Category: 銀行

中國大陸與台灣AML/CFT法令制度比較

Share on facebook Share on linkedin Share on google Share on twitter 在我的專書《洗錢防制法:銀行業實務挑戰》中第二章有一張關於台灣與國際關於反洗錢/反資恐(AML/CFT)的法令與規範架構圖。然而我最近在多個場合逐漸有許多問我與中國大陸法令接軌的需求。畢竟中國大陸與台灣的商業往來相當密切,台灣也有需多金融業在中國中國大陸設點,所以一個完整的洗錢防制/資恐防制法令與規範對照的比較與整理是必要的。 *為求參照精確,中國的法律名稱皆保留原本簡體字* 最高層級的法律 《中华人民共和国反洗钱法》 這在中國是對比台灣的《洗錢防制法》的基本法律,主要規範了受洗錢規範的主客體與責任,也有定義相關違失的罰則;其中我認為比較重要的差異點在「前置犯罪」的說明。台灣的法律大多有成文法風格,在《洗錢防制法》第三條定義「最輕本刑為六月以上」、「刑法第xx條」、「證券交易法第xx條」等明確條件;而《中华人民共和国反洗钱法》只有稍微就立法做目的的陳述:「掩飾、隱瞞毒品犯罪、黑社會性質的組織犯罪、恐怖活動犯罪、走私犯罪、貪污賄賂犯罪、破壞金融管理秩序犯罪、金融詐騙犯罪等」,則比較接近FATF的RBA「舉例」模式。 另外《中华人民共和国刑法》則獨立記載了部分洗錢犯罪的刑罰,例如第191條。這在法學上有廣義刑法和狹義刑法的差別,有興趣的可以另外參照相關法學論述。 《中华人民共和国反恐怖主义法》 這對比台灣是《資恐防制法》但在內容則剛好與洗錢法律與中國的對比相反。台灣的《資恐防制法》很明確是對應國際關於AML/CFT的要求,實務執行面以規範制裁為主,對於恐怖活動本身沒有太多著墨。中國就比較有趣了:《中华人民共和国反恐怖主义法》在恐怖主義與恐怖活動下了相當明確的定義,並且規範的主體也相較台灣大,台灣大抵仍將責任放在金融業本身,而中國則將防制恐怖主義的責任擴大到國家整體安全,並不僅強調牽涉金流的「資助」而已。 國家層級的法律大抵是《中华人民共和国反洗钱法》、《中华人民共和国反恐怖主义法》、《中华人民共和国刑法(部分)》,另外中央也有發布若干命令與解釋,也都是在實務操作上不能忽略的重點,例如中國與台灣最大不同的P2P借貸或電子支付相關業務,很大程度就必須需參照《个人存款账户实名制规定》、《最高人民法院关于审理民间借贷案件适用法律若干问题的规定》。這在台灣幾乎是屬於發展停滯的項目,所以必須視作二地比較的重點參考。 主管機關監理規範 《金融机构反洗钱规定》 接下來對比台灣的監理授權規範,主要是《銀行業及其他經金融監督管理委員會指定之金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法》、《金融機構防制洗錢辦法》二個,對比中國則是由中国人民银行(即是台灣所稱中央銀行)發布的《金融机构反洗钱规定》對於反洗錢相關的保密、內稽內控、身分識別、SAR申報等做出規範。兩岸的差別會在於監理的角色。中國的職權主管機關是中國人民銀行,接受申報的機關是獨立的FIU「中国反洗钱监测分析中心」;而台灣則是由金管會監理,中央銀行並不太著手參與反洗錢工作,另外台灣則是由法務部調查局兼作FIU功能。 台灣的兩個《辦法》差別則在於依據洗錢防制法本身的授權來源不同,其內容大致與國際要求有所接軌。 同樣地,由於中國的金融業與台灣制度面有所差異,所以相關衍生的監理規範也會有所不同,當然針對行業別的規範是基本款,例如《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《证券期货业反洗钱工作实施办法》、《金融机构大额交易和可疑交易报告管理办法》等即是不同業別的或業務流程的細節規範。另外同樣值得注意便是由人民銀行發布的《支付机构反洗钱和反恐怖融资管理办法》,規範的主體是依據《非金融机构支付服务管理办法》取得「支付業務許可證」的非金融機構,這是與台灣最大的不同。 這部辦法相當鉅細靡遺地規範支付業的相關規範,從客戶身分識別方法、紀錄保存、SAR申報、監理要求等等都已經看得出來相當成熟。這根基於歷史文化因素,支付業務已經是在中國相當成熟的產業,規管與監理也已經有名目的依循,這在台灣目前還是處於互踢皮球的狀態,以至於類似Cherry Pay這種監理沙盒和檢調方向不同調的狀況才會發生。 自律規範或細則規定 再往下到類似台灣銀行公會《銀行防制洗錢及打擊資恐注意事項範本》,則對應的規範性文件較多且雜,但同樣由於狀況不同,台灣在公會規範才訂定出所謂的「53種疑似洗錢態樣」,在中國則是並沒有明確地態樣列表,而是在上一層次的主觀機關授權規範當中的《金融机构大额交易和可疑交易报告管理办法》列出幾項原則:「金融機構應當制定本機構的交易監測標準,並對其有效性負責。交易監測標準包括並不限於客戶的身份、行為,交易的資金來源、金額、頻率、流向、性質等存在異常的情形」 再往下才有一些細節性的通告或解釋文件,例如《中国人民银行关于加强代理国际汇款业务反洗钱工作的通知》、《中国人民银行关于明确可疑交易报告制度有关执行问题的通知》、《中国人民银行关于证券期货业和保险业金融机构严格执行反洗钱规定防范洗钱风险的通知》等等諸多「通知」在各類細節的作業流程有所討論。 總結而言,中國與台灣對比的規範層次整理如下圖:  

銀行法令遵循、法務、風險管理、內稽內控等制度入門簡介

Share on facebook Share on linkedin Share on google Share on twitter 我的專書《洗錢防制法:銀行業實務挑戰》出版已經屆滿一年,這一年間我一直都在台灣的AML/CFT領域中打滾,也參與了非常多金融業中高階層的洗錢政策與策略制定;然而回過頭來,我發現我們在面對一般大眾或有志於此業的初階從業人員的認知教育訓練還是相當不足。甚至我在接觸已經相當有專業的先進時,還是經常被問: 反洗錢 / 反詐欺 / 內稽內控 / 法務 / 法令遵循(合規) / 風險管理 / 資訊安全…等等的內涵在金融業怎麼區分? 這讓我恍然大悟,因為的確,我初入社會時,也經常對這些內涵有所混淆,只是當在業界時間久了,自然而然體會領悟後就視為理所應當了。也因為如此,我認為有必要針對這個主題做一點「科普」式的解析,針對幾個經常容易混淆的功能先做一對一比較與解構。希望也能算是個入門教材。 首先從簡單的、也最容易被混淆的開始。 反洗錢 v.s. 反詐欺 資安、反洗錢、反詐欺看起相當類似,也似乎「做法」上是一致的:都是「防止」某些「壞事」發生。實際上也是如此,的確這些「防止」、「反制」的功能都存在於銀行中,只是可能被反制的客體不同而已。例如,洗錢很明確就是要遏止犯罪的金流;而詐欺則是要杜絕詐欺的行為。那麼如果詐欺身為一個犯罪,所產生的金流怎麼辦呢?沒錯,因為洗錢有所謂「前置犯罪」的概念,所以詐欺的金流也有可能是反洗錢的目標之一。 覺得上段文字很像繞口令,沒問題!舉個例子來說:我們經常碰到的狀況是在比較冷門的國家旅遊刷信用卡時,有時候會被偵測異常並鎖卡,此時可能理專會立刻打越洋電話來確認交易,那麼這便是反詐欺的工作範圍了,因為銀行自有一套偵測異常行為的機制,當判斷你的海外刷卡很可能是被盜用時,就會啟動反詐欺的機制。 如果不幸,信用卡真被盜刷而你我都渾然不知,那麼詐欺的「犯罪」就會發生;假使此時詐騙集團車手去領回犯罪所得,那麼銀行也有責任遏止這個犯罪金流的處理,那麼此時就是「反洗錢」的範疇了。 總之,同樣是「防止」某些「壞事」,反詐欺管的是壞事行為本身、而反洗錢則是在意犯罪金流的處理。 反洗錢/反詐欺 v.s. 資訊安全 有了上一個對比的釐清,再來看資安的問題就會清晰一些了。資訊安全最近重新被重視就是因為一銀盜領案。一銀盜領其中一個主因就是ATM主機被駭,造成大量異常吐鈔,所以這也看似一個需要被防止的「壞事」,所以其內涵當然經常與反洗錢、反欺詐混淆。不過從「被駭」此事本身就能夠看出來,資安的焦點領域會放在資訊系統,因為資訊系統的特性而衍生的種種問題才會是主題。 簡單來說,一筆交易可能透過資訊系統完成,也可能透過紙本處理;而若這樣的交易背後事涉犯罪(無論哪種,當然可能是詐欺),那麼就會是反洗錢部門的關注焦點,與是不是透過資訊系統沒有太大關係。另外一面來說,如果正因為資訊系統的漏洞造成歹徒有機可乘,那麼解決這個漏洞來防止憾事再發生便是資安的關注領域。 法務 v.s. 法令遵循(合規) 下一個主題則是稍微跳脫「被防止的壞事」,純粹從功能性來討論這二個經常被混淆的銀行部門。其實不說業外人士,即使是銀行業的從業人員也經常看不懂這二者的差別。主因當然是「法」這個字。由於看起來都是與「法律」或「規範」相關,所以是否就代表工作內容相同呢? 這題的回答經常有點微妙,但我倒覺得用一般我們關於健康的看法來解說或許會好理解一些:「法律事務(法務)」是去醫院看醫生、而「法令遵循(合規)」則是飲食習慣與規律運動。到醫院看醫生本質可能與日常保養無關,反而會是把醫院當成諮詢性質,用來積極解決眼前的問題;而為了健康,飲食習慣或規律運動都是平常的「練兵」,所以法令遵循(合規)就是為了確保健康有被良善管理而進行的活動。 法務專責法律事務,而由於現代商業社會也是法治社會,一家公司在對外時經常會有法律上的專業需要處理,小則比方合約的條款對公司利益的影響、或信用卡申請書哪句條款造成法律疑慮等;大則會有訴訟,需要針對涉及法律相關的事務對外解決,這就是法務的專業。 至於法令遵循的原文是「Compliance」,另一種翻譯是「合規」,所以用「符合規範」來理解就會好一些了。由於金融業是高度受整府監理的特許行業,所以規範多如牛毛,也因為如此,遵循部門才應運而生,絕大多數的時候都扮演著對內確保「防禦」有效的角色,幫忙大家看守制度,確認公司的日常運作沒有違反各式各樣的內規外規。 法令遵循(合規) v.s. 風險管理 延伸到這個主題就經常莫衷一是了,因為很多觀點會認為風險管理與法令遵循是八竿子打不著關係的獨立功能;而又有另一派認為這是一體的兩面。會有這樣的想法很正常,也稍微碰觸到了金融業(尤其是銀行)的經營本質。 任何營利事業都是將本求利,銀行也不例外,只示銀行的成本大多來自「風險」,所以我們在銀行說「風險管理」其實和在製造業說「成本管理」內涵是一樣的。只是風險與成本的本質會有不同。 主要差異會是在一般製造業的成本大致可以預測,而銀行的風險的來源則有很大一部分來自「不確定性」。所以如果說製造業的成本關心「期望值」的控制,則銀行業的成本則是關心「變異數」的控管。 對銀行業來說風險很多,不過經過歷史的演進,有為者大概已經歸納出幾個大項目,並且有制度化的管理模式(巴賽爾協定的資本適足率控管;非本文主題,有興趣者請按此):流動性風險關心資金管理的變現問題、市場風險關心投資部位的上沖下洗、信用風險關心銀行會被倒帳到甚麼程度、最後作業風險則關心營運上的失誤與非預期損失。 既然說這是已經發展成熟的制度,那麼當然就會有「規範」或「法令」的成分在。事實上,資本適足率的控管方式也理所當然是主管機關法令所明定的。所以,符合風險管理的法令當然也是金融業法令遵循需要關心的構面。 […]

通匯銀行洗錢 與 資恐 — 一些觀念的釐清

最近在我的新書《洗錢防制法──銀行業實務挑戰》當中關於反洗錢交易監控的問題解析當中,有一個針對通匯銀行洗錢態樣的說明礙於篇幅不盡完備,最近在與一位法令遵循的長官交流,在釐清一些觀點之後,我認為應該記錄一篇筆記作為更詳盡的補充,同時權充某種程度的勘誤。 故事還是得從2012年的經典案例開始。 2012年滙豐銀行(HSBC)因為反洗錢不力遭美國紐約金融局(NYDFS)裁罰,並進入5年的緩起訴協議(DPA),其中一項缺失便是通匯銀行的現金業務。一般台灣通匯銀行的現金會被認為是特殊業務,且真正使用「現鈔」的場合也大概不多,所以我在與國內銀行討論這條監控態樣時,大家的疑問都頗多,甚至關於過渡帳戶PTA的定義也很是疑惑,有時更很手足無措。 更詳細的說明可以看美國國土安全部「U.S. Vulnerabilities to Money Laundering, Drugs, and Terrorist Financing: HSBC Case History」中第III章「HBMX: PROVIDING U.S. ACCESS TO A HIGH RISK AFFILIATE」第E小節「Bulk Cash Movements」,其中有對此類業務有詳細介紹。 簡單摘要,HSBC的這種業務是「現鈔批發」生意,過往HSBC美國曾經有個美鈔中心(HBUS’ Global Banknotes Business)的角色,提供給金融同業或甚至是他國央行美元現鈔。此種業務雖然絕大多數是銀行經手,但很難基於這樣的連動關係直覺說明銀行對於「鈔票」這種「貨物」有甚麼超越運送以外的責任。 然而顯然美國政府並不這樣認為。 2010年HSBC美國所負責在世界各地運送的美鈔價值3000億以上,由貨運路線直接在其他銀行與聯邦儲備銀行大門口收送,而且甚至是美國聯準會的「延伸保管庫」(Extended Custodian Inventory, ECI)。本來依據相關法令這些現鈔都必須接受美國財政部「Office of the Comptroller of the Currency, OCC」對反洗錢的監管要求。 然而墨西哥從2006到2009期間的美鈔供給異常增加。但不知為何HSBC美國竟然在2006-2009年間決策停止OCC要求的監控,直到2009年才又重啟。這4年間的墨西哥美鈔業務沒有善盡管理職責。偏偏這些美鈔事後調查被證實與非法毒品有關,由有甚者,HSBC美國的運鈔紀錄甚至連運送的數量都不盡精確,遑論要有效控管了。 HSBC美國曾經作為全世界HSBC的美鈔中心,所有HSBC分支機構要調美鈔都要向美國申請,這種業務屬於「物流」與「金流」之間的分界上。台灣迄今此類調鈔業務大概是臺銀的代理央行新台幣業務,或BOA、UOB的現鈔業務比較類似,是現鈔代理行的角色。其他另有基於外幣的清算業務,例如兆豐銀行的美元清算,和這裡所指的外幣現鈔代理行角色略有不同。 總之,無論何種業務,台灣的銀行可能很難有美國HSBC那種鈔券「集散」的規模,所以通匯銀行反洗錢的相關作為也大致依循此原則,小心設計方屬適當。

洗錢案始末 洗錢案國際裁罰 說明

兆豐案始末或更擴大的兆豐案是什麼?這是國人在最近幾年看到相關新聞最常問的問題。擴大一點來說兆豐金紐約被裁罰,似乎看起來是他國政府插手本國銀行營運,為何金管會甚至是央行總裁彭淮南都未見插手?國際銀行如匯豐銀行、渣打銀行等看似都曾經被美國裁罰,究竟美國的影響力是有多大? 第一個出發點不妨來統整看看近年的洗錢案罰款金額匯總圖如下。 可以知道兆豐洗錢案的罰款金額根本就是小巫見大巫,拿匯豐銀行來說,2012年被裁罰19億,金額是兆豐案的10倍多;以資產規模來說,匯豐銀行就是兆豐的10倍有餘,所以可以知道美國政府的罰款是會依據銀行的規模而定,並未如同台灣洗錢防制法一樣,只以固定的罰金金額為準。 第二個重點則是洗錢防制案件的裁罰次數。可以見到渣打銀行過去被罰了四次,每次都因為新事證或再次發現制度不力而重複裁罰,與台灣兆豐案所說,僅說舊案一罪多罰狀況相當不同。 美國無論是中央政府或地方政府針對洗錢的裁罰名義上雖然沒有跨域司法管轄的問題,然而以紐約金融局(NYDFS)而言,雖然裁罰的名義是紐約州轄下的洗錢活動,但實質上,由於紐約為世界金融中心,它針對洗錢的裁罰其實可以多要求更多。 以2014年法國巴黎銀行(BNP Paribas)分別被美國司法部與紐約州NYDFS裁罰的案件為例(參看:New York State Department of Financial Services in the Matter of Consent Order under New York Banking Law 44),除了洗錢的罰款,還多了幾項對於業務的限制: 停止美元清算一年;停止不同國家不同範圍的美金或美國相關交易。 延長獨立監察人(Independent Consultant或稱International Monitor)監管時間。 週知全行相關事項。 再看渣打銀行2014年的洗錢裁罰事項: 延長獨立監察人監管時間二年。 再次追加裁罰3億元美金。 渣打美國禁止為任何新客戶開立美金帳戶。 對經常性美金交易客戶(US Affiliates)逐筆辨識匯款人、受款人的身分、地址等詳細資訊。 暫停美元清算業務:渣打被命令拒收自香港匯入的美金交易。 渣打需結束在阿拉伯聯合大公國的中小企業業務。 以上幾個裁罰事項就能得知,其實針對洗錢防制,美國政府甚至有辦法要求銀行停止美國以外的業務,實際上具有準國際執法者的角色。 主要原因當然就是美國是全球金融中心,美金更是世界金融市場主要清算貨幣,所以美國政府針對美金的控制作為即是在方方面面影響全球的。

FinTech: 老少差距與共的緊張感

聯合國警告數位差距,提醒了我現在的生活對網路的依賴有多深,也剛好提醒了我今天對於FinTech的一些討論。 今天和一位前主管,現任某Local Bank營運主管吃飯,發現不論老少,果然銀行人對於FinTech都是很有一些緊張感的。我們大概討論了一些產品,值得記錄一下一些心得: LnB信用市集:我們都同意即使有再強的模型,免不了還是資訊不對稱會吸引隱含高風險的借方,當開始違約就容易無法收拾。 永豐MMA標會:銀行出面把p2p檯面化,但有聯徵卻也造成scale作不大,算是信用市集的另一面刃。 國泰COCO:可惜作不大,我有好多朋友廚值金無法領出,沒有達到像中國微信支付般普會度高的程度。 智抗糖:無關金融業,但商業模式蠻正確的,和B2C的B端收費應該能給FinTech一些啟發。 我認為目前銀行的gap仍然在所謂間接金融這塊,也就是傳統收個人存款再放款給企業這種經典模式。雖然有資訊不對稱,但很難告訴企業說把放款利息改為收資產管理費模式,再包裹商品成個人可投資型錄,但我相信唯獨這個model才能真正讓FinTech使上力。 BBC: UN warning on growing digital ‘chasm’

銀行: 合久必分 分久必合

滙豐以及一幫英國銀行被要求在2018-19前完成消金業務分拆並成立新公司,BBC專文還提到這算是2008-09金融海嘯的影響遺跡。回顧歷史,銀行業務的綜合經營在上世紀90年代達到討論的高峰,台灣也在2001年出台「金控」的模式,某種程度就是回應歐美在科技業大幅發展之下多元融資的需求。 金融海嘯過後,諸如美國FATCA、反洗錢、甚至於最近OECD的CRS逐漸成形,金融業是慢慢走向嚴格的監管,鐘擺又盪到了另一邊。 最近關於反洗錢的國際審查如火如荼進行,大概兩件事很令人不安: 1. 現金不入帳交易:似乎台灣頗多銀行接受過路客或現金不入帳戶交易,這在國際間是不能發生的,但台灣的銀行大多用客戶慣常行為帶過,金管會也沒人跳出來大力統籌阻止。 2. 客戶資料混亂:原來一般銀行普遍沒有歸戶概念,即使台灣政府戶籍制度比日本完善,有發出統一編號,但一般台灣的銀行仍接受重複出現的客戶資料,或不同產品客戶資料不同。 以上二點都足以讓國際監管機構要求台灣銀行業分拆經營,或甚至在我們的美金清算加諸更多限制。但似乎,我們的主管機關並未意識到這點,卻還只是巴著一些小東西作監管,實在令人憂心啊! BBC: HSBC profits rise as it prepares for UK ringfence

軟體業 金融業 炸青蛙

我們常用溫水煮青蛙來描述跟不上發展腳步被自然淘汰的人或產業,最近轉職後看了越多,再回頭,就發現我若繼續待在保守的銀行,新科技的浪潮簡直就會像熱油炸青蛙了,每晚一步都是十萬火急的落後。 我進入軟體業才剛一週,其實已經發覺非常陡的learning curve了,我覺得入寶山不應空手而歸,除了好好把coding學起來之外,我的新目標應該是更熟悉IT開發的life cycle,然後作為我的know-how往下走… 雖然我也相信最近的fintech或p2p發展不至於影響傳統銀行業務太多,但事實是,我應該還算年輕,能有本錢虛擲一點時間瞭解我的敵人,等到哪天再回金融業,就更能克敵! itHOME: 放手讓年輕人推動轉型巨輪,用新創思維顛覆傳統

洗錢罪 罰款: 銀行的責任不只避開罰則

剛好這是我的工作的專業領域,而這次的兆豐洗錢案簽結讓我心裡隱隱不安,因為這是純粹就「法律」(Legal)來處理「法遵」(Compliance)層次的問題,但卻可能讓台灣的反洗錢技術停滯不前。我向來認為銀行業(banking)是如同「匠人」般的技術密集行業,而反洗錢領域更是需要細緻的精密處理。 兆豐案,法律定罪層次來說我想沒有問題,因為沒有直接證據顯示某人、某部門蓄意提供犯罪資金洗錢的服務;然而就法遵層次,銀行被要求的卻是要提出明確的辨識、防堵、保護(detect, deter, and protect)程序,並不代表沒有直接參與洗錢就沒有問題。簡單來說,反洗錢的技術比較偏向風險控管,應該由監理單位確定流程、訓練等有無到位,而不是由法律體系判別是否證據確鑿。 所以我很擔心,一旦台灣金融業就此鬆懈,很可能不但無法符合國際標準,恐怕連海外的拓展都跨不出門! 自由時報:兆豐銀他字案「簽結」!重大金融案也可以這樣搞?