客户尽职调查的不同标准
巴塞尔委员会颁布的文件《银行客户尽职调查》认为,采取有效的KYC措施是银行风险管理的基本要求,银行CDD的基本要素都应从银行的内控制度与风险管理程序出发,归纳起来包括四个部分:
客户接纳政策:客户接纳政策部分,文件特别要求对高风险客户规定清晰明确的接纳政策,并对其加以更为严格的尽职调查; 客户身份识别:在客户身份识别部分,要求“银行必须获取能够令其满意地确认每个新客户身份及其业务关系目的和本质的一切必要信息,信息的详尽程度与实质内容取决于开户申请者的类别(个人、企业等)以及账户的预期金额",其中对政治公众人物PEPs以及伴随电子银行等新技术产生的非面对面(Non-face-to-face)客户的尽职调查问题也做了专门要求; 对高风险账户的持续监控:在账户和交易持续监控的部分,认为“银行只有对其客户正常与合理的账户行为具备真正理解,从而得以识别偏离正常账户行为模式之外的交易,才能有效控制和降低风险”,持续监控主要针对高风险账户; 风险管理:在风险管理部分,文件特别强调了内部审计(in一ternalaudit)和员工培训的作用。从巴塞尔委员会文件的表述来看,CDD并不是单一静态的环节,而是一个贯穿于银行业务流程各个环节的持续不断、随时根据风险程度变化加以调整的动态过程,即“银行不仅仅应当对客户身份加以认定,而且应当监控账户动态,以判定这些账户的交易是否与客户或账户类别所应有的正常或预期的行为一致”。同时为了提高效率,在基本要素规定之外的KYC程序的强度可以根据风险程度加以裁剪调整。
(二)FATF评估方法手册对CDD基本要素的规定FATF2008年版的评估方法手册中,对40+9项建议中与CDD相关内容的评估方法做了详细描述。对于金融机构何时必须采取CDD措施,列举了5种场合:
(1)创建业务关系时; (2)从事超出规定限额(如USD/EUR15000)的非经常性交易,交易包括单笔或相关联的多笔交易; (3)从事特别建议7(SRVIIC)项涵盖的非经常性汇兑交易; (4)只要怀疑具有洗钱或恐怖融资嫌疑,就不必受限于FATF建议中其他地方提到的豁免或限额款项; (5)金融机构对以前获取的客户身份信息真实性或充分性有质疑时。对于必备的CDD措施,评估方法做出了5条详细阐释,总的原则是必须对客户做全面的调查措施,但也允许各国在合理条件下,根据风险敏感的程度调整CDD的强度。值得注意的是,FATF40项建议及其注释和评估标准中,特别强调了对代理人(on behalf of the customer)、受益人(beneficial owner)、托管人(trustee)等人员身份、授权、真实受益者以及控制结构等信息的确认。
FATF要求对高风险范畴的客户采取强化CDD措施,而对低风险客户可采取简化的要求。至于高风险与低风险的范畴,评估方法以示例的形式做了说明,例如非常住居民、PEPs、私人银行、有信托、代理等关系的法人、协议等应纳入高风险范畴,而那些被严格监管的金融机构、公众公司政府机关、寿险、养老基金等可视为低风险范畴。对于CDD程序遇到阻碍或无法获得满意结果的情况,FATF提出的要求一是终止交易或业务关系,二是应考虑出具可疑交易报告。
(三)美国BSA/AML检查手册的CDD要素从2005年开始,美国联邦银行监管委员会为应对各界对银行保密法检查、执法与处罚过程提出的大量批评意见,连续三年每年一次地颁布经过修订完善的银行保密法/反洗钱检查手册,以向监管对象明确监管部门检查的要求与流程。在厚达400多页的检查手册中,CDD部分特别强调了对客户的风险分级、对高风险客户实施强化的CDD措施。2006年版CDD检查评估流程描述如下:
(1)判别银行的CDD政策、程序和工作流程是否与该银行的风险形势相称。判别银行是否制定开户时信息获取的流程,以及确保对已有信息的维护; (2)判别银行的政策、程序和工作流程是否考虑到客户风险级别与风险形势可能会发生变动情况。判别银行是否有专人对此类变动进行评估或确认; (3)评估银行对高风险客户实施的强化CDD程序和工作流程; (4)判别银行是否制定专门指引文件,以指导工作人员在遇到信息不全或不准等问题时如何出具书面报告; (5)在风险评估和银行审计结果的基础.上,对银行的高风险客户的CDD资料进行抽样检查,结合其可疑交易报告监控流程,判别银行信息收集的充分性与有效性; (6)在检查流程与资料信息抽样检查的基础上,出具对CDD有关政策、程序与工作流程充分性判别的结论。 (四)英国财政部的释义英国财政部(HM Treasury)2007年12月15日颁布实施的《英国洗钱监管规定》,非常清晰简洁地表述了CDD的三个基本要素。应包括:
(1)识别客户身份,并在通过可靠和独立来源获取的文档数据或信息基础上核实客户身份; (2)如实际受益人并非客户本人,应识别实际受益人,且应采取充分措施,在风险敏感性基础上,核实其身份,了解实际受益人情况,包括诸如法人、信托或类似法律协议、所有权和控制权等信息; (3)获取关于业务关系目的及其内在本质方面的信息。