本文试图开门见山地与大家分享现行严峻的国际与国内洗钱与恐怖融资风险局势以及常态化的国内外反洗钱监管形势下，如何以风险为本的反洗钱工作原则为准绳，做好反洗钱与反恐怖融资工作履职。

所述内容主要结合自身工作实际，未必通用，亦未必完全正确，还请批评指正。

What！反洗钱？对于支付机构来说，不就是可疑交易的监测和报送吗？采购一套反洗钱监测系统、做标准化监测模型不就可以了吗？反洗钱系统是事后监测系统，搭建起来有什么难?

作为曾经混迹过第三方支付行业的合规从业者，听过很多对反洗钱工作本身的一些忽视和误读，以上观点可能代表了大多支付人对反洗钱工作的最直接认识。

2018年下半年至今，整个金融行业因反洗钱履职不到位而遭受的巨额处罚案例屡见不鲜，处罚频率高、处罚金额巨大史无前例，被处罚机构不乏各支付机构。

去年至今，中国人民银行先后颁布《中国人民银行关于非银行支付机构开展大额交易报告工作有关要求的通知》（银发【2018】163号）及其配套大额交易报告报文接口规范、《互联网金融从业机构反洗钱和反恐怖融资管理办法(银发【2018】230号)》、《中国人民银行办公厅关于进一步加强反洗钱和反恐怖融资工作的通知（银办发【2018】130号）》、《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知（银发【2018】164号）》以及支付机构非现场检查数据接口规范（301号文）等一系列反洗钱规范性文件，不断释放出行业强的监管形势。

这也预示着对于第三方支付行业，无论从其风险管理架构、风险管理政策和程序、信息系统建设、数据治理、内部检查审计以及绩效考核等各方面，监管当局都提出了更为明晰、更加严格的管控要求。

近年来，第三方支付机构面临着客户信息泄露、网络欺诈、境内外黄赌毒资金以及空壳商户利用三方支付通道进行洗钱等风险，监管当局重新审视第三方支付这一新兴支付结算体系参与者的创新性和风险性后，以处罚警示为契机，以规范促管控，为支付机构反洗钱义务有效履职指明了方向。

相较于银证保等传统金融机构，支付机构反洗钱风险管理架构、策略程序以及数据治理虽起步较晚，但通过明确反洗钱工作总体要求、借鉴已相对成熟的金融行业最佳洗钱与恐怖融资风险管理实务经验，同样能逐步完善自身洗钱风险管理基础，提高反洗钱履职效能，避免因洗钱履职不到位遭受的处罚。

01明确反洗钱履职总体要求

《FATF新40项建议-打击洗钱、恐怖融资和扩散融资建议》（2012）出台后，2013年初FATF全会通过了新的反洗钱体系互评方法，首次将有效性评估与合规性评估置于同等重要的地位。

为顺应国际形势，我国反洗钱监管体系逐步更新发展，《金融机构大额交易和可疑交易管理办法》（俗称新3号令）作为第一个落实风险为本法规落地实施。

规范可疑交易主体后续控制措施的117号文进一步明确对于可疑报告主体的后续控制及风险防控措施，为数不多地提到了“拒绝开户”的风险防范机制；洗钱风险内涵逐步扩大至对洗钱、恐怖融资、逃税（国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见，国办函〔2017〕84号）以及扩散融资风险（法人金融机构洗钱和恐怖融资风险管理指引（试行））的预防和管控。

客户身份识别、大额交易和可疑交易报告以及客户身份资料和交易记录的保存为基础的反洗钱履职三要素逐步深入细分，客户风险等级划分、产品（业务）洗钱风险评估、涉恐名单及制裁类名单监控和交易报告等已成为反洗钱核心履职要求。

02客户身份识别

（1）客户身份识别基础性工作：这是一个老生常谈但也十分容易被片面理解的话题。说到客户身份识别，几乎所有的专业的、非专业的人们都会自然联想到KYC（了解你的客户）。可是，了解客户的什么呢？决不仅仅是三要素、四要素鉴权，也不仅仅是采集自然人身份信息9要素、非自然人13要素这么基础。KYC包含了客户、交易、资金的完整识别和监控，即：

客户是谁，干什么的？（身份基本信息的登记）；

资金从哪里来，是否有相关背景？（实际控制人和受益所有人）；

交易与身份是否相符？（尽职调查）；

客户是否属于监控名单内（恐怖融资及恐怖活动、涉高风险或制裁相关、外国或本国政要及特定关系人）等一系列调查分析和登记。

（2）客户风险等级划分及动态管理：客户风险等级管理作为洗钱风险评估体系中重要组成部分，与客户身份识别、可疑交易报告（可疑主体后续控制措施）密不可分。

在KYC的基础上，基于标准型尽职调查和强化型尽职调查，支付机构可完成客户风险等级管理。需要注意的是客户风险等级应以客户为单位，而非以账户为单位，亦与账户等级分类无关。也就是说同一客户在一家机构具有唯一的风险等级评定结果。账户销户而客户号仍为有效的，机构仍应按内部管理规定对该客户进行风险等级管理。

关于客户风险等级评定，目前较具有参考性的文件是《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》。

《指引》从风险等级评估指标体系（客户特性、行业（职业）、业务产品及服务、地域等维度及其风险子项）、存量及新开客户风险等级划分操作流程（存量、新开客户的风险等级调整时限要求及操作流程）、风险分类控制措施（风险较高客户的控制措施、风险较低客户的控制措施等）等方面为义务机构客户风险等级划分工作提供了执行依据。支付机构可据此结合本机构实际情况开展客户风险等级动态管理工作。

（3）以客户为单位：说到以客户为单位而非以账户为单位开展的客户身份识别，自然就要讲到I类支付账户主体的身份识别是否可简化的问题，答案自然是否定的。“以客户为单位”即意味着无论是支付I类户还是银行账户III类账户，其对应主体的身份识别程度应与支付III类户、银行账户I类户识别程度相当。

账户三级分类管理执行之前，支付机构开立账户流程大多简单粗暴，甚至有中小机构仅凭一个手机号便可为客户开通支付账户并进行资金收付。

2012年颁布的《支付机构反洗钱和反恐怖融资管理办法》紧紧围绕“了解你的客户”原则，对支付机构反洗钱客户身份识别工作提出了具体的细化要求，规定了自然人9项（其中应特别关注客户职业、证件有效期、住所地三项）、非自然人11项、特约商户13项基础信息。

但就实际执行情况来看，完整采集和保存以上必要信息的机构甚少、能做到在“个人客户单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务、个人全部账户30天内资金双边收付金额累计人民币5万或者外币等值1万美元以上的”等情形下能准确核对客户有效身份证件，并留存客户身份证件复印件或者影印件的支付机构更少。

另外，支付机构非现场检查数据接口规范（301号文）为支付机构客户及交易信息采集提供了完整的数据规范，也是人民银行现场检查必提取的数据文件之一，客户、商户信息、交易信息在各报表中一目了然，支付机构应重视和确保该报表数据的完整性和准确性。

03大额和可疑交易报告

《中国人民银行关于非银行支付机构开展大额交易报告工作有关要求的通知》要求支付机构自2019年起报送大额交易报告，并制定支付机构大额交易报告要素及释义规范。但截至目前了解到的情况是报送接口暂未对支付机构开放。

大额交易报告除依据支付机构大额交易标准报送外，还应注意：

（1）符合大额免报的交易可不报送大额报告或者不计入大额累计范围（详见《中国人民银行关于非银行支付机构开展大额交易报告工作有关要求的通知》正文）；

（2）大额交易标准中的“其他账户”：包括他人的支付账户、本人或他人的银行账户；其他的银行账户，包括本人或他人的银行账户；

（3）大额交易报送时限要求：主要影响大额交易报告的及时性。新3号令等文件中多要求为“交易发生日起5个工作日”，但人行实际执行的日期为“交易发生后的5个工作日”；

（4）涉及跨境交易两类情形：交易标示为跨境或交易一方为非居民境内账户的，均按照跨境交易处理，并按规定提交大额交易报告；

（5）客户当日交易币种同时涉及本外币，且本外币任一币种累计均未达到大额标准的，分别以本币、美元单边折算累计，按孰低原则合并提交可疑交易报告；本外币任一币种单边累计达到大额标准的，合并提交大额交易报告（可参照新3号令补充文件（银发【2017】99号））。

新3号令要求各义务机构在合理怀疑的基础上上报可疑交易报告，并取消了原2号令标准的可疑监测规则，体现了自主监测的内在要求。对于支付机构而言，基于尽职调查判断，对其客户或者商户无法排除洗钱嫌疑，或者有合理理由认为客户或者商户涉嫌非法交易或洗钱的，均应报送可疑交易报告。

04涉恐监测及交易报告

涉恐名单监测及交易报告依据《涉及恐怖活动资产冻结管理办法》（中国人民银行公安部国家安全部令〔2014〕第1号）、《关于落实执行联合国安理会相关决议的通知》（银发【2017】187号）、以及《金融机构大额交易和可疑交易报告管理办法》及有关执行要求的通知（人民银行令【2016】3号、【2018】2号及银发【2017】99号）等法律法规展开。

（1）名单范围：中国政府发布的或者要求执行的恐怖活动组织及恐怖活动人员名单；联合国安理会决议中所列的恐怖活动组织及恐怖活动人员名单；中国人民银行要求关注的其他涉嫌恐怖活动的组织及人员名单。

（2）名单的获取途径：目前该类名单可通过联合国官网发布、国家安全部和公安部转办、中国人民银行转发及相关风险提示文件取得。支付机构可自行选择手工维护或采购上游数据供应商不定时更新推送。

（3）名单的实时监测与回溯监测:以上名单应纳入支付机构实时监测流程中（开户、所有交易、所有业务线、所有环节）。对开户或交易的客户证件号码、账号卡号命中监测名单的，系统应进行实时阻断并提示预警，支付机构应在业务发生后的24小时内提交重点可疑交易报告，并以电子或者书面形势向所在地人行报告。

若开户或交易仅命中姓名或名称的，支付机构可酌情在业务发生后的一定时间内尽快完成客户尽职调查，判断是否为涉恐名单客户。人行未规定“尽快”的具体时限，一般认为业务发生后的24小时以内。

涉恐监控名单发生调整的，对于增量名单，支付机构应立即对本机构存量所有客户（包括续存客户和已销户客户）和上溯3年内的所有交易进行回溯调查，发现客户或其交易对手与名单匹配的，应立即提交可疑交易报告。

05新产品、新业务、技术的洗钱风险评估

业务、产品及服务的洗钱风险评估是一直是人民银行强调的义务机构洗钱风险管理履职重点之一，也是反洗钱与反恐怖融资应覆盖所有业务、所有客户的集中体现。实操中，机构首先应根据自身业务特定制定本机构的产品、业务洗钱风险评估内部管理制度，制度内容应至少包括：

（1）新产品、新业务或新技术的界定标准，以便在具体执行洗钱风险评估时不至于发生漏评情况；

（2）洗钱风险评估指标及流程，即按照哪些要素或维度去最终确定某一产品或业务的洗钱风险等级，以及如何流转以便完成整个评估过程；

（3）与风险等级匹配的控制措施，即针对不同风险类型的业务、产品应采取的控制措施，以便提醒业务部门做好风险预防；

（4）产品生命周期的洗钱风险管理，包含上线前风险防控措施的落实、运行中风险监测及可疑交易报告机制，以及下线时客户信息、交易信息处理机制等。

洗钱风险评估指标可参考《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》中关于客户风险等级划分的指标体系进行搭建。支付机构应结合自身业务特点自行研发评估指标，以便风险评估能真实体现本机构产品及业务实际的风险状况，例如可引入网络特约商户快捷支付或网关支付服务开通情况、商户（客户）所属行业情况、交易及退款情况等。

洗钱风险评估也可并入本机构产品业务合规风险评估流程中，但在合规评估资料中应体现洗钱风险评估的过程及留存相关依据和记录。

06受益所有人识别

关于受益所有人的识别，就分享一点。即识别受益所有人的证明材料中，类似于企查查、天眼查等第三方商业机构提供的资料只能作为识别辅助，不能独立作为识别核实受益所有人身份的证明材料。

07国际监管建议

《打击洗钱、恐怖融资和扩散融资建议-FATF40项建议》中对资金或价值转移服务提供商的洗钱风险监管建议对我们的反洗钱工作很有参考价值：

“各国应当采取措施，确保本国提供资金或价值转移服务的自然人或法人获得许可或进行注册，并受到有效系统的监测，以符合FATF建议要求的相关措施”；

“各国应当采取行动，发现未经许可或登记注册而提供资金或价值转移服务的自然人和法人，并给予适当处罚。在资金或价值转移服务提供商及其代理商开展业务的国家，任何作为资金或价值转移服务代理商的自然人、法人必须获得主管部门的许可或登记注册；资金或价值转移服务提供商必须保存一份可以随时被相关主管机构获得的代理商名单”；

“各国应当采取措施，确保资金或价值转移服务提供商将其代理商纳入自身反洗钱与反恐怖融资计划，并对其合规情况进行监测。”（FATF40项建议第14条）

作者简介： 静静只，混迹过四大行，飘荡过三方。做过内控合规、干过反洗钱。目前在一家小银行负责反洗钱系统的高知妹纸。