陈敏婧/文
银行都知道必须定期提交IRA报告(Institutional Risk Assessment,机构洗钱与恐怖融资风险评估),IRA报告除须具备固有风险评估、控制措施有效性评估、剩余风险评估三项主要内容外,今年1月份人民银行反洗钱局发布了银反洗发〔2021〕1号文《法人金融机构洗钱和恐怖融资风险自评估指引》,其中“控制措施有效性评估”内容,要求须包括“反洗钱内部控制的基础与环境、洗钱风险管理机制有效性、洗钱风险特殊控制措施评价”三大重点。
很明显,人民银行认为银行采取的洗钱风险控制措施越有效,就越能在早期发现并有效降低洗钱风险,一般来说,银行针对洗钱风险的控制措施有效性,可分为低、中、高三类,并以权重法作为风险评估计算标准,银行在分配权重时,要注意平衡各项指标对所属控制措施的影响力,才能确保重要指标被分配到较高权重,这样才能真正反映出银行洗钱风险及须加强的反洗钱工作重点所在。
此次1号文要求的控制措施有效性第一个内容“反洗钱内部控制的基础与环境”,银行可以理解为须从机构整体层面去审视反洗钱控制措施的有效性为何?并细分为以下六个角度进行说明。
1.董事会与高级管理层对洗钱风险管理的重视程度
如何证明银行高层对反洗钱工作重视的程度?例如洗钱风险评估的政策、流程、方法论、风险评估结果等,都应由董事会与银行高管层核准,同时还应设立由行长领导的专责委员会,建立起足以负责督导反洗钱工作的组织架构,促使银行内部建立完善控制和辨识洗钱风险的机制。
2.评估反洗钱管理机制运转情况
在人民银行反洗钱局2018年19号文《法人金融机构洗钱和恐怖融资风险管理指引》中,已经要求银行须建立不同层次的洗钱风险报告制度,此次1号文则要求银行须针对洗钱风险报告制度进行评估,以了解银行本身在例如可疑交易申报数量及趋势、高风险客户总数量及新开户数量等可量化指标。
3.反洗钱管理部门的权限和资源分配情况
报告中须说明银行在反洗钱工作上所配置的人力资源、负责人层级,是否具备直接向行长报告的沟通渠道等。
4.信息系统建设和数据整合情况
由于银行反洗钱工作特别依赖IT系统,因此报告中须评估反洗钱部门在信息获取、整合客户与交易信息上的IT能力,由IT所构建的信息系统对反洗钱工作成效非常重要。
5.业务条线部门落实反洗钱政策力度
银行还须评估内部是否已将反洗钱工作纳入内部审计和检查工作的范围,是否在发现问题后已提出整改意见,是否已建立起相对应的追踪机制,尤其是针对高风险国家(地区)是否已加强反洗钱内部审计的频率等。
6.建立培训机制
银行对于反洗钱工作是否已针对不同岗位、不同需求建立培训机制,包含记录培训时间、测试、未参加培训人员的后续培训追踪等。
控制措施有效性须包含的第二项内容,是银行要评估内部洗钱风险管理机制的有效性,其中又可细分为九项重点。首先是银行须充分了解自身面临的洗钱风险,若有境外分支机构,则须通过对所在地国家或地区的风险评估,或采用巴塞尔反洗钱指数排名,掌握当地面临的洗钱上游犯罪特点。
其次是分析银行在客户身份识别、资料和交易记录保存,及以客户为单位的交易监测等反洗钱政策制定情况与风险匹配度。
第三是银行须从制度层面审视内控制度是否有随法令更新而及时调整,是否已按2019年银保监1号令要求,将洗钱风险纳入银行全面风险管理体系,确保反洗钱控制措施已嵌入业务条线。
第四是根据FATF(金融行动特别工作组)40项建议中的第18项要求,集团层面的洗钱风险管理须保持统一,集团内部须共享反洗钱信息;第五是评估反洗钱与业务部门间的沟通机制和信息交流情况;第六是分析银行在客户身份识别方面,在持续辨识过程中,有没有忽略完整的客户身份识别工作范围;第七是从大额和可疑交易申报角度,审视模型和指标设置的合理性,并对交易监测标准的量化指标不合理情形进行分析汇总制度;第八是交易记录保存完整性如何?是否具备调阅便利性;最后一个重点是银行是否已建立反洗钱名单筛查机制的有效性,若监控名单采用模糊比对,比如文字顺序颠倒、使用别名、名字缩写等,则应记载模糊比对测试的数据基础,确保在有效性和有效率性之间取得平衡。
(本文作者系上海富拉凯律师事务所银行风险合规部中国执业律师)