探析非银行金融机构在强监管周期下的反洗钱管理系统建设

刘真言

近年来，境内金融监管机构对于金融机构反洗钱监管力度不断加大、监管要求也随之日益细化，纵观 2018年以来印发的反洗钱监管法规要求，反洗钱系统建设作为金融机构开展反洗钱工作的必备资源配置，不断高频出现在名单监控、可疑交易监测等反洗钱各项核心工作要求中，甚至监管机构向金融机构开出的罚单中也不乏与其相关的事项。推进反洗钱系统建设，对于以银行业为代表的大型金融机构来说已是一个老生常谈的话题，其发展进程也早已从搭建起一套较完整系统体系的初级阶段进阶至不断完善监测标准与管控细节的夯实提升阶段，但对于规模较小的非银行金融机构，鉴于其自身洗钱固有风险较低、在反洗钱管理投入方面预算有限、公司整体系统化建设尚在初级阶段等原因，反洗钱系统建设工作开展速度一直较为迟缓。笔者结合自身在非银行金融机构从事7年反洗钱管理工作并牵头建立健全公司反洗钱管理系统的实践经验，分析权衡非银行金融机构建立反洗钱管理系统的现实困境与深远益处，以及如何事半功倍地建立起一套有效的反洗钱管理系统。

一、强监管周期背景下，建立健全反洗钱系统建设是金融机构确保自身合规的刚性要求

（一）反洗钱系统建设要求已明确植根监管规定

自 2019 年1月1日起施行，由中国人民银行反洗钱局印发的《关于印发〈法人金融机构洗钱和恐怖融资风险管理指引（试行）〉的通知》（银反洗发〔2018〕19 号，以下简称“19号指引”），作为各类金融机构洗錢风险管理需执行的纲要类文件，其颁布施行对各类金融机构反洗钱工作都有深远的指导规范意义。

19号指引在风险管理框架、风险管理措施、信息系统和反洗钱数据、信息等章节中均对金融机构反洗钱系统建设作了明确规定：首先，在洗钱风险管理框架中，明确了高级管理层、反洗钱管理部门、信息科技部门各自的反洗钱系统建设管理职责；其次，在风险管理措施中，也将反洗钱系统建设作为客户身份识别、可疑交易分析报告、反洗钱名单监控等反洗钱重点工作内容的有效实施方式予以规定；最后，还将反洗钱系统建设升级为一个独立章节，与前面框架职责、管理措施呼应，再次明确金融机构在反洗钱信息系统建设方面，承担的职责包括应当建立完善以客户为单位，覆盖所有业务（含产品、服务）和客户的反洗钱信息系统，从而进行有效的洗钱风险管理。

紧接其后，中国银保监会于2019年1月29日公布并施行的《银行业金融机构反洗钱和反恐怖融资管理办法》（以下简称“1 号令”），明确规定了非银行业金融机构的反洗钱和反恐怖融资管理，参照本办法对银行业金融机构的规定执行，并在具体内容上要求银行业金融机构应当将可量化的反洗钱和反恐怖融资控制指标嵌入信息系统，使风险信息能够在业务部门与反洗钱和反恐怖融资管理部门之间有效传递、集中和共享，满足对洗钱和恐怖融资风险进行预警、信息提取、分析和报告等各项要求。

综上，无论是规定体系化、详细度都很高的19号指引，还是从实质性角度高度概括的1号令，共同对非银行金融机构做出了如下明示：有义务建立反洗钱管理系统，且系统建设情况应满足监管机构规定标准。

（二）反洗钱系统建设要求已量化深入监管考核

目前，监管机构在对非银行业金融机构进行非现场监管时采用的主要手段为法人机构反洗钱分类评级，该项工作开展模式为印发评级标准，要求金融机构对照标准开展自评，并在机构自评基础上对其进行检查考评。

纵观北京地区非银行业金融机构近年来收到的监管机构印发的机构洗钱风险考评指标中，43项二级考评指标中涉及系统建设功能的有7项，在100分的考评总分中合计占18分。对应中国人民银行营业管理部印发的评级标准，金融机构根据最终得分情况，将划分为 A（AAA、AA、A）、B（BBB、BB、B）、C（CCC、CC、C）、D、E 共 5 类 11 级[ A 类分数区间：95≤AAA≤100，90≤AA 95，85≤A ≤90。B 类分数区间： 80≤BBB≤ 85，75≤BB≤ 80，70≤B≤ 75。C 类分数区间：65≤CCC≤ 70，60≤CC 65，55≤C≤ 60。D 类分数区间：50≤D ≤55。E 类分数区间：E≤50]，如果非银行业金融机构在系统建设管理能力方面存在硬性缺陷的话，最终评级只能在BB档及以下，按照考评要求C类及以下机构应当由单位主要负责人或主管反洗钱工作高级管理人员每半年向人行营管部报告整改落实情况，届时该类评级机构的高级管理层也将面临较大的约谈与整改压力。

（三）反洗钱系统建设要求从同业罚单中可窥一斑

近年来监管机构频开大额罚单，总结其中规律有两点尤其值得引以为戒：一是受罚的非银行金融机构数量呈递增之势；二是各类金融机构受罚事项主要集中在客户身份识别与资料保存这个最基础性反洗钱工作任务上。健全有效的反洗钱管理系统，既能便于金融机构维护、留存客户身份识别基本信息，也能便于金融机构做好汇总与自查工作，避免因人工操作不规范、不及时造成的诸多缺陷。

二、非银行金融机构在反洗钱系统建设方面存在的共性痛点问题

（一）因自身洗钱固有风险较低而轻视控制风险管理

相较于银行业金融机构，非银行金融机构经营业务与潜在客户范围都较窄，利好一面是保持了天然的低固有风险属性，例如无账户开立职能、无法监控客户资金流向、所涉业务多通过银行转账实现、面向客户群范围固定，因此业务洗钱风险较低，客户普遍洗钱风险较低等。但同时存在的弊端是，轻视了洗钱控制风险管理，误以为公司开展业务不存在为客户利用进行洗钱的风险，或者公司客户无法通过与公司开展业务而从事洗钱活动，就不需要开展反洗钱工作了。

反洗钱牵头管理部门在向公司员工开展宣传教育时一定要深入贯彻的一个基本观念是，洗钱风险防控是讲究固有风险与控制风险的有效结合后评价其剩余风险管控情况的，如果单纯因固有风险较低，而轻视控制风险管理，最终亦会导致较高的剩余风险，即非银行金融机构的机构洗钱风险仍会较高，被监管机构予以负评，甚至出具行政处罚。通俗来说，这个风险管控全过程可以被理解为自证低风险，即非银行金融机构通过一套健全的洗钱风险管理机制来证明自己在洗钱风险方面确实可以归类为低风险。低风险的自定义不是理所当然自定义出来的，而是需要一套完整管控机制证明出来的。

（二）掣肘于反洗钱管理投入预算有限对反洗钱系统建设望而却步

非银行金融机构资产规模、利润水平自然难以与银行业金融机构比肩，管理费用方面的精打细算、能省则省也是普遍行情。依靠公司 IT 部门自行研发一套反洗钱管理系统大多不太现实，而如果通过外部采购一套配置齐全的反洗钱系统则面临整套系统采购成本较高、后续运行维护费用不断增加等问题。

（三）公司整体系统化建设尚在初级阶段，孤木难成林

反洗钱系统建设需要依附于公司整体业务系统建设基础之上，且需要纵观大局地融入公司整个系统化建设规划之中，方能有的放矢、合理布局。但多数非银行金融机构系统化建设尚处在初级阶段，业务系统尚未实现流程打通、数据准确的前提下，确实很难兼顾反洗钱系统的对接、整合。

三、漫漫系统建设征程应先始于全面客观的反洗钱管理情况自评估

如何克服自身固有难点，落实监管硬性要求，非银行金融机构首先要做的是客观地给自己照个镜子、理性地摸摸家底儿实际情况。对公司现有反洗钱管理情况进行了全面客观地速写后才能有的放矢、勾勒好系统框架、写好业务需求。

（一）了解自身反洗钱管理体系基本情况

反洗钱系统是以系统化手段执行反洗钱管理体系的各项工作要求，因此，运行有效的反洗钱系统的本源仍是公司自身健全的反洗钱管理体系。

健全的反洗钱管理体系包含哪些内容？前文提到的19号指引可以作为一个最权威的参考标准普遍适用于各类金融机构。从风险管理架构、风险管理政策和程序——方法、管理政策和程序——措施，以及其他配合性资源与措施维度，框定出一套较为完善的反洗钱风险管理体系。只有首先明确各级主体责任、重要的反洗钱工作任务、具体工作开展标准，才能据此勾勒出一套完整的反洗钱管理系统应有的框架内容。对标后发现存在管控缺陷的环节，也应该先从自身管理机制层面予以优化才能付诸系统进行落实。

（二）评价既有的反洗錢操作流程是否合理

系统框架功能有了基本轮廓后，如何运转具体功能就需要依据反洗钱管理中的操作流程来执行，其作用对于反洗钱系统这棵大树来说，是极为重要的脉络传递。

授权管理是否到位，不同职级岗位是否有合理授权进行审查审批；岗位职责设定是否制衡，业务部门提交的反洗钱工作是否由独立的反洗钱管理部门＼岗位进行审查；权限配置是否审慎，除反洗钱管理岗位外，其他岗位是否严格遵循最小化授权原则接触系统内的客户反洗钱信息等均是在进行自我反洗钱操作流程梳理时需要考量的因素。管理规范、运行顺畅的操作流程是反洗钱管理系统能够有效运转的根本保障。

（三）对标监管新规复盘是否存在管控盲点

考虑到系统建设具有一定周期性，而近年来反洗钱监管新规又频频印发，有许多新的细化要求，比如关于反洗钱名单回溯性监控。因此，非银行金融机构在开展自身反洗钱系统建设之前必须要对标反洗钱监管新规、监管机构印发的机构反洗钱考评标准等全面落实现阶段自身需执行的各项监管要求，确保系统建设功能全面覆盖，避免在后续监管考评、监管检查工作中遗留不必要的空白未达标地带。

四、反洗钱系统建设过程中可巧借东风、事半功倍

在提需求、系统项目组对照需求开发、测试、试运行、正式上线这套常规的系统建设流程之外，常规系统建设流程如何在系统建设过程中最大程度地节约预算投入、人力时间成本，就不仅限于反洗钱管理，而更多的是要从公司甚至集团层面谋求最优化解决方案。

（一）将反洗钱系统嫁接在既有业务系统上进行开发

一般来说，非银行金融机构都有自身的业务系统，暂不论系统健全性，但应初步具备收集全量客户、业务数据基础信息的功能。反洗钱系统就可以嫁接到现有业务系统上，利用客户留存在系统内的业务信息拓展充实其反洗钱所需的基本身份信息，在系统已有的客户业务数据基础上分析哪些能用来进行客户洗钱风险等级评估与可疑交易监测等。

基于现有业务系统增加反洗钱管理功能的优势在于，有效利用了较为成熟的业务系统，既方便与系统开发人员沟通开发与维护事项，也方便业务部门人员操作使用，且利于公司系统建设一体化规划、推进。

（二）组成跨部门开发团队，群策群力形成合力

反洗钱系统建设过程中，虽然是反洗钱管理部门牵头推进，但业务部门与 IT 技术部门同事的参与也至关重要。一是日常工作中主要是由业务部门同事操作运用反洗钱系统，其对系统了解程度、优化完善建议都极为重要；二是 IT 技术部门同事可以基于公司系统整体框架情况协助解决反洗钱与其他业务流程之间如何有效对接问题，从宏观角度帮助反洗钱系统得当嵌入公司整体系统框架中。

（三）善于利用外部数据库资源提升系统质效

对于客户身份信息的审核、反洗钱名单监控等工作，如果只是以系统化方式进行操作，但仍依赖人工审核、人工筛查做出判断的话，则并不算实现了系统化管理要求。此类工作，工作量大、耗时久，但无技术难度，完全可以通过采购外部第三方数据库资源，由系统执行自动筛查程序完成预筛，基于系统预筛结果，再执行人工分析审核程序，既能提高工作效率，又能提高该类工作准确性，体现出系统化管理的真正价值高点。

（四）集团内资源巧用共享谋求最大化共赢

鉴于多数非银行金融机构都系依托较大的集团背景应运而生的子公司，其中金融集团背景占比尤高。19号指引等监管法规明确规定了反洗钱信息在集团内部合理共享，鉴于此，非银行金融机构可以合理借助股东成熟的反洗钱管理资源攻己之玉。例如，直接获取集团内反洗钱系统健全成员系统使用权限，或者考虑到各自业务与管理流程差异性而使用其部分功能、共享已购数据库资源、共享共有客户信息等方式，但上述方式在实际操作时都需要基于特定前提才能符合合规要求，一是要有明确的书面合同规范各主体权利、义务，且确保相关约定符合监管要求；二是跨主体进行信息传递时需严格遵守保密性要求。

五、反洗钱系统建成后对公司反洗钱管理实效提升确有裨益

笔者在工作实践中牵头负责公司反洗钱系统开发建设工作已有五六年时间，亲历了从无到有、日臻完善的点滴过程后，总结出反洗钱系统对于公司反洗钱管理带来的不可替代的优势。

（一）为机构反洗钱管理的整体合规性保驾护航

落实监管规定中关于反洗钱系统建设的合规要求，建立金融机构自身的反洗钱管理系统，是确保金融机构反洗钱管理机制符合合规要求的基本条件与基础保障。在接受各类监管检查与评级工作过程中，防范被指出管理机制建设不到位、资源保障的硬性问题。

（二）以系统功能设定提升业务部门操作规范化水平

在进行反洗钱管理时，围绕业务部门在操作环节各种不规范问题导致的前后台部门间的博弈向来是公司内部管理一大难题。采用了系统化操作后，配置上系统管控功能，能够有效提升业务部门操作反洗钱工作规范性，并有效降低前后台部门间不必要的沟通成本。

（三）为管理部门开展监督检查工作提供有力辅助

反洗钱牵头管理部门及公司审计部门负有对公司反洗钱日常工作开展情况进行敦促、检查、独立审计的职责，在未采用系统化管理的情况下，线下批量检查难度较大，准确性也较低，但在反洗钱系统建设后，可以通过系统自动生成汇总监测台账，实时全面地统计反洗钱工作完成情况。

（四）切实提高对实质性洗钱风险防范能力

通过运用系统灵活使用外部数据库资源，能提升非银行金融机构对于实质性洗钱风险的防范能力，例如对客户是否涉及制裁等违规事项进行名单筛查、核对客户身份基本信息准确性、对于客户过期身份证件信息进行识别并提醒等。

姜夔在《白石道人诗说》中提到“作大篇，尤当布置”，作诗如此，反洗钱系统建设管理亦如是。直面反洗钱监管要求，非银行金融机构应从自身经营管理实际情况出发，理清监管底线要求、自身管理需求，将公司可采用的内外部优势投进系统开发建设中，最终服务于反洗钱管理水平的有效提升。

（作者单位为建信金融租赁有限公司风险管理部 ）