ACAMS Today
会员观点

强化尽职调查控制措施的企业风险管理方法

12月 17, 2025

融机构在运营过程中常常面临各种风险,其中,与金融犯罪和反洗钱相关的风险危害最大。此类风险不仅会导致金融机构面临巨额罚款,还可能损害其声誉。金融机构在为高风险客户开户或与之开展业务时极易面临这一风险——此类客户可能或已经参与洗钱或恐怖融资活动。

哪些人员属于高风险客户?

在深入探讨如何管理高风险客户带来的风险前,首先需要明确“高风险客户”的定义。简单来说,高风险客户是指由于其职业性质、背景或地理位置等因素,更有可能参与金融犯罪或洗钱 / 恐怖融资活动或受其影响的个人或实体。同样,在金融机构使用某些产品和服务,以便为洗钱和恐怖融资相关活动提供便利的人员也属于高风险客户。不同司法管辖区的银行法规和法律要求对高风险客户的分类略有不同,但通常包括以下几类:

  • 政治公众人物
  • 高净值人士
  • 货币服务企业
  • 来自高风险司法管辖区的客户
  • 与高风险行业相关的客户(如加密货币、贵金属和宝石经销商、赌场等)
  • 从事现金密集型业务的客户(如自助洗衣店、赌场、便利店等)
  • 武器制造商
  • 大麻生产商和分销商
  • 使用代理行服务的客户

什么是风险为本的尽职调查?

为防范高风险客户带来的洗钱、恐怖融资和金融犯罪风险,金融机构会开展风险为本的尽职调查或增强尽职调查 (EDD),以管理与高风险客户的关系,并评估是否应维持或终止客户关系。

风险为本的尽职调查是金融机构采取的定制化控制措施,用于根据客户对机构构成的风险对其进行审查和评估。机构根据客户的个人资料和背景信息对其进行风险评级(高 / 中 / 低或数值),据此开展所需程度的尽职调查,至少包括负面新闻调查、交易活动审查、交易监控警报审查、制裁名单筛查、过往可疑活动和交易报告等。

关于高风险客户的监管要求

大多数国家或地区的银行监管机构要求金融机构在为新客户开户前实施风险为本的尽职调查,并对高风险客户定期复查,以确保其风险在机构的可承受范围内。要求金融机构落实此类控制措施的部分关键法规包括美国《银行保密法》和《爱国者法》,其中规定“金融机构须制定经合理设计的增强尽职调查政策、程序和控制措施,以检测并报告通过这些账户进行的[洗钱]活动”。1 同样,加拿大《犯罪(洗钱)所得和恐怖融资法》也有类似要求,英国则通过 2017 年《洗钱法规》明确规定了相关义务。

尽管监管法规早已明确要求金融机构采取充分的风险为本的尽职调查控制措施,但金融机构因执行不力而被处以高额罚款的新闻屡见报端。最近受到严厉处罚的机构包括币安 (Binance)、Klarna Bank、美国国民城市银行和 Starling Bank,原因详见下表 1。

1:管理高风险客户带来的风险

表 1:管理高风险客户带来的风险

这些案例的共同之处在于,上述金融机构缺乏有效的风险管理措施,未能识别、评估和缓释高风险客户带来的风险。这凸显了在金融机构内部培育稳健的风险管理文化的重要性,这有助于强化风险为本的尽职调查控制措施,以便持续审查和评估高风险客户。

风险管理方法

风险管理是指金融机构董事会(包括风险委员会)和管理层采取的战略性综合措施,旨在识别风险、评估已识别风险对机构实现其目标和愿景的影响、评估现有控制措施的有效性、制定或强化控制措施,并持续监控和报告措施的执行情况。风险管理是一个持续的过程,图 1 展示了这一活动的动态循环特征。

1:风险管理周期

图 1:风险管理周期

资料来源和制图:Gauri Bapat

大型金融机构大都设有“第二道防线”(2LOD) 团队,专责风险管理职能,评估高风险客户对机构的潜在威胁,并审查现有风险缓释控制措施的有效性。下文详细介绍了风险管理所涉及的各个步骤(如图 1 所示),以管理高风险客户带来的风险。

1.    风险识别

风险管理的第一步是识别高风险客户给金融机构带来的风险,包括但不限于:

  1. 为实际或涉嫌参与洗钱 / 恐怖融资活动的客户开户或与之开展业务的风险
  2. 与实际或涉嫌参与洗钱 / 恐怖融资活动的客户维持业务关系的风险
  3. 金融机构的产品和服务被用于执行洗钱 / 恐怖融资交易的风险。

2.    风险评估及其影响

明确具体风险后,下一步就是评估这些风险的影响。风险评估主要包括两个部分:风险发生的概率及该风险对机构实现其目标和愿景的影响程度。上述风险带来的影响可能包括以下几点。

  1. 潜在的经济处罚及相关成本:如果高风险客户从事洗钱 / 恐怖融资相关活动,与之开展业务的金融机构可能承担连带责任。如表 1 中详述的近期案例所示,此类情况可能会导致金融机构被处以数百万美元的高额罚款。
  2. 合规与法律风险:与高风险客户打交道(且未采取充分的风险为本的尽职调查措施)可能会使金融机构面临法律和监管审查,招致刑事诉讼和当局的严格监管。
  3. 声誉损失:经济处罚以及法律和监管审查不可避免地会损害金融机构的声誉,包括失去现有客户的信任、难以吸引新客户以及市场信誉下降。

3.    评估现有控制措施

如前所述,大多数金融机构会实施风险为本的尽职调查控制措施,以缓释高风险客户关系所带来的风险。在风险管理流程中,“第二道防线”团队会评估现有控制措施的设计和执行效果,确保剩余风险(如有)在机构的可承受范围内。评估阶段至少应包括以下步骤。

  1. 根据法律和监管要求评估风险为本的尽职调查控制措施:“第二道防线”团队会深入研究所在司法管辖区的反洗钱和金融犯罪法规,以更新金融机构的尽职调查程序,使其符合法律和监管要求。这是金融机构保持合规的关键一步。
  2. 评估控制措施的有效性:“第二道防线”团队会评估现有控制措施的有效性,确保措施如期落实。此外,团队还会审查操作指引和流程,确保用于执行控制措施的文件及时更新且符合实际情况。在这一步骤中,还需检验运营团队对反洗钱 / 恐怖融资相关技能和知识的掌握情况,确保执行控制措施的人员具备相应资质。
  3. 评估指标和关键绩效指标 (KPI)“第二道防线”团队还会审查与风险为本的尽职调查程序相关的指标和 KPI,如调查时间线、未结案件数量以及因未遵守相关要求而被监管机构处以罚款的情况,量化控制措施的执行质效。

4.    创新或强化控制措施

当现有控制措施存在缺陷或不足时,可通过优化机制或创新举措加以改进,以缓释高风险客户带来的风险,以下是相关示例。

  1. 更新政策和程序:修订风险为本的尽职调查程序,以弥补设计缺陷和运营漏洞,确保符合现行的法律和监管要求。
  2. 加强反洗钱培训和工作技能评估:精心设计风险为本的尽职调查培训材料,定期培训运营团队,确保团队成员及时了解相关要求和执行标准。此外,可聘请具备专业教学能力的外部反洗钱培训师授课。同时,应建立培训完成情况核验机制,确保负责执行控制措施的团队成员均已完成培训。
  3. 推行自动化措施执行方式:随着技术的不断发展,“第二道防线”团队可采用新的软件和模型,利用人工智能计算客户的风险评分、汇总新闻和负面舆情信息,提升搜索效率,以便及时发现人为失误。

5.    持续监控与报告

最后,对高风险客户进行风险管理时,还应监测新增 / 优化控制措施的效果,确保风险为本的尽职调查措施如期落地并持续显效,切实化解现存风险。在此阶段,“第二道防线”团队会定期收集有关风险为本的尽职调查控制措施执行情况的定量和定性数据,判断已知风险是否超出可接受阈值。团队还会将相关信息上报治理委员会和董事会。

结论

对金融机构而言,建立健全风险管理文化和框架至关重要。同时,还应利用风险管理框架识别与洗钱 / 恐怖融资相关的关键风险,并持续完善和创新控制措施以缓释风险。虽然风险管理是“第二道防线”团队的职责,但机构各部门应协同合力,主动识别并沟通与洗钱 / 恐怖融资和金融犯罪相关的风险,提出缓释风险的控制措施。

Gauri Bapat,CAMS,CFE,道明银行集团金融犯罪与企业高风险部审计经理 II,

  1. “Assessing Compliance with BSA Regulatory Requirements”(基于《银行保密法》监管要求评估合规工作),联邦金融机构检查委员会,https://bsaaml.ffiec.gov/manual/AssessingComplianceWithBSARegulatoryRequirements/02
  2. “U.S. Treasury Announces Largest Settlements in History with World’s Largest Virtual Currency Exchange Binance for Violations of U.S. Anti-Money Laundering and Sanctions Laws”(美国财政部宣布与全球最大虚拟货币交易所币安就违反美国反洗钱和制裁法达成史上最大和解),美国财政部,2023 年 11 月 21 日,https://home.treasury.gov/news/press-releases/jy1925
  3. “OCC Assesses $65 Million Penalty Against City National Bank”(货币监理署对国民城市银行处以 6,500 万美元罚款),美国货币监理署,2024 年 1 月 31 日
  4. “Klarna receives a remark and an administrative fine”(Klarna 受警告并被处以行政罚款),瑞典金融监管局,2024 年 11 月 12 日,https://www.fi.se/en/published/sanctions/financial-firms/2024/klarna-receives-a-remark-and-an-administrative-fine/
  5. “FCA fines Starling Bank £29m for failings in their financial crime systems and controls”(英国金融行为监管局因 Starling Bank 在金融犯罪系统和控制措施方面的失误对其处以 2,900 万英镑罚款),英国金融行为监管局,2024 年 2 月 10 日,https://www.fca.org.uk/news/press-releases/fca-fines-starling-bank-failings-financial-crime-systems-and-controls