本文基于对银反洗发[2021]1号《法人金融机构洗钱和恐怖融资风险自评估指引》的解读,从“方法论”的角度,提供了一套基础的评估方法步骤,仅供参考,实务操作需根据机构实际情况,以机构内部的政策及操作为准。
背景
二、洗钱风险认识
1、认识维度
2、存在问题
三、洗钱风险评估
1、评估方法与步骤
第一阶段:评价“固有风险”
背景
风险为本,Risk-Based Approach,简称RBA。反洗钱和反恐怖融资风险管理当中的这一概念,源于2012版FATF新40项建议《FATF Recommendations 2012》。在建议10的注释
项下,明确列示了高、低风险的参考项目。例如客户风险因素(Customer risk factors)下,非居民客户(Non-resident customers)属于潜在高风险因素之一。
巴塞尔委员会在2012版的《有效银行监管的核心原则》(CorePrinciples for Effective Banking Supervision)的
章节中,同样提出了风险为本的概念
【1】
。
银反洗发[2021]1号《法人金融机构洗钱和恐怖融资风险自评估指引》(以下简称《指引》)中,明确了《指引》是为了加快法人金融机构反洗钱工作向“风险为本”转型。
一、“认识风险”与“评估风险”的关系
风险为本,从机构角度而言,首要强调的仍是对“洗钱和恐怖融资”风险的认识,那么应当如何认识这一风险?评估,是其中的一种方式或者手段。
对于风险的“认识”和“评估”,这两者是密不可分的。
"评估",实质上是将可量化、或者可推导定性的因素,更加直观地将机构可能面临的洗钱或恐怖融资风险结果予以呈现。
而“认识”,是作为评估的前提条件。换言之,认识你的客户,其所处地区、所在行业、从事职业、持有产品、交易渠道等是否可能成为潜在的风险暴露“盲点”,将这些盲点予以揭示的过程,正是“评估”。评估过程的外在表现,是“评价或评级的结果”。
认识和评估风险的原则,是围绕潜在“高风险”这个总体的导向,该如何理解这个导向?
纵观《法人金融机构洗钱和恐怖融资风险自评估模板》(以下简称《自评估模板》),其中大部分的参考因素,是从可能产生风险的角度进行的衡量,例如当地是否属于较高风险国家和地区、客户属于高风险行业或职业的数量、是否属于洗钱类型手法的产品业务等等。
因此,“认识风险”和“风险评估”的关系或者逻辑顺序如下图。
二、洗钱风险认识
1
、维度
对于洗钱风险的认识,从动态的洗钱“行为”和静态的“风险”认识两个方面展开。
•
洗钱行
为。
通常分为处置、离析、融合三个阶段,在此不做赘述。从金融机构的角度来看,在实施该行为中,机构可能会被不法
分
子利用,成为资金流转(黑钱洗白)的“通道”。
因此,从预防洗钱风险的角度出发,现行《反洗钱法》的义务主体包含“在中华人民共和国境内设立的金融机构”和“按照规定应当履行反洗钱义务的特定非金融机构”,并在第三章中详细列举了机构应当履行的义务。
洗钱行为本质上属于一种外部客观现象而存在,当然,一些洗钱行为也可能通过类似于地下钱庄,即非官方的通道而实施资金转移,从而达到黑钱洗白的最终目的。
•
风险认识。
洗钱风险主要包括三个构成要素:(1)洗钱行为或相关事件属于一种客观存在;(2)金融机构可能暴露于该风险下;(3)由于风险暴露而导致的可能的损失。该损失主要源于两方面:ⅰ. 金融机构因未遵守反洗钱相关法律法规而导致的直接损失;ⅱ. 因洗钱和恐怖融资风险管理不善而导致的声誉影响。
2
、问题
对洗钱和恐怖融资风险认识不足有多方面的原因。
首先,
风险虽然客观存在,但不必然发生,不必然发生意味着损失不必然存在;
其次,
从“客户”角度而言,没有完全一模一样的客户,个体差异导致了难以用标准化的尺度衡量“风险”程度。举例来说,同样来自伊朗的客户,可能一个是从事与石油贸易相关的,而另一个可能是单纯的留学生或者打工族。当然,FATF对于国家风险的评估,是识别国家风险的主要信息来源,这是另外一个方面;
最后,
对洗钱和恐怖融资风险的控制往往并不能产生直接的效益。从金融机构内部来说,对风险的防范分两种,一类属于风控方向,另一类属于合规方向,这两种不同的方向往往对应着不同的资源支持和投入。
三、洗钱风险评估
风险评估的方法,核心思路是通过量化风险项目(以数据采集为基础),结合定性指标的评判结果,综合对机构自身洗钱和恐怖融资风险等级进行评价。
1
、评估方法与步骤
根据《指引》条款,结合《自评估模板》,风险评估步骤如下:
第一阶段:评价“固有风险”
①
第一步,
将客户划分为“基本客户群体”和“特定客户群体”,
分类的目的,
是为了对完成分类的客户进行“固有风险评价与评级”。解释如下:
•
“固有风险评价与评级”是指“对该类客户固有风险的
总体评价
、风险点剖析和评级”,评价结果
应包含
“总体风险的评价”,并给出相应的风险评级。
•
示例:以“客户风险”为例,可以将客户划分为特定客户群体,如政治公众人物客户、非居民客户。
②
第二步,
根据客户数量、交易金额占比、身份信息完整程度、客户了解程度等,形成对该类客户、
每一个维度(风险点)项下
的固有风险评价与评级,评价内容
应包含
“主要风险点的分析”和对应的风险评级。解释如下:
•
“维度”与“风险点”的关系解释。
《自评估模板》中将风险维度划分为地域、客户、产品和渠道四个大类,《指引》原文条款中的“维度”表述,均是基于上述四个大类而展开。但四个大类下的“风险”如何计量?通过
“风险点”(即《自评估模板》中的“参考因素”)
进行细分和量化。
•
示例:以“客户风险”为例,“非居民客户”数量以及该类型客户账户的交易金额可以构成一个细分的风险点项目,并可通过取数方式实现量化。
第二阶段:评价风险管理措施
③
第三步,
对机构“内部控制基础与环境”进行评价,例如:(1)董事会与高级管理层对洗钱风险管理的重视程度;(2)反洗钱管理层级与架构,管理机制运转情况等;(3)反洗钱工作主要负责人和工作团队的能力与经验等
6
个方面。
④
第四步,
对机构“洗钱风险管理机制有效性”的评价,例如:(1)机构洗钱风险管理政策制定情况;(2)反洗钱内控制度与监管要求的匹配程度,是否得到及时更新;(3)客户尽职调查和客户风险等级划分与调整工作的覆盖面等
10
个方面。
⑤
第五步,
对“特殊内控措施”进行评价。包含:(1)当地分支机构反洗钱合规管理部门设置与人员配备;(2)当地分支机构执行总部反洗钱政策情况;(3)当地分支机构接受反洗钱监管检查、走访情况和后续整改工作等
22
个方面。
⑥
第六步,
“分类控制措施有效性评级”的结果是如何形成的?以“非居民客户”为例,“特殊内控措施”包括对“对该客户群在建立业务管理、持续监测和退出环节的特殊管理措施,包括强化身份识别,交易额度、频次与渠道限制、提高审批层级”,最终形成“
分类控制措施有效性评级
”。
⑦
第七步,
“维度控制措施评价和评级”是如何形成的?汇总上述第二步每个维度(风险点)下的“分析与评级结果”,经过第三步至第五步的“风险缓释”以后,最终形成“
维度控制措施评价和评级
”。
第三阶段:评价“剩余风险”
⑧
第八步,
“分类剩余风险”=①-⑥
。注:上述步骤③、④和⑤中列举的“控制措施”,是最终形成⑥“分类控制措施有效性评级”的条件。
⑨
第九步,
“维度剩余风险”=②-⑦
。注:上述步骤③、④和⑤中列举的“控制措施”,是最终形成⑦“维度控制措施评价和评级”的条件。
⑩
第十步,
对照《剩余风险方法》矩阵,计量机构整体及不同维度的剩余风险等级。即,
最终需要形成“定性”评价结果。
2
、其他关键条款
•
第十六条,“
对不同地域、客户群体、产品业务、渠道有特殊控制措施的,可以在评估时分别考虑以下因素:……在评估过程中,可采取映射方式反映同一控制措施与不同固有风险之间的对应关系,实现对不同维度控制措施有效性和剩余风险的差别化评估”。
即,
地域、客户、产品和渠道四个大的维度,不同机构的风险偏好不同。解释如下:
a. 纵向来看,
假设存在A、B两家机构。A机构可能相对“地域风险”较弱(例如来自高风险国家或地区的客户较少),而B机构由于该类客户相对A占比较大,则针对该类型客户(来自高风险国家或地区),B机构的控制措施有效性和剩余风险不能与A机构以同样标准衡量。
b.
横向来看,
在单一机构内部,针对“证件过期类型客户的控制措施”,境内客户相对境外客户,证件信息更新的周期相对可能更短,因此,针对不同类型的客户而言,虽然“证件过期”对应着未来时点账户存在“只收不付”或“不收不付”的控制措施,但依据客户群体自身的固有风险不同,最终剩余风险的评价结果可能不同。
•
第十九条,
风险等级原则上应分为
五级或更高
。机构规模较小、业务类型单一的机构可简化至不少于三级。规模越大、结构越复杂的机构,其设定的风险等级应当越详细。
•
第三十一条,
法人金融机构对新产品、新业务和产品业务中应用新技术有更详细、更严格评估机制的,可直接将该评估结果引用或映射至对新产品业务类型的专项评估当中。
3
、注意事项
3.1
关于计分模式
总体自评估政策原文和模板中,未见“计分”模式的描述。无计分,意味着难以量化并进行“定性”的评估和衡量,对机构来说,可以对比参照的是《法人金融机构洗钱和恐怖融资风险评估管理办法(试行)》(银反洗发〔2018〕21号),该文中的风险评估采取的量化“分值”并计算的方式。
3.2
关于风险偏好
此外,关于风险评估中的“偏好”问题。
偏好,往往导致了在量化或者定性指标的过程中,可能存在一定的人为因素偏差。偏好,可能源自于对一些关键客户或者重点客户的准入,也可能源自于对一些高风险账户的管控,即,
“偏好”往往是由一些相对“特殊”的“客户”或者“业务”决定的。
因此,从这个角度来说,解决人为“偏好”导致的评估误差,最佳实践是通过一些数据或者事实验证的方法来进行闭环验证。
以下“评分示例”中将予以说明。
3.3
关于高风险行业/职业
在《自评估模板》表中,高风险行业/职业属于“客户”维度下的参考因素。但结合现实情况来看,哪些行业可以定义为高风险行业?
根据FATF等机构定义的“高风险行业”,例如废品收购、艺术品拍卖/收藏、交通工具经销商等,对标国民经济“标准行业”中的分类结果如下表:
从洗钱和恐怖融资风险评估的视角来看,需要明确国内反洗钱监管体系下的“高风险行业”具体指向哪些行业,才能明确这一指标的取数口径。即,
取数口径的定义清晰,才能确保数据分析、评价的结果准确。
4
、评分示例
以个人客户(基本客户群体分类的其中一种),将《模板》中的12项固有风险参考因素拆解成下表:
根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)中的四级指标权重评分法,该方法中的核心之一是
确定各指标的“分值”和“权重”
。不论单一指标的“分值”或“权重”是源于数学模型检验,还是专家经验评估,需要考虑的是,最终的评分结果是否可以精确衡量机构的洗钱风险。即,
评估的结果需要支持数据验证或者事实验证。
