反洗钱 行政处罚整改工作中,业务部门履职存在典型问题及建议
文/刘丽洪 北京
自2020年以来,反洗钱监管部门经过三年的努力,基本实现了对全国和地方系统重要性金融机构反洗 
钱现场检查的全覆盖,反洗钱现场检查直接推动了金融机构反洗钱履职水平的提高。随着系统重要性金融机构第一轮反洗钱现场检查工作结束,标志着这些机构已经进入了新的监管周期。至此,反洗钱行政处罚后的整改工作,成为各家金融机构反洗钱工作的“重头戏”。为了交流整改工作的实践经验,本人撰写了《反洗钱行政处罚整改工作难点探析》,对具体的违规问题如何整改进行了探讨,文章得到业内人士的热烈响应。当前,在整改工作实践中,笔者发现,有些金融机构的某些业务部门对自身反洗钱工作职责认识不到位,出现“不理会、不配合”整改工作的现象,部门间“推诿扯皮”问题较为突出,这严重影响或阻碍了反洗钱行政处罚整改工作质效,降低了反洗钱监管效果。本文通过回顾有关法规对金融机构业务部门开展反洗钱工作的要求,指出金融机构业务部门在日常或整改工作中常见的履职问题,并分析问题成因,提出相关工作建议。
一、法规对业务部门开展反洗钱工作的要求
人行反洗钱局发布的《关于〈法人金融机构洗钱和恐怖融资风险管理指引(试行)〉的通知》(银反洗发〔2018〕19号,以下简称指引)第十五条规定,业务部门承担洗钱风险管理的直接责任,主要履行以下职责:
(一)识别、评估、监测本业务条线的洗钱风险,及时向反洗钱管理部门报告;
(二)建立相应的工作机制,将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作;
(三)开展或配合开展客户身份识别和客户洗钱风险分类管理,采取针对性的风险应对措施;
(四)以业务(含产品、服务)的洗钱风险评估为基础,完善各项业务操作流程;
(五)完整并妥善保存客户身份资料及交易记录;
(六)开展或配合开展交易监测和名单监控,确保名单监控有效性,按照规定对相关资产和账户采取管控措施;
(七)配合反洗钱监管和反洗钱行政调查工作;
(八)开展本业务条线反洗钱工作检查;
(九)开展本业务条线反洗钱宣传和培训;
(十)配合反洗钱管理部门开展其他反洗钱工作。
从该规定看,笔者认为,“业务部门承担洗钱风险管理的直接责任”是指业务部门是金融机构反洗钱工作的第一责任人,是“第一道防线”,应对本部门反洗钱工作的优劣负责;
“识别、评估、监测本业务条线的洗钱风险,及时向反洗钱管理部门报告”是指业务部门应完成本业务条线的洗钱风险评估工作,识别出风险点并监测风险,把工作结果向反洗钱管理部门报告,而不是反洗钱管理部门负责并完成上述工作,业务部门在一旁“看热闹”;
“建立相应的工作机制,将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作”是指业务部门应负责制定本业务条线的反洗钱管理操作规程,把反洗钱的有关规定融入本业务条线的业务操作流程,而不是将反洗钱工作另类管理,甚至作为本部门的工作负担;
“开展或配合开展客户身份识别和客户洗钱风险分类管理,采取针对性的风险应对措施”是指客群业务部门在负责对本部门管理的客户进行身份识别和洗钱风险评级工作的同时,配合其他业务部门做好有交集客户或交叉业务的相关反洗钱工作,而不是由反洗钱管理部门负责客户身份识别和客户洗钱风险分类管理工作,客群业务部门配合;
“以业务(含产品、服务)的洗钱风险评估为基础,完善各项业务操作流程”是指产品业务部门负责对本部门管理的业务(含产品、服务)进行洗钱风险评估,并针对评估出的脆弱环节制定相应的控制措施,以便“前端”展业部门有效工作;
“开展本业务条线反洗钱工作检查”是指上级业务部门对下级经营单位或者业务条线的相关工作进行监督检查,以保障上级业务部门制定的相关规定得到有效执行,业务部门由此项工作切实履行反洗钱工作“第一道防线”的主体责任。
指引第十六条规定,第十四条、第十五条所述反洗钱工作职责、事项,涉及运营管理、风险管理、法
律事务、财务会计、安全保卫等其他部门的,法人金融机构应当就上述部门对相关工作的职责分工进行明确规定。
从该规定看,笔者认为,运营管理、风险管理、法律事务、财务会计、安全保卫等部门也应按照第十五条规定的核心要义主动做好涉及本部门的反洗钱工作,而不是等待反洗钱管理部门督促,或是把本部门负责的反洗钱工作“甩”给反洗钱管理部门。
指引第十四条规定,反洗钱管理部门牵头开展洗钱风险管理工作,推动落实各项反洗钱工作,主要履行以下职责:
(一)制定起草洗钱风险管理政策和程序;
(二)贯彻落实反洗钱法律法规和监管要求,建立健全反洗钱内部控制制度及内部检查机制;
(三)识别、评估、监测本机构的洗钱风险,提出控制洗钱风险的措施和建议,及时向高级管理层报告;
(四)持续检查洗钱风险管理策略及洗钱风险管理政策和程序的执行情况,对违反风险管理政策和程序的情况及时预警、报告并提出处理建议;
(五)建立反洗钱工作协调机制,指导业务部门开展洗钱风险管理工作;
(六)组织或协调各相关部门开展客户洗钱风险分类管理;
(七)组织落实交易监测和名单监控的相关要求,按照规定报告大额交易和可疑交易;
(八)牵头配合反洗钱监管,协调配合反洗钱行政调查;
(九)组织或协调相关部门开展反洗钱宣传和培训、建立健全反洗钱绩效考核和奖惩机制、建设完善反洗钱信息系统。
从该规定看,笔者认为,反洗钱管理部门除了“组织落实交易监测和名单监控的相关要求,按照规定报告大额交易和可疑交易”这一具体事务性反洗钱工作外,其它职责定位在:一是组织、协调、指导等性质的工作,二是开展涉及本机构全辖反洗钱政策制定等管理工作。这些工作与业务部门工作定位完全不同,体现了反洗钱管理部门是反洗钱工作牵头管理的属性,而不是“反洗钱工作是反洗钱管理部门的工作”。
指引第十七条规定,内部审计部门负责对反洗钱法律法规和监管要求的执行情况、内部控制制度的有效性和执行情况、洗钱风险管理情况进行独立、客观的审计评价。未设立审计部门的法人金融机构,应当明确相关工作由承担审计职能的其他部门承担,并保证相关工作的独立性。
从该规定看,笔者认为,“第三道防线”内部审计部门至少应对本机构的反洗钱法律法规和监管要求的执行情况、内部控制制度的有效性和执行情况进行独立、客观的审计评价,并将有关情况上报本机构的决策层、监督层。
指引第十八条规定,人力资源部门负责洗钱风险管理的人力资源保障,结合洗钱风险管理需求,合理配置洗钱风险管理职位、职级和职数,选用符合标准的人员,建立反洗钱绩效考核和奖惩机制,为反洗钱宣导和培训提供支持。
从该规定看,笔者认为,人力资源部门一方面要保障反洗钱工作的人力资源;同时要保障反洗钱业务管理人员职级不能低于其他风险管理岗位;最重要的一方面是应谋划反洗钱业务人员的发展。
指引第十九条规定,信息科技部门负责反洗钱信息系统及相关系统的开发、日常维护及升级等工作,为洗钱风险管理提供必要的硬件设备和技术支持,根据相关数据安全和保密管理等监管要求,对客户、账户、交易信息及其他相关电子化信息进行保管和处理。
从该规定看,笔者认为,信息科技部门在反洗钱工作中非常重要,该部门不能将自身定位为“写代码”的,或者为本机构反洗钱业务采购反洗钱监测系统的,甚至定位为后勤保障部门。
二、存在的典型问题
金融机构做好反洗钱工作,需要“第一道防线”“第二道防线”“第三道防线”各司其职,密切配合,方能达到工作目标。经过本轮反洗钱现场检查,我们欣喜地看到,有些金融机构的某些业务部门主动履职,积极开展反洗钱工作,但也应看到,有些金融机构的某些业务部门仍将认知停留在“反洗钱工作是反洗钱管理部门的工作”层面,在此错误的工作理念下,日常或整改工作中,出现一些典型问题,具体如下:
(一)不认为该承担反洗钱工作职责,淡定做“甩手掌柜”。
有些金融机构的某些业务部门,尤其是创利大户等强势业务部门或经营单位,不遵守监管部门文件或本机构反洗钱内控制度的明确规定,不认为本部门应该承担反洗钱工作职责,应由反洗钱管理部门承担。认为涉及本部门的客户或业务洗钱风险或合规方面的所有“脏活”“累活”,应由反洗钱管理部门负责。甚至个别金融机构的个别业务部门人员认为,是业务部门“赚钱养活”了反洗钱管理等“中后台”部门人员,所以“中后台”部门必须承担这些工作,岂不知业务部门的价值已经在员工绩效工资方面得到了体现。例如,监管部门检查认定某银行存在洗钱高风险客户强化尽职调查不到位,具体表现为EDD表格设置不合理、EDD质量不高等问题。在检查之前,该行反洗钱内控制度规定EDD工作由某业务部门负责审核与推进,但实质上此项工作都推给了反洗钱管理部门处理,支行的EDD调查结果大部分由反洗钱管理部门审核把关后,再转该业务部门签字完成表面履职,该业务部门不承担审核把关责任,原因是“业务部门忙业务创造利润,且不懂反洗钱要求”。在行政处罚之后,按照该行相关规定,认定应由该业务部门负责此项违规整改工作,但该业务部门拒绝,认为洗钱高风险客户强化尽职调查工作应该是反洗钱管理部门负责,非该部门的职责。理由是洗钱高风险强化尽职调查模块嵌入了反洗钱监测系统(历史原因)。
(二)认为应该承担反洗钱工作职责,履职方式“五花八门”。
有些金融机构的某些业务部门对反洗钱工作还算是重视,认为本部门应该承担本业务条线的反洗钱工作,但是履职方式千奇百怪,“怀揣各自的盘算”。根据实际情况,笔者认为可分成七个类型:
一是“无动于衷”型。此类业务部门会签并同意了反洗钱管理部门制定的本单位总体反洗钱内控制度,但此类业务部门没有制定本业务条线的反洗钱管理操作规程,日常工作中没有在本业务条线布置、督促反洗钱工作,也没有开展本业务条线反洗钱工作检查,就是表面“工作态度好”,当然也不认为应该承担反洗钱行政处罚的责任;
二是“职责切割”型。此类业务部门要求反洗钱管理部门对该部门的反洗钱工作“大包大揽”,让反洗钱管理部门“驮着”。例如,要求反洗钱管理部门合规人员派驻到该部门工作,并要求反洗钱管理部门制定该部门的反洗钱管理操作流程,试图将该部门的反洗钱工作职责完全从该业务条线切割出来,逃避反洗钱工作责任及行政处罚责任。
三是“等待投喂”型。此类业务部门反洗钱工作的每一工作环节,需要反洗钱管理部门事无巨细的书面指导,反洗钱工作出问题由反洗钱管理部门承担责任,与本部门无关。例如,需要反洗钱管理部门制定该部门具体业务的反洗钱管理操作规程,明确持续尽职调查的异常类型,甚至需要反洗钱管理部门对洗钱高风险客户具体的资金支付限额确定阈值等。或者执法检查发现的问题,以反洗钱管理部门没有下发文件提示,拒不承担责任。笔者认为此种类型本质还是切割责任。
四是“移花接木”型。此类业务部门对反洗钱工作职责“口头上”表态非常好,但并不在本业务条线真正开展反洗钱工作,而是将本部门承担的反洗钱工作转给下级经营单位的反洗钱管理部门。
五是“推诿扯皮”型。此类业务部门是将本部门应承担的工作推给其它业务部门。例如,客户被司法查询需开展重新识别工作,客群部门认为此项工作应由负责柜面业务的部门承担。理由是此类业务场景是发生在柜面,客群管理部门不掌握客户何时被司法查询。柜面业务管理部门则认为,应由客群管理部门负责,贯彻“谁的客户谁负责原则”,柜面业务管理部门可以将司法查询信息定期推给客群管理部门。
六是“盲干乱干”型。此类业务部门不认真学习和领会反洗钱法规,按照自己的理解和“业务方便”开展反洗钱工作。例如,未经精准风险研判,就以“一刀切”的方式暂停大批客户的非柜面业务,引发舆情。或者曲解反洗钱法规本意,业务部门的工作人员在客户面前“满嘴跑火车”。
七是“溜肩膀”型。此类业务部门一般是上级单位的业务部门,将本部门承担的某项工作转给下级单位的同质业务条线。例如,“让下级单位业务条线先行先试,试验成功后,在上级单位范围内全面推广”。其实有些工作限于下级单位的能力和资源根本无法完成。
(三)缺乏必要的反洗钱履职资源,开展工作“有心无力”。
近年来,金融监管工作持续保持高压态势,反洗钱行政处罚金额不断提高,特别是“双罚制”得到严格执行,对业务部门人员触动较大。在此形势下,金融机构各业务部门对反洗钱工作的重视程度有所提高。有些业务部门及时转变工作态度和作风。当业务部门,尤其是固有风险较高的业务部门真正想履职时,发现其反洗钱履职资源严重不足。主要表现为:
一是缺乏履职的人员。当初业务部门设置岗位是按照发展业务规划定编,并没有考虑洗钱风险管理工作。在业务部门人员工作量已经饱和或超级饱和的情况下,很难再腾出人手开展反洗钱工作;
二是缺乏履职的本领。有些金融机构在固有风险较高的业务部门设置了反洗钱岗位,但是在社会层面都缺乏反洗钱人才的情况下,业务部门很难安排专业水平较高的人员管理本部门的反洗钱工作;
三是缺乏履职的抓手。反洗钱工作不是无限拼人力的工作,随着反洗钱工作的不断深入,必须有科技赋能,必须有功能强大的业务系统支撑反洗钱工作,但目前不少金融机构的实际情况却较为窘迫。
(四)反洗钱管理部门履职艰难,成为“风箱中老鼠”。
反洗钱工作特点是大、杂、细,且贴近客户,工作的重心在业务部门。在有些金融机构的某些业务部门仍将认知停留在“反洗钱工作是反洗钱管理部门的工作”层面的情况下,很多金融机构反洗钱管理部门掌握的资源无法有效协调业务部门开展反洗钱工作。在反洗钱行政处罚时,根据当前金融机构的履职现状又很难避免被处罚。为此,反洗钱管理部门只能“单兵突进”开展反洗钱工作,甚至承担本不该承担的工作责任或行政处罚责任。例如,反洗钱执法检查进展到签署事实确认书时,监管部门按照法规给定了签署时限,然而,当反洗钱管理部门按照本机构反洗钱内控制度的有关职责规定,将事实确认书交给业务部门签字确认时,业务部门认为不承担责任,拒不签字。随着时间的流逝,监管部门的催促和业务部门的拒不配合,把反洗钱管理部门挤压在中间,成为“风箱中的老鼠”。为了顾全本机构反洗钱工作大局,保证事实确认书按时签署,给监管部门留下“好印象”,反洗钱管理部门也只能“含泪”签字,因此承担了本质上不该承担的行政处罚和后续整改工作责任。
(五)内部监督未切实发挥作用,传导“压力”不够。
“第三道防线”部门按照指引有关规定监督履职到位并追责整改,是“第一道防线”和“第二道防线”能够履职到位的必要条件。遗憾的是,从笔者的监管实践看,当前大多数金融机构的“第三道防线”内部审计部门不能对本机构“第一道、第二道防线”反洗钱工作及时纠偏,不能起到反洗钱工作“第三道防线”的作用,发现不了影响本机构反洗钱机制性、系统性、流程性等深层次的问题,基本长期处于“打酱油”状态,传导“压力”不够。这种情况一定程度导致不少业务部门或者经营单位对反洗钱工作意识淡漠。
三、成因分析
当前,不少金融机构尚未将洗钱风险管理完全纳入全面风险管理的范畴,主动做好反洗钱工作的意识还需进一步加强,反洗钱履职动力更多是靠监管部门大力推动。甚至个别金融机构的工作理念是“反反洗钱执法检查”,把减少行政处罚金额当反洗钱工作第一要务,只是针对行政处罚点开展“浅层次”工作,反洗钱工作尚未真正进入“深水区”,特别是对本机构业务部门反洗钱履职情况缺乏强力督促。笔者认为导致上述问题的主要原因有:
(一)高管层反洗钱工作参与度不足。
高级管理层在一家金融机构反洗钱工作中居核心地位,高级管理层对反洗钱工作态度和认知,决定一家金融机构反洗钱工作的有效性。在笔者看来,有些金融机构的高级管理层认为在“文件上画圈儿”就是积极履职。实际上,没有适时投入与本机构洗钱风险相匹配的人、财、物等资源;没有切实帮助反洗钱管理部门和各业务部门解决反洗钱工作中遇到的困难,或者“公断、拍板”部门间的反洗钱工作争议;当反洗钱管理部门和“利润大户”业务部门为做好反洗钱工作发生争议时,可能不自觉地力挺了“利润大户”业务部门,导致“利润大户”业务部门更加恃宠而骄,加剧了反洗钱管理部门的工作难度。久而久之,反洗钱工作容易走入“死胡同”。
(二)部门间反洗钱工作职责边界划分不清楚。
金融机构各业务部门业务较为庞大而复杂,客户间、金融产品间、服务渠道间经常业务交叉或重叠,分清部门间反洗钱工作职责边界有一定难度。即使如此,如不事先公平、科学地对职责划界,容易在日常或整改工作中引发业务部门间争议。例如,某银行个人客户持续尽职调查工作主要涉及5个部门。零售银行部认为主要对ATM、POS、保管箱等业务履行持续尽职调查职责,电子银行部应当对手机银行、电子银行、第三方支付类等业务履行持续尽职调查职责,信用卡中心应当对信用卡等业务履行持续尽职调查职责,私人银行部应当对私人银行交易等业务履行持续尽职调查职责,个人信贷部应当对个人贷款等业务履行持续尽职调查职责。然而,其它四个业务部门却认为零售银行部应是个人客户牵头汇总管理部门,应承担客户持续尽职调查职责,他们只要定期向其推送信息即可,零售银行部却不认可此意见。与此同时,该行的相关反洗钱内控制度在业务部门职责方面规定的较为笼统,反洗钱工作职责边界划分不清楚,因此导致在反洗钱日常工作中,行政处罚责任人认定时,以及后续整改工作中,部门间争议不断。
(三)反洗钱工作和业务工作“两张皮”。
在工作中,金融机构有些业务部门认为反洗钱工作是额外的工作,把反洗钱工作另类对待,反洗钱工作具体操作流程没有和业务操作流程融合,结果导致该业务条线反洗钱工作和业务工作出现“两张皮”的现象。笔者认为,反洗钱工作和业务并不冲突,甚至能促进业务工作。例如,银行账户实名制管理,并根据客户的风险情况设定支付限额;资金支付业务为保证资金安全,对线上操作的客户进行身份认证管理;贷款集中度管理,识别实际控制人;开展众多涉及授信业务时,客户授信管理。这些业务管理要求与反洗钱工作几乎没有任何“违和”,甚至受益所有人识别结果更加能发现贷款集中度风险。
(四)行政处罚信息对业务部门人员警示、借鉴作用不足。
从笔者掌握的信息看,公示的反洗钱个人行政处罚模式包括反洗钱管理部门人员+部分业务部门人员模式,或者反洗钱管理部门人员模式,公示的信息较为简洁。业务部门人员根据这些信息很容易误解为,既然反洗钱个人行政处罚反洗钱管理部门人员“总上榜”,说明“反洗钱工作就是反洗钱管理部门的工作”,有个人行政处罚就应由反洗钱管理部门人员承担。甚至认为,既然反洗钱管理部门人员难以避免处罚,“债多了不愁”,干脆为本机构其他业务部门人员承担所有行政处罚责任。
(五)个别业务部门人员的性格偏执。
反洗钱管理工作本质是“做人”的工作。参与此项工作人员的格局、道德、性格决定了其工作态度和认知。鉴于此方面较为敏感,笔者不做过多阐述。
四、工作建议
综合上文,笔者提出工作建议如下:
(一)高管层主动参与反洗钱管理工作。
高级管理层应严格按照指引第十二条、第十三条的有关规定履职,积极推动洗钱风险管理文化建设,以身作则,抛弃“重经营,轻合规”的做法,倡导赚取“滤掉”洗钱风险后的“绿色”利润为首要目标。明确营销客户定位,制定适合本机构的客户接纳政策。当反洗钱管理部门和业务部门之间、业务部门之间,因反洗钱工作发生争议时,能够做到“不和稀泥”,不偏不倚,按照反洗钱法规及本机构的有关制度,公正的处理相关争议事项,能够真正支持本机构的反洗钱工作。
(二)划分清楚各业务部门的履职边界。
坚决贯彻“谁的客户谁负责”“谁的业务谁负责”“谁得利谁负责”等原则。按照有关规定将本机构的业务部门划分归属于客群部门、产品部门、渠道部门等类型,贯彻“以客户为中心”的反洗钱工作理念,客群部门切实负起主责,统筹产品部门、渠道部门管理好本部门负责的客户。厘清本部门负责管理的反洗钱业务场景、资金和客户信息链路,划分出统筹牵头部门和配合部门的职责边界,并规定违规问题出现时需要承担什么样的责任,即全部责任、主要责任、同等责任、次要责任、无责任等。
(三)持续加大反洗钱资源投入。
金融机构进一步加大业务部门反洗钱资源投入。一是在固有风险较高的业务部门增设反洗钱岗位。该岗位人员归属业务部门管理,业务接受反洗钱管理部门的指导,切实发挥该岗位人员了解本部门实际情况的优势,主动做好本部门的反洗钱工作;二是持续加大科技投入。在金融机构数字化转型的大背景下,不可能无限投入人力满足反洗钱工作的需求,开发功能强大完备的业务系统赋能反洗钱工作,为业务部门做好客户身份初次识别、持续尽职调查、客户洗钱风险评级、洗钱高风险客户强化尽职调查和管控等工作提供技术支持。
(四)对反洗钱履职效果加大监督力度。
笔者认为可从三个方面加大反洗钱工作履职的监督力度:一是在内部审计资源紧张的情况下,“第三道防线”内部审计部门挖掘内部潜力,切实提高反洗钱工作的审计专业能力,能审计发现影响本机构反洗钱机制性、系统性、流程性等深层次的问题,以及业务部门履职不到位的问题,并将审计结果及时提交董事会和监事会;二是监事会按照指引有关规定监督内部审计发现问题追责和整改;三是考虑金融机构内部执法执纪部门参与监督反洗钱履职工作。
(五)监管部门进一步推动金融机构业务部门履职。
促进金融机构业务部门积极履职,改变有些金融机构的某些业务部门“反洗钱工作就是反洗钱管理部门的工作”错误认知,仅依靠金融机构自身很难完全改变,需要监管部门外部“推力”。为此,一是监管部门在现场检查时,强化对被查机构业务部门和反洗钱管理部门的询问和访谈程序。通过询问程序,评价各业务部门对反洗钱工作职责的认知和履职情况,锁定业务部门的履职漏洞,评估反洗钱监管部门的履职质量,确定执法检查的重点方向,对履职不利的业务部门加大检查资源投入。二是创新现场检查立项模式,对金融机构的某些高风险业务部门或金融产品开展现场检查。三是监管部门可以考虑进一步丰富公示的行政处罚信息,以便对有关人员进行警示或借鉴。
五、写作后记
随着系统重要性金融机构第一轮反洗钱现场检查完毕,标志着第二个监管周期的序幕已经拉开。在新的监管周期内,监管该怎么做?金融机构该怎么做?是笔者在思考的问题,也是写作本篇文章的原因之一!
(作者系中国人民银行北京分行反洗钱处处长,本文转载自ACAMS公认反洗钱师协会公众号)