新形势下,金融机构如何搭建跨境合规体系
近期支付通Qpos官网注意到:一、金融合规新形势
近年以来,国内外金融合规形势发生了深刻而复杂的变化。美国、欧洲等国家和地区反洗钱新规密集发布,标准较从前更细更严,千万美元级罚单屡见不鲜。
以美国为例,美国财政部经常宣布对某公司实施金融制裁,因为该公司与美国黑名单上的公司保持了实质性的商业关系。美国财政部如何能长臂管辖到外国公司?“911”事件以后通过的美国《爱国者法案》,赋予了美国财政部这项权力,可以在未通过法庭程序证明“犯罪事实”的前提下,将世界上任何国家的任何金融机构认定为“主要洗钱网点”,命令美国金融机构对之采取一系列措施。由于美元交易的全球性,使得美国财政部通过上述措施达到了广泛的域外管辖效果。除了公司以外,银行也经常成为金融制裁的主体,原因主要有违反反洗钱法律、对于可疑交易未及时启动内部调查程序或上报金融监管机构、未按照美国海外资产风险控制办公室(Office of Foreign Assets Control of the US Department of the Treasury,OFAC)的要求实施合规计划等等。受到金融制裁的商业实体,通常还会被起诉,除非通过缴纳巨额罚款并承诺采取一系列整改措施、加强执行合规计划等换取与金融监管部门的和解;而其实际控制人和高管,还可能面临民事罚款和刑事风险,可能会被指控违反美国《国际紧急状态经济权力法》以及共谋洗钱犯罪。
在这样的新形势下,对于中资银行及非银行金融机构而言,境外投资及经营合规除了反商业贿赂之外,影响最深的当属反洗钱与反恐怖融资合规以及经济制裁合规。
二、我国对金融机构跨境合规的总体要求
对于开展境外投资与经营的中资企业而言,所谓的跨境合规,是指其境外分支机构或附属机构,应当学习和掌握驻在国家(地区)的法律法规,尤其是该国的禁止性规定,并予以严格遵守。国务院国资委2018年11月2日发布的《中央企业合规管理指引(试行)》第十六条规定:“强化海外投资经营行为的合规管理:(一)深入研究投资所在国法律法规及相关国际规则,全面掌握禁止性规定,明确海外投资经营行为的红线、底线;……。”
这些禁止性规定涉及的面就可能很广,其中包括反商业贿赂、反洗钱与反恐怖融资以及贸易管制。例如,2018年12月26日国家发改委等七部门联合发布的《企业境外经营合规管理指引》第九条要求企业在境外日常经营活动中,应该确保全方位合规,并明确提出全方位合规包括反贿赂合规、反洗钱及反恐怖融资合规及贸易管制合规。
具体到金融机构,2019年1月9日,中国银保监会发布《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》,强调了在境外设有经营性机构的中资商业银行在跨境合规方面的重要性,并明确要求中资银行应把“打造集团统一、全面有效的跨境合规管理体系”作为工作目标。
2019年1月29日,中国银保监会发布2019年第1号文件《银行业金融机构反洗钱和反恐怖融资管理办法》,明确要求我国银行业金融机构境外分支机构和附属机构,应当遵循驻在国家(地区)反洗钱和反恐怖融资方面的法律规定,协助配合驻在国家(地区)监管机构的工作。管理办法第十二条明确要求银行业金融机构应当依法执行联合国安理会制裁决议要求。但美国国家关于经济制裁的法律法规及政府命令并不在应当执行的范围内。有关“金融机构”的定义或者范围,我国《银行业金融机构反洗钱和反恐怖融资管理办法》虽然名称上只体现银行业金融机构,但它不仅适用于在我国境内设立的商业银行、政策性银行和国家开发银行,还参照适用于在我国境内设立的非银行金融机构,包括金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等。美国则于1988年通过了《洗钱检控改善法案》,扩大了《银行保密法案》中关于“金融机构”的定义,将汽车、飞机、轮船的经销商以及从事房地产、邮政服务的人员也列入金融机构的范畴。
可见,中国银保监会对于中资金融机构境外经营的合规要求是:
其一,要严格遵守驻在国反洗钱与反恐怖融资的法律,并执行联合国安理会制裁决议要求;其二,要建立全面有效的跨境合规管理体系。
三、美国反洗钱及反恐怖融资
2017年,美国监管机构就反洗钱问题对15家金融机构开出逾17亿美元罚单,其中包括纽约州金管局对3家外银行纽约分行的罚款给6.6亿美元。除了罚款之外,美国执法部门更有力的处罚措施包括责令金融机构停止业务。
美国反洗钱及反恐怖融资法律框架主要由1970年《银行保密法》,1986年《洗钱控制法案》,1988年《洗钱检控改善法案》,以及2001年“911”事件后通过的《爱国者法案》之第三篇内容“铲除国际洗钱和2001年反恐怖融资法案”等共同构成。
美国在国际反洗钱合规项下的特殊性在于其强大的美元金融系统。国际金融活动中,各国金融机构的美元结算交易均需通过在美国境内的代理行账户进行。代理行账户系指包括任何在美国境内特定外国金融机构而设立的账户,该账户系用于接收从该外国金融机构付来的存款,或者代表该外国金融机构对外支付款项或费用,或者用于处理其他与该外国金融机构相关的金融交易。根据美国的反洗钱法,出于开展非法活动(包括违反美国政府制裁令的行为)的目的,利用美国金融系统,从美国境外或者通过美国境外向美国境内转账,即构成反洗钱犯罪。
四、美国经济制裁与出口管制
美国的经济制裁与出口管制相关法律主要是基于美国国家安全和外交政策。比较重要的法律包括《国际紧急经济权力法案(IEEPA)》、《出口军火交易条例》及《出口管理条例》等。
美国出口管制系统则主要由美国商务部工业与安全局(BIS)依据《出口管理条例》监管。1997年,BIS首次发布了一份实体名单(Entity List),将那些参与可能导致将物品出口、再出口和转移给大规模杀伤性武器项目的活动的实体列入名单。此后,被列入名单的实体扩大到参与违反制裁或者违反美国国家安全或外交政策利益的活动的实体。美国企业向被列入实体名单的实体出口物品时,需要事先向BIS申请审批许可。
相较于出口管制合规,经济制裁合规更为复杂。美国贸易制裁的主要执法部门是美国财政部下属的海外资产控制办公室 (OFAC),当经济制裁涉及刑事案时,美国司法部则会介入处理。IEEPA授权美国总统在美国国家安全和外交政策受到异常威胁时,可发布政令管制及禁止与特定对象进行特定交易,包括金融交易。OFAC负责发布包括SDN名单在内的诸多制裁清单,并对涉及制裁对象的交易进行监管。如有任何人(包括美国和非美国实体)违反、试图违反、共谋违反或协助违反贸易制裁计划,即构成犯罪。
经济制裁与出口管制二者合规的大方向基本一致,即建立与完善机构的合规体系,加强对交易对象和各交易环节的合规筛查、完善日常交易记录,发现问题主动汇报等。
五、金融机构经济制裁与反洗钱合规
5.1 OFAC《经济制裁执法指引》
2009年11月9日,OFAC公布《经济制裁执法指南》,其中不少内容涉及对金融机构经济制裁合规的指引。如果美国司法部与证监会在FCPA执法指南中明确的一样,OFAC对于企业尽早建立一套有效的制裁合规计划报以很大期待。《经济制裁执法指南》明确指出,执法部门发现违法行为后,衡量该采取什么样的行政措施,以及在确定要予以金钱处罚时,考虑该科以多少罚金时,会将一些通用因素作为考量基础。这些通用因素包括违法行为发生时是否存在一套有效的合规体系,以及违法行为发生之后企业如何将补救措施具体体现在合规体系改善上。
以问题形式呈现:
违法行为发生时,企业是否存在一套经济制裁合规体系?
合规体系建立前是否进行过合规风险评估?
合规体系的质量如何,内容是否完善?
合规体系是否有效运行,比如基层员工是否了解该体系?
关于有效性,企业管理层决心如何体现?
关于有效性,合规管理组织架构是否合理?首席合规官向谁报告?
企业是否有定期重新评估其所面临的经济制裁合规风险?
除了书面文件之外,合规体系是否有落到行动上,比如对员工进行定期培训?
违法行为发生后,企业在合规体系上有何反应?
企业立即采取了什么补救措施?
企业是否对现有合规体系进行了完善与补齐?
新就位的内控制度与程序是否足以防止违法行为再次发生?
由此可见,与反腐败合规体系建设一样,企业在跨境经营过程中,事先建设一套有效的经济制裁合规体系实有必要。违法行为发生时如果存在一套有效的合规体系,将被OFAC视为重要的减轻情节。
为协助金融机构评估自身所面临的经济制裁风险,OFAC在《经济制裁执法指南》里附上一份风险矩阵图,以下属于风险程度较高的金融机构:
在国际环境里经营,客户基础庞大且具有波动性
拥有大量高风险的客户群体
设有海外分支机构,或者在外国银行开设多个代理账户
提供一系列电子产品(如电子银行)与服务(如转账、电子账单或互联网开户)
大量的客户及非客户资金转账,包括国际资金转账
最近多次涉入OFAC行动但机构没有解决问题,导致机构在未来产生同类违规行为的可能性增高
管理层不能理解或者选择无视OFAC合规风险的主要方面,在机构内部对合规的重要性没有进行强调与沟通
董事会未批准OFAC合规体系,或者机构的政策、程序、内控及信息系统不完备
管理层未提供适当的人力处理合规事务
合规的授权与责任追究体制未清楚建立,未设OFAC合规官或聘任不适格的合规官,或合规官的角色不清晰
培训零零散散、未能覆盖重要法律与风险区域,或者干脆就不存在培训
机构没有质量控制措施
存在以上特征或者问题的金融机构,通常都将面对较高的经济制裁合规风险。除了前5点机构特征之外,后面7点问题,均可通过完善合规体系予以解决,值得金融机构关注。
5.2 《OFAC合规承诺框架》
2019年5月2日,OFAC首次发布一份《OFAC合规承诺框架》的文件,明确OFAC强烈鼓励机构,包括在美国境内开展业务、与美国或美国人有业务往来、或利用源于美国的商品或服务的外国实体,通过制定、实施及定期更新自身制裁合规计划,建立起一套以风险为导向的制裁合规体系。
企业的合规体系会因企业不同规模与成熟度、不同产品、服务、客户、对手以及地理区位而有所不同,但OFAC强制合规体系应具备五个核心要素:
(1)管理层承诺,(2)风险评估,(3)内控制度,(4)测试与审计,(5)培训。
与FCPA合规体系的九大要素相比较,可以发现OFAC经济裁合规的五大核心要素全部包含在FCPA的九大要素之内。
在具体内容上,《OFAC合规承诺框架》主要是对五大核心要素进行详细的阐述,以方便企业对照这些内容,反观自身的合规体系是否达到标准,并相应地补强自身的合规体系。此外,《OFAC合规承诺框架》还根据过往执法经验,罗列出了十项最容易导致企业经济制裁合规体系失效或不足的根本性原因,也希望企业能够对照并完善自身的合规体系。
(1)管理层承诺
企业高层对于合规的积极态度、以身作则的姿态,是企业能够从上到下贯彻合规体系的基本保障。企业高层对于合规的积极承诺,可以从诸多细节上一一体现,包括:
对于高级管理层本身:是否亲自审查和批准合规体系的建设,在遵守合规制度上是否以身作则,合规制度可以监督高层行为,对高层是否有约束力。
对于合规官及合规门:是否任命一名专门的合规官,合规官的资历经验与能力是否与企业合规工作规模相匹配,合规官与高层之间是否有直接的汇报通道与定期会商安排,是否给合规部门配备了足够的人手以及IT等必要的技术支持,是否给合规部门划拨了充裕的经费。
对于普通员工:员工是否有畅通的渠道可以举报违规行为,员工举报违规行为是否会受到报复。
(2)风险评估
OFAC一直强制经济制裁合规体系的建设应当以企业自身所面临的风险为导向。不同规模与成熟度、不同产品、服务、客户、对手以及地理区位的企业,所面临的风险均会不同,因此,企业的合规体系不可能千篇一律。随着时间的推移与企业业务的发展,所面对的风险也将产生变化,因此,企业对于风险的评估工作应当持续进行,定期更新。在企业进行兼并收购时还应当作好合规风险的尽职调查。
对于金融机构而言,比较重要的是在发展新的客户时,必须对新客户进行KYC审查以及客户尽职调查,对于已有客户、客户群或者账户关系,要根据制裁风险进行风险等级分类。
除此之外,金融机构还可以对照前述OFAC在《经济制裁执法指南》里附上风险矩阵图,清楚认识到自身的风险程度,从而能够让合规体系更有针对性。
(3)内部控制
企业的内控制度,应当要落实到具体、可操作的书面政策与程序文件上。而且企业还要采取必要的措施,把这些合规政策与程序传达给员工,尤其是风险程度较高的业务部门,甚至包括必要的外部第三方单位。
对于金融机构而言,所建立的内控制度,应该能够做到紧紧跟随OFAC经济制裁的新进展与新变化,包括随时留意SDN等制裁名单的更新,新出台的制裁计划与措施等。
(4)测试与审计
针对合规体系的定期审计工作,主要是想确保合规体系能够落到实处,有效运作,而非形同虚设,或者漏洞百出。很重要的一点在于合规审计应当具备独立性与客观性。合规审计最好聘请独立第三方进行,例如有经验的合规律师,可以全面客观地审视企业的合规体系,并提出有针对性的评价意见或者整改方案,从而令合规体系可以定时被查缺补漏,保持其有效性。
(5)培训
合规体系建设中的培训,主要是让企业制定的合规政策与程序能够有效传达给所有员工,包括管理层、业务部门及其他员工,有时候还要延伸到客户、供应商或其他外包第三方。具体培训的频率、范围与强度,应当与企业所处行业以及地理区位所存在的合规风险相匹配。
5.3 容易导致金融机构经济制裁合规失效的根本性原因
此外,《OFAC合规承诺框架》根据过往执法经验而罗列出的十项最容易导致企业经济制裁合规体系失效或不足的根本性原因之中,有两个项目对金融机构具有针对性,如下。
(1)利用美国金融系统,或者经由美国金融机构,与被OFAC制裁的人员或国家进行商业交易
从第三国向一个被OFAC制裁的国家运送货物肯定是违法行为,基本不会有受美国管辖的企业直接从事这些交易行为。但是,如果一家美国金融机构参与与这些交易有关联的支付行为,该支付行为同样会被认定为违法行为,即从美国向一个被制裁国家出口或再出口服务。
对于利用美国金融系统与被制裁对象进行商业交易的执法调查,OFAC通常会针对那些组织庞大且经营成熟的机构,如果这些机构经年累月地为与被制裁对象相关的商业交易行为提供金融服务,并有意或无意地试图藏匿其支付行为(例如消除或篡改付款信息、或者欺骗美国或非美国金融机构),忽视或者未能考虑诸多有关其行为涉及违规的警示,而其管理层对此又明显知晓,并最终对美国的制裁目的造成重大伤害。
(2)制裁筛查软件或者过滤器错误
对于金融机构而言,KYC流程通常都贯穿在反洗钱与经济制裁合规里。金融机构应当时刻关注OFAC的SDN及SSI制裁名单,并对客户、供应链伙伴、中介商、交易对手、商业及金融文件以及交易进行制裁名单扫描筛查,以确保不为这些名单上的实体提供服务或进行合作。制裁名单例行筛查的意义就在于,可以确保被制裁对象无法利用美国金融系统。
有时候,金融机构会忘记及时更新其制裁名单筛查软件,未能将被制裁金融机构的相关标识符例如SWIFT商业标识符代码涵括在筛查项里,或者未能考虑到被制裁国家或对象的替代拼写单词(尤其是在机构位于或者在那些经常用到替代拼写单词的地域开展营业之时,例如用Habana替代Havana,Kuba替代Cuba,Soudan替代Sudan等),这些都将会导致筛查失效,从而引发违法风险。
(作者吴明为北京市中伦(上海)律师事务所合伙人,本文仅是作者本人的观点,不代表作者所任职单位的观点。)(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)支付通Qpos,一款集合刷卡,支付,二维码支付和云闪付的多功能智能型手机POS机,现面向全国招收代理加盟商!5年手机POS机稳定运作经验,数十万用户稳定安全使用的体验,绝对是您不错的选择!欢迎加盟支付通Qpos!
