淺析SWIFT發展動態及商業銀行應對

摘 要：近來，SWIFT組織大力推動ISO20022標準遷移，GPI標準實施，客戶安全計劃等工作，本文對SWIFT相關工作的進展情況進行介紹分析，并提出商業銀行的應對策略。

關鍵詞：SWIFT;ISO20022標準;GPI;客戶安全計劃

一、SWIFT簡介

SWIFT全稱“環球銀行金融電信協會”，成立于1973年，總部位于比利時，是一個國際銀行間合作組織。SWIFT成員包括銀行及非銀行金融機構、金融市場基礎設施及大型企業，總數超過11000家，覆蓋200多個國家和地區。目前，SWIFT中國社區有500多家商業銀行會員。

SWIFT核心功能是制定報文標準、為成員提供安全可靠的報文傳輸服務，此外也提供代理行身份調查、數據分析報告及反洗錢黑名單過濾等產品。

二、SWIFT最新發展動態

（一）ISO20022標準遷移

近期，SWIFT組織確定2022年11月至2025年11月實施用戶SWIFT FIN跨境支付類報文標準向ISO20022報文標準遷移工作，并通過跨境支付和報告（簡稱CBPR+）工作組制訂新舊標準對應規則，以及新建一個報文轉換平臺支持用戶在共存期內新舊報文標準平滑轉換，最大限度避免用戶重復的工作投入。

本次ISO20022報文標準遷移計劃，僅涉及支付類FIN報文（1、2和9類報文，FIN報文是Financial Message的縮寫）。FIN報文采用的是文本格式;ISO20022報文標準采用的是XML格式，XML格式較FIN報文更便于計算機解讀。

（二）GPI標準實施

為實現透明、可追蹤的跨境支付服務，2017年SWIFT推出全球支付創新（GPI）服務。該服務允許GPI成員銀行，通過傳統的SWIFT報文或者API接口（適用于計算機高效處理），向SWIFT云服務器（Tracker）更新其收到匯款的入賬狀態及收費情況，同時，獲取其發送匯款在他行的入賬狀態及收費情況。據SWIFT統計，目前，全球已有3500多家GPI簽約銀行，其中，中資銀行130多家。全球主要國家和地區的清算系統均已在報文格式（新增唯一識別編號欄位等）和業務流程上支持GPI標準，包括美國FEDWIRE、CHIPS系統，日本BOJ-NET系統和我國CIPS系統等。

（三）客戶安全計劃

為提升全球金融系統的安全性，有效應對金融業持續面對的網絡安全威脅，2016年5月SWIFT推出客戶安全計劃（CSP），通過制定SWIFT用戶安全控制框架，規定針對所有SWIFT用戶的強制性安全措施，明確行業安全基準線。所有用戶必須在本機構的SWIFT系統滿足這些安全控制措施要求并每年完成一次自我鑒證工作。

三、商業銀行應對

（一）ISO20022標準遷移

考慮到支付類報文約占SWIFT整體報文量的80%左右，ISO20022標準實施對商業銀行的影響是巨大的。商業銀行需要配合SWIFT標準遷移計劃，分析梳理現有報文流程和業務使用規范，制定符合本行特點的實施方案。一般來說，以下幾個方面工作需考慮。一是專項工作團隊的組建。專項工作團隊需積極跟進研究SWIFT報文標準遷移工作實施進度，研究報文標準變化，熟悉掌握SWIFT提供的報文轉換及驗證工具;行內各支付類業務系統項目組也應派員參加專項工作組，在組織保障形式上確保行內各相關方均無遺漏。二是改造實施方案的確定。大型商業銀行因開發能力較強，一般無需采購SWIFT報文轉換工具，自行完成行內系統改造;中小型商業銀行則可研判是否需要。在對標準變化充分研究的基礎上，針對編號長度標準、匯款信息欄位等產生變化的地方，制定行內業務系統改造方案。同時，考慮到外匯匯款一般均聯動制裁名單篩查系統，則制裁名單篩查系統需同時支持新的報文標準。三是確定遷移時點。為支持商業銀行用戶在共存期內新舊報文標準平滑轉換，SWIFT計劃建設報文轉換平臺，如果該平臺如預期一樣運轉良好，確實能大大簡化全行業的報文標準轉換工作，甚至可以靈活選擇遷移方案（例如，收發報在不同時點轉化），實現用戶無感轉換。對于海外機構較多的商業銀行，需在厘定各機構制裁名單篩查系統合規要求的基礎上，確定各機構切換時點。對于小型商業銀行，建議不必急于實現報文標準轉換，在SWIFT報文標準轉化平臺運轉成熟，業界轉換經驗相對豐富后，再實施轉換。

（二）GPI標準實施

長期以來，商業銀行跨境匯款基于SWIFT網絡和代理行清算模式進行。典型的跨境匯款流程為：匯款人匯款指令從匯款銀行發出，經由SWIFT網絡，發至匯款銀行的代理清算銀行，由代理清算銀行再經由SWIFT網絡或本地清算系統網絡轉發至收款銀行，解付收款人。由于匯款處理環節各自獨立，存在匯款處理進程及費用收取不透明，查詢效率低、成本高的問題，影響客戶體驗。

GPI匯款標準和服務，將原本孤立的匯款環節串聯起來，使銀行能夠向客戶提供透明、可跟蹤的跨境匯款服務，有利于銀行改善客戶體驗，提高服務效率，減少客戶糾紛，同時增進精細化管理水平， 降低作業成本。此外，通過建立當日處理及信息完整傳遞的GPI業務規范，保證匯款處理時效和合規性，有利于提高全球銀行跨境支付處理整體水平，促進跨境支付業務合規運營。該服務推出后，獲得業界高度認可，逐漸成為跨境匯款服務的新常態。

在落地實施方面，大型商業銀行因業務量大，處理效率要求高，建議采用API交互方式，中小型商業銀行則可根據自身業務及系統情況確定，延用傳統SWIFT報文交互方式亦無不可。圍繞GPI功能，銀行一般推出外匯匯款的匯款進度、收費情況查詢，匯款到賬短信通知等服務。筆者所在銀行依托本行中間層智能管控架構，實現全渠道、跨渠道向客戶展示外匯匯款的處理流程和狀態，例如，客戶從柜面發起的匯款，可以在網銀端查詢狀態，反之亦然。從而給客戶“一個銀行”的體驗，算是比較有特色的一點。此外，GPI匯款主動止付服務對于銀行控制操作風險，提升客戶體驗也有顯而易見的好處。GPI匯款賬號驗證服務正在推廣階段，但因向對手主動校驗賬號、戶名存在是否符合本地監管合規要求的問題，很多銀行都持觀望態度。

（三）客戶安全計劃

2016年2月，孟加拉國銀行成為基礎設備與SWIFT連接的眾多銀行中網絡攻擊目標中的受害者。此次攻擊過后，SWIFT組織迅速啟動客戶安全計劃，旨在努力推動全行業針對網絡的協作以抵抗威脅和幫助加強和維護網絡系統安全。建立專門的客戶安全情報團隊（CSI）提供相關且及時的情報是SWIFT采用的眾多手段之一。CSI團隊專注于客戶安全取證和分析，對潛在威脅和客戶安全事件進行調查，并通過SWIFT ISAC信息共享門戶與社區共享由此產生的信息。在CSI團隊發布的報告中，涉及多種多樣的關于操作方式、戰術、技術和程序的更新進展， 為網絡預防和檢測措施的發展提供了寶貴的見解。例如，一是目標方面，在大多數情況下，目標銀行都位于巴塞爾反洗錢不利國家清單中風險評級非常高的國家。大多數襲擊針對的是非洲、中亞、東南亞和拉丁美洲的金融機構。通常， 目標機構在跨境交易方面都是規模較小的銀行。二是金額方面，發送欺詐性的高價值支付指令可能會帶來巨額回報，但指令的價值越高，觸發欺詐檢測系統的風險就越高。自從孟加拉國發生網絡事件以來，個人欺詐交易中發送的金額不斷變化，使其難以被發現。到2018年初，通?？吹矫抗P交易的金額為1000萬美元或數千萬美元，但自那時起，攻擊者已將每筆交易的平均金額顯著降低至25萬美元和200萬美元之間，這可能有助于避免檢測。三是偵察行為方面，受到潛在獲利回報的誘惑，攻擊者會堅持不懈;他們通常會穿透目標，在發起攻擊前等待數周甚至數月，利用時間學習模式和行為，并策劃欺詐行為。雖然他們將在這個偵察期間“無聲”地行動，但這是一個關鍵時期，在這期間也是可以被發現的。

對于各會員銀行的具體職責方面，焦點之一是自我鑒證工作報告的有效性，是聘請第三方獨立機構進行“自我鑒證”，還是僅僅自查即可。2020年初，SWIFT發布《獨立評估框架（IAF）》，對此作出明確規定。根據IAF要求，需由內部合規、審計等獨立部門或聘請第三方開展評估，評估人員應具有相應資質，自評估將不再被接受。

作者簡介：馬騰、1980年、男、漢、河北衡水、碩士研究生、經濟師、商業銀行支付結算。