洗錢管理系統能夠有效運轉的根本保障。

（三）對標監管新規復盤是否存在管控盲點

考慮到系統建設具有一定周期性，而近年來反洗錢監管新規又頻頻印發，有許多新的細化要求，比如關于反洗錢名單回溯性監控。因此，非銀行金融機構在開展自身反洗錢系統建設之前必須要對標反洗錢監管新規、監管機構印發的機構反洗錢考評標準等全面落實現階段自身需執行的各項監管要求，確保系統建設功能全面覆蓋，避免在后續監管考評、監管檢查工作中遺留不必要的空白未達標地帶。

四、反洗錢系統建設過程中可巧借東風、事半功倍

在提需求、系統項目組對照需求開發、測試、試運行、正式上線這套常規的系統建設流程之外，常規系統建設流程如何在系統建設過程中最大程度地節約預算投入、人力時間成本，就不僅限于反洗錢管理，而更多的是要從公司甚至集團層面謀求最優化解決方案。

（一）將反洗錢系統嫁接在既有業務系統上進行開發

一般來說，非銀行金融機構都有自身的業務系統，暫不論系統健全性，但應初步具備收集全量客戶、業務數據基礎信息的功能。反洗錢系統就可以嫁接到現有業務系統上，利用客戶留存在系統內的業務信息拓展充實其反洗錢所需的基本身份信息，在系統已有的客戶業務數據基礎上分析哪些能用來進行客戶洗錢風險等級評估與可疑交易監測等。

基于現有業務系統增加反洗錢管理功能的優勢在于，有效利用了較為成熟的業務系統，既方便與系統開發人員溝通開發與維護事項，也方便業務部門人員操作使用，且利于公司系統建設一體化規劃、推進。

（二）組成跨部門開發團隊，群策群力形成合力

反洗錢系統建設過程中，雖然是反洗錢管理部門牽頭推進，但業務部門與 IT 技術部門同事的參與也至關重要。一是日常工作中主要是由業務部門同事操作運用反洗錢系統，其對系統了解程度、優化完善建議都極為重要；二是 IT 技術部門同事可以基于公司系統整體框架情況協助解決反洗錢與其他業務流程之間如何有效對接問題，從宏觀角度幫助反洗錢系統得當嵌入公司整體系統框架中。

（三）善于利用外部數據庫資源提升系統質效

對于客戶身份信息的審核、反洗錢名單監控等工作，如果只是以系統化方式進行操作，但仍依賴人工審核、人工篩查做出判斷的話，則并不算實現了系統化管理要求。此類工作，工作量大、耗時久，但無技術難度，完全可以通過采購外部第三方數據庫資源，由系統執行自動篩查程序完成預篩，基于系統預篩結果，再執行人工分析審核程序，既能提高工作效率，又能提高該類工作準確性，體現出系統化管理的真正價值高點。

（四）集團內資源巧用共享謀求最大化共贏

鑒于多數非銀行金融機構都系依托較大的集團背景應運而生的子公司，其中金融集團背景占比尤高。19號指引等監管法規明確規定了反洗錢信息在集團內部合理共享，鑒于此，非銀行金融機構可以合理借助股東成熟的反洗錢管理資源攻己之玉。例如，直接獲取集團內反洗錢系統健全成員系統使用權限，或者考慮到各自業務與管理流程差異性而使用其部分功能、共享已購數據庫資源、共享共有客戶信息等方式，但上述方式在實際操作時都需要基于特定前提才能符合合規要求，一是要有明確的書面合同規范各主體權利、義務，且確保相關約定符合監管要求；二是跨主體進行信息傳遞時需嚴格遵守保密性要求。

五、反洗錢系統建成后對公司反洗錢管理實效提升確有裨益

筆者在工作實踐中牽頭負責公司反洗錢系統開發建設工作已有五六年時間，親歷了從無到有、日臻完善的點滴過程后，總結出反洗錢系統對于公司反洗錢管理帶來的不可替代的優勢。

（一）為機構反洗錢管理的整體合規性保駕護航

落實監管規定中關于反洗錢系統建設的合規要求，建立金融機構自身的反洗錢管理系統，是確保金融機構反洗錢管理機制符合合規要求的基本條件與基礎保障。在接受各類監管檢查與評級工作過程中，防范被指出管理機制建設不到位、資源保障的硬性問題。

（二）以系統功能設定提升業務部門操作規范化水平

在進行反洗錢管理時，圍繞業務部門在操作環節各種不規范問題導致的前后臺部門間的博弈向來是公司內部管理一大難題。采用了系統化操作后，配置上系統管控功能，能夠有效提升業務部門操作反洗錢工作規范性，并有效降低前后臺部門間不必要的溝通成本。

（三）為管理部門開展監督檢查工作提供有力輔助

反洗錢牽頭管理部門及公司審計部門負有對公司反洗錢日常工作開展情況進行敦促、檢查、獨立審計的職責，在未采用系統化管理的情況下，線下批量檢查難度較大，準確性也較低，但在反洗錢系統建設后，可以通過系統自動生成匯總監測臺賬，實時全面地統計反洗錢工作完成情況。

（四）切實提高對實質性洗錢風險防范能力

通過運用系統靈活使用外部數據庫資源，能提升非銀行金融機構對于實質性洗錢風險的防范能力，例如對客戶是否涉及制裁等違規事項進行名單篩查、核對客戶身份基本信息準確性、對于客戶過期身份證件信息進行識別并提醒等。

姜夔在《白石道人詩說》中提到“作大篇，尤當布置”，作詩如此，反洗錢系統建設管理亦如是。直面反洗錢監管要求，非銀行金融機構應從自身經營管理實際情況出發，理清監管底線要求、自身管理需求，將公司可采用的內外部優勢投進系統開發建設中，最終服務于反洗錢管理水平的有效提升。

（作者單位為建信金融租賃有限公司風險管理部 ）