建立健全反洗钱内控信息支持系统

2021年《反洗钱法（修订草案）》要求金融机构须建立健全的反洗钱内控制度，若有违反或未落实草案要求九项义务中的任何一项，除了或遭高额罚款甚至停业整顿外，相关负责人及主管还可能被取消个人任职资格或市场禁入。

与目前反洗钱法所要求的3项义务，包括要求限期改正、个人纪律处分等处罚手段比起来，新版反洗钱法草案明显将反洗钱内控与合规提升到全新的高度，不管是金融机构本身或是从业人员个人，处罚风险都会骤然加剧。

类似“反洗钱内控合规独立性落空”、“反洗钱内部控制与系统存在严重漏洞，合规程序失效”等理由，就是某外资银行纽约分行2016年被罚款2.15亿美元，另一家外资银行在2012年被罚款19.21亿美元的理由，由此可见国内银行业须严肃面对新版反洗钱法草案的九大反洗钱义务要求。

银行须结合本身实际情况建设反洗钱信息系统，这套反洗钱系统必须能全面支持反洗钱工作，并深度嵌入银行业务各个环节，尤其要包含以下三个主要的核心系统：

一是银行需开展洗钱风险自评估（IRA），建立健全的客户洗钱风险分类管理系统

2021年人民银行反洗钱局1号文就要求，银行须建立与本身经营规模、复杂程度相匹配的自评估指针和模型，还须准确揭示本身面临的洗钱风险和管理漏洞，并据此配置资源，按照“风险为本”原则采取重点防控措施。

另外，风险自评估除了需覆盖银行本身所有经营地域、客户、产品服务、渠道等四大维度外，还要细部分类并涵盖境内外所有分支机构及总部各部门，同时要充分考虑各种风险因素并贯穿各个环节，再对各个维度的固有风险、风险控制措施有效性，及相对应的剩余风险作出等级评定，同时切记对这模型的复杂指针矩阵进行定期调整优化。

很明显，上述工作是项复杂的工程，必须依赖一套高效、灵活的信息系统才能完成，银行往往无法独立完成，因此1号文明确了自评估风险分析判断必须由银行自主完成，但其他的辅助性工作则可以利用外部资源外包给专业的第三方。

二是应基于大数据建立人机交互的大额和可疑交易报告监测分析系统

对于报送大额交易，银行可以根据报告标准、数据报送接口规范等，利用系统进行自动化报送。但若要报送高质量的可疑交易，则需银行从本身业务特点出发，利用自评估输出结果，聚焦在重点风险领域并结合内、外部进行综合分析。

面对系统模型自动抓取可疑交易输出结果的不确定性，模型必须松紧可调，并辅之以人机交互的分析判断，同时提高分析甄别的全面性和有效性及利用外购数据进行支持。

鉴于目前金融机构信息安全性要求较高，内部资料难以流出到公有云和互联网外部环境进行处理。如何利用ABCDMIX（人工智能、区块链、云计算、大数据、机器学习、物联网及其混合）工具和手段，与丰富的外部信息进行验证、匹配，进行客户身份画像等风控、反洗钱可疑交易分析，都需要设计良好的解决方案和应用工具支持。

在内外数据综合应用中，联邦机器学习（Federated Machine Learning）和隐私多方安全计算（Multi-Party Computation），是两种比较典型的技术解决方案。前者对外部数据进行模型计算后，将输出结果发送给内部系统利用，并进行联邦计算；后者则基于多边安全计算协议，对输出信息和模型进行加密，对返回计算结果进行解密，实现跨界多边查询、建模和预测。

三是落实法定义务，构建可实时更新和实时监控与回溯的监控名单管理系统

《反洗钱法（修订草案）》主管部门明确要求，金融机构须对涉恐等指定名单采取反洗钱特别预防措施，并建立起完善的相关信息系统，建立的监控名单库必须做到及时更新维护。同时，名单库管理系统应能实时监控，如有变更，则可即时回溯调查，还要覆盖所有业务条线和环节，一旦比对出涉及名单，应立即提交可疑交易报告并采取冻结措施，万一银行缺乏有效的名单管理系统，要实现实时监控就是件不可能的任务。

除了法定名单外，银行还需自建名单库以作为相关风险管理完整性的补充手段，不然就会落入“反洗钱相关系统存在机制性缺陷”的处罚风险。

（本文作者系上海富拉凯会计师事务所／上海富拉凯金融软件有限公司总经理 倪建明）