洗錢風險與業務風險管理如何融合

李英

2021年6月1日，中國人民銀行發布《中華人民共和國反洗錢法（修訂草案公開征求意見稿）》（以下簡稱《反洗錢法》）明確規定金融機構須“防止金融體系被利用進行洗錢等違法犯罪活動”。2022年12月1日起施行的《中華人民共和國反電信網絡詐騙法》（以下簡稱《反電詐法》），明確要求金融機構應“防范銀行賬戶、支付賬戶等被用于電信網絡詐騙活動”。兩部法規都明確規定金融機構應當履行風險管理的法定義務。而在實踐中，商業銀行反洗錢工作與反電詐工作存在“兩張皮”現象，洗錢風險管理與業務風險管理相融合的長效管理機制難以有效建立。本文從商業銀行實際出發，探討反洗錢工作與反電詐工作的關系，對二者的有效融合提出建議。

洗錢風險管理與業務風險管理的關系

洗錢風險管理在履行風控義務方面起到統領作用。反洗錢的三大核心義務是“客戶身份識別、客戶身份資料和交易記錄保存、大額交易和可疑交易報告”。反洗錢義務機構的履職是現代社會治理的基礎，商業銀行以“管理資金”為日常經營內容，反洗錢以“追蹤資金”為日常工作內容，反洗錢關系到社會穩定，是一項涉及多領域、跨部門的系統性工作（王寶運，2020）。目前商業銀行反洗錢工作機制存在的主要問題是客戶信息整合不足和反洗錢機制運行不暢，主要原因是不同部門間各自為戰，信息割裂，發生風險事件時是由單獨的部門進行處理，反洗錢部門不知曉相關情況（聶濤，2022）。FATF（反洗錢金融行動特別工作組）正在力推旨在打擊“金錢”這一洗錢犯罪驅動因素的“資產追回”行動，而這些行動需要賦予反洗錢主管機構（人員）適當的權力、技能和資源（熊安邦，2022）。

“風險為本”的原則須體現在業務風險管理過程中。反洗錢工作的原則已由“規則為本”轉向“風險為本”，商業銀行要履行反洗錢義務，關鍵抓手是要確保“風險為本”的原則得以在各業務板塊中落實。為落實“風險為本”的措施，義務機構要分析哪些產品、服務和業務洗錢風險較高，哪些領域、渠道和環節易于傳遞或放大洗錢風險，這些行為應形成長效機制（馮怡，2022）。通過分析客戶收入、成本、盈虧平衡點，計算客戶洗錢風險行為對銀行成本收益的影響，可印證“風險為本”貫穿于銀行展業過程，商業銀行應正確評價和掌控風險管理的成本收益（劉麗洪，2022）。

數據管理與系統架構的支持至關重要。要將“風險為本”的原則貫穿于業務過程，離不開銀行機構自身軟硬件設施的配套。洗錢風險管理涉及的數據來源多、數據量大，要建立可以持續優化升級的系統體系，要評估各個系統的能力，提高風險甄別效率，降低人工甄別成本（朱彤，2020）。通過大數據技術在反洗錢領域的應用，對海量數據、信息整合、模型規則的研究結果顯示了技術基礎支持對保障業務交易鏈完整性、監測有效性和全面性的重要性（程相鏢、楊鼎璞，2022）。可見，反洗錢工作是服務于商業銀行日常經營管理的基礎性工作，商業銀行應牢牢把握反洗錢的核心義務，統領全行不同業務板塊、不同機構履行義務，使洗錢風險管理貫穿于業務風險管理的具體流程中，同時研究業務開展、數據采集、模型規則等方面的關聯關系，促進其有效履行反洗錢義務。

洗錢風險管理與電詐風險管理融合的難點

政策機制方面

監管報送不統一。商業銀行反洗錢工作的行業主管部門是中國人民銀行反洗錢部門，可疑交易報送的對口部門是中國人民銀行反洗錢部門和公安機關經偵部門。

而商業銀行反電詐工作的行業主管部門是人民銀行支付結算部門、銀保監會或銀行業協會（或支付清算協會）相關部門，反電詐數據報送的對口部門是以上監管部門及公安機關刑偵部門。反洗錢、反電詐工作分屬不同的監管機構或監管機構中不同的部門，工作要求不盡相同，報送規范不盡相同，導致商業銀行將反洗錢工作與反電詐工作相拆分，使得上報的可疑信息線索有時難以在不同的主管機構間進行共享，可疑線索的應用時滯較長。

商業銀行內部職能交叉。在商業銀行內部，反洗錢工作與反電詐工作往往由不同部門負責，有的銀行反洗錢工作由合規部門負責，反電詐工作由安保、零售或運營部門負責；有的銀行雖然將反洗錢職能與反電詐職能放在同一部門，但為了響應不同的監管要求，設置不同團隊分別開展工作；有的銀行為了避免重復取數，雖然反洗錢和反電詐部門分設，但將反電詐數據報送工作合并到反洗錢部門負責。無論分工如何，工作要求、工作規則、工作內容交叉重疊難以避免。

風險識別方面

洗錢風險名單與電詐預警名單范疇不一致。現行洗錢風險名單庫基本上是各商業銀行按照反洗錢和反恐怖融資管理、受益所有人、洗錢風險自評估等監管文件規定，在行內建立法定名單庫，這已是通行做法。但此類通用名單專門針對電詐信息的不多，很難根據電詐犯罪的地域化、集中化、個性化等特點配套提供預警名單支持，導致反電詐工作部門不得不另行建立電詐風險預警名單庫。

反洗錢盡職調查與反電詐場景調查不一致。反洗錢日常盡職調查由銀行員工開展，除了借助反洗錢名單庫、洗錢風險評級指標工具外，按照自然人客戶、非自然人客戶對于客戶信息的基本規定開展信息要素的基本識別。而反電詐工作的要求不僅如此，尤其是在“斷卡行動”中，公安部門針對客戶識別發布很多場景化要求，為配合反電詐的事前識別、快速攔截等場景，商業銀行內部出臺許多反電詐日常盡調指標，但這些反電詐盡調信息要么不留存，要么由經辦機構臨時留存，或由反電詐部門臨時留存，沒有納入到洗錢風險管理檔案體系中。

風險監測方面

“反洗錢模型”難以與“斷卡模型”匹配。銀行機構推出的各種“斷卡模型”與“反洗錢電詐可疑交易模型”（以下簡稱“反洗錢模型”）各自獨立運行。原因是“斷卡模型”時效性要求高，命中后“T+0”或“T+1”日阻斷；而反洗錢模型從命中到盡調到分析再到阻斷，有一定停留時間，不能立即阻斷。且“斷卡模型”根據監管部門發布的線索進行動態調整的頻率較高，而反洗錢模型多布放在反洗錢監測系統，該系統是銀行全行級系統平臺，布放構造、參數設置較復雜，關聯系統多，模型調整工作量大，造成反電詐部門寧愿自己單獨管理“斷卡模型”而不愿將“斷卡模型”與“反洗錢模型”整合，由此造成兩套模型并行，重復命中重復管控。

反洗錢管控與“斷卡”管控存在矛盾。“斷卡模型”獨立于“反洗錢模型”導致反電詐部門管理的高風險客戶獨立于反洗錢高風險客戶，兩份客戶清單可能存在重疊，也可能造成反洗錢高風險客戶評級失真或漏評，甚至出現同一客戶洗錢風險等級與其管控措施錯配，例如出現洗錢風險等級為低風險，但斷卡管控為高等級“怪象”。

洗錢風險管理與電詐風險管理融合的建議

明確工作定位

《反洗錢法》與《反電詐法》角度不同，但二者脈絡相通，并不割裂。《反洗錢法》要求“金融機構應當依照本法規定建立健全反洗錢內部控制制度，評估機構洗錢風險狀況并制定相應的風險管理措施，結合實際情況建設反洗錢相關系統”，即要求金融機構全覆蓋、體系化地建立反洗錢機制，涵蓋金融機構風險管理的基本要求，管理措施針對包括電詐在內的各種不法行為；《反電詐法》針對電詐活動特點，要求要避免不法分子“利用電信網絡技術手段，通過遠程、非接觸等方式，詐騙公私財物”。“可以收集異常客戶互聯網協議地址、網卡地址、支付受理終端信息……”則是專門針對電詐場景提出的措施。

監管部門對義務機構在工作措施和數據報送上的規范是可以共享互通的。反洗錢監管部門關注包括電詐上游犯罪在內的所有洗錢上游犯罪線索，反電詐可疑交易線索屬于反洗錢可疑交易線索中的一類。相關監管部門可以明確要求商業銀行在進行反洗錢和反電詐數據報送時，保持數據報送規范和報送內容的一致性。

在商業銀行內部，反洗錢與反電詐雖由不同部門負責，但反電詐工作從其風險管理涉及的制度流程、系統監測到客戶資料管理、數據報送，都與反洗錢工作對業務條線管理的基本規范一致，反電詐工作可以也應當結合反洗錢要求，開展風險管理。

統一風險識別路徑

在反洗錢監控名單庫中建立反電詐自定義名單。對于反洗錢監控名單庫中的通用名單針對性不強的問題，解決措施是在庫中建立電詐預警自定義名單，可以參考洗錢風險管理的全視角邏輯，從地域、渠道、客戶、業務四個方面考慮。地域是指采集電詐風險高發地區名單，主要來源于各區域監管部門發布的信息；渠道是指采集不同渠道的行業名單，如反電詐部門主動向阿里、騰訊等第三方支付機構或其他具備資質的數據平臺獲取行業名單；客戶是指采集電詐可疑客戶名單，名單的來源是電詐涉案人員及本行電詐模型分析結果；業務是指綜合地域、渠道、客戶三方面的預警名單后自定義業務或產品預警名單。實際操作中，電詐自定義名單完全可以納入洗錢風險名單庫中，需要注意的是在名單使用環節要注意依法合規，對被篩查客戶履行授權使用手續。

根據場景細化“反洗錢盡職調查”指標。在應用上，反電詐盡職調查稱得上是反洗錢盡職調查的“教科書”。在按反洗錢要求開展客戶身份信息識別等日常盡職調查的基礎上，可以結合電詐特點，開展三方面的場景化盡職調查。一是調查交易目的和性質。主要用于識別不合理的開戶或激活。在反電詐識別中，可以通過工作地（或生活地）、過往史等維度進行識別。例如對社保、繳費、網購等信息進行無紙化核實。過往史主要基于行內檔案，一般設置于系統臺賬中，根據過往記載作出評價。二是調查經濟狀況或經營狀況。主要用于識別不合理的支付額度。電詐高發區在非柜面交易，因此，應通過客戶職業、客戶資產、客戶流水等維度對客戶進行非柜面交易額度識別，在客戶同意的條件下，可以將他行資產、他行流水也納入登記。三是調查資金來源和用途。主要用于識別具有電詐特征的異常交易。在反電詐識別中，可以對滿足一定數量和規律的交易對手、交易方式、交易摘要進行登記和標識，將其納入反洗錢模型體系中。

統一風險監測機制

以洗錢風險等級為總閥門進行客戶分類分級。商業銀行對客戶進行分類分級的目的是配置不同的非柜面支付限額，不論如何分類，都應以洗錢風險等級為總閥門，也就是說，非柜面支付限額要首先校驗客戶的洗錢風險等級，當風險等級對應“不允許交易”時，應阻斷分級分類的結果應用，即分類分級結果只能用于劃型不能用于交易；當風險等級“允許有條件交易”時，應適用孰嚴原則，即風險等級允許“非柜面交易”時，非柜面支付額度要同時響應分類分級限額。

將反洗錢管理系統作為模型運行入口。解決電詐模型、電詐可疑客戶另行管理等問題，就要考慮將電詐模型及客戶納入反洗錢管理系統中進行統一管理。一是將斷卡模型與反洗錢模型進行“去重翻寫”，分別對應“斷卡行動”的快速攔截要求和反洗錢管理的周期性觀測要求，分拆出事中模型及事后模型，前者可布放在反洗錢監測系統之外的具體業務平臺，以便于參數快速迭代，后者應布放在反洗錢監測系統內進行統一管理；二是所有模型均與反洗錢監測系統中的評級體系掛鉤，不論是事中模型還是事后模型，觸發模型的客戶同時要觸發評級，以避免管控錯位；三是將疑似客戶與反洗錢名單建庫進行聯動，視模型擊中類型、評級理由、管控要求等不同情況，進入黑名單或灰名單，作為后期再次擊中模型、再次調級以及管控、解控的參考，周而復始，形成對客戶及其交易進行監測的閉環管理體系。

電詐風險管理是洗錢風險管理在業務應用上的實踐案例，從案例中可以看出，不論從法規、監管還是商業銀行內部來看，洗錢風險管理與業務風險管理的關系是“面”與“點”的關系，前者是基礎管理和全面管理，后者是條線管理和產品管理；前者是基本規范，后者是場景應用。理順商業銀行洗錢風險管理與業務風險管理之間的關系，將不同業務板塊的資金流監測置于洗錢風險監測的基本框架內，從而促進商業銀行形成穩健的風險管理長效機制。

【參考文獻】

[1]王寶運.反洗錢和反恐怖融資理論與實踐[M].北京：中國商業出版社，2020.

[2]聶濤，萬江晗.大數據在反洗錢案件分析中的應用研究[J]. 金融科技時代，2022（3）：58-63.

[3]熊安邦.金融行動特別工作組反洗錢動態[J].現代世界警察，2022（10）：20-27.

[4]馮怡.風險為本反洗錢監管機制建設研究[J].金融會計，2022（5）：56-62.

[5]劉麗洪.基于洗錢風險的客戶接納與展業策略探析[C].反洗錢工作部聯席會議辦公室.中國反洗錢實務，北京：中國金融出版社，2022（2）：40-51.

[6]朱彤.以風險為本的反洗錢監測系統內部審計[J].中國內部審計，2020（5）：63-65.

[7]程相鏢，楊鼎璞.大數據賦能反洗錢[J].中國金融，2022（17）：99.

（作者系廣西北部灣銀行運營管理部總經理）

責任編輯：楊生恒