金融机构的反洗钱(AML)合规工作和系统建设
声明
个人原创, 转载需注明来源 https://www.cnblogs.com/milton/p/16252061.html
反洗钱 AML
从国家机器的角度, 集体非法活动, 无论是金融还是非金融, 只要到了一定规模, 最终都会出现在洗钱的链条上. 出于对经济和政权稳定的共同利益, 国际间反洗钱的协作是一直存在的. 反洗钱是个比较大的话题, 这里只讨论针对中国人民银行管辖内的机构反洗钱合规工作和系统建设.
反洗钱的监管受众
首先说明一下哪些企业或者机构需要做反洗钱. 根据《金融机构反洗钱和反恐怖融资监督管理办法》 第二条, 对金融牌照主体和外围机构定义了反洗钱的监管范围
主体机构
- 开发性金融机构、政策性银行、商业银行、农村合作银行、农村信用合作社、村镇银行;
- 证券公司、期货公司、证券投资基金管理公司;
- 保险公司、保险资产管理公司;
- 信托公司、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、贷款公司、银行理财子公司;
- 中国人民银行确定并公布应当履行反洗钱和反恐怖融资义务的其他金融机构。
外围机构
- 支付类: 非银行支付机构、银行卡清算机构、资金清算中心
- 小贷类: 网络小额贷款公司
- 中介类: 从事汇兑业务、基金销售业务、保险专业代理和保险经纪业务的机构
反洗钱的监管主体
根据《监督管理办法》 , 主体为中国人民银行及其分支机构
第三条 中国人民银行及其分支机构依法对金融机构反洗钱和反恐怖融资工作进行监督管理。
反洗钱的监管内容
根据《监督管理办法》
第四条 金融机构应当按照规定建立健全反洗钱和反恐怖融资内部控制制度,评估洗钱和恐怖融资风险,建立与风险状况和经营规模相适应的风险管理机制,搭建反洗钱信息系统,设立或者指定部门并配备相应人员,有效履行反洗钱和反恐怖融资义务。
第五条 对依法履行反洗钱和反恐怖融资职责或者义务获得的客户身份资料和交易信息,应当予以保密,非依法律规定不得对外提供
受监管的机构应当履行以下反洗钱义务:
- 建立内控制度: 建立健全反洗钱和反恐怖融资内部控制制度
- 评估风险: 评估机构洗钱和恐怖融资风险
- 建立风险管理机制: 建立与风险状况和经营规模相适应的风险管理机制
- 搭建系统: 搭建反洗钱系统
- 机构及人员要求: 设立或者指定机构并配备相应人员
- 保密: 客户身份资料和交易信息,应当予以保密
《监管办法》规定金融机构建立与洗钱风险和经营规模相适应的内部控制制度要求,并强调金融机构根据机构、客户、业务的风险状况,制定相应的风险管理措施和程序。
内控制度及风险自评估制度
《监管办法》将风险自评估制度的建立层级确定为金融机构总部,且金融机构可以自行决定定期或不定期进行评估,赋予了金融机构更大的自主性。为强化金融机构对风险自评估工作的重视,《监管办法》规定自评估情况须先经董事会审定,而后报送至监管机构。
风险管理
- 较低风险情形: 可以采取简化措施
- 较高风险情形: 应当采取强化措施管理和降低风险
- 超出金融机构风险控制能力的: 不得与客户建立业务关系或进行交易,已经建立业务关系的,应当中止交易并考虑提交可疑交易报告,必要时终止业务关系。
《监管办法》规定金融机构的洗钱风险管理应当被纳入机构的全面风险管理体系,实现全流程、全业务的覆盖,并强调“风险控制能力”与业务开展相适应.
机构及人员
机构的反洗钱管理工作应当由专门的部门负责,并明确董事会、监事会、高级管理层和相关部门的职责,建立绩效考核和奖惩机制。
信息系统及审计机制
金融机构须完善信息系统,并建立审计机制。就审计而言,金融机构可以选择内部审计或独立审计,审计的范围、方法和频率须与机构规模和风险状况相适应,并将报告提交董事会或专门委员会.
金融机构总部规范
机构须在总部或集团层面制定统一的反洗钱安排的规定,并确保分支机构及控股附属机构能有效执行。由于各国反洗钱合规力度的加大, 机构在境外受监管与处罚的案例增多, 监管也对规范作了调整. 对于在境外设立分支机构及控股附属机构的金融机构而言,可能存在监管规定适用的冲突,原则是遵守当地规则, 同时向监管机构报告.
- 驻在国家或地区法律允许范围内,执行《监管办法》;
- 驻在国家或地区要求更严格的,遵照其规定;
- 禁止或限制实施《监管办法》的,采取适当补充措施,并向监管机构报告。
定期报告和风险报告
机构的报告义务包括常规报告义务, 涉及境外分支机构的报告, 特殊情况下的报告.
反洗钱合规实施
从各方面分别说明机构的反洗钱合规需要完成的工作
人事和制度
这部分是相对简单的, 以下工作都需要落实到纸面(或者电子形式的记录), 可以供监管单位和审计机构查证
部门
成立独立的反洗钱部门, 有专职的反洗钱人员, 机构的高管, 需要作为责任人挂职反洗钱部门. 需要有机构设置和变更, 及人员任职任命公告等记录
培训和演练
培训和演练需要留记录和人员签名
- 对职工进行反洗钱培训, 分两部分, 新员工培训和每年全员培训
- 演练: 反洗钱应急处置演练
制度
制定反洗钱内控制度. 这些制度需要有每年的评审会议记录和修订记录. 下面的制度清单供参考, 制度细则可以向上级监管部门咨询以及向同业机构借鉴
- 高级管理人员反洗钱工作条例
- 风险管理基本制度
- 反洗钱管理基本制度
- 客户身份识别制度
- 客户身份资料和交易记录保存制度
- 大额交易和可疑交易报告制度
- 客户洗钱和恐怖融资风险评估制度
- 客户洗钱和恐怖融资风险分类管理制度
- 反洗钱保密制度
- 反洗钱培训制度
- 反洗钱宣传制度
- 反洗钱审计制度
- 洗钱风险评估制度
- 协助反洗钱行政调查制度
- 配合反洗钱监管制度
- 涉及恐怖活动资产冻结制度
- 洗钱风险事件应急处理制度
- 洗钱风险报告制度
- 高风险业务管理制度
系统建设
反洗钱技术系统
基础功能部分
- 用户, 角色和权限
- 信息保密分级
- 敏感数据加解密
- 系统访问日志, 用户行为日志
- 基础数据集, 业务字典管理
业务部分
- 用户画像, KYC
- 客户身份资料和交易记录管理
- 风险打分和定级
- 根据风险等级, 定期打分
- 监控和预警
- 业务建模, 根据不同的业务形态和交易主体类型, 设置交易主体, 交易明细模型
- 监控规则管理, 制定可疑交易监测规则
- 集成监管机构(以及其他第三方数据服务商)提供的黑名单灰名单
- 作为旁路, 接入业务系统, 主动采集(或被动接收)用户数据和交易数据
- 邮件和短信预警
- 工作和审批
- 可疑事件调查存档
- 风险定级调整审批
- 规则修订审批
- 主动报送
- 大额交易报告
- 可疑交易报告
其中 监测规则引擎 是监控和预警的实现核心, 主要分为
- 基于交易数值的规则
- 结合地区和行业的规则
- 基于客户画像和行为习惯的规则
系统维护部分
反洗钱系统对标安全等级保护三级, 按等保三的标准进行实施, 细节就不说了.
日常工作
作为反洗钱部门, 有一些必须的日常工作
- 预警处置
- 规则管理
- 客户定级调整, 审批
- 事件处理
- 报送管理
- 培训, 演练和整改
- 年度和日常监管考核
提前了解直接监管部门的考核细则, 建设完善的反洗钱系统, 可以大大降低反洗钱日常工作的成本
参考
政策法规
- 2003 金融机构反洗钱规定
http://www.gov.cn/gongbao/content/2003/content_62301.htm - 2006 中华人民共和国反洗钱法
http://www.gov.cn/gongbao/content/2006/content_464327.htm - 2006 金融机构反洗钱规定
http://www.gov.cn/gongbao/content/2007/content_772849.htm - 2007 反洗钱现场检查管理办法(试行)
http://www.gov.cn/gongbao/content/2008/content_901307.htm - 2010 证券期货业反洗钱工作实施办法
http://www.gov.cn/gongbao/content/2011/content_1796533.htm - 2014 金融机构反洗钱监督管理办法(试行)
http://www.gov.cn/gongbao/content/2015/content_2838183.htm - 2017 国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见
http://www.gov.cn/gongbao/content/2017/content_5227809.htm - 2019 银行业金融机构反洗钱和反恐怖融资管理办法
http://www.gov.cn/gongbao/content/2019/content_5446227.htm - 2021 金融机构反洗钱和反恐怖融资监督管理办法
http://www.gov.cn/gongbao/content/2021/content_5616160.htm
解读
- 金融机构反洗钱和反恐怖融资监督管理办法(修订草案征求意见稿)解读 http://www.zhonglun.com/Content/2021/01-11/1627500229.html
金融机构的反洗钱(AML)合规工作和系统建设的更多相关文章
- Linux机器24项安全合规设置
工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1. 检查FTP配置-限制用 ...
- 合规P2P平台成PE/VC新宠
013年是互联网金融元年,余额宝.百发等掀起了大众理财的新一轮高潮.P2P平台作为互联网金融模式之一,也受到市场的重点关注-在部分平台不断爆出风险事件的同时,业内较为成熟的平台也正成为PE/VC的新宠 ...
- 有容云:上车 | 听老司机谈Docker安全合规建设
编者注: 本文根据7月19日DockOne社群分享内容整理而成,分享嘉宾蒋运龙,有容云高级咨询顾问,一个IT的老兵,十年来混迹于存储.三网融合.多屏互动.智能穿戴.第三方支付.Docker等行业:经历 ...
- K2 BPM_采购端到端解决方案,激活合规采购新动能_十年专注业务流程管理系统
「方案背景」企业管理标准化演进之路 企业的成长离不开标准化,企业的可持续发展更离不开标准化.随着市场竞争的日趋激烈,标准化已经成为企业参与市场竞争的战略性手段,也成为企业可持续发展的重要手段.聚焦到采 ...
- K2 BPM_当BPM遇上RPA | 企业合规和风险管理从此更高效_全球领先的工作流引擎
强化企业合规与风险管理已成为全球企业发展的共识,尤其是对于药企.银行.地产这类对于合规性要求高的企业而言,识别预测潜在的管理风险和遵循不断升级的合规义务,是保证企业平稳运行的关键. 如何从流程层面降低 ...
- Android App隐私合规检测辅助工具(Camille)
Camille Android App隐私合规检测辅助工具,项目仓库:https://github.com/zhengjim/camille 简介 现如今APP隐私合规十分重要,各监管部门不断开展AP ...
- GRC: 个人信息保护法, 个人隐私, 企业风险合规治理
声明 个人原创, 转载需注明来源 https://www.cnblogs.com/milton/p/15885344.html 个人信息保护的历史和现状 个人信息保护的立法可追溯至德国黑森州1970年 ...
- ios 缺少合规证明
现在app上传到appStore的时候,项目中如果出现加密,状态栏是:缺少合规证明. 解决的方法是在Info.plist文件中添加:ITSAppUsesNonExemptEncryption 设置为N ...
- vue批量验证提交表单的数据是否合规
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...
- Linux基线合规检查中各文件的作用及配置脚本
1./etc/motd 操作:echo " Authorized users only. All activity may be monitored and reported " ...
随机推荐
- [转帖]总成本降低80%,支付宝使用OceanBase的历史库实践
https://open.oceanbase.com/blog/5377309696 为解决因业务增长引发的数据库存储空间问题,支付宝基于 OceanBase 数据库启动历史库项目,通过历史数据归档. ...
- 各种数据库shell一键登录的方法
各种数据库shell一键登录的方法 一个小场景 想通过shell 直接执行一些内容. 然后发现通过shell就可以. 所以这里总结一下 1. Oracle export ORACLE_HOME=/u0 ...
- [转帖]Oracle客户端与Oracle数据库兼容矩阵
https://www.cnblogs.com/kerrycode/p/17666025.html Oracle客户端与Oracle数据库之间是有兼容支持关系的,有些低版本的Oracle Client ...
- [转帖]How fast are Unix domain sockets?
https://blog.myhro.info/2017/01/how-fast-are-unix-domain-sockets Jan 3, 2017 • Tiago Ilieve Warning: ...
- [转帖]Jmeter压力测试工具安装及使用教程
https://www.cnblogs.com/monjeo/p/9330464.html 一.Jmeter下载 进入官网:http://jmeter.apache.org/ 1.第一步进入官网如下图 ...
- [转帖]python字符串如何删除后几位
https://www.python51.com/jc/15070.html 1.首先在jupyter notebook中新建一个空白的python文件: 2.然后定义一个字符串,用字符串截取的方式打 ...
- [转帖]20个常用的Linux工具命令
https://www.cnblogs.com/codelogs/p/16060113.html 简介# 网上有很多辅助开发的小工具,如base64,md5之类的,但这些小工具其实基本都可以用Linu ...
- Booking.com如何在毫秒内搜索数百万个地点
译自:How Booking.com Searches Through Millions of Locations in Milliseconds Booking.com是一家与酒店.旅馆.度假租赁等 ...
- 大数据从业者必知必会的Hive SQL调优技巧 | 京东云技术团队
摘要:在大数据领域中,Hive SQL被广泛应用于数据仓库的数据查询和分析.然而,由于数据量庞大和复杂的查询需求,Hive SQL查询的性能往往不尽人意.本文针对Hive SQL的性能优化进行深入研究 ...
- Python控制微信,实现聊天机器人
自从微信禁止网页版登陆之后,itchat 库实现的功能也就都不能用了,那现在 Python 还能操作微信吗?答案是:可以! 在Github上有一个项目叫<WeChatPYAPI>可以使用 ...