刘丽洪：发挥反洗钱监管走访的“诊断”作用

文/ 刘丽洪 中国人民银行北京市分行

本文载于《中国银行业》杂志2023年第12期

导语：我国反洗钱工作不断向纵深推进，“风险为本”的反洗钱工作理念不断深化，正处于从“规则为本”向“风险为本”转型爬坡过坎的关键阶段，亟待构建差异化、可预期、持续性的监管机制。如何充分发挥监管走访“短、平、快”的特点，及时“诊断”出金融机构反洗钱控制措施存在的重大缺陷，值得花力气探索和研究。

《金融机构反洗钱和反恐怖融资监督管理办法》（中国人民银行令〔2021〕第3号）第三十条规定，“为了解、核实金融机构反洗钱和反恐怖融资政策执行情况以及监管意见整改情况，中国人民银行及其分支机构可以对金融机构开展监管走访。”从该规定看，监管走访的目的和使命就是通过该监管措施“诊断”金融机构履行反洗钱义务的情况。我国反洗钱工作不断向纵深推进，“风险为本”的反洗钱工作理念不断深化，正处于从“规则为本”向“风险为本”转型爬坡过坎的关键阶段，亟待构建差异化、可预期、持续性的监管机制。然而，仅依靠现场检查措施，囿于有限的监管资源，以及现场检查的“刚性”要求，很难保持反洗钱监管的连续性。另外，过度或长期依赖现场检查措施，也可能降低现场检查的权威性。所以，如何充分发挥监管走访“短、平、快”的特点，及时“诊断”出金融机构反洗钱控制措施存在的重大缺陷，值得花力气探索和研究。

监管走访与现场检查的区别

频繁运用现场检查措施，无法构建差异化、可预期、持续性的监管机制。笔者认为，从反洗钱工作的规律和特点来看，无论监管部门还是金融机构，对洗钱风险的认知是一个循序渐进的过程，需要不断改进能够有效缓释相关风险的措施。反洗钱法律法规是监管部门的原则性要求，无法一一对应千变万化的洗钱风险和反洗钱工作实践。因此，现场检查虽然可以指出金融机构“形式”违法违规，却无法精准定位其背后深层次的缺陷，从而可能形成新的矛盾。监管走访有助于解决上述矛盾，对现场检查查缺补漏、取长补短。监管部门可以通过监管走访动态深入感知金融机构洗钱风险的变化，识别金融机构反洗钱控制措施存在的重大缺陷，及时归纳总结监管走访成果并发布相关监管信息，提出监管预期。从这一点来看，笔者甚至认为监管走访比现场检查更重要，且两者的目的、作用、方法、效果是有区别的。

工作目的不同。监管走访的工作目的是为了实现阶段性监管目标，通过监管走访了解或评估某行业的洗钱风险，或者“诊断”某家金融机构反洗钱控制措施的重大缺陷，了解某项特定的反洗钱监管工作事项。根据监管走访结果，发布被走访金融机构所在行业监管指引，明确该行业的反洗钱监管预期，或者下发监管警示函、监管意见书推动被监管走访金融机构的反洗钱工作。现场检查的工作目的是为了实现特定的监管目标，比如，某家金融机构出现重大风险事件，或者对监管部门指出的问题不积极整改，甚至屡教不改。对某家金融机构采取全面现场检查或者定向现场检查，并根据现场检查结果，对被检查金融机构下发责令整改通知书，对违法违规问题进行行政处罚。

工作重心不同。监管走访工作的重心是探究被监管金融机构反洗钱控制措施重大缺陷背后的体制、机制问题，并视情况提出解决这些问题的方法或方案。现场检查工作的重心是对照反洗钱法律法规，以及行政处罚裁量标准，指出被检查金融机构存在的违法违规问题，并按照有关规定固定违法违规证据，签署事实认定书。

工作组织方式不同。监管走访的工作组织方式对立项过程控制相对宽松。现场作业时间较短，调取、抽取的数据、书面资料较少，也不必取证，更多是验证有关事实。该项工作对监管人员的专业素质、综合判断能力、工作经验提出了更高要求。现场检查的工作组织方式立项过程控制严格。一般来说现场作业时间长，调取、抽取的数据、书面资料较多，需要固定违法违规证据，签署事实认定书。

对金融机构产生的影响不同。监管走访后，除非被监管金融机构存在明显的违法违规行为，否则监管部门不会对被监管走访金融机构进行行政处罚，主要是提醒、劝诫、警告。但是监管部门在下次对该金融机构进行现场检查时，会对上一次监管走访发现的问题做重点检查，如果该金融机构不积极整改，并出现违法违规问题，监管部门会对此加重处罚。现场检查后，监管部门会按照有关规定，对被检查金融机构的违法违规问题进行行政处罚并公示，并重新计算监管周期。

监管走访应着重考虑的重要事项

因监管走访与现场检查存在上述不同点，因此，在开展监管走访工作时，不能完全照搬现场检查思维。笔者认为，监管人员应着重考虑但不限于下列事项。

明确金融机构哪些反洗钱控制措施不达标将无法满足监管预期。在监管走访实施前，监管部门应根据该次监管走访的目标，一方面，明确哪些反洗钱控制措施是本次监管走访工作的重点；明确某一项反洗钱控制措施执行到什么状态，被评价为“有效”“基本有效”“部分有效”“无效”的标准；明确金融机构哪些项反洗钱控制措施“部分有效”“无效”时，将被视为反洗钱工作存在重大缺陷。另一方面，明确金融机构哪一项反洗钱控制措施无效，将被视为某一反洗钱核心义务无效；或者明确虽然多个子项控制措施“部分有效”，但是累计会导致某一反洗钱核心义务无效，无法满足监管预期。金融机构反洗钱控制措施“颗粒度”可以无限小，见仁见智。笔者认为，包括但不限于以下反洗钱控制措施存在缺陷，将对金融机构反洗钱工作产生重大影响。

一是高级管理层是否能及时解决反洗钱工作中的困难，以及部门间的分歧，并投入了相对充足的反洗钱资源；二是各部门是否知悉本部门承担的反洗钱工作角色、内容、责任，并是否积极履职；三是内部审计部门是否能够起到独立测试本机构反洗钱内控制度有效性的作用；四是承担反洗钱工作各岗位人员是否能够接受本岗位应知应会的培训；五是洗钱风险自评估工作是否能评估出本机构洗钱高风险业务条线或部门，是否能评估出各业务条线或部门的洗钱高风险产品、渠道以及洗钱高风险工作环节，是否能评估出“有价值”的缺陷，是否采取措施对评估出的风险进行缓释，并弥补缺陷；六是保障本机构不出现匿名、假名客户，不为身份不明客户提供交易的机制是否健全与有效；七是持续尽职调查机制是否能够及时发现客户身份与交易不匹配的情况，并及时更新客户身份信息；八是洗钱高风险客户强化尽职调查与管控机制是否有效，是否能够在合适的契机及时开展与客户洗钱风险相匹配的强化尽职调查措施，并根据客户的风险情况，采取相匹配的控制措施缓释风险；九是客户身份及交易资料保存方式是否便于本机构开展反洗钱工作；十是可疑交易监测标准，或者尽职调查程序是否与本机构面临的外部威胁案例相匹配，是否能够及时预警异常案例，人工分析后提交可疑交易报告；十一是反洗钱业务系统的功能是否满足现实反洗钱工作需要，各业务系统是否符合反洗钱工作标准和要求，系统间数据映射是否准确，数据同步是否稳定、及时。

监管人员可根据不同监管走访的目标，将上述十一项反洗钱控制措施中的某一项或几项，甚至全部作为监管走访工作的内容。笔者认为，当金融机构上述十一项反洗钱控制措施中有六项“无效”时；或者上述十一项反洗钱控制措施中有九项“部分有效”“无效”，且任何两项“无效”时；或者第六项“部分有效”“无效”时；或者第七、第八、第九、第十项中的任何两项“部分有效”“无效”时，可以认定该金融机构整体反洗钱工作存在重大缺陷。

选择恰当的事项与决策层或高管层沟通。决策层与高管层对反洗钱工作的认知或者态度将决定金融机构反洗钱工作的质效。监管人员应选择恰当的事项采取口头或书面方式和有关人员进行沟通，笔者认为沟通事项包括但不限于以下几点。

一是本次监管走访的背景和目的，监管走访的主要工作范围、时间安排等总体情况；二是监管部门对该机构平时反洗钱工作质效的评价；三是监管走访工作中遇到的重大困难；四是该机构反洗钱控制措施存在的重大缺陷以及改进建议；五是该机构各部门反洗钱工作履职情况；六是本次监管走访结果如不改进可能面临的风险、后果和影响。

监管人员在与决策层和高管层沟通时，应向其说明：限于“在一定的监管走访时间内”，“选择性测试方法的运用”，“该机构反洗钱内部控制的固有局限性”，“监管走访取得的证据大多数是说服性的而非结论性的”，以及“监管走访工作涉及大量人工判断”等固有限制因素，监管人员也许不能发现该机构反洗钱控制措施存在的所有重大缺陷，需要该机构在后续整改工作中“举一反三”。

笔者认为，上述有效的双向沟通十分重要，这将有助于决策层与高管层了解与监管走访工作相关的背景，并营造有建设性的工作氛围。有助于监管人员获取决策层与高管层的履职情况，比如，决策层与高管层沟通中的反应，可以帮助监管人员了解该机构及其内控环境；有助于增强决策层与高管层履行其对反洗钱工作的监督和管理责任的认识，提高反洗钱工作的水平。

需要特别提醒的是，监管人员应根据沟通事项重要程度，选择与全体决策层或高管层进行沟通，还是与下设组织（如风险管理委员会、合规管理委员会）或个人沟通，同时确保充分传递应予以沟通的内容，以便取得最好的沟通效果。另外，如果沟通中监管人员认为决策层或高管层对反洗钱工作严重缺乏认知，可考虑以适当方式向其上级公司、管理部门，或行业监管部门反映有关情况。

选择恰当的事项与各部门沟通。反洗钱工作涉及面广，几乎全员参与。业务部门、反洗钱管理部门、内部审计部门分别承担“第一道”“第二道”“第三道”防线的工作职责。监管人员应选择恰当的事项与各部门沟通，以便强化其工作职责。

首先，督促业务部门承担反洗钱“第一道”防线工作。业务部门承担本机构洗钱风险管理的直接责任，是本机构反洗钱工作的第一道防线。业务部门划分客群部门、产品部门、渠道部门、后援支持部门等。各业务部门根据自身条线面临的洗钱风险，以及自身条线在本机构反洗钱工作体系中的作用，制定相应的工作职责，并将相应的反洗钱控制措施嵌入本条线的业务管理流程中。为此，笔者认为沟通事项包括但不限于以下几点。

一是本部门对本业务条线当前外部威胁或面临的洗钱风险的认知是否有偏差；二是本部门对当前外部威胁或面临的洗钱风险，涉及本部门洗钱高风险客户、洗钱高风险产品或渠道、洗钱高风险业务环节的认知是否有偏差；三是本部门为应对当前外部威胁或面临的洗钱风险，涉及本部门洗钱高风险客户、洗钱高风险产品或渠道、洗钱高风险业务环节，采取了哪些控制措施，效果是什么；四是本部门如何开展本业务条线洗钱风险自评估的，向反洗钱管理部门或其他业务部门提供了哪些风险信息；五是本部门对本业务条线下级单位反洗钱工作支持、管理、检查、培训情况是否到位，培训内容是否贴近反洗钱工作“实战”的要求；六是本次监管走访结果的整改建议。

其次，督促反洗钱管理部门工作起到牵头抓总的作用。反洗钱工作不只是“反洗钱管理部门的工作”，对反洗钱工作既不能“大包大揽”，也不能简单当“二传手”。为此，笔者认为沟通事项包括但不限于以下几点。

一是反洗钱管理部门在该机构中的地位，以及相关政策和程序是否足以支持其开展工作；二是反洗钱管理部门对本机构当前外部威胁或面临的洗钱风险的认知是否有偏差；三是反洗钱管理部门对本机构当前反洗钱控制措施存在的缺陷是否有一定的认知，是否将相关情况向本机构决策层、高管层做了汇报；四是反洗钱管理部门是否有效传导相关监管法律法规，以及结合本机构实际推进落实情况；五是反洗钱管理部门对本机构反洗钱内控制度执行监督检查覆盖面是否与本机构的规模相匹配；检查发现的问题与对本机构当前反洗钱控制措施存在缺陷的认知是否匹配；六是反洗钱管理部门对本机构反洗钱绩效考核和奖惩机制执行的评价、调校、完成情况；七是本次监管走访结果的整改建议。

最后，督促内审部门独立测试反洗钱内控制度的有效性。金融机构决策层和高管层有责任按照相关法律法规设立与本机构规模及业务性质相适应的内部审计部门并保证其有效运行，以便对本机构的反洗钱内控制度的有效性和执行情况进行独立、客观的审计评价。为此，笔者认为沟通事项包括但不限于以下几点。

一是内部审计部门是否独立于反洗钱业务活动，并独立于日常内部控制过程；二是内部审计部门在本机构中的地位以及相关政策和程序是否足以支持内部审计人员的客观性；三是内部审计人员是否有胜任能力开展反洗钱业务活动审计；四是内部审计是否采用系统、规范化的方法；五是以往反洗钱工作内部审计的范围、覆盖面是否与本机构的规模，业务复杂程度，洗钱风险自评估结果相匹配；六是以往内部审计发现的问题是否与当前监管检查、监管走访结果大致相符；七是以往内部审计发现的问题整改情况；八是对内部审计工作部门的工作建议。对监管走访现场工作的建议

监管走访的主要目标是，通过了解被监管金融机构及其环境，“诊断”出该机构反洗钱控制措施存在的重大缺陷，从而为采取下一步监管措施提供依据。为此，监管人员应当在监管走访非现场准备和现场作业时，采取相应的识别和评估程序，笔者认为应做好以下工作。

非现场准备。监管人员应考虑从以下方面了解被监管金融机构及其环境，以及该机构反洗钱工作质效，预先判断该机构反洗钱控制措施可能存在的重大缺陷，并设定工作重点，分配监管资源。

一是该机构所在行业发展状况、法律环境和监管环境及其他外部因素；二是所在行业洗钱风险评估结果，该行业面临的外部威胁、洗钱风险，以及典型的金融犯罪案例；三是该机构的性质，所有权结构，组织结构，治理结构，经营情况等；四是该机构的洗钱风险自评估报告，反洗钱内控制度等非现场监管资料；五是历次监管活动的结果及对该机构提出的监管意见。

值得注意的是，如果拟利用被监管金融机构上述过往信息，监管人员应当确定该机构面临的外部威胁、洗钱风险，以及反洗钱工作质效是否已发生变化，是否与该机构的实际情况相符，进而可能影响这些信息对本次监管走访的相关性。

现场作业。在监管走访中监管人员通过查阅资料和询问（访谈）程序获得信息，这些信息都要通过分析与核验程序才能“落地”“采信”。本文主要讨论询问（访谈）、分析与核验程序。

询问（访谈）。根据被监管金融机构的具体情况，以及监管资源分布，监管人员决定询问高管层、业务部门、反洗钱管理部门、内部审计部门中的哪些部门或具体人员。应特别注意选择作为部门或人员的询问对象，监管人员判断因素是哪些部门或人员的职责或其掌握的信息有助于识别和评估被监管金融机构反洗钱控制措施存在重大缺陷。

一是监管人员在询问时，了解该机构与反洗钱工作相关的信息，在有限的询问时间内不能“跑题”。虽然有时候被询问对象介绍的信息与本机构的反洗钱工作相关，但监管人员并不能直接根据这些信息锁定该机构反洗钱控制措施存在重大缺陷，需要监管人员做出专业判断是否及时引导或打断询问对象的谈话；二是监管人员应当综合运用询问和其他识别程序，以评估询问得到的信息是否真实；三是监管人员在询问中具体把握的要点，请参见本文的第二部分。

分析与核验。在分析与核验时，监管人员不能“就事论事”“只见树木不见森林”，不分清楚是偶发问题还是普遍性、系统性问题。监管人员应当考虑金融机构控制措施缺陷的层级性，深挖产生缺陷的底层逻辑。在反洗钱现场检查惯性思维的影响下，在监管走访时，监管人员容易偏离工作重心，投入大量监管资源发现违法违规问题，却没有深挖表象背后的机制性问题。例如，某监管人员在监管走访时，通过大数据分析，发现某机构50个洗钱高风险客户强化尽职调查不到位，得到对方确认后，即完成此项工作。从现场检查角度看，“战果”辉煌，但从监管走访角度看，应首先看该机构是否存在洗钱高风险客户强化尽职调查的管理机制；分析该机构洗钱高风险客户强化尽职调查管理机制的科学性、有效性、统一性；在此基础上，核验该机构洗钱高风险客户强化尽职调查的管理机制是否得到充分的执行。再例如，某监管人员在监管走访时，通过大数据分析，发现了某机构5000个匿名、假名客户，然后得到对方确认，即完成了此项工作。然而从监管走访角度看，应首先看该机构核实客户身份的机制是什么？分析该机制如何做到“人与证件相符”“证件与官方验证信息相符”，在运营中如何一以贯之的执行？如果该机制下产生匿名、假名客户，这些匿名、假名客户交易特征是什么，是否涉及可疑交易等现实或潜在风险。该机构为何未能识别出上述控制措施存在重大缺陷，监管人员应当了解其中的原因，并评价该业务涉及部门履职的有效性，或者确定与产生重大缺陷相关的内部控制是否存在值得关注的、深层次的内部控制缺陷。

在监管走访工作中，充分、广泛的讨论能及时纠正一些主观判断偏差。为此，一方面，现场作业过程中及时讨论各小组交叉业务情况；另一方面，主查人和组内其他关键成员应当讨论被监管金融机构反洗钱控制措施存在缺陷的性质和程度，以及整改建议，并将此讨论结果与被监管走访金融机构有关部门或人员继续讨论，使监管走访结果进一步客观公正且有指导性。

（本文仅代表作者个人观点，与所在单位无关。本文原载于《中国银行业》杂志2023年第12期。）