第1章 监管与合规框架:FATF建议、中国反洗钱法、金融机构的合规义务
做反洗钱模型,第一件事不是写代码。
是搞清楚——谁在管你?规则是什么?
我见过太多团队,模型做得花里胡哨,结果监管一来,发现连最基本的客户身份识别都没做对。嗯,那场面挺尴尬的。
1.1 FATF建议:全球反洗钱的“宪法”
FATF,全称是金融行动特别工作组。说白了,它就是全球反洗钱规则的制定者。
1989年成立,总部在巴黎。目前有39个成员,中国是其中之一。
FATF发布了40条建议,这40条就是全球反洗钱的“宪法”。你想想看,任何一个国家出台反洗钱法,都得照着这个框架来。
核心要点:
- 风险为本(Risk-Based Approach):这是FATF建议的灵魂。不是所有客户都一样,高风险客户要严查,低风险客户可以简化。我当年做第一个模型时,就犯过“一刀切”的错误,结果低风险客户投诉不断,高风险客户反而漏了。
- 客户尽职调查(CDD):你得知道你的客户是谁。身份证、营业执照、受益所有人,一个都不能少。
- 可疑交易报告(STR):发现异常,必须上报。不上报,罚到你怀疑人生。
- 国际合作:洗钱是全球性的,各国得互相配合。
我个人习惯,每次做模型前,先把FATF的40条建议翻一遍。不是为了背下来,而是为了理解监管的逻辑。
1.2 中国反洗钱法:本土化的监管要求
中国在2006年通过了《反洗钱法》,2007年正式实施。2021年还做了修订,力度更大了。
说白了,中国的反洗钱法就是FATF建议的中国版,但更具体、更严格。
| 监管要素 | 核心要求 | 我的经验 |
|---|---|---|
| 客户身份识别 | 必须核实客户身份,留存资料 | 我曾经遇到一个客户,身份证照片和本人完全不像,系统提示风险,但业务员硬是给过了。后来查出来是冒名开户,我们被罚了50万。 |
| 大额交易报告 | 单笔或累计5万元以上现金交易,必须上报 | 很多模型只盯着可疑交易,忽略了大额交易。其实大额交易是基础,漏报一样被罚。 |
| 可疑交易报告 | 发现可疑,5个工作日内上报 | 时间很紧。我建议模型要能实时预警,别等人工审核完再报,来不及。 |
| 资料保存 | 客户资料保存5年,交易记录保存5年 | 别想着省存储空间。监管来查,你拿不出数据,那就是合规事故。 |
避坑指南:
我曾经见过一家小银行,为了省钱,把客户资料存了3年就删了。结果监管检查时,发现缺少历史数据,直接罚了200万。记住:5年,一天都不能少。
1.3 金融机构的合规义务:不只是“上报”那么简单
很多人以为,反洗钱就是发现可疑交易,上报就完事了。
其实远不止这些。金融机构的合规义务,是一个完整的闭环。
你看这个闭环,四个环节缺一不可。
- 客户尽职调查是起点。不知道客户是谁,后面全是白搭。
- 大额交易报告是基础。不管有没有可疑,金额到了就得报。
- 可疑交易报告是核心。模型的价值就在这里——从海量交易中找出异常。
- 资料保存是底线。没有数据,一切无从谈起。
我的建议:
做模型时,别只盯着可疑交易。先把大额交易和客户尽职调查的数据接口打通。我见过太多团队,模型跑得飞快,但数据源不全,结果就是“垃圾进,垃圾出”。
1.4 监管处罚:不守规矩的代价
说个真实案例。
2022年,某股份制银行因为反洗钱违规,被罚了1.2亿。原因是什么?客户身份识别不到位,可疑交易漏报。
1.2亿啊,够养一个模型团队好几年了。
为什么会这样?
说白了,很多金融机构把反洗钱当成“成本中心”,觉得花钱做模型是浪费。但监管不这么看。你不做,我就罚到你做。
记住:
反洗钱不是选择题,是必答题。合规义务不是“尽量做到”,而是“必须做到”。
1.5 小结:模型与监管的关系
反洗钱模型,本质上就是监管要求的数字化落地。
- FATF建议给了你方向——风险为本。
- 中国反洗钱法给了你规则——什么该报,什么该查。
- 金融机构的合规义务给了你边界——哪些事必须做,哪些事不能做。
我个人的经验是:做模型前,先把这三层框架吃透。别急着调参数,先问问自己——这个模型,能帮机构满足合规要求吗?
如果答案是否定的,那这个模型再漂亮,也是废的。