精選文章, 繁體中文

加強盡職調查控制的企業風險管理技術

Dec. 02, 2025

Enterprise risk management techniques to strengthen due diligence controls

機構在營運過程中常常面臨各種風險,其中,與金融犯罪和防制洗錢相關的風險危害最大。此類風險不僅會導致金融機構面臨巨額罰款,還可能損害其聲譽。金融機構面臨金融犯罪和防制洗錢風險的一大關鍵途徑,是在為高風險客戶開戶,或與可能或已參與洗錢或資助恐怖活動的高風險客戶進行業務往來。

哪些人員屬高風險客戶?

在深入探討如何管理高風險客戶帶來的風險前,首先需要確定「高風險客戶」的定義。簡單來說,高風險客戶是指由於其職業性質、背景或地理位置等因素,有較高可能性參與金融犯罪或洗錢 / 資助恐怖活動或受其影響的個人或實體。同樣,在金融機構利用某些產品和服務,以便於洗錢和資助恐怖活動的人員也屬高風險客戶。不同司法管轄區的銀行法規和法律要求對高風險客戶的分類略有不同,但通常包括以下幾類:

  • 政治公眾人物
  • 高淨值人士
  • 貨幣服務企業
  • 來自高風險司法管轄區的客戶
  • 與高風險行業相關的客戶(如加密貨幣、貴金屬和寶石經銷商、賭場等)
  • 從事現金密集型業務的客戶(如自助洗衣店、賭場、便利店等)
  • 武器製造商
  • 大麻生產商和分銷商
  • 使用通匯銀行服務的客戶

什麼是風險為本的盡職調查?

為防範高風險客戶帶來的洗錢、資助恐怖活動和金融犯罪風險,金融機構會展開風險為本的盡職調查或增強盡職調查 (EDD),以管理與高風險客戶的關係,並評估是否應維持或終止客戶關係。

風險為本的盡職調查是金融機構採取的定製化控制措施,用於根據客戶對機構構成的風險對其進行審查和評估。機構根據客戶的個人資料和背景資訊對其給予風險評等(高 / 中 / 低或分數),據此進行所需盡職調查程度,至少包括負面新聞調查、交易活動審查、交易監控警報審查、制裁名單篩查、過往可疑活動和交易報告等。

關於高風險客戶的監管要求

大多數國家或地區的銀行監管機構要求金融機構在為新客戶開戶前實施風險為本的盡職調查,並對高風險客戶定期複查,以確保其風險在機構的可承受範圍內。要求金融機構落實此類控制措施的部分關鍵法規包括美國《銀行保密法》和《愛國者法》,其中規定「金融機構須制定經合理設計的增強盡職調查政策、程序和控制措施,以檢測並報告透過這些帳戶進行的[洗錢]活動」。1 同樣,加拿大《犯罪(洗錢)所得和資助恐怖活動法》也有類似要求,英國則通過 2017 年《洗錢法規》明確規定了相關義務。

儘管監管法規早已明確要求金融機構採取充分的風險為本的盡職調查控制措施,但金融機構因執行不力而被處以高額罰款的新聞屢見報端。最近受到嚴厲處罰的機構包括幣安 (Binance)、Klarna Bank、美國國民城市銀行和 Starling Bank,原因詳見下表 1。

表 1:管理高風險客戶帶來的風險

Table 1: Managing the risks posed by high-risk customers Traditional Chinese

這些案例的共同之處在於,上述金融機構缺乏有效的風險管理措施,未能識別、評估和降低高風險客戶帶來的風險。這凸顯了在金融機構內部養成穩健風險管理文化的重要性,這有助於強化風險為本的盡職調查控制措施,以便持續審查和評估高風險客戶。

風險管理方法

風險管理是指金融機構董事會(包括風險委員會)和管理層採取的策略性綜合措施,旨在識別風險、評估已識別風險對機構實現其目標和願景的影響、評估現有控制措施的有效性、制定或強化控制措施,並持續監督和報告措施的執行情況。風險管理是一個持續的過程,圖 1 展示了這一活動的動態循環特徵。

圖 1:風險管理週期

Graphic 1: Risk management cycle Traditional Chinese

資料來源和製圖:Gauri Bapat

大型金融機構大都設有「第二道防線」(2LOD) 團隊,專責風險管理職能,評估高風險客戶對機構的潛在威脅,並審查現有風險緩釋控制措施的有效性。下文詳細介紹了風險管理所涉及的各個步驟(如圖 1 所示),以管理高風險客戶帶來的風險。

1.    風險識別

風險管理的第一步是識別高風險客戶給金融機構帶來的風險,包括但不限於:

  1. 為實際或涉嫌參與洗錢 / 資助恐怖活動的客戶開戶或為其承作業務的風險
  2. 與實際或涉嫌參與洗錢 / 資助恐怖活動的客戶維持業務關係的風險
  3. 金融機構的產品和服務被用於執行洗錢 / 資助恐怖活動交易的風險。

2.    風險評估及其影響

明確具體風險後,下一步就是評估這些風險的影響。風險評估主要包括兩個部分:風險發生的機率及該風險對機構實現其目標和願景的影響程度。上述風險帶來的影響可能包括以下幾點。

  1. 潛在的財務處罰及相關成本:為高風險客戶承作業務,該金融機構可能必須就該客戶從事的洗錢 / 資助恐怖活動行為承擔連帶責任。如表 1 中詳述的近期案例所示,此類情況可能會導致金融機構被處以數百萬美元的高額罰款。
  2. 法規遵循與法律風險:與高風險客戶打交道(且未採取充分的風險為本的盡職調查措施)可能會使金融機構面臨法律和監管審查,招致刑事訴訟和當局的嚴格監管。
  3. 聲譽損失:財務處罰以及法律和監管審查不可避免地會損害金融機構的聲譽,包括失去現有客戶的信任、難以吸引新客戶以及市場信譽下降。

3.    評估現有控制措施

如前所述,大多數金融機構會實施風險為本的盡職調查控制措施,以降低高風險客戶關係所帶來的風險。在風險管理流程中,「第二道防線」團隊會評估現有控制措施的設計和執行效果,確保剩餘風險(如有)在機構的可承受範圍內。評估階段至少應包括以下步驟。

  1. 根據法律和監管要求評估風險為本的盡職調查控制措施:「第二道防線」團隊會深入研究所在司法管轄區的防制洗錢和金融犯罪法規,以更新金融機構的盡職調查程序,使其符合法律和監管要求。這是金融機構保持法規遵循的關鍵步驟。
  2. 評估控制措施的有效性:「第二道防線」團隊會評估現有控制措施的有效性,確保措施如期落實。此外,團隊還會審查操作指引和流程,確保用於執行控制措施的文件及時更新且符合實際情況。在這一步驟中,還需檢驗營運團隊對防制洗錢 / 資助恐怖活動相關技能和知識的掌握情況,確保人員具備充分能力執行相關控制措施。
  3. 評估指標和關鍵績效指標 (KPI)「第二道防線」團隊還會審查與風險為本的盡職調查程序相關的指標和 KPI,執行風險為本的調查時效、未結案件數量以及因未遵守相關要求而被監管機構處以罰款的情況等,均可作為評量控制措施是否達到預期的指標。

4.    創新或強化控制措施

當現有控制措施存在缺陷或不足時,可透過優化機制或創新舉措加以改進,以降低高風險客戶帶來的風險,以下列出幾項強化或新增控管機制的具體例子。

  1. 更新政策和程序:修訂風險為本的盡職調查程序,以彌補設計缺陷和營運漏洞,確保符合現行的法律和監管要求。
  2. 加強防制洗錢培訓和工作技能評估:精心設計風險為本的盡職調查培訓材料,為營運團隊提供定期培訓,確保團隊成員掌握風險為本盡職調查的最新要求和執行情況。此外,可聘請具備專業教學能力的外部防制洗錢培訓師授課。同時,應建立培訓完成情況確認機制,確保負責執行控制措施的團隊成員均已完成培訓。
  3. 推行自動化措施執行方式:隨著技術的不斷發展,「第二道防線」團隊可採用新的軟體和模型,利用人工智慧計算客戶的風險評分、匯總新聞和負面媒體資訊,提升搜尋效率,以便及時發現人為失誤。

5.    持續監督與報告

最後,對高風險客戶進行風險管理時,還應監督新增 / 強化控制措施的效果,確保風險為本的盡職調查措施如預期實施並持續有效,切實化解現存風險。在此階段,「第二道防線」團隊會定期收集有關風險為本的盡職調查控制措施執行情況的最近質化和量化資訊,判斷已知風險是否超出可接受範圍。團隊還會將相關資訊上報治理委員會和董事會。

結論

對金融機構而言,建立健全風險管理文化和框架至關重要。同時,還應利用風險管理框架識別與洗錢 / 資助恐怖活動的關鍵風險,並持續改善和創新控制措施以降低風險。雖然風險管理是「第二道防線」團隊的職責,但各部門的共同參與同樣不可或缺。每個部門都應積極參與識別和溝通與洗錢 / 資助恐怖活動和金融犯罪相關的風險,提出降低風險的控制措施。

Gauri Bapat,CAMS,CFE,道明銀行集團金融犯罪與企業高風險部稽核經理 II,

  1. “Assessing Compliance with BSA Regulatory Requirements”(基於《銀行保密法》監管要求評估法規遵循工作),聯邦金融機構檢查委員會,https://bsaaml.ffiec.gov/manual/AssessingComplianceWithBSARegulatoryRequirements/02
  2. “U.S. Treasury Announces Largest Settlements in History with World’s Largest Virtual Currency Exchange Binance for Violations of U.S. Anti-Money Laundering and Sanctions Laws”(美國財政部宣布與全球最大虛擬貨幣交易所幣安就違反美國防制洗錢和制裁法達成史上最大和解),美國財政部,2023 年 11 月 21 日,https://home.treasury.gov/news/press-releases/jy1925
  3. “OCC Assesses $65 Million Penalty Against City National Bank”(貨幣監理署對國民城市銀行處以 6,500 萬美元罰款),美國貨幣監理署,2024 年 1 月 31 日,https://www.occ.gov/news-issuances/news-releases/2024/nr-occ-2024-8.html
  4. “Klarna receives a remark and an administrative fine”(Klarna 受警告並被處以行政罰款),瑞典金融監管局,2024 年 11 月 12 日,https://www.fi.se/en/published/sanctions/financial-firms/2024/klarna-receives-a-remark-and-an-administrative-fine/
  5. “FCA fines Starling Bank £29m for failings in their financial crime systems and controls”(英國金融行為監管局因 Starling Bank 在金融犯罪系統和控制措施方面的失誤對其處以 2,900 萬英鎊罰款),英國金融行為監管局,2024 年 2 月 10 日,https://www.fca.org.uk/news/press-releases/fca-fines-starling-bank-failings-financial-crime-systems-and-controls 
You might also like
The evolving threat from within
精選文章, 繁體中文

內部威脅的演變

De-risking: A threat to financial inclusion?
精選文章, 繁體中文

去風險化:普惠金融的隱形挑戰?

The intersection of KYC and fraud prevention
精選文章, 繁體中文

「瞭解您的客戶」(KYC) 與防範詐欺的結合

Public-private partnerships in SAR optimization
精選文章, 繁體中文

最佳化可疑活動報告的公私合作

Leave a Reply