Category: 反洗錢

台灣 反洗錢國家風險評估 (NRA)

目前反洗錢國家層面的重點工作之一是反洗錢國家風險評估(National Risk Assessment, NRA),國家風險評估報告應該是台灣面對世界反洗錢相關合作作為中,唯一的洗錢風險評估,也應該是諸多洗錢相關國家風險排名的官方參照來源。那麼台灣目前是否有其他國家的報告可以借鏡呢? 香港財政司2018年4月剛出具了《香港的洗錢及恐怖分子資金籌集風險評估報告》,是目前最新、且內涵與台灣最攸關的報告,其中幾個重點我認為是非常值得供台灣政府機關參考的: 1. 風險評估方法論明確 風險評估方法論經常莫衷一是,也不若自然科學領域有一般論,所以台灣政府以往經常因為害怕圖利一家之言而不敢大膽選邊站採用邏輯明確的某方法論。而2018年香港的國家風險評估方法論則在初步立論就採取了相當好的做法,選取的世界銀行的方法論,邏輯明確且有跡可循,例如下圖有很堅實的步驟與邏輯基礎,可操作性也很強。 2. 執法的成效有明確的數字可供決策 反洗錢的司法架構應該是從金融機構通報「疑似」開始,接下來由調查局作為檢察體系的「調查」,出門成為起訴,最後才有定罪。定罪後還有後續資訊存檔後的利用,其中又以FIU之間在艾格蒙組織的資訊共享最為重要。整體價值鏈都應該要有層層邏輯相符的數據。 香港的報告中對此有明確的數據,看得出來對整體司法價值鏈都已經行之有年,所有數字都可以明確提供。 3. 對於上游犯罪(台灣稱前置犯罪)觀念清楚且公權力架構明確 洗錢的背後一定有不法行為,而從後端的洗錢來看,對不法行為的關注是必須有差別化待遇的,也就是說依據風險基礎方法,無論刑法對各種犯罪應該同一而論,洗錢則必需關注最嚴重的。按照金額與案件量的數字為基準或許是好的出發點。 要達成這種分析,則針對前置犯罪的數據分析則非常必要。因為這樣國家才能知道自身最必須關心的暴險,也才能提供給執法機關與金融機構一個節省成本的關注方向。 4. 金融機構與產品的業務暴險 香港的報告中很明確指出金融業的業務種類與產品暴險集中度,可以讓閱讀者很明確知道國家整體接下來3-5年間會努力的方向。其中有個非常有趣的說明如下: 「海關亦在其網站設立『資訊坊』,方便金錢服務經營者閱覽有關打擊洗錢及恐怖分子資金籌集的資訊,例如特別組織的刊物。除了內部各單位定期分享資訊外,海關亦向不同社羣進行外展計劃,在少數族裔經營的商鋪和外傭的聚集地點派發單張,宣傳使用合法匯款服務,並鼓勵他們舉報無牌金錢服務經營者的活動…」 香港非常清楚由於自身的特殊政經與地緣關係,外來人口,尤其是「外傭」可能會是暴險點之一,能有這樣的報告事項,可見對於國家內的情勢有非常深刻的認識。   以洗錢防制國家層級的職能中,「金融情報中心」(Financial Intelligence Unit,FIU)需要多加探討與闡述。 由於洗錢防制的脈絡經常都是從上而下立論,先講國際、國內規範再談銀行該做的作業,有時候我都有點迷惘,到底這樣一套一套的原理原則,一步一步的作業步驟,真的有貼近犯罪者的金流嗎?這些作業方式到底是穿著西裝高高在上的專家用腦海中的想像制定還是真有人對於犯罪金流作實質(De facto)考量而累積? 我認為這才是政府FIU真實責任的核心。主要理由在於,犯罪本身的確立在絕大多數國家仍然是政府公權力的責任,也就是說縱使銀行有部分責任,往往也都是處理到「疑似」申報為止,至於從「疑似」到「認定」的過程只有法務部調查局(台灣的FIU)才知道,而要能使得銀行作業更加貼近真實的金融犯罪,從實況回推的工程就不能避免。 FATF 40項建議中,第29項的註解中有提到FIU對於訊息的處理應該包含接收(Receipt)、分析(Analysis)、傳遞(Disseminate)等三種功能。雖然該建議也有說明訊息的傳遞建議以國內主管機關以及跨國FIU為準,但並沒有明確硬性規定國家應該採取何種運作模式。依我的觀點,由於台灣的法務部調查局有收取來自不同銀行的疑似洗錢申報,所以利用其角色作深度分析是絕對必要的。在考量不能洩漏(Tipping off)的疑慮,我認為台灣FIU必需適度與其他主管機關分享洗錢犯罪相關情報,目前在我看來雙邊互動理想上的深度分析能力相當缺乏,資訊經常是進得去出不來,銀行經常是空有原理原則,實務上卻很難確知究竟何者是真正的金融犯罪風險的暴險部位。  

剩餘風險 、 風險胃納管理 — 風險基礎法 (RBA) 含意

我記得2015年當我還在滙豐HSBC服務時,在某次會議有人抱怨AML的要求太多,到底要做到怎樣才算盡頭? 當年CEO Stuart Gulliver曾經受英國金融時報訪問時回答過幾句話:「我會知道25萬員工的工作狀況嗎?顯然我並沒辦法。所以若要要求洗錢行為在滙豐永遠不再發生,這是不合理的!」(新聞連結) 這是他的對外說明,但其實他對內的溝通,在當年就很明確了,他說:整套反洗錢作為沒有要抓出所有的犯罪行為,而是只要按風險基礎,將風險控制在一定水準以下即可。 對比國際通用的立論基礎,大概會有以下幾個: 一般性的風險管理教科書「Gallati, R., 2003. Risk Management and Capital Adequacy. New York: McGraw-Hill」有很明確的步驟,但是大概會是巴賽爾協定的模式,所以最終的終點是自有資本策略。 關於剩餘風險、風險胃納訂定「數字」的標準,我覺得寫得最明確的是「Hassani, B. K., 2014. Risk Appetite in Practice: Vulgaris Mathematica」裡面有說明所謂95%極端值得合理性等等。 但是如果要把「洗錢風險」對比到「自有資本」訂立,目前沒有專門直接的理論,所以剩餘風險無法像Basel III一樣,從資本適足率反算。最接近的可能會是the Wolfsberg Group的這張圖,其實也是金檢手冊引用的。 所以比對紫色,就是我說的「各種作為」;藍色右邊第三落應該就是剩餘風險和後續風險接受、風險去除的決策過程了。 其實很明顯,右邊第三落的四個區塊,邏輯上的關聯是這樣的:1. 做了各種作為後剩下”Residual Risk”、2. 針對Residual Risk就可以再做Strategic / Tactical Actions後,真的再剩下的,就要有做3. Risk Appetite的接受;也就是決策高層要能說出「這些洗錢行為我知道有,但我選擇接受」這句話。

通匯銀行洗錢 與 資恐 — 一些觀念的釐清

最近在我的新書《洗錢防制法──銀行業實務挑戰》當中關於反洗錢交易監控的問題解析當中,有一個針對通匯銀行洗錢態樣的說明礙於篇幅不盡完備,最近在與一位法令遵循的長官交流,在釐清一些觀點之後,我認為應該記錄一篇筆記作為更詳盡的補充,同時權充某種程度的勘誤。 故事還是得從2012年的經典案例開始。 2012年滙豐銀行(HSBC)因為反洗錢不力遭美國紐約金融局(NYDFS)裁罰,並進入5年的緩起訴協議(DPA),其中一項缺失便是通匯銀行的現金業務。一般台灣通匯銀行的現金會被認為是特殊業務,且真正使用「現鈔」的場合也大概不多,所以我在與國內銀行討論這條監控態樣時,大家的疑問都頗多,甚至關於過渡帳戶PTA的定義也很是疑惑,有時更很手足無措。 更詳細的說明可以看美國國土安全部「U.S. Vulnerabilities to Money Laundering, Drugs, and Terrorist Financing: HSBC Case History」中第III章「HBMX: PROVIDING U.S. ACCESS TO A HIGH RISK AFFILIATE」第E小節「Bulk Cash Movements」,其中有對此類業務有詳細介紹。 簡單摘要,HSBC的這種業務是「現鈔批發」生意,過往HSBC美國曾經有個美鈔中心(HBUS’ Global Banknotes Business)的角色,提供給金融同業或甚至是他國央行美元現鈔。此種業務雖然絕大多數是銀行經手,但很難基於這樣的連動關係直覺說明銀行對於「鈔票」這種「貨物」有甚麼超越運送以外的責任。 然而顯然美國政府並不這樣認為。 2010年HSBC美國所負責在世界各地運送的美鈔價值3000億以上,由貨運路線直接在其他銀行與聯邦儲備銀行大門口收送,而且甚至是美國聯準會的「延伸保管庫」(Extended Custodian Inventory, ECI)。本來依據相關法令這些現鈔都必須接受美國財政部「Office of the Comptroller of the Currency, OCC」對反洗錢的監管要求。 然而墨西哥從2006到2009期間的美鈔供給異常增加。但不知為何HSBC美國竟然在2006-2009年間決策停止OCC要求的監控,直到2009年才又重啟。這4年間的墨西哥美鈔業務沒有善盡管理職責。偏偏這些美鈔事後調查被證實與非法毒品有關,由有甚者,HSBC美國的運鈔紀錄甚至連運送的數量都不盡精確,遑論要有效控管了。 HSBC美國曾經作為全世界HSBC的美鈔中心,所有HSBC分支機構要調美鈔都要向美國申請,這種業務屬於「物流」與「金流」之間的分界上。台灣迄今此類調鈔業務大概是臺銀的代理央行新台幣業務,或BOA、UOB的現鈔業務比較類似,是現鈔代理行的角色。其他另有基於外幣的清算業務,例如兆豐銀行的美元清算,和這裡所指的外幣現鈔代理行角色略有不同。 總之,無論何種業務,台灣的銀行可能很難有美國HSBC那種鈔券「集散」的規模,所以通匯銀行反洗錢的相關作為也大致依循此原則,小心設計方屬適當。

洗錢手法 、 社會信用 、 自由主義

洗錢手法很多,一般會歸結為處置、多層化、整合三個步驟。目前洗錢防制法關於前置犯罪的要求已經大幅降低,然而自從1986年美國明確立法Money Laundering Control Act將洗錢定為犯罪的一種以來,當然對於控制犯罪的社會需求非常重要,但這些洗錢防制的作為是否在人們自由層面上是不適宜的? 最近中國為了擴大監管的控制,開始將「社會信用」建檔:也就是說如果某人曾經逃火車票,那麼或許會在未來買飛機票時因此紀錄被限制。這種廣泛性、全國性盡職調查作為對洗錢防制有些意義,因為如果能夠有政府出面幫助銀行辨識不同的客戶屬性,那麼資料愈詳盡是愈多多益善嗎? 我認為這已經觸及自由主義和集體主義之間的那條很細很細的分界線了。 台灣過去有舉世聞名的聯徵中心,很大程度讓金融業的信用風險在台灣有統一性的標準化風險貼水(Premium),對於台灣金融業的經營環境減低很多不確定性,但這個制度卻變相也讓台灣此種家父長式的監理下,喪失國際競爭力;整體而言,FinTech發展不利,很大程度也歸因於此。 當然我在《洗錢防制法--銀行業實務挑戰》一書中有少許篇幅評論(批評)法務部調查局(FIU責任的部分),但是這其實是一個政治哲學上的難點。究竟在洗錢防制政府作為而論,需不需要政府出面成立真正集中化的資訊共享機制?究竟這在國家政治理性上,有沒有自由主義與群體主義之間的傾軋?

金檢 監理方向: 洗錢交易監控

最近銀行業都忙於2017年至2018年持續的主管機關要求與預期APG即將來台的第三輪相互評鑑,不管是銀行業或金管會都同感壓力。 而我經常被問的問題就是關於洗錢防制的疑似洗錢可疑交易表徵的主管機關態度,以及應對主管機關(尤其是金檢)的策略。其實在金檢局出具的銀行業防制洗錢及打擊資恐檢查手冊就有相當明確的解釋,在附錄的53大項洗錢防制態樣就有比較明確的說明了,最重要的應該是「銀行仍應依據自身之風險評估結果與自身業務性質及規模選取適合之態樣,甚或發展更精緻之態樣」這句話。也就是說,銀行公會的「疑似洗錢交易態樣範本」充其量只是參考,比較穩妥的做法應該是依據自身對於自家銀行的風險評估,找出自家銀行客戶與交易特性相符的疑似洗錢態樣,如此才能比較精確偵測洗錢行為。 然而,由於政府的不作為以及銀行過往在法令遵循作業稽查過程中的不好經驗,雙方在缺乏溝通下,目前甫上線的銀行大多都採53大項洗錢防制態樣全部逐條架構的方式,造成銀行又走回「Rule-Based」的老路。國際上就算是規模最大的銀行,整體洗錢防制態樣也大多15-20條足夠,台灣通用53條全上實在是非常可笑的做法。 實際上這樣的作法讓我想起「縱囚論」所說的「上賊下之情,下賊上之心,上下交相賊」。雖說金管會沒有明確指明53大項洗錢防制態樣要全部逐條符合,但面對APG即將來台的第三輪相互評鑑,也不敢說銀行可以針對其風險評估做到低於53條即可,在無所適從下,銀行只能揣摩主管機關可能的方向,而最保守的作法即是依據現有「寫出來的」規範,一條一條遵守,每個人都在夢中,卻沒人敢針對正確的做法開第一槍。 台灣的金融業監理長期就被此類扭曲的架構荼毒。金管會想當然爾是政府監管機構,但銀行公會呢?銀行公會看似是代表銀行方的自律機構,但卻發布了許多規範,而該規範並沒有代表銀行經營方的利益,反而實質上變成金管會在不敢死硬律定某些規範時,代表政府作為影武者的發聲打手。 關於洗錢防制的作法是該時候跳脫這種惡性循環了!否則這種互相卸責的作業模式只會讓台灣的洗錢防制愈陷愈深而已。

洗錢案始末 洗錢案國際裁罰 說明

兆豐案始末或更擴大的兆豐案是什麼?這是國人在最近幾年看到相關新聞最常問的問題。擴大一點來說兆豐金紐約被裁罰,似乎看起來是他國政府插手本國銀行營運,為何金管會甚至是央行總裁彭淮南都未見插手?國際銀行如匯豐銀行、渣打銀行等看似都曾經被美國裁罰,究竟美國的影響力是有多大? 第一個出發點不妨來統整看看近年的洗錢案罰款金額匯總圖如下。 可以知道兆豐洗錢案的罰款金額根本就是小巫見大巫,拿匯豐銀行來說,2012年被裁罰19億,金額是兆豐案的10倍多;以資產規模來說,匯豐銀行就是兆豐的10倍有餘,所以可以知道美國政府的罰款是會依據銀行的規模而定,並未如同台灣洗錢防制法一樣,只以固定的罰金金額為準。 第二個重點則是洗錢防制案件的裁罰次數。可以見到渣打銀行過去被罰了四次,每次都因為新事證或再次發現制度不力而重複裁罰,與台灣兆豐案所說,僅說舊案一罪多罰狀況相當不同。 美國無論是中央政府或地方政府針對洗錢的裁罰名義上雖然沒有跨域司法管轄的問題,然而以紐約金融局(NYDFS)而言,雖然裁罰的名義是紐約州轄下的洗錢活動,但實質上,由於紐約為世界金融中心,它針對洗錢的裁罰其實可以多要求更多。 以2014年法國巴黎銀行(BNP Paribas)分別被美國司法部與紐約州NYDFS裁罰的案件為例(參看:New York State Department of Financial Services in the Matter of Consent Order under New York Banking Law 44),除了洗錢的罰款,還多了幾項對於業務的限制: 停止美元清算一年;停止不同國家不同範圍的美金或美國相關交易。 延長獨立監察人(Independent Consultant或稱International Monitor)監管時間。 週知全行相關事項。 再看渣打銀行2014年的洗錢裁罰事項: 延長獨立監察人監管時間二年。 再次追加裁罰3億元美金。 渣打美國禁止為任何新客戶開立美金帳戶。 對經常性美金交易客戶(US Affiliates)逐筆辨識匯款人、受款人的身分、地址等詳細資訊。 暫停美元清算業務:渣打被命令拒收自香港匯入的美金交易。 渣打需結束在阿拉伯聯合大公國的中小企業業務。 以上幾個裁罰事項就能得知,其實針對洗錢防制,美國政府甚至有辦法要求銀行停止美國以外的業務,實際上具有準國際執法者的角色。 主要原因當然就是美國是全球金融中心,美金更是世界金融市場主要清算貨幣,所以美國政府針對美金的控制作為即是在方方面面影響全球的。

洗錢: 定義, 歷史

「洗錢」(Money Laundering)這個名詞其實不只是個比喻的用法,而是真實描繪歷史上利用洗衣店合法掩蓋非法犯罪的行為,是名符其實地利用洗衣機將髒錢清洗乾淨! 美國人通常不晾衣服而是用烘衣機,所以洗衣店在某些區域相當普遍,要說任何東西想要隱匿或變成「不顯眼」大概往洗衣店藏就對了。二十世紀初美國最著名的黑幫老大為芝加哥的艾爾卡彭(Al Capone),他除了諸多犯罪行為之外,也經營投幣式洗衣店,可別認為他對於洗衣服的生意獲利有興趣。美國政府當年一直苦於無法找到他的犯罪證據,其中一個原因便是艾爾卡彭非常有技巧地掩飾了他的犯罪行為,尤其是犯罪所得。據說他利用經營投幣式洗衣店,將非法活動的資金謊稱為洗衣店現金收入,並藉此將不法資金合理化並重新流入正常金融體系。 現在為二十一世紀,「洗錢」的技術發展至今已經非常成熟與多樣化,未必需要投幣式洗衣機,根據FATF的定義,洗錢可分為以下三階段: 處置:指將髒錢分批或合併存入金融體系當中,其方式可能透過多種金融工具或分開不同的時間點進行來達成掩飾目的。 多層化:進入金融體系後,會將資金藉由不同的金融交易手段執行程度不一的交換,使得資金來往的溯源更加困難。 整合:始髒錢最終要能夠走出金融體系並重回整體經濟系統裡,例如購置房地產、或購置上述艾爾卡彭用來掩飾犯罪的投幣式洗衣機。 所以實務上的認定,無論是個人或法人,只要資金的使用情形符合上述的態樣,那麼銀行就必需有能力指認這些交易為洗錢。而實際上,洗錢的方式當然不只單純以上三個階段,有可能是三個階段的排列與組合,也有可能因為時間差的關係在某一時間正好僅處在三個階段中的其中第二個。 無論如何,只要有疑慮,銀行就有責任通報,以台灣的實務,所謂通報明確來說就是對法務部調查局通報「疑似洗錢交易申報(Suspicious Activity Report,SAR)」,或「Suspicious Transaction Report,STR」。調查局是國家層級的「金融情報中心」FIU,負責綜整所有犯罪金流相關的情報,並在適當時機與國際合作共享。

洗錢評鑑 金管會替銀行 “模擬考”

看見所謂因應洗錢評鑑的防制洗錢「模擬考」我就覺得蠻有趣的。沒錯,APG是FATF唯一的亞太區「執行實體」,但APG仍然必須按照實況評鑑,屆時應該關於個別銀行制度的實質、聲稱的可信度等都會作de facto地調研。只針對面談作準備好像只有一小部分的功用。 台灣新洗錢防制法上路後,銀行公會隨即出台了所謂53條疑似洗錢或資恐態樣,目前的監管或檢查的態度也就是偏向這樣改考卷的方式進行。在這樣短短半年之內的強制要求時程,各銀行恐怕會無暇顧及考量另行發展規則,反而會造成在2018年全台灣的銀行針對洗錢態樣的監控情境會不多不少,剛好符合該53條的內容。 這種因應APG,而不理會風險管理架構的急就章方式簡直就是逼著銀行治標不治本,僅填出一張大家都一樣的答案卷。 我預期若國際犯罪者有心洗錢,一定會看準2018年的時機利用台灣的金融體系,因為他們知道台灣在2018年時,所有銀行不多不少剛好會符合53條態樣的要求建立交易監控模組,而且可能並無餘力按照金融犯罪風險EWRA評估的結論建置符合自家銀行的態樣,所以只要在2018年找到一種53條態樣之外的洗錢交易方式並從容執行即可。 蘋果:因應洗錢評鑑 金管會替14家銀行「模擬考」

洗錢; 科學; 民主程序: 為何很難共存?

在金融研訓院聽取關於新的洗錢規範的講座,深深覺得果然對本國銀行才是「新」,好在我有外商的潛移默化(精神轟炸),這些對我來說都是舊觀念了。 會中從QA不難發現,很多人對於Rule Based轉為Risk Based Approach (RBA,風險基礎法)非常手足無措;但其實這是國際監理的趨勢,對不同分群客人本來就應該採用不同監控措施,銀行們會緊張的原因,從淺層到深層,我認為有三個: 1. 金融監理未跟上國際腳步:過去金管會金檢總是拿著一本規則一條一條「背」給銀行遵循,從來不問如果時空環境不同,內部控制作為有無彈性,這造成銀行們總是忙著找規則,而不是發展有效的行為模型。 2. 害怕改變:人組成的團體傾向做簡單(easy)而不有效的事,若進步的方向是simple而有效,一群人的共識通常是不做。原因是改變的風險與後果必須加乘在每個人身上,但改變的好處卻又不確定。比如大家都知道加班沒效率,但若有人質疑如果不加班工作延遲怎麼辦……解答通常都是那還是大家一起加班好了,一起努力至少努力的表相是容易被看見的。 3. 科學證據有效,但共識決會使不科學的作業模式勝出:國際上已經證明風險基礎法能更有效且更省力達成目標,但這件事本質不是創造收入,而是規避風險。雖然我們都理解只要避開某個標準差內的風險就「夠好」,但我們被教育的思考模式就是「正確解答」,總是在問:「那如果稀有事件發生誰負責?」慢慢地決策方向又會轉為條列該作的事,然後投入更多低薪資源浪費在低附加價值工作。 今天很高興金管會有官員、調查局也有檢查官開槍,打醒大家的觀念;但希望他們能撐下去!

洗錢罪 罰款: 銀行的責任不只避開罰則

剛好這是我的工作的專業領域,而這次的兆豐洗錢案簽結讓我心裡隱隱不安,因為這是純粹就「法律」(Legal)來處理「法遵」(Compliance)層次的問題,但卻可能讓台灣的反洗錢技術停滯不前。我向來認為銀行業(banking)是如同「匠人」般的技術密集行業,而反洗錢領域更是需要細緻的精密處理。 兆豐案,法律定罪層次來說我想沒有問題,因為沒有直接證據顯示某人、某部門蓄意提供犯罪資金洗錢的服務;然而就法遵層次,銀行被要求的卻是要提出明確的辨識、防堵、保護(detect, deter, and protect)程序,並不代表沒有直接參與洗錢就沒有問題。簡單來說,反洗錢的技術比較偏向風險控管,應該由監理單位確定流程、訓練等有無到位,而不是由法律體系判別是否證據確鑿。 所以我很擔心,一旦台灣金融業就此鬆懈,很可能不但無法符合國際標準,恐怕連海外的拓展都跨不出門! 自由時報:兆豐銀他字案「簽結」!重大金融案也可以這樣搞?