這些年由於APG的大力鞭策,台灣官方與民間銀行也是積極應對各種,而在主管機關的強力要求下,基本上所有銀行都必須找到公正第三方出具有關反洗錢制度的確信報告。然而在做的過程當中發現了許多實務議題,其實值得進一步思考,因此趁著這個中秋假期寫了這篇文出來,主要可以分為幾個面向:
(1)忘記AML本身是CRM/DMP的一環,應該將其內生化
(2)資料更新與語系問題
(3)業務人員需具有風險意識才能夠識別各業務的風險點
本文的讀者比較適合洗錢防制的業務人員以及即將要進行AML查核的人員。
一、 AML亟需內生化
AML的第一步是KYC(Know your client/customer),但提到KYC這件事情,就不得不提到CRM( Customer Relationship Management)。
其實所有AML的風險識別機制,完完全全可以用CRM來解決,最多就是在系統中建立警示而已。因此如果CRM做的好,那麼AML根本不成問題,頂多就是風險分數模型的變動、加權與欄位增減而已。
大多數銀行風險模型仍是加減乘除為主,因此資料的識別化與tag很重要。本土銀行在地域識別的時候往往很謹慎,諸如薩摩亞英屬維京群島都很有自覺地列為高風險,但到了識別職業時又常常東漏一個西漏一個。這些問題其實是可以彌補的。
這點外商銀行早有意識,因此它們的 AML機制是內生化在CRM系統裡面,在取得客戶資料的同時便可以直接識別風險,如果客戶來自高風險國家/地區、高風險職業、PEP等等,CRM系統就跳出警示,完全不用再做甚麼EDD表單,所有流程跟一般戶毫無二致。對查核人員來說也只要釐清一套系統的運行即可,會省力許多
但很多本土銀行都是主管機關說一步才動下一步,然後把AML的業務搞得非常複雜,也很喜歡用表單來管理各種風險問題,但東一張單西一張紙,散落在不同file,到了查核時候就會把檔案弄得滿天飛,到處都找不到東西。
表單式的管理還容易造成一個問題,就是沒有log紀錄。基本上所有風險識別的動作法規會規定在某個很短的期間需要完成,而銀行需要替這個完成的動作負「舉證」責任。許多銀行的做法是把查核的過程Printscreen下來,然後以上面的日期做為佐證,而若是遇到姓名檢核的環節,則人工手動將不符合的目標逐一排除。但這樣其實很不保險又費時,因為一個分行一天業務量何其多,又要做那麼多「截圖」、「排除」與「列印」,出錯在所難免。
我甚至看過銀行為了因應AML因此by部門別建立各自的外圍系統,然後這套外圍系統再進入核心系統撈資料進行運算,最後才能計算出完整的風險分數。這樣的設計不是不對,只是容易產生外圍與核心系統同步不一致,導致前端業務人員無法立刻識別高風險客戶空窗期的問題,那又很容易成為主管機關開缺的一個緣由。
說到底就是把AML與CRM兩者分開,重複做多餘的事情,既不效率也不安全。舉凡上述講的問題,包括log紀錄、多重系統、檔案管理這些事情,只要CRM系統夠強大都是可以解決的。
二、 多語系的姓名檢索與PEP的即時辨別
如果說洗錢防制哪一點是讓基層經辦覺得最麻煩的事情,那麼姓名檢核絕對名列前三。
如果是系統自己帶姓名檢索那也還好,但有些銀行的姓名檢所資料庫無法與AML系統對接,只能靠經辦自己自動自發自動鍵入,只要一個不小心就會漏掉(特別是那種實質受益人又臭又長的法人戶),然後被稽核或外部查核人員抓到又是一個缺失。
台灣的姓名檢核資料庫常常會碰到中英轉換的問題。我是有看過基層經辦在查詢人名時還得自己再將中文姓名丟到外交部的拼音轉換網頁、再將檢索後拼音丟入姓名檢核資料庫搜尋的情況。
看到那個經辦一臉厭世的神態我也是覺得很可憐,這個轉換工程應該要內建在姓名檢核資料庫中,用人工操作就是整死人。
基本上台資銀行都已經引入像是Factiva、Onesource等等大型國際資料庫,因為這些資料庫在建制與檢索上都比較完善(要銀行自行建置姓名檢核資料庫簡直是天方夜譚),剛剛講的中英文轉換的問題只會出現在幾個比較老舊的系統上。
然而這些國際資料庫在面對新增本地PEP時就會出現更新速度的問題。這種情況最容易發生在台灣縣市長與議員大選的時候。要知道,洗錢防制法是沒有規定PEP的層級,因此一個鄉長或鄉鎮代表,都有可能被認定是PEP。一些客戶是仰賴內部人員手動輸入資料,所以就有經辦跟我們談到:一選舉完我就知道又要開始加班了。
我是覺得金融同業的洗錢防制中心應該一起建立一個合作平台,或是哪個同業有看準這塊商機,來靠選舉發大財也是個不錯的生意。人家是靠關說賄賂來賺錢,我們是靠建立他們的姓名資料庫賺錢(大誤)。
三、 風險識別意識才是AML的核心
AML也是大數據的應用,許多交易透過量化的方式呈現,等於銀行對交易的內容掌握度變高。一般而言像是信託等個人化識別程度較高的交易,比較少存在洗錢風險,這某部分實在得歸功於法令先行。
特別在融資授信這一方面,銀行早就做的比法規要求的還多。因為授信往往不太會有AML不到位的問題,銀行是風險承擔的主要方,內規本身也比較嚴格,頂多就是有沒有識別出PEP。
比較缺乏風險意識的多半還是一般日常性業務,例如某PEP從銀行一下子提領300萬而未說明原因,絕對就是個需要申報的可疑交易。
基本上所有的可疑交易都有公會所訂定的「樣態」可供參考,可是樣態雖多,面臨到銀行各種交易,還是有力有未逮的情況發生,而要求業務人員熟悉所有樣態並即時回報更有實務上的困難。
我認為與其要求前台承辦熟背樣態,不如培養人員風險識別的概念。其實風險識別的觀點也早就落實在法規當中。如果仔細看法規,在很多識別的部分法規是沒有明確要求門檻的。
例如目前銀行辨別法人戶的實質受益人多以25%為界,但很多時候承辦也知道,實際掌權者可能透過交叉持股的方式讓自己隱身幕後,但他卻是真正的實質受益人。以量化數字為基準只能做到基本防堵,也只能應付內部稽核,主管機關還是有權力開罰。
法規不訂定量化標準的用意即是希望業務人員能憑專業判斷相關風險,換句話說,法規覺得銀行要對客戶夠熟夠了解,才能承辦業務。
不過要求經辦對所有對象都進行識別不僅沒意義也沒效率,更會影響平常業務,變成很多業務因為銀行「不夠熟客戶」而拒絕承辦,這樣也不太對。
其實許多銀行也已經掌握了法規字詞間的藝術。像是在可疑交易申報的部分,現行法規其實只有說通報日,並沒有規定調查日。調查可以曠日廢時,可以觀察許久,等調查有結果後才在兩日內進行申報。不過有時查著查著就查到不見的情況也是偶有耳聞。這樣就有點違反AML的精神了。
比較好的外國銀行重視reputation,有些外商銀行甚至只要客戶有負面新聞的發生,就會暫停客戶交易或列為警示戶。這樣的機制你要說嚴謹也可以說保守也可以,端看什麼解讀。
台灣去年剛過APG的大評鑑,但主管機關仍未鬆懈,持續對各家金融業者進行抽查,有時看到某些開罰的案例其實都心有戚戚焉,百分之八九十的問題其實是可以解決的,而為了我們的交易安全與國際潮流,想必AML的議題仍會是未來幾年的重點,銀行同業不可不慎阿!
