中资跨国企业如何建设反洗钱和反恐筹资合规体系

洗钱（Money laundering）是指将毒品犯罪、黑社会性质的组织犯罪、恐怖活动、走私或者其他犯罪的违法所得、灰色财富以及来源不明的资产及其产生的收益，通过各种手段掩饰、隐瞒其来源和性质，使其在形式上合法化的行为。

关于恐怖活动和恐怖筹资，《全国人大常委会关于加强反恐怖工作有关问题的决定》以及《金融机构报告涉嫌恐怖融资的可疑交易管理办法》都有较全面的定义，虽然世界各国的法规有细微差异，但在大的原则性方面还是类似的。

在反洗钱和反恐筹资（Anti-money Laundering and Counter Terrorist Financing，简称“反洗钱”或者“AML/CTF”）领域最有影响力的国际组织是国际金融行动特别工作组（Financial Action Task Force，简称“FATF”），在其制订的标准指引下，现今全球各国的反洗钱法律法规都已日渐趋同。FATF是由七国集团于1989年发起成立的全球性政府间反洗钱和反恐筹资组织，现有39个会员，其中包括两个国际组织——欧盟委员会和海湾合作组织。中国于2007年成为会员。起初FATF是为了应对日益严峻的洗钱犯罪，协调确立各国之间的政策标准以及推动实施有效反洗钱措施而成立的，2001年，又增加了监督遏制反恐融资的功能。现在有超过200多个国家和区域承诺实施FATF所制订和推荐的反洗钱和反恐筹资的政策和标准，从而得以建立一个全球统一协调的机制杜绝有组织犯罪、腐败和恐怖活动。

一旦涉嫌洗钱与资助恐怖组织，对各国政府、涉事企业、机构的危害极大，包括严重影响国家形象与声誉、资金外流、金融机构产生系统性风险、影响正常业务、削弱投资人信心、企业因违规违法而招致被处罚甚至灭顶之灾等。洗钱犯罪与有组织犯罪具有紧密联系，洗钱获得的资金再用于各类非法活动，比如恐怖犯罪，进而危害社会稳定与公众生命与财产安全，是世界各国共同的打击对象。此外，洗钱为毒品犯罪提供了巨额资金，两者互相催生。

反洗钱立法肇始于1970，当时美国国会通过了《货币与外国交易申报法》（也叫《银行保密法》），该法要求银行以及其它金融机构向美国备案货币交易报告，并识别金融交易中的参与人。该法后来经过多次扩展，尤其是9·11事件之后，2001年通过的《爱国法案》（USA PATRIOT Act），它规定了向恐怖活动提供融资构成犯罪并扩大了反洗钱的有关内容，要求强化客户识别程序，禁止与外国空壳银行的交易，强化尽职调查程序同时加强违规惩罚力度。

2019年2月，FATF发布了《中国反洗钱和反恐怖融资互评估报告》，肯定了近年来中国在反洗钱工作方面取得的积极进展，但也指出个别存在的问题，例如“……特定非金融机构普遍缺乏对洗钱风险及反洗钱义务的认识”。

中国银监会和人民银行近年一再要求规范中国各大银行合规体系建设，强化反洗钱、反恐怖筹资合规管理。也于近两年出台了一系列与国际标准接轨的反洗钱监管要求，指导金融机构提高境内外分支机构的反洗钱合规管理水平。中国跨国企业在世界各国开展投资、贸易、经营活动中务必警钟长鸣，要加强反洗钱和反恐融资的风险与合规意识，因为反洗钱是需要贯穿各类业务、跨越国境、长期、持续而且随着时代和技术的进步而不断调整、改进的艰巨任务。总的来看，我国反洗钱义务主体的反洗钱合规意识欠缺，风险意识不够，很多企业尚未建立起反洗钱合规制度，各类中资机构面临着相当大的挑战，海外反洗钱合规风险上升。

随着中资金融机构国际化步伐的加快，反洗钱和反恐融资的风险逐渐显现，过去几年，工行马德里分行、中行米兰分行相继被曝卷入洗钱案等，都暴露了中资金融机构海外合规的挑战。2016年瑞士和新加坡的金融监管机构同时出手，针对一家成立于1873年，总部位于瑞士的私人银行BSI Bank，鉴于其严重违反反洗钱法规，判处其“死刑”，吊销商业银行执照并解散，同时追究高管个人刑事责任。

多年来，FATC针对不同的行业制订和推出了极具操作性和结合行业特点的建议，非常值得各特定行业在反洗钱和反恐筹资合规建设领域予以借鉴。尤其是那些在洗钱方面面临较大风险的产业，例如银行、信托、保险、期货、国际贸易、国际投资、财务会计、地产、博彩、拍卖等等，需要格外关注。

各个行业确实存在各自独特的交易程序和方式，商业模式各不相同，所以反洗钱风险和反恐筹资方面违规的伎俩林林总总，难以一概而论。作为普遍性建议，一般来说，中国企业凡是从事跨国经营的，需要注意下列事项：

一、建立一套有效的内控体系

内控体系的首要任务是甄别风险目标并标识相关的重要特征构成。确定其中特定的高风险产品、服务、客户以及特定地理意义上的高风险地区，促使公司相关人员理解洗钱活动的特点和风险，进而针对这些高风险目标，制订风控措施和监控机制，实施动态监控重要或可疑交易，订立如何消减相关风险的措施。同时要建立内控机制确保上述措施得到正确得当实施，并可以及时、动态评估效果，必要时向司法主管部门汇报相关可疑交易活动和参与方信息。为此，公司要采取有效措施，建立相应的制度，关注重点领域。

(一) 高层专人负责

公司或者集团层面应该指定一个足够资深和较高级别的高管或者建立一个委员会，确保公司董事会和管理层及时了解反洗钱领域的合规开展情况，定期不定期监督和核查相关工作的有效性，只有专人负责，明确职能，合规职责才可以落实。

(二) KYC义务

对于银行、证券等金融机构，根据各国金融主管部门的监管要求，都有一个义务叫做“Know Your Client”，即充分了解客户的背景、身份、职业、国籍、种族、所在行业、资产来源、居住地、工作地、商业活动范围以及与银行等机构交易目的等，进而评估客户潜在的洗钱风险。针对个别客户，还要进行升级版的尽职调查，以合理评判和避免合规风险。这种了解客户背景的责任，其实是适用于所有开展国际商事活动的企业或机构的，同样地，中资企业，在进行跨国投资、贸易、开展各类商业以及非盈利活动时都要遵守。

(三) 合规与业务的矛盾

企业内部的业务部门在正常商业经营活动中，无疑具有主导权，合规部门往往是发挥辅助性作用，也即所谓的“保驾护航”，但在特定时刻，合规工作会成为业务部门的“障碍”，如何正确处理这种冲突，是跨国经营企业的巨大考验，尤其是那些刚刚“走出去”急于扩张业务，拓展市场，赢得客户的企业，还有就是前往“一带一路”沿线各国投资或者开展贸易、投资、基础设施建设、参与各类投标的中国企业。“一带一路”沿线各国法治体系普遍较为不健全，金融系统监管匮乏，反洗钱活动较为活跃，同时市场经济也不够发达，商业交易透明性、合法合规性存在诸多灰色地带，短期看，完全合规是“自断绝路”，但长期看，合规的重要性需要格外重视，因为它可能事关企业的生死，这种教训不胜枚举。

(四) 建立风险等级

对于不同产品和服务的风险等级进行划分，区分低中高不同的级别，目的是针对不同等级相应地采取恰当的应对措施，进行定期评估、动态调整。值得注意的是不同风险在不同地区可能会有所差异，风险分级有助于正确理解相关风险，并建立不同的优先次序。

(五) 第三方机构或外包

确定业务运营过程中是否存在第三方代理、外包服务提供商或者中介机构。这种情况下，应该确保此类第三方服务机构同样遵守FATF反洗钱和反恐融资的相关规定，开展适当的客户背景尽调以及相关交易文件的归档备查。而且需要注意的是，在很多情况下，第三方机构所应该承担的责任，最后会归责到委托方，不可推卸。

需要提请注意的是委托第三方管理和实施AML/CFT工作的情况下，委托机构并不能简单地放手不管，一推了之。当委托机构是金融、证券、期货、保险、财务等金融机构或者非金融特定行业时，鉴于行业特殊性，存在较为严厉的各类监管和资质要求，但是这些监管制度，尤其是AML/CFTF方面的要求难以强制适用于第三方，从而出现监管盲区，这就要求委托机构必须将此类第三方机构纳入自己的内控体系之内，避免出现管理和监控漏洞。

(六) 既要借助技术也要专业人才把关

各类受AML/CFTF义务监管的机构，在开展国内或国际业务时，希望依赖技术手段进行有效的反洗钱监控，包括使用大数据资源辅助进行合规检测与筛查，或者将反洗钱合规全部外包给第三方机构处理。现有软件数据分析水平仍未臻完美，全部交由软件系统尚无法自行完成全部分析与报告工作，专业人员的介入和复核是不可取代的。

另外，要杜绝使用非法“爬虫”信息进行反洗钱合规或采用其他违规方式敷衍风控义务，这不仅无法达到反洗钱合规要求，还可能诱发各类法律风险，惹祸上身。

(七) 常见的可疑活动

一般来说，无论哪个行业，有某些现象是需要特别引起注意的。例如：

1. 某个客户与本公司的业务量或金额在短期内快速增加，或者某一类客户在短期内迅速增长；

2. 客户的身份是通过复杂的所有权关系或者多层控制关系实现的，或者通过信托或者法律安排以至于很难识别最终的真正惠益人或实际控制人；

3. 某客户的某些商业行为反常，也即行为缺乏商业合理性或逻辑，某些活动与其所从事业务缺乏正常关联；

4. 某个客户的商业活动与政治性人物（Politically Exposed Person）发生联系；

5. 某些客户的款项支付方式异常，例如使用大量现金或者其它可以隐匿付款人身份或者资金来源的方式或者使用多个银行账户，或者付款来自无关的第三方；

6. 资金或者财富的来源令人生疑，例如无法合理说明财富取得途径的资金或者财富规模与持有人的身份或者收入明显不匹配；

7. 要特别小心某些高风险类别的人士，例如广泛活跃于慈善事业或非盈利组织、经营或者经常参与博彩业、经营贵金属、珠宝业或者买卖军火武器，还有就是有犯罪前科的人员等等；

8. 谨慎处理那些可以远程或者在线完成，身份核实环节易于作弊作假的交易

9. 国际贸易中的贸易融资或者备用信用证，涉及大量文件单证的审查，易于被非法目的所利用

10. 关注那些来自敏感地区的客户和中介服务机构以及涉及该地区的交易活动。

当然，以上仅仅是列举部分行为，现实中，在不同行业、不同区域、不同商业模式还存在难以胜数的其它各类涉嫌洗钱的活动和方式，而且随着时代和科技的发展，新伎俩新方法永远会不断出现。

二、格外注意跨国经营的合规制度和风控建设

跨国经营的业务、部门、境外机构、子公司，需要充分研究和掌握经营所在国家的司法制度、反洗钱等领域监管要求，熟悉公司所从事特定行业在当地的成熟程度、多元化程度、风险特征。要深入研究并及时跟踪FATC以及当地所在国的相关监管部门的合规建议以及推荐的最佳实践（best practices），并将合适的做法吸收采纳，融入本公司的合规操作之中。例如著名的The Wolfsberg 问卷[注1]，就是非常全面的一个问题列表，为企业在日常业务识别风险提供很多帮助，可以加以借鉴并结合本公司具体业务予以补充完善，有效识别、防范反洗钱风险。

建立和实施集团内部的反洗钱相关信息和数据库的共享，尤其是确保在某些重点关注地区的部门、分公司、子公司、代表处等可以及时、充分地享有相关数据库最新资料的使用条件，从而增强该地区开展经营的机构在识别和评估洗钱活动以及消减风险后果的能力。在跨国商事交易中要加强监测，从而甄别发现非正常或可疑的交易，或者有规律或重复发生的特定活动。同时也要建立切实有效运行的调查机制，保障实现及时、全面的检讨和跨区域、跨部门的协调和评估工作。

三、建立可疑交易活动汇报制度

虽然公司内部有专门的合规和风控部门，但该汇报制度应该向公司各个层面开放，不仅仅限于合规部门，甚至可以是匿名汇报。这样可以避免业务部门过于强势的地位影响判断，防止某些业务部门基于业绩利益考虑，施加不良影响，压制合规义务的遵守，也弥补有些时候合规部门话语权较为弱势的弊病。当然极端情况下，也不能排除业务部门的个别人员被贿赂利用，内外勾结从事违规操作，需要从机制上防患于未然。

四、建立公司内部培训制度

要建立经常性的培训制度，必要时借助外部专业人士的专业知识和经验，对公司内部人员进行教育和分享，确保公司内部员工理解和掌握反洗钱领域的基本知识，了解相关行业特有的风险，强调遵行合规体系和相关准则的重要性和价值，跟踪反洗钱领域的最新动态和监管要求，严格按照操作规程处理业务，认真完整地留存相关交易文件，及时归档，保留相关信息和痕迹。将参与反洗钱合规培训和表现纳入员工绩效考核体系之内，提供适当激励。另外，要特别就公司在世界各国其他地区的经验活动进行评估和检讨，并针对开展的商业经营活动相关的合规问题进行培训，发现和识别各个不同地区和法域所特有的问题和风险，熟悉和提升识别与消减风险的意识和能力。

指定特定人员专门负责反洗钱领域的合规工作，并进行持续在职培训，掌握相关技能和专业知识，熟悉相关技术工具。

五、注意个人数据和客户信息保护

反洗钱合规义务的履行，也不能忽视个人合法信息的保护，需要找到两种义务之间的平衡。比如我国《反洗钱法》中明确规定，因履行反洗钱义务而获得的客户身份资料和交易信息应当保密，非经法律规定不得向任何单位及个人提供。因此，各类金融机构及特定非金融行业应在合法合规的界限内全面履行合规义务，承担经营业务所在地社会责任，遵守隐私保护，个人或客户信息方面的法律法规等。在获取客户、个人信息的同时，必须指定其使用目的，仅在目的范围内，仅限于业务所需的范围使用所获取的信息，除非法律允许的特殊情况。在处理个人信息时，建立妥善有效的信息安全制度，防止未经授权的访问、丢失、伪造、泄漏等，并持续审查和改进安全措施。

近年来，中国企业大举进军海外，开展跨国商业活动，一个无形的风险正在逐步显露，那就是海外反洗钱合规风险。仅2017年，美国各级监管机构就反洗钱问题对15家金融机构共开出约17.38亿美元的罚单，其中包括纽约州金管局对3家外国银行纽约分行的罚款约6.61亿美元。中资企业切记谨慎，跨国公司的合规义务的确比纯粹的国内业务繁重，这是跨国公司的商业经营的合理成本，也是不可推卸的义务，否则代价和后果都将无比惨重，不可小觑。

注释及参考文献:

[1] https://www.wolfsberg-principles.com/sites/default/files/wb/pdfs/faqs/17.%20Wolfsberg-Risk-Assessment-FAQs-2015.pdf

作者简介：

白显月 国浩天津管理合伙人