《法人金融机构洗钱和恐怖融资风险自评估指引》(银反洗发[2021]1号)文已发布4月有余,各地按部就班的执行落实,其中部分机构在观望,部分地区监管部门已明确评估时间表。《自评估指引》明确要求开展评估的主体为法人金融机构,但实际却存在一些特殊的金融机构,如省级联社、新合并机构等等。本文从固有风险、控制措施、剩余风险等角度解析特殊金融机构开展洗钱风险评估的方法和措施。
第一部分
一、固有风险评估
固有风险评估是指在不考虑控制措施的情况下,法人金融机构被利用于洗钱和恐怖融资的可能性。顾名思义,固有是本法人机构固有的,其他法人机构的数据与本机构没有关系,固有风险包括地域、客户群体、产品/服务、渠道四个维度。评估取数时,需要提取本法人机构的上述四个维度的数据。看似简单的逻辑,但对于特殊机构来说,需要深思熟虑,选择适合本机构的方法程序。
(一)省级联社
省级联社根据省政府授权,作为辖内农商、农合、农信(简称或统筹农商银行)等法人机构的管理、指导、协调、服务机构,本身具有独立法人地位,同时也拥有金融许可证。大部分省级联社牵头负责各类系统(如反洗钱系统)的建设及各类产品的开发,同时也包括部分农商银行自行开发反洗钱系统及研发产品,省级联社各部门负责各自的产品研发及对辖内农商银行的管理指导,但客户却归属辖内农商银行,省级联社本身无任何客户(部分省级联社的同业客户除外),且财务报表未进行合并报表。所以,省级联社行使银行总行的职责,但却存在特殊之处。
回到固有风险评估取数,按照取数逻辑,省级联社作为独立法人机构,需要提取自身的固有风险数据,如客户数量、交易笔数等,但又因客户全部归属在辖内农商银行,甚至省级联社开发的各类产品也无法取数。如果固有风险不取数,《自评估指引》的评估体系就不完整的,只有控制措施的评估是没有任何意义的。所以,省级联社自身评估时,固有风险取数只能取辖内农商银行的汇总数据。
(二)新合并机构
以银行为例,近两年有多家银行合并,虽然是名义上进行了合并,同属一家法人金融机构,但实际在管理等方面上仍未合并,如反洗钱数据分别报送、客户未合并等等。
新合并机构固有风险取数较省级联社来说,困难更大,其中困难最大的莫属客户未合并。按照取数逻辑,合并前的几家银行的数据需要合并提取,但因客户未合并,会导致同一客户几个客户号重复统计,客户数量不真实;同一客户存在多个客户风险等级,风险等级数据不真实;同一客户在合并前多家机构被刑事调查,刑事查冻扣数据重复统计,不真实。当然,产品/服务、渠道等方面取数也存在很大困难,此处不再敖述。
无论是技术上强制合并,还是手工合并调整,短期内看实施困难较大。所以新合并机构目前只有一种取数方式,固有风险分别取数。
二、控制措施有效性
(一)省级联社
省级联社有完整的部门配置,如合规部门、运行部门、科技部门、信贷部门、零售业务部门、电子银行部门等等。各部门负责全省农商银行的系统开发和产品研发,对辖内农商银行有管理指导权限,(个别农商银行除外)。所以,省级联社自身评估时,可以由其各部门直接负责各自控制措施有效性部分。
(二)新合并机构
新合并机构在控制有效性部分也存在一定困难,可能内设的管理部门已经合并办公,但先前已开展的工作却无法实现合并,有些可以合并但也不适用于洗钱风险评估,如合并的次数等数据远超行业平均值或机构往期值等等。所以,新合并机构在控制措施有效性部分仍需分别评估。
三、剩余风险
(一)省级联社
如上所述,因省级联社特殊情况,省级联社评估时,固有风险取全辖数据,控制措施有效性取省级联社各部门数据,最终的剩余风险只能体现省级联社作为一个管理、指导机构的洗钱风险等级,该等级不能够代表辖内各农商银行的洗钱风险等级,在最关键的评估结果运用层面,只能由省联社运用。因各农商银行反洗钱水平参差不齐,如全部依据省级联社评估结果开展后期整改运用等,会直接导致高低不平,在省级联社工作水平之上(风险低于省级联社)的就无需采取整改措施,在省级联社工作水平之下的(风险高于省级联社)则需要更多的后续整改措施。
同时,省级联社的风险等级与农商银行实际的风险等级不同,各自需要按照各自的风险等级,按照规定周期重新评估。若统一运用省级联社的风险等级标准,实际风险较高的农商银行将长期暴露在洗钱威胁之中,不能够及时识别自身的风险及采取针对性的防控措施。
(二)新合并机构
新合并机构在固有和控制措施取数需要分别取数,在评估表的设计和评估报告编写方面,需考虑反洗钱已合并管理及后续的结果的统一运用,建议通过加权等计算方式,计算出一个最终的整体剩余风险。
第二部分
一、联合风险评估
《指引》第三十四条规定:具有关联关系的农村信用社、农村商业银行及农村信用联社可根据本机构实际情况,在确定的层级范围内开展统一的联合风险评估。
如何开展联合风险评估,各地措施不同,有以地市为单位联合评估的,有以省级联社为单位联合评估的。以地市为单位统一评估,各家农商银行业务产品基本相同,可以采用统一的评估指标模型。但以省级联社为单位联合评估,很难采取统一的评估指标模型,因各家农商银行发展情况不同,如有的有跨境业务,有的无跨境业务等等。
不管采取何种方法联合评估,最终各家农商银行均应单独出具评估报告。
二、非法人金融机构风险评估
行文至此,顺便谈一谈非法人金融机构洗钱风险评估问题。
众所周知,2017年1号文实施后,人民银行分支机构对非法人金融机构也开展了非法人金融机构分类评级工作,依据就是,《金融机构反洗钱监督管理办法(试行)》(银发[2014]344号,已作废)第十六条规定:中国人民银行及其分支机构应当按年度对金融机构反洗钱工作的合规性与有效性进行考核评级,同时第八条规定:中国人民银行分支机构负责辖区内地方性法人金融机构总部以及非法人金融机构的监督管理。
而此次《自评估指引》与原银发[2014]344号文比较,明确了法人金融机构需要洗钱风险评估,未要求非法人金融机构,所以可以理解为非法人金融机构无需独立开展洗钱风险评估工作。
今年颁布的《金融机构反洗钱和反恐怖融资监督管理办法》(2021第3号令)第七条规定金融机构应当在总部层面建立洗钱和恐怖融资风险自评估制度,定期或不定期评估洗钱和恐怖融资风险;第二十五条规定:为了解金融机构洗钱和恐怖融资风险状况,中国人民银行及其分支机构可以对金融机构开展洗钱和恐怖融资风险现场评估。
综上所述,第七条规定金融机构总部需要开展自评估,与《自评估指引》一致;第二十五条规定人民银行分支机构可以对金融机构开展洗钱风险评估,与自评估不同,此处评估是人民银行对金融机构实施的监管手段,此条与原银发[2014]344号文对比,没有明确人民银行分支是否需要对非法人金融机构开展评估工作(344号文为考核评级)。
所以,到底人民银行分支机构是否会对非法人金融机构开展洗钱风险评估呢?目前看没有答案。
那非法人金融机构是否需要主动开展自评估呢?笔者认为需要,从监管者角度看,目前的监管力量相对薄弱,对每一家机构都进行现场评估不太现实,最终极有可能人民银行分支机构会要求非法人金融机构在配合总行(部)开展自评估时,按照总行(部)的评估标准,自行出具一份评估报告,报送至当地人民银行。
另外一个原因与省级联社评估结果不适用农商银行相似,非法人金融机构如果依据总行(部)的评估结果开展后续整改运用,会出现评估结果不适用本分支机构的情况。