引言：

中国自接受FATF(反洗钱金融行动特别工作组)第四轮互评估以来，中国人民银行每年4月30日均会公布反洗钱监督管理工作总体情况。2022年4月30日，《2021年人民银行反洗钱监督管理工作总体情况》如期而至，根据该文件所披露的数据，2021年度中国人民银行共检查银行业机构600家，完成对401家违规机构的处罚，罚款金额共3.21亿元。值得银行业机构关注的是，在2021年度，银行业仍是监管执法检查和处罚的重点对象，被处罚的银行业违规机构共计365家，占所有违规机构的91.02%，罚没金额2.61亿元，占罚款总金额的81.31%。

强监管、重处罚的国内形势并非空穴来风，从国际形势来看，中国在第四轮互评估中，合规性指标建议35(R.35处罚)被评为了“部分合规”。为改善该项缺陷，笔者理解，中国必然需保持强监管的势头，早在2020年6月，中国人民银行在其官网发布的《全力推动反洗钱工作向纵深发展》，文中亦强调了关于强监管势头的工作重点。

图表1-截至2021年10月中国第四轮互评估合规性指标评估结果情况一览表

*FATF在中国互评估报告中对此还阐述相关理由，认为考虑到与中国金融行业的规模和构成相比，处罚规模和金额上限均较低，因此担心适用于金融行业的处罚措施不够有效、有劝诫性和相称。

在此国际与国内形势双重高压之下，作为承担洗钱风险管理“直接责任”和反洗钱内控系统“第一道防线”职责的银行业务部门，既要认清自身在反洗钱工作所承担的职责与定位，提升反洗钱和反恐怖融资(以下统称“反洗钱”)的合规能力，还要持续改善并实现反洗钱高效履职。本文笔者拟从实务经验中发现或了解的银行业务部门反洗钱合规常见误区出发，通过对银行业务部门的常见反洗钱合规痛点分析与总结，结合现行反洗钱监管规定的相关要求，对银行业务部门反洗钱工作如何主动合规提出针对性应对建议，由此期望能对银行业务部门转变工作思路及开展反洗钱工作有所助益。

一、银行业务部门常见反洗钱合规误区

误区一：反洗钱牵头管理部门应负责全部反洗钱工作

“既然设立或指定了负责反洗钱的专门机构，那么反洗钱牵头管理部门就应负责全部反洗钱工作。”这是笔者在与银行业务部门接触与沟通过程中，经常听到的观点。笔者倾向于认为，该观点既是常见的误区之一，也是常见的银行业务部门对反洗钱工作的困惑之一。如果银行业务部门存在该类的困惑，笔者理解，其原因大概率是所在机构的反洗钱内控建设中的反洗钱文化建设和反洗钱内控三道防线建设方面存在一定的缺陷。

应予以注意的是，业务部门需要承担反洗钱职责是一项合规要求，如《法人金融机构洗钱和恐怖融资风险管理指引(试行)》(银反洗发〔2018〕19号)中已有关于金融机构各部门职责分工的相关规定，其中，业务部门应承担洗钱和恐怖融资(以下统称“洗钱”)风险管理的直接责任；另外，从反洗钱内控三道防线建设角度，业务部门属于反洗钱工作的“第一道防线”。

如银行业务部门不履行对应反洗钱合规义务，承担反洗钱违规行为法律责任的主体除所在机构外，通常还会包括业务部门的负责人，处罚方式则以罚款为主。从近年来反洗钱监管罚单的处罚情况来看，已有多个反洗钱处罚案例认定业务部门负责人对反洗钱违规行为负有责任，进而对其进行处罚。如中国人民银行杭州中心支行近期的行政处罚信息公示表，某城商行因未按规定履行客户身份识别义务、未按规定保存客户身份资料和交易记录、未按规定履行大额和可疑交易报告义务、与身份不明的客户进行交易，7名相关责任人同时被罚：

图表2-某城商行因未按规定履行客户身份识别义务等责任人处罚表

又如，中国人民银行在2021年初对某全国性股份制银行开具了天价反洗钱罚单，该银行共计14名相关责任人被处罚，涉及业务部门、反洗钱管理部门等10个部门，其中业务部门包括零售银行部、公司银行部、运营管理部、国际业务部、电子银行部、信用卡中心、私人银行部、资产管理业务中心等。各相关责任人员职位及其处罚金额情况如下表：

图表3-某全国性股份制银行相关责任人员职位及其处罚金额情况表

误区二：业务部门工作与反洗钱毫无关联

银行业务大多数依托于银行卡或者银行账户，但也有部分产品业务(含服务)并不涉及相关账户的开立，譬如理财业务，其业务管理归口部门可能并不负责开立账户，也可能不负责与代销机构建立或维系业务关系，认为自身仅为业务设计部门，反洗钱工作均由其他部门负责，本部门工作与反洗钱毫无关联。

笔者理解，发生上述认识的原因可能是，银行机构自身的客户风险管理机制、反洗钱内部信息共享制度和程序等方面存在缺陷。业务部门作为业务设计和管理部门，需要持续地分析业务的相关活动及其风险；在此过程中，通常会发现业务的异常状况，而这些状况背后，自然会有与洗钱等违法犯罪活动相关的行为或活动。由于机构自身的客户风险管理机制、反洗钱内部信息共享制度和程序不健全，业务部门仅基于业务风险管控要求，径直清理了异常客户或者终止了相关异常业务，未能依此持续地开展客户风险等级划分工作或者报告可疑行为或者可疑交易，并及时采取与风险相匹配的风险管理措施，风险信息也未能及时地报告至反洗钱牵头管理部门。如仅做到前述的操作，仍可能存在被认定为未按规定履行客户身份识别义务或未按规定报送大额交易报告和可疑交易报告的风险，进而导致对违规行为负有责任的相关人员存在因反洗钱违规被处罚的风险。

应予以注意的是，根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》的规定，业务部门需要承担的职责包括识别、评估、监测本业务条线的洗钱风险，及时向反洗钱管理部门报告、建立相应的工作机制，将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作，以及开展或配合开展客户身份识别和客户洗钱风险分类管理，采取针对性的风险应对措施等。为兼顾成本与效率，业务部门需要将前述反洗钱职责，在本机构反洗钱管理要求的基础之上，结合本部门业务、管理和操作的实际情形，落实具体的实施或执行操作，方能满足反洗钱合规要求。

误区三：仅凭经验认定产品业务洗钱风险较小

虽然早在2013年中国人民银行就出台了《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(银发〔2013〕2号)，其中规定金融机构应当对各项金融业务的洗钱风险进行评估，制定高风险业务列表，并对该列表进行定期评估、动态调整，但是很多中小银行机构在实践操作中，未能有效地落实该要求。

对此，其表现形式通常为，业务部门在谈及本部门业务的洗钱风险时，通常会以业务办理或管理经验作为判定洗钱风险的依据。如根据经验认为相关产品业务(以存款产品为例)是属于传统的产品业务，洗钱风险较小；或者对于应用了新技术的产品或者业务，认为业务模式简单，洗钱风险不大且可控。

应予以注意的是，根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》的规定，金融机构应当有效识别高风险业务(含产品、服务)，并对其进行定期评估、动态调整，而业务部门应负责识别、评估、监测本业务条线的洗钱风险，及时向反洗钱管理部门报告，并以业务(含产品、服务)的洗钱风险评估为基础，完善各项业务操作流程。结合前述规定可知，产品业务洗钱风险评估属于业务部门的职责，银行业务部门需采取流程和行动，评估产品业务的洗钱风险，并留存相应的评估记录，以确保有效履职。

误区四：业务部门不必细化现有反洗钱管理规定

目前大多数银行业机构已有较为健全的反洗钱制度保障体系，内部控制制度总体上能够涵盖法律法规及监管文件要求的范围。但是笔者在反洗钱工作交流中了解到，在监管执法检查、走访调研或机构内部审计所提出的意见中，较为常见的意见是业务部门落实内部控制制度要求方面的工作存在缺陷或问题。笔者通过进一步了解发现，此类机构的反洗钱内部控制制度的归属部门均为反洗钱牵头部门管理部门，而其业务部门的业务管理办法或业务操作规程，绝大多数未能嵌入反洗钱管理要求，而且大部分业务制度内化自业务对应的监管文件，即使有反洗钱内容，也仅限于对应监管文件的反洗钱要求，而且缺乏可操作性。

上述情形导致的不利影响或结果通常为，反洗钱内控要求不能贴合业务条线操作，独立于业务条线操作规程存在。

应予以注意的是，根据《法人金融机构洗钱和恐怖融资风险管理指引(试行)》的规定，将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作属于业务部门的职责，如未能落实该要求，业务部门需要承担相应的直接责任。因此，除非有充分的理由并保留相应的工作记录，否则业务部门应当结合本机构的反洗钱管理规定，细化本部门的业务管理办法或业务操作规程，以确保业务操作能够与本机构的反洗钱内容要求能够有机融合。

二、银行业务部门常见反洗钱合规痛点

在趋严的反洗钱监管与处罚背景下，不少银行机构的业务部门的反洗钱工作开始从“要我合规”向“我要合规”转变，但笔者通过与银行业务部门进行沟通和交流也发现，“我要合规”仍面临诸多痛点与难题。

1. 业务产品繁杂，反洗钱要求细致，难以抓住工作落脚点

对于银行业务部门而言，种类繁杂的业务产品(含服务)以及要求繁多的反洗钱合规监管文件及内部要求，都是银行业务部门“我要合规”转变路上需要克服困难与挑战，该等困难与挑战令银行业务部门难以抓住反洗钱合规工作的“落脚点”或者“发力点”，导致相关工作仅停留在认知或战略方面，无法采取切实有效的行动或措施，影响了“我要合规”的转变进程。

而且，受限于对洗钱风险的认识或者理解的程度，银行业务部门可能存在无法将业务办理和管理现状与洗钱威胁或者控制措施脆弱性相关联，进而难以落实将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作等要求的情形。

2. 人力资源配置不足

反洗钱人力资源配置不足是阻碍银行业机构有效落实反洗钱工作的“绊脚石”。在行业实践中，业务部门往往难以在本条线配置反洗钱专职岗位，为满足监管要求，只能退而求其次地在本业务部门/条线设置反洗钱联络员或者专管员等兼职岗位。但是由于反洗钱专业程度方面存在一定局限性，而且需要身兼多职，导致该等兼职岗位难以在反洗钱方面投入充足的资源或者提供为业务充足的支持，不少反洗钱工作尤其是洗钱风险评估等专业工作，需要依赖于反洗钱牵头管理部门的支持或者一揽子“包干”。

然而“雪上加霜”的情况是，有些银行业机构的反洗钱牵头管理部门甚至无法按照监管要求配备专职的反洗钱岗位人员，导致反洗钱兼职岗位人员难以分配出精力或资源，有效地支持业务部门的反洗钱工作。例如，业务洗钱风险评估、机构洗钱风险评估等需要反洗钱牵头管理部门统筹安排，并组织业务部门充分地参与的工作；如果业务部门缺少专业人员的配置，或者反洗钱牵头管理部门的支持力度或者资源分配不足的，业务部门的反洗钱合规工作将难以有效开展，甚至难以避免有关工作流于形式。

3. 专业支撑不足而“事倍功半”，积极性被浇灭，陷入恶性循环

随着“风险为本”的反洗钱工作方法的推广和应用，目前已有银行业机构在产品业务洗钱风险评估领域，开始应用评估固有风险、评估控制措施有效性，进而评估剩余洗钱风险的评估方法论，基于剩余洗钱风险和评估过程中发现的高风险情形，采取相应的特殊控制措施，并将评估结果应用于业务管理，旨在确保风险在本部门/本机构的洗钱风险管理能力范围内，提升反洗钱工作的有效性。

对于缺少相应的专业评估方法或者专业工具作为支撑的部分银行业机构而言，其业务部门难以将有效落实基于监管要求及行业公认方式对产品业务进行系统化洗钱风险评估工作的要求，进而导致被监管或者内部审计机构认定履职有效性方面存在缺陷。

应予以注意的是，以产品业务洗钱风险评估工作为例，在对产品业务进行系统化洗钱风险评估工作过程中，一般都会面临如何确保产品业务洗钱风险评估工作与本部门或本机构经营管理实际相结合或相适应的难点问题。对于有较为丰富的反洗钱专业经验作为支持的银行业机构而言，在开展几轮沟通或讨论会议后，就能够较为快速地得出解决思路或者可采取的解决方式，达到“事半功倍”的效果。反之，如反洗钱专业经验不足，有关部门只能“投石问路”、“摸石头过河”，其结果难以避免“事倍功半”，导致有关部门的反洗钱主动履职积极性被浇灭。此类情形对于银行业机构的业务部门和反洗钱牵头管理部门而言，均属于“煎熬”，导致有关反洗钱工作陷入无法有效落实的恶性循环。

4. 不同业务场景涉及反洗钱合规问题，需要综合考虑多个因素后再作出决策

以受益所有人识别与核实为例，根据《中国人民银行关于加强反洗钱客户身份识别有关工作的通知》(银发〔2017〕235号)和《中国人民银行关于进一步做好受益所有人身份识别工作有关问题的通知》(银发〔2018〕164号)的规定，在与非自然人客户建立业务关系时以及业务关系存续期间，按照规定应当开展客户身份识别的，义务机构应当同时开展受益所有人身份识别工作，应当登记客户受益所有人的姓名、地址、身份证件或者身份证明文件的种类、号码和有效期限。

在实践过程中，当发生客户不配合提供受益所有人证件信息或者通过公开渠道无法核实的情形时，按照监管文件的规定，在此情况下，决策是否与客户建立或者维持业务关系，应当综合考虑成本收益、合规控制、风险管理、国别制裁等因素，采取调高客户风险等级、加强资金交易监测分析、获取高级管理层批准等严格的风险管理措施，无法进行受益所有人身份识别工作，或者经评估超过本机构风险管理能力的，不得与其建立或者维持业务关系，并应当考虑提交可疑交易报告。因此，在此情形下，如何合规开展业务，已成为令业务部门和反洗钱牵头管理部门广受诟病的业务场景。

三、银行业务部门反洗钱合规应对步骤与建议

笔者以下基于上文总结的常见误区以及常见痛点，结合监管文件的要求以及过往协助金融机构反洗钱牵头管理部门以及业务部门提升反洗钱工作有效性的实务经验，针对银行业务部门反洗钱合规工作提出如下应对步骤与建议：

1. “了解你的业务”、业务所面向客户群体及其控制措施要求

现状梳理是“了解你的业务”的前提。建议银行业务部门基于洗钱风险评估角度，结合洗钱固有风险相关的考虑因素对本部门或本机构的产品业务及其渠道的种类、参与业务的主体、业务所面向客户群体的相关情况、业务流程和业务环节开展深层梳理，并结合控制措施情况针对所采取的风险控制措施进行梳理，形成本部门或本机构的产品业务(含服务)清单。

一般情况下，该项工作需要落实工作措施与要点繁多，但是该项工作是识别与评估产品业务洗钱风险、控制措施有效性情况的重要基础。推荐有条件的银行业机构可以参与主体、业务流程、资金流转、信息数据及其相关设备为要素，画出对应的业务流程图(如泳道图等)。

需要强调的是，该项梳理工作并非仅适用于反洗钱合规，其优势点至少包括：一是有利于梳理和了解现状情况；二是有利于开展内控评价及高效地进行相应调整和优化内控工作；三是有助于数据治理或数据合规管理工作(如有)。

2. 建立健全产品业务洗钱风险评估指标体系

现行有效的《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《关于印发〈法人金融机构洗钱和恐怖融资风险管理指引(试行)〉的通知》《法人金融机构洗钱和恐怖融资风险自评估指引》均对产品业务洗钱风险评估给出了需要考虑的风险因素，而且《法人金融机构洗钱和恐怖融资风险自评估指引》还针对产品业务维度的特殊管控措施给出了在评估时可以考虑的因素。

建议银行业务部门配合反洗钱牵头管理部门，结合本部门或本机构的经营管理及产品业务实际，建立健全适用于本部门或本机构的产品业务洗钱风险评估指标体系。

需要强调的是，建议针对新产品、业务和存量产品、业务在部分考虑因素或指标设置方面分别给予不同的着重点。例如在评估新产品、业务时，可以给予产品特性、面向的客户群体等因素更高的权重，而针对存量产品、业务，可以给予交易规模、涉及风险事件等因素更高的权重。

3. 完善交易监控

一般而言，银行业机构的交易监控依赖于交易监测标准实现。交易监测标准包括并不限于客户的身份、行为，交易的资金来源、金额、频率、流向、性质等存在异常的情形。

建议银行业务部门以产品业务现状梳理和产品业务洗钱风险评估结论为基础，开展或参与本部门或本机构的交易监控机制或交易监测标准的建设、评估和完善工作。可考虑的因素包括但不限于：本部门或本机构的产品业务的资产规模、地域分布、业务特点、客户群体、交易特征，产品业务洗钱风险评估结论等。完善交易监测标准的相关监管文件可参考《义务机构反洗钱交易监测标准建设工作指引》(银发〔2017〕108号)。

需要强调的是，建议在建设、评估和完善交易监控机制或交易监测标准时，将被评估为高风险的产品业务领域作为可疑交易监测的重点，其实施路径包括正在相应交易模型或交易监测标准下新增特殊规则，当交易涉及对应产品业务领域时，对该客户的相关交易采取阈值更为灵敏的规则(如调低触发规则的阈值)进行交易监测。

4. 完善报告机制

根据《金融机构大额交易和可疑交易报告管理办法(2018修订)》的规定，金融机构发现或者有合理理由怀疑客户、客户的资金或者其他资产、客户的交易或者试图进行的交易与洗钱、恐怖融资等犯罪活动相关的，不论所涉资金金额或者资产价值大小，应当提交可疑交易报告。

提请银行业部门注意，上述规定应提交可疑交易报告的对象，包括可疑交易，也涉及客户的可疑行为，因此建议在业务管理办法或者操作规程中，衔接好本机构的可疑交易报告流程；此外，本部门作为产品业务管理的归属部门，可以适当增加在本部门范围内的审核、审批流程的规定，以确保业务具体经办人员能够得到明确的指引和上报信息的真实及准确性，确保本部门依法合规履行大额交易和可疑交易报告义务。

5. 落实反洗钱自查工作

建议银行业部门以产品业务洗钱风险评估结论为基础，针对高风险的产品业务、产品业务中存在高风险的领域，或者控制措施的薄弱环节，区分其重要程度或者发生频率以及损失后果可能，设置不同的反洗钱自查频率和重点，并制定检查方案，自主开展自查自纠工作。如发现存在洗钱风险情形的，应注意及时报告反洗钱牵头管理部门，针对自查发现的问题，应注意制定整改方案并予以落实。

6. 加强反洗钱培训，持续提升员工意识

建议银行业部门以产品业务洗钱风险评估结论为基础，可以参考上述落实反洗钱自查工作的要点，重点围绕高风险的产品业务、产品业务中存在高风险的领域，或者控制措施的薄弱环节，制定对应的员工培训计划，针对不同层级或者岗位的员工开展反洗钱培训工作，相关反洗钱培训可以业务培训相结合，可以专题或者模块的方式予以明确或者强调。

特别应予以注意的是，银行业务部门开展反洗钱培训后，务必注意将有关培训工作留痕，并可考虑交由专人建立培训台账的方式，汇总开展培训的记录。

四、结语

反洗钱工作离不开反洗钱牵头管理部门、银行业务部门以及其他职能部门互相支持与协调。但银行业务部门作为承担反洗钱“第一道防线”职责的部门，有必要认清本部门所承担反洗钱义务与合规要求，“主动出击”，尽早从被动履职向主动履职转变，以有效应对愈加趋严的反洗钱监管态势。