监管科技助力 KYC
“ 了解你 的 客 户”(Know Your Customer, 简称 KYC), 是指金融机构在与客户建立业务中,对客户身份进行识别和背景调查,了解客户及其交易目的、账户实际控制人与受益人的流程。KYC是发现与阻止金融犯罪风险可疑交易的有效手段,也是对抗洗钱、恐怖融资的首道防线。金融机构实行KYC面临着花费时间长、支出成本高、改革动力不足等问题,但KYC监管日益趋严是未来发展的趋势。而监管科技可有效解决KYC中出现的问题,监管科技有利于降低KYC过程中的时间和金钱成本,提高效率并改善金融机构的参与意愿。深入探究KYC的未来发展趋势,深入分析监管科技具体如何解决KYC中出现的问题,对我国监管科技和KYC的发展提出一些建议是非常有必要的。
KYC监管的起源、目的和流程
KYC全称Know Your Customer,即“了解你的客户”,意指金融机构在与客户建立业务往来之前必须对客户进行身份识别和背景调查的监管流程,确定客户以及其交易的目的与性质,了解实际控制客户的自然人与交易的实际受益人。KYC是各国反洗钱反恐融资法律法规中相当重要的组成部分,也是金融机构对抗金融犯罪的第一道防线。
2001年10月,由于“9·11恐怖袭击”事件,美国国会通过爱国者法案,规定政府部门可以通过任何手段来阻止恐怖主义行为的蔓延,包括使用监管手段阻止金融机构成为恐怖分子的融资工具。“9·11”事件的后果不单单使美国的国家防御上了一个等级,也为金融监管改革提供了足够的政治动力,并完善了1970年银行保密法案中的相关政策空缺。2002年,印度储备银行依据爱国者法案中针对客户身份调查的条款,首次提出针对金融机构客户身份监管的KYC相关概念,2004年巴塞尔委员会发布KYC相关总体构架,各国依次建立KYC监管体系。
国际范围的KYC监管与规则定制主要由巴塞尔委员会与反洗钱金融行动特别工作组两个组织负责。巴塞尔委员会主要负责反洗钱法律法规的制定,其发布的反洗钱法律法规由各国政府依照所属地区的金融犯罪情况修改完善后,在全世界范围内形成了一个有效的反洗钱网络。反洗钱金融行动特别工作组主要负责反洗钱规则指导意见的修改与完善,是全球最具有影响力的反洗钱反恐融资的国际监管组织之一,其制定的反洗钱四十项建议与反恐融资九项特别建议是国际范围内反洗钱与反恐融资的最权威文件。
KYC监管的目的是为了防止有大量资金往来的金融机构有意或无意地成为洗钱等金融犯罪的工具,通过在监管层面上强制要求金融机构制定客户身份认证系统,使金融机构可以更进一步地了解其客户的身份背景,包括客户公司架构、公司实际控制人以及交易目的与交易实际受益人等,防止金融犯罪人员通过大量开设匿名账户进行金融犯罪,有效帮助金融机构防范潜在的违规犯罪风险,组成针对金融犯罪的第一道防线。
通过KYC监管,监管机构不仅可以有效地预防金融犯罪行为,也可以提高整个监管体系的效率。美国财政部下属专项负责反洗钱等犯罪的美国金融犯罪执法局在2014年发布的客户身份尽职调查补充提案中表明了一个强力的KYC流程可以为整个监管体系与金融市场带来以下好处。
●提高执法机构以及监管性自律组织对信息的可用性,及时地获得个人以及机构的背景信息以有效地执行财务以及监管调查。
●提高金融机构与监管机构对威胁国家安全人员的资产和账户的识别能力。
●与税务法律法规相互结合,提升国家税收体系的整体运行效率。
●帮助金融机构减少违规风险,使金融机构满足合规要求。
●在不同金融服务领域内贯彻KYC监管的一致性,跨行业防范金融犯罪问题。
KYC监管框架具体由五个部分组成具体的KYC合规框架如下。
客户身份收集计划(Customer Identity Program):金融机构在与客户建立业务关系之前或建立业务关系后的短时间内收集与客户身份相关的各类信息,包括身份证件、资金证明等证件用以确定客户身份真实可信。
客 户 身 份 尽 职 调 查(Customer Due Diligence):在金融机构、第三方数据商与政府机构提供的数据库中进行匹配筛选,对客户信息进行交叉匹配,并得出相应风险评估结论。 如果客户存在洗钱与恐怖融资行为,金融机构可以终止与客户的业务并且冻结客户账户,并向有关监管部门汇报。
强 化 客 户 背 景 调 查(Enhanced Due Diligence):采用以风险为基础的评估方式,考虑客户公司的架构是否过于复杂,客户实际受益人真实情况,客户的主营业务是否属于高度监管行业以及客户的国家是否存在恐怖组织等风险因素确定客户总体风险,并针对高风险人员进行进一步的深入信息挖掘以确保风险可控。
简 化 客 户 背 景 调 查 (Simplified Due Diligence):针对金融犯罪风险较低的个人或机构客户,对客户尽职调查大幅度简化以节约成本,典型的低风险类型客户包含退休金管理机构与国家公职部门等。
持 续 的 客 户 背 景 尽 职 调 查(Ongoing Customer Due Diligence):金融机构在首次完成客户背景尽职调查后将会在客户完整的生命周期内持续地进行信息更新以反映客户的最新情况。
金融机构在KYC合规中面临的问题
目前金融机构主要由内部的合规与风控部门联合完成整个KYC合规流程。由于金融机构的数据库普遍独立,而且严重依赖合规员工人工对比评估,造成了金融机构间的KYC执行效率普遍低下。另外,由于数据的非中心化使用,金融机构的各分支机构可能针对同一客户发起多次客户背景调查请求,间接的导致了大量不必要的重复工作,额外地花费了大量的时间与资源。
汤森路透公司每年会发布一个针对全球KYC监管效率的调查评估报告,依据2017年该调查报告中的各项数据分析,目前金融机构面临的最主要的问题分别为以下几点。
漫长的合规过程
依据汤森路透的评估报告,如图1所示,2017年银行对于机构与企业客户开户的KYC合规流程平均耗时大约为30天,非银行类投资公司的KYC合规调查流程平均耗时为23天,两者的全球水平为26天,高于前一年平均值2天。按照国家对比,中国香港2017年新客户平均合规耗时超过35天,美国、英国等主要国家平均合规耗时均超过20天,并且超过半数的金融机构表示未来预期合规时间会比现在更久。
在整个KYC的监管环节中,客户身份尽职调查的时间成本占整体KYC合规时间成本的80%,主要原因在于金融机构需要从多方的数据库中收集信息以确定客户的身份正确无误。对于跨国运营的金融机构,各地区对于KYC监管的要求严重地缺乏一致性,造成了对信息收集处理的极大阻碍。其次,针对客户信息变更的持续性尽职调查同样耗时甚多,客户更新信息后再次进行调查的平均耗时大约为20天。由于持续尽职调查既耗时又耗力,所以只有25%的金融机构会定期对客户的信息变动进行持续的尽职调查,仅仅12%的金融机构会使所有的客户的信息保持在最新状态,90%的金融机构无法确定它们客户的各类信息是否处于最新状态。
高额的资金支出
金融机构在KYC监管方面的另外一个问题是相应合规资金成本在逐年上涨,而且目前已经达到了一个难以承受的级别。同样依据汤森路透的全球KYC调查报告,银行行业平均每年在KYC合规上的支出将近7,000万美元,远高出非银行类投资公司年均支出2,300万美元。依据图2,绝大多数金融机构的年均合规支出分布在2,000万美元至1亿美元之间,超过10%的金融机构年均合规花费超过1亿美元。综合得出每个金融机构的年均合规花费约为4,800万美元,并且以平均每年15%的速度快速增长(银行行业每年花费增长20%,投资公司每年花费增长13%)。
推动合规成本上涨的主要原因是金融机构在面对日益增长的客户尽职调查需求时,不得不雇佣更多的合规员工以确保工作可以按时完成。其中,43%的金融机构表示增加KYC合规员工的数量已经是一个不可避免的问题,而且KYC违规导致的处罚损失会远远高于增加员工的花费。其次,对于金融机构地违规处罚不单单的造成资金上的损失,同样会对他们的商业信誉造成严重的伤害。
金融机构对自身KYC方案改革的动力不足
反洗钱金融行动特别工作组在2012年提出针对金融机构KYC合规的40项建议,但是依据汤森路透的调查报告显示,在全球范围内只有37%的金融机构依据了该建议对他们的KYC合规流程进行过更改,39%的金融机构表示他们仍在考虑改变KYC合规流程的必要性,还有23%的金融机构表示他们不会对目前KYC合规流程做出任何改变。在监管较为严格的国家与地区,金融机构普遍依照反洗钱金融特别工作组的建议修改了他们的KYC合规流程,但是对于监管相对宽松的地区,金融机构普遍表示目前的KYC合规流程可以满足机构的日常运营,这也是金融机构拒绝改革的最主要原因。
在KYC监管比较宽松的澳大利亚与德国,接近50%的当地金融机构表示高额违规处罚是目前主要的担忧因素,所以如图3所示,该地区已经更改合规流程的金融机构比例未达到30%。而对于在美国等高处罚地区运营的金融机构,他们更有意向修正目前所使用的合规流程。综合全球平均,将近60%的金融机构依旧未对当前的KYC合规流程做出修改。
其次,各地对KYC的监管要求不统一也是金融机构拒绝改革的另外一个原因。由于金融机构以及他们的分支机构对于客户信息收集并没有一个标准化的偏好,每个金融机构依据所运营的地区的KYC监管条例收集客户信息,造成了同一个金融机构在不同地区间的风险偏好不同。而整体修改KYC合规流程牵扯部门与人员较多,费用过于高昂,导致了金融机构选择保持当前的合规流程。
KYC监管:全球趋严、各国差异
世界各主要国家都在不断地加强对金融机构的KYC监管力度。2010年至2016年间,美国的KYC监管部门对金融机构的KYC违规罚款总额超过1,600亿美元,欧美地区的监管机构近十年来对金融机构因违反反洗钱法律法规所开出的罚单总额超过3,420亿美元,预计在2020年所有罚款的总额将达到4,000亿美元。近期的KYC监管违规案例包括汇丰银行被监管机构罚款19亿美元、法国巴黎银行被罚款89亿美元,德意志银行被罚款1.6亿英镑等。
美国的KYC监管十分严格,主要由财政部下属的金融犯罪执法局对金融机构进行监管。金融犯罪执法局于2014年发布对金融服务业KYC的推广提案中明确提出金融机构应当自主评估客户的违规风险,并将客户身份尽职调查纳入现有KYC体系作为客户身份收集计划的职能补充。该提案也同时规定了客户身份收集计划对客户账户的定义,表示所有为客户提供资金往来的服务账户包括存款、资产管理以及信用账户等都将纳入客户身份收集计划中。
同时金融犯罪执法局也允许金融机构使用多种方式来完成客户身份信息的收集与认证,包括依据官方身份证件或第三方数据等方式。虽然金融犯罪执法局没有给出针对客户身份的具体风险因素,但是金融机构至少需要考虑客户本身是否存在相应的潜在违规风险,并根据客户公司的构成以及所属地等因素判断违规风险。
欧盟KYC监管同样也在不断加强,2016至2017年,欧盟连续颁布第四套反洗钱法令与第五套反洗钱法令,其中修改了多处KYC监管的相关要求,并发布了针对高风险人员的判断标准、将强化客户背景调查与简化客户背景调查纳入现有KYC监管框架,降低高价值货物与现金交易调查阀值以及对受益人相关信息的调查并且将区块链金融机构纳入KYC监管体系等。这些修正的直接结果就是扩大了KYC的监管范围,使KYC监管日益趋于严格。
中国(大陆地区,不包含中国香港、澳门与台湾地区)有多套法律法规明确了KYC监管在金融领域中的应用与实践,其中《中国人民银行关于金融机构大额交易和可疑交易报告管理办法》《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》与《中华人民共和国反洗钱法》等多项法律法规明确表示金融机构应当遵循“了解你的客户”监管。中国的KYC监管在建立之后不断地进行完善与修改,2014年共向监管机构提交了超过一千七百万条可疑交易报告,并且每年逐步上升,有效地表明了中国的KYC监管同样趋于严格。
由于监管层面的KYC法律法规要求不同,各国的KYC监管整体框架也有相应的区别。世界各主要国家(不包括日本)都包含客户信息收集与客户尽职调查这两个主要组成部分。各国KYC监管的主要区别在于以下几点。
是否执行基于风险基础的强化客户背景尽职调查评估
对于KYC监管框架内是否包含强化客户背景调查,主要表现在KYC监管是否要求金融机构针对高风险人员进行更深入的信息挖掘。具体表现为,日本的反洗钱法律法规中只单一地规定了金融机构必须执行客户身份收集计划,对高风险人员并没有强制的加强尽职调查的要求,而英国与德国只针对除本土公民以外的其他国家的高风险人员提出强化客户背景调查的尽职调查要求。而中国、美国与澳大利亚都要求金融机构严格地对于所有高风险人员都执行客户尽职调查。
KYC监管覆盖行业不同
KYC监管所涵盖范围依据各国金融行业划分略有区别。具体表现为英美等国家KYC监管基本上覆盖了所有类型的金融服务机构,其中包括银行、不动产融资、信用社、支付机构、会计师事务所、赌场娱乐机构、贵重金属交易所以及古董交易公司等。其他国家根据行业划分不同,除了对金融服务业无硬性要求外,也基本上覆盖了对金融机构全面KYC监管,比较典型的国家有澳大利亚。
然而与其他主要国家的KYC监管范围相比,中国的KYC监管覆盖范围较小,中国的KYC监管的范围只单一地覆盖了银行、券商以及保险公司等大型金融机构,对于新兴的金融科技企业与金融服务相关企业的KYC监管基本属于空白。
(作者单位:清华大学五道口金融学院阳光互联网金融创新研究中心)