“风险为本的方法”原则与保险业反洗钱内控制度建设①

熊海帆1卓志2

（1.西南民族大学经济学院，四川 成都 610041；2.西南财经大学，四川 成都 610074）

   ［摘要］在新的反洗钱制度框架下，保险等金融机构必须建立起反洗钱的内部控制制度。国际社会已经形成了比较成熟的“风险为本的方法”原则体系，可以为我国保险行业反洗钱内控制度建设提供参考思路。保险机构应考虑将反洗钱的内控制度同自己的风险管理框架整合起来，可在风险管理战略中加入反洗钱的目标和方案；指定反洗钱合规专员；搞好反洗钱的员工培训工作；严格划分岗位责任等，从而搞好反洗钱内控制度的建设。
    ［关键词］保险机构；反洗钱内控制度；“风险为本的方法”原则
    ［中图分类号］Ｆ840.32［文献标识码］A［文章编号］1004-3306（2007）12-0047-03
    Abstract：Under the new antimoney laundering framework, insurance as well as other financial institutions have to establish an internal antimoney laundering control system. There has already been a sophisticated principle of Risk Based Approaches(RBA ) in the international market and can served as a useful reference for China to establish such a system.  Insurers should consider to consolidate their internal antimoney laundering control system with their risk management framework to identify, appraise and control the process of managing risks. They can integrate their antimoney laundering objective and plan into their risk management strategy, appoint compliance officer for antimoney laundering, provide adequate employee trainings, and strengthen their internal control for antimoney laundering by stringently delineate responsibilities of different posts.
Key words：insurance institutions；internal control system of antimoney laundering；Principle of Risk Based Approaches

    从2007年开始，保险公司和保险资产管理公司等保险业金融机构（以下简称“保险机构”）承担起了法定的反洗钱义务。其中，建立反洗钱的内部控制制度，是《反洗钱法》和新《金融机构反洗钱规定》要求所有金融机构必须完成的工作。但是，金融机构内控制度的建设和执行本就非常复杂，现在还要同反洗钱职责的履行相结合，可能给保险行业的经营管理造成新的困难。近年来，国际社会在反洗钱制度设计与实施中，已经形成了比较成熟的“风险为本的方法”原则体系，可以为我国保险行业反洗钱内控制度建设提供参考思路。
一、“风险为本的方法”原则概述
反洗钱的“风险为本的方法”原则（Risk Based Approaches，RBA）是指反洗钱规制范围内的义务主体应当科学准确地评估本行业、本单位、本部门面临的洗钱风险，有轻重、有主次地履行反洗钱合规（complying with）职责，以有效监控和防范潜在的洗钱行为。按照美国“金融犯罪执法网”（FinCEN）的概括，也可以简单理解为相关主体应“将最多的反洗钱合规资源投入到洗钱风险大的业务领域”［1］。
（一）RBA原则的产生
金融行业最初的反洗钱制度建设并没有融入RBA基本理念，只是一般性地规定了反洗钱行动特有的客户尽职调查（customer due diligence）、交易记录保存（transaction records keeping）和大额及可疑交易报告（transaction reports）提交等措施。但是，金融机构提供的经营业务或服务商品多种多样，往来的交易客户形形色色，交易的方式和渠道日新月异，对应的洗钱风险也高低不一。反洗钱的日常工作如果不加分别、不辨主次地一概平均用力，则既会增加合规成本支出，又不一定能收到较好的效果。一些反洗钱国际组织在汇总分析相关数据资料以后，较早意识到了上述问题，开始发出反洗钱制度要采取“风险为本的方法或手段”的原则建议，例如，反洗钱的“金融行动特别工作组”（FATF）、“巴塞尔银行监管委员会”（BCBS）、“国际保险监督官协会”（IAIS）、“国际证券委员会组织”（IOSCO）以及“沃尔夫斯堡集团”（Wolfsberg Group）②等组织的反洗钱文件均对此有所涉及。
［作者简介］熊海帆，西南财经大学保险学专业博士研究生，西南民族大学经济学院讲师； 卓志，教授，博士生导师，北美精算师（ASA），现任西南财经大学副校长、中国保险学会副会长。
2001年“9.11”恐怖袭击发生后，国际社会越发认识到反恐怖主义融资的极端重要性， RBA原则也随即被加入到反恐融资行动中。目前，英国、美国和澳大利亚等国金融行业的反洗钱实践已经开始贯彻RBA原则。
（二）RBA原则的主要内容
按照英国“反洗钱联合指导小组”（JMLSG）的总结，金融行业反洗钱的RBA原则核心要求主要包括两方面：一是反洗钱制度体系必须能够充分反映与业务和客户相关联的洗钱风险；二是必须充分考虑真正的交易客户不在场时更大的洗钱及恐怖主义融资风险［２］。具体可细分为以下实施步骤：
1.识别与评估洗钱风险
这是金融机构履行反洗钱合规职责的第一步，其目的首先是筛选出最危险的交易客户和产品，同时也兼顾低风险的情况，以便于有区别性地开展下一步的工作。为此，金融机构需要综合考虑自己的业务结构、客户种类、经营方式和外部环境等因素，据以进行风险归类和评级。例如，“沃尔夫斯堡集团”提供给成员银行的反洗钱行动指南将洗钱风险划分为国家风险（country risk）、客户风险（customer risk）和服务风险（service risk）三类［3］，并给出了金融机构判断洗钱风险增减因素的五个标准：客户的资产数量与交易规模、客户受反洗钱规制或监控的程度、客户的交易往来历史、自身对反洗钱规则的熟悉程度、客户使用的交易媒介和所处交易环境的透明程度。一般而言，金融领域中存在较高洗钱风险的场合有：大额现金交易、无明显利益动机的交易、非面对面（non facetoface）客户交易（真正的交易客户不到场，由代理人出面）、与犯罪或洗钱高发地之间的跨境交易等等。反之，具有长期往来关系的客户、政府或行政事业单位客户、经过合格第三方（如法院）认证的客户等的洗钱风险较低。
2.设计与实施风险控制措施
在有效完成上一步工作的基础上，金融机构应当有针对性地处理和缓解所面临的洗钱风险。为此，需要合理设计和规划自己的风险控制方案，包括风险控制的愿景（vision）和措施等内容。其中，风险控制的愿景与金融机构的宏观经营目标相关联，可以仅仅是达到政府反洗钱规制的一般要求，即不因为违反反洗钱规定而招致处罚，也可以是出于自觉维护市场声誉的考虑，自愿主动地全面实施反洗钱内部控制。换言之，金融机构的风险容量（risk appetite，即愿意承受的风险大小）决定其洗钱风险控制的具体目标。就风险控制的措施来讲，针对洗钱风险较高的情形，金融机构应采取强化的客户尽职调查（CDD）程序，提高持续性客户关系控制的层次。例如，要求高风险客户提供更多的个人身份信息和历史资料；要求第三方提供身份认证，并对其实行跟踪性交易监控等等。对于洗钱风险较低的情形，则可以通过简化程序来进行客户尽职调查，甚至可给予身份识别豁免。具体控制措施的选择客观上受制于自身风险容限（risk tolerance）的高低，即实际的风险承受和处理能力，规模较大的金融机构一般风险承受和处理能力也较大，可以投入较多的人力、物力来实施洗钱风险控制，反之亦然。
3.评价与改进控制措施
由于外部环境和业务结构的渐进变化，更由于犯罪分子洗钱手法和伎俩的日益高明，金融业的反洗钱是一个动态发展的过程，金融机构有必要对自己的洗钱风险控制进行定期评价，总结经验，吸取教训，并相应作出整改。评价的方式可以多样化，首先是在金融机构内部进行，包括各部门的自评、跨部门的互评和上级对下级的考核等形式，也可组织各金融机构进行交叉检查和评估。在许多反洗钱的国际组织内部，成员国、地区或单位间的互评互查早已被作为一项制度确立下来。加强反洗钱的行业内、跨行业以及国际间的多边合作非常重要，有利于及时交换反洗钱资讯，了解最新的反洗钱措施动向并获得最大限度的多方援助。
综上，反洗钱的RBA原则的实质是相关主体从风险管理（risk management）的角度来组织实施反洗钱工作，通过风险识别、评估、控制、检查和措施改进等诸多环节，将洗钱风险控制在主观风险容量和客观风险容限范围之内，以获得最大的反洗钱成效。
二、保险机构反洗钱内控制度建设的指导原则
根据美国“反欺诈财务报告全国委员会”（COSO）的定义，“内部控制”（inner control）本意是指“由一个主体（企业）的董事会、管理当局和其他人员实施的，旨在为经营的效率与效果、财务报告的可靠性、符合适用的法律法规等各类目标的实现提供合理保证的过程”［４］，包括“控制环境”、“风险评估”、“控制活动”、“信息沟通”与“监控”五个相互关联的要素，每个要素又分别承载“经营”、“财务报告”与“合规性”三个目标。内控制度特指企业单位为实现自己的经营目标、提高经营绩效，而在经营活动的开展、财务报告的编制和法律法规的遵守等方面所作的一系列自律性或他律性制度安排。没有一个合理的内控制度体系，企业单位的经营目标实现就缺乏必要的内部保障环境。
由于洗钱行为对社会经济和保险行业自身都具有严重的危害性，不难理解保险机构的反洗钱活动也会影响其“经营的效率与效果”的目标实现。并且，由于国家制定了一系列的相关法规，保险机构的反洗钱还涉及对“适用的法律和法规”的遵守或违反等问题。所以，内控制度的建立和健全是保险等金融机构有效执行国家反洗钱法律法规的必要条件。反洗钱的内控制度是保证上述的客户尽职调查、交易记录保存和大额及可疑交易报告提交等反洗钱基本措施真正得以履行的实施机制的总和，是反洗钱制度的制度。
现在，保险机构已经被要求依法建立反洗钱的内控制度，可以借鉴国际社会的通行做法，遵循RBA原则来进行反
①本研究由“西南财经大学创新人才培养基金”资助。
②“沃尔夫斯堡集团”是由全球12家著名商业银行于2000年联合成立的反洗钱国际组织。洗钱内控制度建设。保险机构应考虑将反洗钱的内控制度同自己的风险管理框架整合起来，识别、评估和控制经营风险的过程，包含洗钱风险在内。为此，提出如下建议：
（一）在风险管理战略中加入反洗钱的目标和方案
保险机构是直接或间接提供风险转移服务的特殊金融企业，自身也面临着各种各样的经营风险，所以有必要也有能力制定实施自己的风险管理战略，这是保险机构核心竞争力的一种体现。因此，如果承认自己面临的诸多风险因素中包括了洗钱风险，那么保险机构就应该坚持反洗钱的RBA原则，把反洗钱以及反恐怖主义融资的工作方针嵌入其风险管理战略或计划。在风险管理框架下，保险机构应致力于建立与反洗钱相关的内部报告、内部审计和内部评估制度，它们构成反洗钱内控制度的主干。其中，内部报告是针对反洗钱信息（例如来自客户身份识别和交易审核的信息）的内部传递和共享；内部审计是针对反洗钱信息的内部分析、辨疑以及对反洗钱程序实施的稽核与控制（例如对是否提交可疑交易报告的决定）；内部评估是指对反洗钱合规工作的自我评价与总结，以利改进和提高。
（二）指定反洗钱合规专员（compliance officer）
实施风险管理需要一个强有力的领导班子，保险机构建立和贯彻反洗钱内控制度应指定专门负责组织、安排、引导和协调反洗钱事务的合规专员，并以其为核心及时组建反洗钱合规部门。对合规专员的要求，首先是要掌握足够的法律、金融、保险和财务等基本知识，其次要具有一定的组织、领导和协调能力，同时应具备基本的风险管理理念和经验。在此基础上，需赋予其相称的职位和充分的职权，能在权限范围内相对独立、不受掣肘地调配人、财、物以推进反洗钱合规工作的正常开展。综合考虑国际标准和我国实际，为保证反洗钱内控制度的顺利实施，应将多级制保险机构内部的合规专员建在地市级分支机构以上，并定为同级领导层的副职级别①。此外，保险机构还应设置洗钱报告员（Money Laundering Reporting Officers，MLROs），在反洗钱合规专员的领导下专门负责编制和提交交易报告，其数量根据本单位的业务规模和结构而定。
（三）搞好反洗钱的员工培训（employee training）工作
风险管理是“由人员来实施的”［４］，而目前国内保险机构实施反洗钱内控制度所面临的最大困难之一即在于广大员工缺乏对洗钱风险的正确认识和反洗钱的基本常识，所以，组织开展持续性、富有成效的员工培训，是保险机构优化反洗钱内控制度建设的重要保障。培训的渠道、途径可以灵活多样，既可利用保险机构已有的培训网络（如保险公司的组训部门），也可利用外部资源、通过第三方培训机构（如大专院校）来完成，讲授、座谈、研讨和观摩等手段最好交替使用。从培训的内容上看，对反洗钱内控制度的管理层和执行层应当有不同的侧重点：对于高层管理人员，应偏重国家关于反洗钱的大政方针和法律法规、反洗钱制度的一般框架和实施原则以及自己的领导职责尤其是法定违规责任等内容；对于一线的合规工作人员，则更应偏重客户识别、记录保存、报告提交等反洗钱措施的详细规定与执行流程等内容。培训的目的是要不断提高保险从业者反洗钱的思想意识、合规技能及综合素质。
（四）严格划分岗位责任
风险管理“贯穿于整个企业”［４］，要求每一个部门和人员都应各尽其职地完成自己的工作。所以，保险机构的反洗钱内控制度就应包含对部门岗位责任的合理划分，以增强制度的执行力。近年来，银行和保险等金融机构的境外上市一直是个热点问题，而美国2002年通过的《萨班斯－奥克斯利公司治理法案》（以下简称《法案》）在某种程度上已经成为上市公司内控制度建设的国际标准，所以，有必要参考该法来制定我国保险业的反洗钱内控指引。《法案》的“404条款”对上市公司的“内部控制”和“内部控制评价”两方面作了详细规定，可作为反洗钱内控责任分解和履责评估方式的一个蓝本。中国人寿保险股份有限公司在2005年底已经以“404条款”为基础下发了《主要业务风险控制点检查手册》，从风险管理和内部控制的角度将各部门各岗位的具体责任落实到位，并组织定期自查、自评和自纠。有了这样的制度基础，以后将反洗钱的相关内容加入其中只是时间问题。
对于国内的反洗钱制度建设而言，RBA原则还是个新生事物，保险行业可以在较高起点上借鉴并应用这一原则体系，提高反洗钱的内控制度效率。对RBA原则的贯彻离不开人力物力的耗费，特别是保险机构要将反洗钱工作纳入自己的风险管理框架，会引起相应成本支出的增加。因此，政府部门需考虑弥补保险机构合规从事反洗钱工作所固有的正外部性损失，国际社会倡导和运作已久的反洗钱利益补偿机制应及早在国内建立起来，这可视作贯彻反洗钱RBA原则的一个基础条件。
［参考文献］
［1］FinCEN．Insurance Companies Required to Establish AntiMoney Laundering Programs and File Suspicious Reports［EB／OL］．［2007-6-24］．http://www.fincen.gov．
［2］The Joint Money Laundering Steering Group，UK．Prevention of Money Laundering/Combating the Financing of Terrorism:：Guidance for the UK Financial Sector［Z］．Jan.，2006．
［3］ Wolfsberg Group．Guidance on a Risk Based Approach for Managing Money Laundering Risks［EB／OL］．［2007-6-24］．http://www.wolfsbergprinciples.com/riskbasedapproach.htm．
［4］［美］COSO．企业风险管理－整合框架［M］．大连：东北财经大学出版社，2005．
［编辑：施敏］
①“金融行动特别工作组”（FATF）《反洗钱的40条建议（2003）》提出，金融机构的反洗钱合规专员应属于其管理层。保险研究2007年第12期风险管理