维护金融安全︱澳洲联邦银行“智能存款机”处罚案分析

原标题：维护金融安全︱澳洲联邦银行“智能存款机”处罚案分析来源：北信瑞丰基金

作者 ：中国人民银行上海总部现场检查部检查二处

摘要：本文依据澳大利亚联邦法院罚款令、皇家调查委员会最终报告等资料，分析了澳洲联邦银行2018年6月因违反《反洗钱法》被罚7亿澳大利亚元一案，梳理了该行“智能存款机”创新业务的洗钱风险管理缺陷，在此基础上提出几点建议，供我国金融业参考。

2018年6月，澳大利亚联邦法院根据反洗钱监管部门澳大利亚交易报告和分析中心（AUSTRAC）的申请，对澳洲联邦银行发出罚款令（Civil Penalty Order），认定该行在推出和运营新业务“智能存款机”的过程中，对洗钱风险的评估和管控存在严重缺陷，累计5万多次违反《2006年反洗钱和反恐怖融资法》（Anti-Money Laundering and Counter-Terrorism Financing Act 2006，以下简称《反洗钱法》），决定处以7亿澳大利亚元罚款。这是《反洗钱法》实施后第二例向法院申请罚款令的案件；罚款金额在当时的澳大利亚创下纪录，引起全球金融同业广泛关注。本文主要依据法院文书等相关资料对该案作介绍，并就加强反洗钱工作提出几点建议。

一、背景信息

（一）澳洲联邦银行及其“智能存款机”业务

澳洲联邦银行（CommonwealthBank of Australia Limited）成立于1911年，总部位于悉尼。历史上该行在经营商业银行业务的同时，曾长期担任澳大利亚中央银行。1920年该行获得发行澳大利亚元的权力，直到1960年才改由当年成立的澳大利亚储备银行承担中央银行职能。澳洲联邦银行是澳大利亚国内最大的商业银行，截至2020年6月客户数约1700万名，下设1118家分支机构，雇员超过4万人。在财富中文网公布的“2020年《财富》世界500强排行榜”中，澳洲联邦银行以营业收入299.67亿美元、利润61.27亿美元排名第416位。

2012年5月，澳洲联邦银行启用一种新型“智能存款机”（IntelligentDeposit Machine）。智能存款机有以下两个特点：一是存款方式多样，除接受现金存款外，可以存入支票，还可以使用澳洲联邦银行或者其他金融机构发行的银行卡向在澳洲联邦银行开立的账户中存款；二是资金到账快速，接受存款后即时自动记入收款人账户，收款人可以立即转出资金，包括将资金汇往境外。因此，较之于传统ATM，智能存款机洗钱风险更高。澳洲联邦银行2012年5月首批仅启用5台智能存款机，当月接受存款868825澳大利亚元。截至2017年5月，智能存款机投入运营已有805台，是2012年5月的161倍；当月接受存款约17亿澳大利亚元，是2012年5月的近2000倍。

（二）AUSTRAC

AUSTRAC根据澳大利亚《1988年金融交易报告法》（FinancialTransaction Reports Act 1988），于1989年组建成立。自2017年12月起，AUSTRAC在内政部长领导下开展工作；此前接受总检察长和司法部长领导。AUSTRAC既是澳大利亚反洗钱主管部门，其监管对象截至2020年6月末已有15762家；也是金融情报中心，负责接收、分析和处置监管对象报送的各类金融交易报告。2019年7月至2020年6月，AUSTRAC接收可疑事件报告（Suspicious MatterReport）26.5万份，大额现金交易报告（Threshold Transaction Report）约220万份， 跨境资金转移工具报告（International Funds TransferInstructions Report）约1.65亿份。

作为反洗钱主管部门，AUSTRAC可以向法院申请对违反《反洗钱法》的机构和个人发出罚款令，追究违法行为的处罚时效为6年。除申请罚款令外，《反洗钱法》还授予AUSTRAC三项执法权力。一是发出违法通知书（InfringementNotice），要求违法主体缴纳一定金额罚款。如违法主体缴清罚款，AUSTRAC将不再就相关违法行为申请罚款令。二是发出书面整改指令（Remedial Direction），要求违法主体采取指定措施，补救违法行为造成的后果，并确保不再发生违法行为。三是要求违法主体出具承诺书（EnforceableUndertaking），向AUSTRAC书面承诺为保证遵守《反洗钱法》要采取的具体措施。如果违法主体不履行承诺书内容，AUSTRAC可向法院申请强制执行。此外，AUSTRAC对涉嫌违反《反洗钱法》的义务主体还有权采取监管措施。例如，书面通知其聘请外部审计机构审查反洗钱合规状况，AUSTRAC依据审计结论再决定后续措施。2019年6月，AUSTRAC就指令支付机构Afterpay Pty Ltd聘请外部审计机构开展反洗钱合规审查，并于2020年10月根据审计报告决定不再采取进一步的监管措施。

二、违法事实

（一）对智能存款机业务的洗钱风险评估和控制屡屡失职

澳大利亚《反洗钱法》第82条第（1）款规定金融机构应当遵守自身的识别、降低、管理洗钱和恐怖融资风险内控机制。AUSTRAC监管规定对上述内控机制提出了更具体的要求，金融机构应当在新产品推出市场前进行洗钱和恐怖融资风险评估。然而，自2012年5月启用智能存款机以来，澳洲联邦银行多次违反《反洗钱法》、AUSTRAC监管规定和自身内控机制要求，既未开展恰当的洗钱风险评估，也未采取包括限制每日交易金额在内的适当防控措施，甚至在获取警方案件信息和收到监管风险提示后，在已经清楚知悉智能存款机业务的风险状况和管控要点后，仍然毫无改进。按照法院罚款令的认定，该违法行为从2012年持续至2017年，包括未按规定评估洗钱风险和未按规定控制洗钱风险两类情况，可进一步细分为14项，分别发生于7个时间节点（见表1）。

（二）反洗钱交易监测问题频出，漏报、迟报、监测失效等多种违法行为大量发生

1. 未按规定报送大额现金交易报告

澳大利亚《反洗钱法》第43条第（2）款规定，对于金额1万澳大利亚元以上的现金交易，金融机构应当在交易发生后的10个工作日内向AUSTRAC报送大额现金交易报告。但是，2012年11月5日至2015年9月1日澳洲联邦银行未按照上述规定在10个工作日的时限内向AUSTRAC报送53506份大额现金交易报告，相关交易均涉及在智能存款机上办理的现金存款。

经查，2012年5月到2012年10月澳洲联邦银行在业务系统中通过“5022”和“4013”两个交易代码标记智能存款机的现金存款交易，而反洗钱交易监测系统通过上述两个代码识别此类交易，并根据金额进一步判断是否应该报送大额现金交易报告。2012年6月，澳洲联邦银行发现网银系统出现涉及智能存款机现金存款交易的报错信息。为修正网银系统的错误，该行于2012年11月增加了新的交易代码“5000”，标记智能存款机的部分现金存款业务；但并未相应升级反洗钱交易监测系统，新代码“5000”没有纳入大额现金交易监测范围，导致漏报大额现金交易报告。

2015年8月11日，AUSTRAC质询澳洲联邦银行，指出该行2015年8月7日报送1份可疑事件报告；根据该报告的交易明细，澳洲联邦银行应当报送2份相关的大额现金交易报告，但AUSTRAC从未收到对应的报告。澳洲联邦银行接受质询后，开展自查，发现共计漏报53506份大额现金交易报告，随即启动补报工作，于2015年9月24日完成补报。上述53506份报告占智能存款机业务同期应报大额现金交易报告的95%，交易总金额约62470万澳大利亚元；其中1656份报告所涉交易与澳大利亚联邦警察调查和起诉的洗钱犯罪集团相关，交易总金额约1750万澳大利亚元。

2. 反洗钱交易监测系统对部分账户的监测失效

根据澳大利亚《反洗钱法》第82条第（1）款规定，结合澳洲联邦银行内控机制有关要求，该行应当将提供给客户的全部产品和服务（包括客户的账户）完整纳入监测范围。但是，2012年10月20日至2015年10月12日，该行反洗钱交易监测系统的部分监控规则对778370个账户的监测失效。对此，联邦法院在罚款令中指出：尽管目前未能统计那些没被监测的交易笔数，因此无法查明确切的违法行为数量，但是可以合理推算，一定是巨大的数字。

经查，造成监测失效的原因是：澳洲联邦银行的系统存在编码错误，导致自2012年10月20日起，在对两个系统的数据进行整合的过程中，累计778370个账户的类型信息（标记该账户属于个人账户或者商业账户）没有导入反洗钱交易监测系统，从而造成那些需要调用账户类型信息才能运行的监控规则失效。

2014年6月16日，澳洲联邦银行发现存在上述问题；同年9月19日，该行采取修正措施，反洗钱交易监测系统中不再有新的账户出现“账户类型信息”为空的情况；截至2015年10月12日，该行在反洗钱交易监测系统中补全778370个存量账户的类型信息，相关监控规则恢复正常运行。

3.未按规定报送可疑事件报告

澳大利亚《反洗钱法》第41条第（2）款（a）项规定，金融机构如有合理理由认为存在可疑事件，应在认定可疑后的3个工作日内将可疑事件报告提交AUSTRAC；如可疑事件涉嫌恐怖融资，上述报送时限缩减至24小时。但澳洲联邦银行在2012年8月28日至2017年6月7日未按上述规定向AUSTRAC报送149份可疑事件报告，其中98份后来进行补报，另51份澳洲联邦银行一直未报。该149份可疑事件报告共涉及以下四种情况。

40份报告涉及的客户，澳洲联邦银行曾经向AUSTRAC报送过可疑事件报告，在报送后的3个月内，这些客户的同一账户又发生可疑特征相似的交易。澳洲联邦银行本应提交新的可疑事件报告，但却未按规定报告，其中18份在超出法定报告时限后补报，另外22份一直未报。

69份报告涉及的客户是执法机关向澳洲联邦银行进行查询的对象，分别涉及7起刑事案件。澳洲联邦银行遵照执法机关要求提供了相关信息，但未按规定向AUSTRAC报送可疑事件报告。其中50份在超出法定报告时限后补报，另外19份一直未报。

29份报告涉及的账户，澳洲联邦银行在配合澳大利亚联邦警察刑事查询时，发现这些账户系犯罪分子使用虚假身份开立。澳洲联邦银行向执法人员提供了相关信息，但在超出《反洗钱法》规定的报告时限后才向AUSTRAC报送可疑事件报告。11份报告涉及的账户，存在明显可疑的交易特征，包括有意拆分金额、逃避大额现金交易监测等。但是澳洲联邦银行未按规定向AUSTRAC报送可疑事件报告。其中1份澳洲联邦银行在3周后补报，另外10份则一直未报。

之所以会发生上述违法行为，其中一个主要原因是澳洲联邦银行的交易监测分析团队未准确掌握《反洗钱法》规定，存在两点误解：一是该团队误以为，已经报送过可疑事件报告的客户，如果后续3个月内出现类似的可疑交易或行为，无须报送新的可疑事件报告；二是在客户被执法机关刑事查询的情况下，该团队误以为既然已经向执法机关提供了客户及其交易的信息，无须再向AUSTRAC报送可疑事件报告。

（三）未按规定对客户开展持续尽职调查

澳大利亚《反洗钱法》第36条第（1）款要求金融机构采取识别、降低、管理洗钱和恐怖融资风险的方法，对客户开展持续尽职调查（Ongoing Customer DueDiligence）。2011年12月15日至2018年2月1日，澳洲联邦银行未按照规定对80名客户采取持续的尽职调查措施。上述违法行为分为以下五种情况。

客户交易存在明显疑点，例如没有直观的经济目的或合法用途，而金额畸高或交易异常复杂；但澳洲联邦银行的反洗钱交易监测系统未能及时发现可疑客户。在最严重的个案中，可疑交易持续超过2年，而反洗钱交易监测系统一直未产生预警。

客户已经触发反洗钱交易监测系统的预警，但是澳洲联邦银行未及时对其进行重新识别。拖延时间最长达18个月。

在发现客户存在洗钱风险后，澳洲联邦银行未能根据风险状况及时决定是否终止业务关系。拖延时间大多在1个月至8个月，但有1起个案拖延整整19个月。

在决定终止与客户的业务关系、并准备注销账户后，澳洲联邦银行给客户提供30天过渡期，但未对过渡期内的账户作出适当限制，高风险客户在此期间仍可以正常使用账户。由此造成30天过渡期内相关账户继续从事可疑交易活动。

未对高风险客户采取适当的强化尽职调查措施，不能相应降低该客户的洗钱风险。

三、工作启示

（一）落实高层反洗钱责任，是健全洗钱风险管理机制的基石

反洗钱作为金融机构的义务，首先要从高层做起。只有董事会挑起洗钱风险管理最终责任的重担，管理层切实关注反洗钱制度的有效实施，金融机构才能形成健全的洗钱风险管理机制，树立积极的洗钱风险管理文化。澳洲联邦银行出现严重违反《反洗钱法》问题，与其董事会、高管层懈怠洗钱风险管理、漠视内审部门警示的消极态度是分不开的。反思本案成因和整改过程，对我国金融机构来说，有四项工作需要从高层履职的角度抓好：一是配备专业人员，匹配洗钱风险管理的工作量和复杂度；二是加强资源投入，系统建设、人才培养等方面都要保障资源；三是紧盯问题整改，目前反洗钱工作正在向风险为本转型，还有一些长期遗留的顽疾，必须从管理层保持压力，督办整改；四是确立激励机制，如果洗钱风险管理成效不能对薪酬、升职等事项产生实质影响，那反洗钱工作只能是“空中楼阁”。

（二）做好业务洗钱风险评估，为反洗钱工作提供精准导航

洗钱风险评估是金融机构有效管理洗钱风险的基础。澳洲联邦银行被重罚的原因之一就是对新推出的智能存款机业务没有及时开展适当的洗钱风险评估。国内不少金融机构近年来正在着手开展业务洗钱风险评估。从实践情况看，很多金融机构存在遗漏业务未作洗钱风险评估、虽然评估但结果明显欠缺科学性、未在反洗钱工作中运用评估结果等问题。目前此项工作普遍处于起步阶段，以下四点尤其需要注意：一是完整维护业务清单，既要全面梳理存量业务，也要及时列入创新业务，同时关注存量业务重大变更、可能影响洗钱风险的情况；二是部门协作形成合力，充分发挥合规部门的牵头作用和业务部门的专业优势，探索适合自身实际的评估指标、方法和流程；三是夯实数据信息基础，风险评估包含定量分析，只有明确取数口径、统计标准和核验步骤，才能保障数据质量；四是运用结果开展管控，评估结果一定要运用于风险控制，一方面可以有针对性地在业务管理中配置反洗钱资源，另一方面可以通过实践反馈再作调整。

（三）加强对反洗钱系统的风险管理

当前金融机构普遍重视科技赋能，在可疑交易预警、客户风险评级等反洗钱工作中大量引入科技手段。然而，澳洲联邦银行反洗钱交易监测系统的错误，提醒我们在运用信息系统提升工作效率时一定要审慎管理、防范风险。此类问题一旦发生往往就会导致批量违法，后果难以估量。系统风险常见有以下三类。一是数据风险，反洗钱系统抽取客户和业务数据有遗漏或者错误，例如澳洲联邦银行出现的交易代码未纳入监测问题。因此要从数据治理的高度，加强数据采集、整合和调用全流程的管理，以保障数据的完整性、准确性。二是模型风险，反洗钱系统内置模型的规则和参数存在缺陷，输出错误结果。对于此类风险，金融机构要建立有效的模型验证机制，包括上线前的模拟测试和上线后的持续评估及定期复查。三是外包风险，反洗钱系统采取外购模式，但金融机构对合作方缺乏管理，使系统逻辑和技术方案成为“黑箱”。这就要求金融机构在外包过程中坚持主导权，督促合作方确保系统的可解释性，在此基础上通过独立检验、IT审计等措施强化管理。

（四）立足客户全生命周期管理，推进持续尽职调查

金融机构在反洗钱工作中，多偏重于把好客户准入关，强调在与客户初次建立业务关系时进行身份识别和要素登记；而对持续尽职调查重视不够，甚至简单理解为“更新过期身份证件”。澳洲联邦银行的案例，特别是其对销户过渡期的不当管理，从反面揭示了持续尽职调查在客户关系存续期间和退出环节对防范洗钱风险的重要意义。做好持续尽职调查，可从以下方面把控：一是在客户关系准入、存续和退出各阶段，采取定期审核与事件触发相结合的方式，建立全周期、贯穿式的尽职调查机制和流程；二是在尽职调查基础上，通过分析客户信息，并与交易活动相互印证，重点关注客户身份与其交易形态是否匹配，从中发现风险客户和可疑交易；三是根据本机构的风险管理能力，对风险客户和可疑交易采取适当的控制措施，包括在必要时拒绝建立业务关系和停止金融服务，以预防和降低洗钱风险。