【反洗钱研究】对洗钱高风险客户强化尽职调查的几点再思考

  对洗钱高风险客户强化尽职调查（以下简称“强化尽职调查”）是金融机构贯彻“风险为本”反洗钱工作理念的集中体现，既是反洗钱履职中的难点，也是监管部门现场检查的重点，且处罚金额较高。近年来，从工作实践来看，金融机构普遍提高了对洗钱高风险客户管理工作的重视程度，有些机构还为此投入了相当多的资源，强化尽调工作大有改观。然而，不能忽视的是部分机构相关工作依然进展缓慢，部分机构甚至涉嫌规避监管。为此，监管部门积极作为，不断尝试进一步推动此项工作。例如，北京地区的反洗钱监管部门下发了《中国人民银行营业管理部关于洗钱高风险客户强化尽职调查典型问题的通报》（银管发〔2022〕49号），指出金融机构在洗钱高风险强化尽调机制建设和实际执行等方面均存在缺陷。本文结合该通报，阐述了当前金融机构强化尽调存在的典型问题，分析了问题成因，并给出工作建议。
  洗钱高风险客户强化尽职调查典型问题
管理机制尚不完善。从当前来看，部分金融机构并没有建立完善的强化尽调工作管理机制。一方面，客户归属不清楚，金融产品归属不清晰。各业务条线、分支机构的职责分工不明确。或者虽然划分了客户和金融产品归属，但没有明确牵头部门进行管理协调，导致各自为战，效果大打折扣。另一方面，缺乏科学、动态的洗钱高风险客户管理机制，要么“粗暴”地批量调低客户洗钱风险等级，要么无法精准调低某些客户洗钱风险等级。例如，对服刑完毕“红通人员”未及时调低其洗钱风险等级。此外，未对强化尽调工作流程、履职要求、可采取的控制措施等方面做细化规定，内控制度缺乏可操作性。
未建立后评价机制。目前，金融机构普遍未建立洗钱高风险客户管理的后评价机制。合规和内部审计的“工作触角”尚未实质抵达洗钱高风险客户管理工作，容易导致如下问题：其一，客户洗钱风险评级标准不科学难以纠偏。金融机构没有及时根据外部现实威胁评估、调整评级标准。例如，客户被评为“高风险”的原因集中于“涉及司法查冻扣”等外部风险事件，客户洗钱风险等级评定却未有效实现“风险预警”；客户风险等级划分标准存在与法规要求、内控制度或业务实际不符的情况。其二，客户洗钱风险评级方法不科学难以纠正。未能及时根据洗钱高风险客户的质量，调整客户洗钱评级标准分值、权重或改变评级方法。例如，某金融机构的评级方法，几乎无法评出最高洗钱风险等级客户。其三，难以发现客户洗钱风险评级系统功能运行异常情况。例如，部分业务系统未提取客户洗钱风险评级所需的底层数据；评级系统未有效抓取部分业务系统相关数据；评级系统功能运行不稳定，导致无法有效实现部分评级标准；未以客户为单位进行统筹管理，导致同一客户在不同业务系统中对应不同风险等级。其四，难以发现客户洗钱风险评级制度执行异常情况。例如，部分金融机构内控制度规定，涉及“营业执照登记的法定代表人与公司留存的法定代表人不一致”“法定代表人或授权办理业务人员身份证号码不符合编码规则”“同一客户开立多个账户，频繁发生大额可疑交易”等情形的客户应评为“高风险”。但实践中，相应客户并未被有效识别且评为高风险等级，也未按规定对上述客户开展强化尽职调查。其五，难以发现对洗钱高风险客户控制不到位。例如，对某些存在出租出借账户可能、交易持续活跃、累计交易量巨大的客户，未根据强化尽职调查结果，采取与风险相适应的控制措施，仍为其提供无差别金融服务；或者对洗钱高风险客户采取暂停非柜面业务措施时，仅暂停了网银业务，忽视了ATM、快捷支付、网关支付、代扣业务、POS机等渠道或金融产品，甚至出现银行账户销户后，立即新开银行账户，并发生大量可疑交易的情况；又或者从洗钱高风险客户出现风险事件，到下达控制指令，直到采取控制措施，间隔时间较长，洗钱风险进一步蔓延。更有甚者，个别金融机构在外围业务系统实施控制措施，自认为控制了洗钱高风险客户，但实际控制无效，在核心业务系统中仍然发生了“被控制”的交易。
强化尽调质效较低。一是强化尽调后，客户身份信息仍存在较多疑点。例如，客户尽职调查表中的客户身份信息填写不全；系统登记的客户身份信息与客户留存证件（如营业执照）信息不一致；系统登记信息与其他渠道（如国家企业信用信息公示系统）信息不一致，未见合理理由；不同系统、不同条线留存的客户尽职调查信息不一致，未见合理理由；同一客户不同次尽职调查得到的信息前后矛盾，未见合理理由。二是强化尽职调查后，客户资金来源、资金用途、经济状况或经营状况，以及交易情况仍不清楚。例如，客户尽职调查表中的上述字段存在大量空白；交易情况仅见罗列统计数据；“资金用途”简单填写为“网银转账”等无效信息；“经济状况”“经营状况”在未开展尽职调查的情况下，直接填写为“0”或“未知”。三是强化尽职调查后，对客户洗钱风险状况判断仍不准确。例如，未统筹分析客户身份和资金交易是否匹配；未充分分析疑点，未考虑回溯期内客户涉及司法查冻扣、可疑交易报告、负面舆情等因素，对客户当前的洗钱风险状况判断不准确。
片面追求“调”或“控”。对洗钱高风险客户强化尽职调查，本质是通过调查得到结果，了解客户的洗钱风险等级，判断风险是否可控，进而决定是否采取相应的控制措施缓释风险，防止风险蔓延。实践中，部分金融机构要么片面追求强化尽职调查措施，要么片面追求控制措施。例如，某金融机构对某类客户未经强化尽职调查程序，就对该类客户的银行账户统一采取“只收不付”的控制措施。
混淆了制裁类客户和洗钱高风险客户的概念。目前，在FATF的标准范围内，制裁类客户是指根据联合国第1267号决议及后续决议和第1373号决议，第1737号决议涉及的“特定金融制裁”“特定行动金融禁令”类客户。此类客户产生的原因和机理与洗钱高风险客户不同，金融机构在管理此类客户时也需要客户尽职调查等相关工具，易导致对两者概念的混淆。此类客户应由制裁管理团队单独管理。金融机构仅仅将制裁类客户划归为洗钱高风险等级是错误的，导致本机构无洗钱高风险客户，此种做法涉嫌规避监管，故意压低客户洗钱风险等级，异化了客户洗钱风险评级工作。
  洗钱高风险客户强化尽职调查典型问题的查找与分析
对自身洗钱风险认识不深。从当前情况来看，一方面，部分金融机构业务部门尚未完成客户洗钱风险归属管理，制约了强化尽调工作；另一方面，业务部门对本业务条线面临何种外部威胁和洗钱风险，何种身份特征的客户利用何种产品或渠道进行金融犯罪，以及需要采用何种控制措施缓释风险并不十分清楚。此种状况导致强化尽调工作靶向性不足，进而致使其职责不清晰；此外，强化尽调工作需要总分机构间、客群部门间、产品渠道部门间、业务系统间有很好的联动和协调，否则也会制约此项工作。
初次尽职调查质量不高。当前，囿于客观条件，部分金融机构在与客户建立新的业务关系时，尽职调查只停留在“身份证识别”水平，无法从根本上支撑起客户洗钱风险等级评级的需求。金融机构无法在“事前”精准识别出洗钱高风险客户并加以关注，而是普遍采取“守株待兔”的做法，等待客户出现风险事件（例如出现司法查询）才调高洗钱风险等级，这导致强化尽调工作时效、质效较差。
技术支持能力不够。当前，部分金融机构反洗钱管理系统中的洗钱高风险客户管理模块功能不健全。即使功能健全，洗钱高风险客户管理工作往往涉及金融机构多个业务系统，各业务系统的数据质量也制约了反洗钱管理系统功能的发挥。例如，洗钱风险等级评定部分功能未能在系统中实现，根本上往往是因为底层数据质量不能满足反洗钱管理系统稳定运行的要求。金融机构业务系统的架构普遍较为复杂，反洗钱管理系统一般需要从多个业务系统采集数据，但部分业务系统在设计时未充分考虑反洗钱工作的需求，或者需要通过较为复杂的逻辑和路径获取数据，易导致只能获取部分数据，甚至是数据失真；或者部分数据受制于外部清算渠道，影响业务系统数据映射至反洗钱管理系统的准确性。从而导致金融机构在反洗钱管理系统里虽然设置了洗钱高风险客户管理模块，但该模块并不能稳定或可靠运行。
人力资源配置不足。强化尽调是业务部门或者分支机构一项长期存在，且越来越重要的工作，需要金融机构提供专门的人力资源保障。在基层营业网点或客户经理数量不断被压缩的情况下，特别是需要大量采用现场勘查核实有关情况时，人力资源不足的矛盾将更加突出。在此种情况下，强化尽调的质量很难保证。
  对金融机构开展洗钱高风险客户强化尽职调查的建议
笔者在《反洗钱行政处罚重灾区，金融机构对洗钱高风险客户管控缺失》一文已经提过有关建议，在此再提四点：
以自评估为基础，建立有效的管理机制。按照“利”“责”相统一原则，将客户、金融产品和渠道分配到具体业务部门进行管理。在此基础上，各业务部门以本业务条线洗钱风险自评估为工作源头，以现实的外部威胁案例为导向，不仅要研究犯罪分子的身份特征，还要研究犯罪分子利用本行业、本机构何种金融产品和渠道进行金融犯罪，将自评估工作做细做实，切忌“掩耳盗铃”压低“剩余风险”，应“理清家底”，识别出“风险点”，由此才能建立更有效的洗钱高风险客户管理机制。也许按照“利”“责”相统一原则，将客户、金融产品和渠道分配到业务部门的过程会非常“痛苦”，但是不经历这一“蜕变”，金融机构的反洗钱工作很难“化蛹成蝶”。
以风险和成本为依托，制定科学的管理策略。对洗钱高风险客户采取强化尽职调查措施的初衷，是为了了解客户洗钱风险程度；而对洗钱高风险客户采取控制措施的初衷，是为了缓释客户洗钱风险，强化尽职调查措施和控制措施两者之间的关系是互补的，不宜单一强调某一方面。建议金融机构以洗钱风险为基础，细分客户群组。例如，将客户组群划分为洗钱高风险正收益客户、洗钱高风险负收益客户等，制定具备可操作性的洗钱高风险客户强化尽职调查与控制措施标准或预案，指导工作人员找准风险点、聚集尽职调查方向。在此过程中，既要考虑成本（不能不计成本地每次都对客户进行“查家底”式的调查），更要讲求效率，准确地判断风险程度，进而精准施策，选取与客户风险相适应的控制措施缓释风险。当洗钱高风险负收益客户触发审核契机，采用低成本强化尽职调查措施后，如果认为客户风险可控，则不必采取控制措施，或采取低强度的控制措施，等待下一次审核触发契机。如果认为客户风险不可控，可采取相应的控制措施缓释风险后，等待下一次审核触发契机，或直接采取最高强度的控制措施。
那么，什么是高或低成本的强化尽职调查措施呢？如何根据不同的风险程度采取不同强度的控制措施缓释风险呢？限于文章篇幅，有机会后续讨论。
以现实需求为依据，调整和加大合规资源投入。在当前外部威胁越来越职业化、专业化、组织化的趋势下，仅依靠柜员或客户经理“单打独斗”，抱守传统合规思维无法应对。笔者建议，金融机构可以考虑建立“横向”到边，“纵向”到底的合规组织架构。一方面，考虑在总部或省级分支机构建立专业的尽职调查团队，充分利用外部或本机构后台数据，提高强化尽调的精度和效率；另一方面，考虑在剩余风险较高的业务条线，以及基层网点设立专职的合规人员，提高强化尽调的专业性和持续性。一支专业、充足、稳定的反洗钱队伍是做好一切反洗钱工作的基石。
以阶段性进步为目标，持续开展数据治理。对金融机构来讲，数据治理“一直在路上”，否则金融机构数字化战略转型就是一句空话。数据治理不止是对客户信息或字段信息的完善，更重要的是拔掉数据“烟囱”，互联互通各业务系统数据，优化系统架构，统一数据标准，建立数据检校机制等，开展这些工作是久久为功的过程，不能急功近利，而是要通过不断提高数据质量，不断优化反洗钱管理系统，把强化职调工作持续向前推进。
 
文章作者：刘丽洪（中国人民银行营业管理部）
本文载于《中国银行业》杂志2022年第9期