防制洗錢與制裁方案的檢查準備事宜
筆者曾在由不同監管機構監督的三類金融機構從事防範金融犯罪工作13 年,並與各類金融機構的同行密切合作,從這些經驗來看,防制洗錢和經濟制裁監管檢查工作無法「一體適用」。雖然美國聯邦職能監管機構使用聯邦金融機構檢查委員會 (FFIEC) 的《銀行保密法 / 防制洗錢檢查手冊》指導檢查工作,但如何詮釋監管法規遵循要求以及如何運用於受檢金融機構,卻可能因監管機構和檢查員而異。多年來,人們經常在產業會議、同儕團體、文章、網路研討會、國會聽證會等場合討論這項議題。由於不同類型的金融機構需遵守不同的監管法規遵循要求,監管機構的職責和重心又各不相同,因此檢查準備將是異常艱巨的任務。儘管如此,不論所屬產業及主要監管機構為何,金融機構在準備接受檢查時仍可採取眾多措施。充分的準備對於順利通過檢查至關重要,最終也有助於金融機構強化防範金融犯罪制度體系。俗話說得好:「沒有人打算失敗,他們只是失於打算。」
執法行動
有些文件頗為實用,例如聯邦金融機構檢查委員會的《銀行保密法 / 防制洗錢檢查手冊》,是制定有效防制洗錢和制裁方案的必備參考資料。此外,務必詳讀針對金融機構的執法行動文件,因為透過這些文件,可以洞悉金融機構應有和不應有的作為。有些文件詳述金融機構因做出或未做出某些決策而面臨執法行動(例如額度警報、未能展開案件調查、對可疑活動或經濟制裁違規行為視而不見等),有些文件則提供宏觀資訊(例如未能充分落實防制洗錢和制裁方案,或者缺乏全機構層面適用的防制洗錢和制裁風險評估制度)。不論其詳細程度,重點是必須仔細閱讀並深入分析每項執法行動,以便瞭解違規行為、其他制度缺陷、反覆發生的法規遵循和風險問題,以及金融機構採取必要措施解決前述問題的說明。再者,金融機構可以放心的是檢查員已讀過執法行動文件,而且在檢查時會確認金融機構是否存在類似問題。
在分析執法行動時,建議採取下列步驟:
- 記錄每一個問題並與金融機構的控制措施相互比較,以解決問題。管理階層能藉此確定該機構面臨執法行動的風險,並考慮增強控制措施,以防患於未然(見表 1)。
- 定期分析執法行動。此項分析不該是一次性作為,每當發生新的執法行動時,都必須加以分析,並且定期檢討,例如在全機構層面進行防制洗錢和制裁風險評估的期間,或在檢查前數個月。
- 與董事會、資深管理階層以及防制洗錢和制裁監督委員會,或其他類似委員會分享分析結果,亦可考慮與金融機構的首席檢查員分享該結果
表 1:執法行動漏洞分析範例
品質保證測試
儘管透過內部稽核或檢查可以瞭解金融機構防制洗錢和制裁方案的整體優勢,但審查範圍可以廣泛一些。再者,檢查員和稽核員通常須在有限時間內完成審查,因此,很難深入探究防制洗錢和經濟制裁方案的各個方面。根據品質保證制度的架構,可以更靈活地進行品質保證測試並加大審查深度。關於如何構建有力的品質保證制度,進而強化法規遵循,
以下提供幾點構想:
- 著重測試金融機構的較高風險領域
- 著重測試內部稽核、檢查員或管理階層發現異常情況的領域
- 加大測試力道並著重於主要的防制洗錢和制裁流程,例如警報、案件調查、可疑活動報告 (SAR) 以及針對高風險客戶的增強盡職調查 (EDD)
- 針對從未審查的領域(例如新採用的軟體、監控方案、推出新程序或大幅修正現有程序的領域,或者針對新產品或服務所採取的控制措施),實施品質保證測試。
最後,務必為各個測試領域制定品質保證制度程序並撰寫範圍文件,同時向相關的監督委員會報告測試結果和建議進度。要敢於根據不斷變化的優先事項、新發現的問題、所採用的新型高風險產品或服務,或者檢查結果,取消或延後預定的審查活動,以調整測試計劃。目標應放在審查必要領域,藉此加強金融機構的防制洗錢和制裁方案,而非發展成另一項內部稽核職能。內部稽核和品質保證審查必須齊心協力,方能為金融機構成功通過檢查做好準備。
檢查前的要求
作為檢查管理流程之一環,必須如實記錄檢查員提出的各項要求、問題和法規遵循事項以及相關結果。這些資訊不但有利於確保及時提供所需資訊、充分解決相關問題,也有助於為往後檢查做足準備。舉例來說,在檢查前數個月審查這些資訊,有助於確認檢查員已鎖定或可能著重的領域,包括檢查員每年都關注的特定客戶或產業。如此一來,可讓管理階層有機會確保消除差距、彌補其他缺陷,以及適度關注這些領域並採取相關控制措施。
記錄風險
全機構層面的防制洗錢和制裁風險評估必須記錄金融機構面臨的固有風險,藉此引導金融機構建立自身的防制洗錢和制裁方案,這也是檢查的重要內容之一。檢查員可利用風險評估結果瞭解金融機構面臨的固有風險,並且決定後續測試的重點。儘管風險評估的執行摘要將從宏觀層面突顯固有風險,但通常不會納入細節資訊,檢查員因而無法充分瞭解金融機構面臨的固有風險,以及緩解此類風險的相關控制措施。使情況變得更加棘手的是,許多風險評估報告篇幅很長,檢查員不容易從中分析得出金融機構面臨的固有風險。
不少金融機構都曾遭遇,檢查員因金融機構在檢查期間提供(或未提供)的資訊而形成感知風險或造成誤解。一旦發生此種情況,金融機構便很難擺脫最初評估結果帶來的影響。避免發生該問題的方法之一是,利用備忘錄或簡報記錄金融機構的主要固有風險、風險緩解控制措施和現有差距,並解釋為何將其視為金融機構面臨的最大固有風險。最後也是最重要的一點,在檢查員到場後、甚至是到場之前,應儘快為雙方安排會議,討論前述固有風險、控制措施、差距等問題。如此一來,便能減少檢查過程中可能發生的意外、混淆和誤解。檢查員的時間相當緊湊,很難全面審查風險評估結果並評估金融機構的風險。因此,務必清晰簡明地記錄固有風險和控制措施。
同行
與同行密切合作也有助於金融機構找到比較基準,以權衡調整自身的防制洗錢和制裁方案
當務之急莫過於,與其他金融機構的同行建立良好關係並加入同儕團體。經常與同行溝通(例如通過電話、電子 郵件分發名單、調查報告、進行面談等)、討論問題和解決方案,並且瞭解檢查員的近期檢查重點,都有助於金融機構做好檢查準備工作,加強自身的防制洗錢和制裁方案。舉例來說,可能在討論過程中發現檢查員著重在金融機構的增強盡職調查制度,例如金融機構如何制定客戶風險評等層級,以及基於何種理由將某些客戶類型歸入特定層級而非其他層級。獲悉這些資訊後,必須召開內部團隊會議,討論在檢查期間如何因應相關問題,以及有無任何改善措施可從特定方面強化金融機構自身的增強盡職調查制度。再者,與同行密切合作也有助於金融機構找到比較基準,以權衡調整自身的防制洗錢和制裁方案。舉例來說,同行金融機構可以合作評估新的法規遵循規定(例如《2020 年防制洗錢法》1),或新的洗錢或制裁風險。同行金融機構也可以根據資產規模、防制洗錢和制裁風險、誤報率等因素決定適當的人員配置,並且合作推動技術改革計劃。前述措施將能協助金融機構設計或增強相關制度並建立一致性做法,以遵守相關法規和其他要求。
與監管機構保持溝通
與普遍看法正巧相反,監管機構並不熱衷玩「鬼抓人」遊戲。雖然他們必須確保金融機構遵守監管要求,但監管機構更樂意見到金融機構成功保護金融產業。其中一項重點是,金融機構管理階層與首席檢查員和其他檢查員之間的關係。透過以下兩種方式,可與監管機構保持溝通並建立良好關係:
- 定期與金融機構的首席檢查員舉行會議,並且在管理階層欲實施重大流程變更,或落實提高效率的新風險基礎方法發生問題時,與之聯繫溝通。切勿寄望首席檢查員同意實施前述變更或新方法。之所以開展討論,一方面是藉此瞭解檢查員的觀點,另一方面則是讓首席檢查員在檢查前對重大制度變更有所瞭解。
- 召開啟動會議,介紹金融機構的防制洗錢和制裁方案,以及前次檢查後所實施的任何重大變更。其他啟動會議可以討論高風險領域(例如貿易融資、貨幣服務業等)或檢查員有意審查的任何領域。透過前述會議,檢查員有機會知悉擬在檢查期間查找的資訊,並且解答其在審查開始前已產生的眾多疑問。
如果管理階層在檢查開始時充滿戒備、不主動進行溝通,則金融機構不太可能成功通過檢查。抱持積極正面的態度,主動與檢查員公開對話,將有助於獲得更好的檢查結果。這並非意味著檢查過程中全無問題,但態度積極正向且經常與檢查員討論,確實可協助管理階層和檢查員更有效率、更具建設性地解決問題。與監管機構和首席檢查員建立良好關係的另一項益處是,他們可能更願意分享其他金融機構實施的最佳實踐,例如調整監控方案及處理負面新聞篩查結果的方法。儘管金融機構與檢查員之間始終存在適當的辯解空間,但找到平衡點仍是順利通過檢查的重要因素。
結語
抱持積極正面的態度,主動與檢查員公開對話,將有助於獲得更好的檢查結果
歸根究柢,成功的關鍵是整年必須將檢查準備工作放在首位,既不該在檢查前臨陣磨槍,也不能在檢查後置之不理。實際上,檢查前後的數個月至關重要,金融機構務必善加利用,藉此瞭解其防制洗錢和制裁方案在監管法規遵循以及實現產業最佳實踐方面的表現。
儘管前述建議並未含括檢查準備工作的所有方面,某些方面更因金融機構的人員和預算有限而難以落實,但大部分建議都不難實施,且不受資產規模、人員多寡、監管機構等因素影響。這些措施不僅經實踐證明有效,也將協助金融機構成功通過檢查。總體而言,金融機構將可建構更穩健的防制洗錢和制裁方案,以實現保護金融機構、保護金融產業、推動國家安全建設等目標。
Chris Bagnall,CAMS-FCI,CFE,Sojourn Technologies,Bagnall@sojourn-technologies.com
- “William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021”(2021 會計年度國防授權法),H.R.6395,https://www.govtrack.us/congress/bills/116/hr6395/text
