《反洗钱法》第二十七条第一款规定，“金融机构应当依照本法规定建立健全反洗钱内部控制制度，设立专门机构或者指定内设机构牵头负责反洗钱工作，根据经营规模和洗钱风险状况配备相应的人员，按照要求开展反洗钱培训和宣传。”

从此条规定看，金融机构需要根据本单位的实际情况与自身条件，选择设立专门机构或者指定内设机构牵头管理反洗钱（含反恐怖融资、扩散融资，下同）工作，从组织上确保反洗钱内部控制制度能够落地执行。

设立专门机构是指金融机构为履行反洗钱义务，设立专门的内部独立机构，负责牵头管理反洗钱工作。指定内设机构是指金融机构为履行反洗钱义务，指定已有的某内设部门牵头管理反洗钱工作。设立专门机构或者指定内设机构应具有一定的独立性，不直接干涉或参与业务部门的日常经营活动。

考虑到金融机构在组织结构、经营规模、业务范围，面临的洗钱风险程度等方面存在差异，以及适当平衡经营成本、人力资源与反洗钱工作实际需要的关系，本条款法规没有统一要求金融机构必须设立专门机构负责牵头管理反洗钱工作，而是灵活地规定金融机构可以在设立专门机构或者指定内设机构牵头负责反洗钱工作之间进行选择。

从工作实践看，当前金融机构面对的金融犯罪（指利用金融机构的产品/业务实施的刑事犯罪行为）已经是集团化、职业化、专业化、科技化运作模式。然而，金融机构的反洗钱、反电信网络诈骗、反非法金融活动、反欺诈等金融犯罪风险管理工作分别由不同的部门牵头负责，可能尚未真正形成合力，无法集约化管理，难以有效应对上述外部威胁。

笔者认为，对于大型、特大型的商业银行和非银行支付机构，现阶段不应仅考虑是否设立专门机构负责牵头管理反洗钱工作的问题，应进一步提高站位，谋划设立金融犯罪风险管理部，统一牵头管理反洗钱、反电信网络诈骗、反非法金融活动、反欺诈等金融犯罪风险管理工作。

为探讨设立金融犯罪风险管理部的可行性，本文描述了当前商业银行金融犯罪风险管理模式现状，指出了金融犯罪风险管理工作存在的问题，分析了问题成因，介绍了境外金融机构采用的金融犯罪风险管理模式，最后提出了设立金融犯罪风险管理部门的工作建议。

长按识别二维码获得图书链接

一、当前商业银行金融犯罪风险管理模式现状

商业银行金融犯罪风险管理工作主要涉及反洗钱、反电信网络诈骗、反非法金融活动、反欺诈、司法协查等领域，具体如下：

（一）反洗钱

总体目标是，预防和遏制洗钱、恐怖主义融资、扩散融资及相关违法犯罪活动，维护国家安全和金融秩序。政策依据主要是《中华人民共和国反洗钱法》及部门规章、规范性文件。监管机构是中国人民银行及其分支机构的反洗钱监管部门。商业银行牵头管理部门一般是内控合规部或者法律合规部，商业银行履职任务主要包括：洗钱（恐怖融资、扩散融资）风险评估、客户尽职调查、大额交易报告、可疑交易监测和报送、客户身份及交易记录保存、特别预防措施等。

（二）反电信网络诈骗

总体目标是，防范电信网络诈骗违法犯罪，保护人民群众财产安全及合法权益。政策依据主要是《中华人民共和国反电信网络诈骗法》，以及中国人民银行下发的规范性文件。监管机构是中国人民银行及其分支机构的支付结算管理部门。商业银行牵头管理部门一般是运营管理部或者安全保卫部，商业银行履职任务主要包括：建立账户分级制度并加强账户开户管理；开展客户尽职调查、名单筛查等工作；监测和管控异常交易，建设电信网络诈骗模型；配合有权机关对涉诈资金进行处置等工作。

（三）反非法金融活动

总体目标是，强化非法集资等案件的预防和处置，促进银行业安全稳健运行，维护国家经济金融秩序。政策依据主要是《防范和处置非法集资条例》，以及国家金融监督管理总局（原银保监会）下发的规范性文件。监管机构是国家金融监督管理总局打击非法金融活动部门。商业银行牵头管理部门一般是内控合规部或者法律合规部，商业银行履职任务主要包括：非法金融活动风险监测和排查；非法金融活动处置化解、整改问责；非法金融活动信息报送和通报等。此外，还包括建立完善非法金融活动防范体系、防范非法金融活动宣传等。

（四）反欺诈

反欺诈是商业银行金融犯罪风险管理工作中最涉及自身利益的工作。

总体目标是，金融机构采取措施，防止不法分子以谋取非法利益为目的，采取主观上故意隐瞒真实情况、告知虚假情况骗取贷款，恶意透支信用额度，或者采取盗用他人银行账户或渠道等非法手段，盗用商业银行或商业银行客户的资产等，避免商业银行经济损失，维护正常经济金融秩序。

政策依据主要是《中华人民共和国刑法》中“破坏金融管理秩序罪、金融诈骗罪”有关条款，《商业银行操作风险管理指引》《商业银行防范外部欺诈工作指引》等规范性文件。监管机构是国家金融监督管理总局。商业银行牵头部门一般是具体业务负责部门，或风险管理部牵头协调，商业银行履职任务主要包括：事前的内外部信息监测、分析，以及监测指标、风险策略、业务规则定制等工作；事中的业务监控，风险识别和评估，以及交易阻断、人工审核、强化认证等处置等工作；事后的漏洞分析，以及风险数据库沉淀，风险策略调整等工作。

（五）司法协查

商业银行的司法协查是指银行在接受外部单位（如政府监管机构、司法机关或其他有合法权限的机构）提出的调查协助请求时，根据相关法律法规和内部制度提供必要的协助。

总体目标是，协助国家有权机关维护金融秩序与社会安全，保障商业银行的合规经营和客户权益。政策依据主要是《中华人民共和国刑事诉讼法》《中华人民共和国民事诉讼法》《中华人民共和国反恐怖主义法》《中华人民共和国反洗钱法》《中华人民共和国税收征管法》《中华人民共和国证券法》等有关规定。

对于商业银行而言，司法协查工作没有统一的监管机构，商业银行须按照上述法律规定，配合法院、检察院、公安机关、人民银行、税务、海关、证券稽查等单位调取资料。商业银行名义牵头管理部门一般是安全保卫部或者法律合规部，但实际上个人金融部、运营管理部及具体业务部门，甚至是信息科技部门也负责部分工作。商业银行履职任务主要包括：接收并保存外部协查文书、查询并反馈客户和账户的交易流水等相关数据，以及相应的完善客户及交易数据库和相关查询系统等。在分行层面，相关部门协作比照总行层面执行处理，通常也涉及到跨多部门协作事项。

二、存在的问题

上述管理现状，貌似“各部门负责，人人参与”，实际情况却不尽人意，具体为：

（一）架构臃肿，工作议事协调组织多且重合

为做好金融犯罪风险管理工作，绝大多数商业银行在总行层面，各金融犯罪风险管理条线通过不同的议事协调组织，用来决策、商议、协调各配合、协作部门工作中遇到的问题。然而，不同的议事协调组织参与部门高度重合，高级管理人员也几乎相同，甚至在巧合时，“同一拨人”在更换不同的会议背景后，讨论不同的金融犯罪风险管理条线议题。

例如，某商业银行在总行层面分别设置了反洗钱工作领导小组、电信网络诈骗和跨境赌博“资金链”治理领导小组、风险管理和内部控制领导小组（负责领导反非法金融活动、欺诈等相关工作）等议事协调组织，组长均为行长，组成部门均包括风险条线部门、客群部门、产品/业务部门、渠道部门、运营部门，以及综合管理部门。

上述的议事协调组织架构，貌似是商业银行对某项金融犯罪风险管理高度重视，本质意义却不大，不仅耗费大量人力、物力和时间成本，还可能导致决策效率低下、工作责任推诿等问题，反而给金融犯罪风险管理工作带来不必要的负担和阻碍。

（二）重复建设，管理体系和监测系统资源浪费

为做好金融犯罪风险管理工作，商业银行在每个金融犯罪风险管理条线，均建立一套独立的内控制度、操作规程、风险管控、宣传管理体系。均建设监测、甄别、报送系统，在总/分行配备独立的甄别核查等作业团队。在管理、科技和人力资源等方面重复投入。

例如，反洗钱和反电信网络诈骗等金融犯罪风险管理条线都在商业银行内部设置了独立的业务和技术管理团队，分别建立监测系统，各自运行，采取的尽职调查等流程也相对独立，技术实施资源普遍分散。鉴于笔者不在商业银行工作，受数据限制，无法测算重复建设而导致的资源浪费。

（三）多头管理，引发基层网点重复工作和客户投诉

为做好金融犯罪风险管理工作，各金融犯罪风险管理条线均会向基层网点下发尽职调查工作任务。在多头管理下，缺乏必要的统筹，容易形成“上面千条线，下面一根针”的局面，弊端有：一是增加了基层网点工作量，很有可能造成基层员工履职趋于形式化，忽视了客户或业务的真实风险；二是容易打扰客户，引发客户的不满，甚至投诉。

例如，在客户准入时，涉及的客户尽职调查可能包括：开通账户尽调、新客户洗钱风险评级尽调、调整网银或手机银行限额尽调、办理授信类产品贷前调查、办理账户增值服务尽调等等。短期内，基层网点将在不同业务场景下，可能分别对客户进行五次不同的尽职调查。然而，这些尽调信息很多是相同的。

再例如，在客户存续期间，客户触发了反洗钱监测模型，同时在短期内又触发反电信网络诈骗监测模型。这时，基层网点可能将接到两次尽调任务，客户将配合两次尽职调查工作。然而，事实上可能在对客户进行第一次尽职调查时，就能了解到足够的信息，而不用进行第二次尽职调查。

（四）管控混乱，风险缓释效果不佳且易引发负面舆情

为做好金融犯罪风险管理工作，多个金融犯罪风险管理条线都会对客户、账户、交易渠道、交易限额等做出风险管控措施。但是缺少以客户为中心的视角，设计与统一管控措施标准，缺乏有效统筹，在实际工作中出现的问题主要有两点，一是部分客户遭受不同来源的重复管控，基层网点容易出于“去风险化”的考虑，“一刀切”地严格管控，影响了客户经营和体验；二是容易出现管控强度不足或过度，甚至失序的风险。

例如，当发现客户有较明显的洗钱风险情形时，反洗钱牵头管理部门通过调整客户风险等级、提交可疑交易报告，甚至通过管控客户的借记账户等措施缓释洗钱风险，但对客户的信用卡、甚至贷款、票据、POS等业务，普遍缺少同步管控，导致客户仍能通过相关产品/业务发生资金类交易。

又例如，当客户出现信用卡欺诈、套现交易，信用卡管理部门对客户的贷记账户进行了交易管控，但客户仍能通过借记账户进行资金转移。

再例如，某银行的反电信网络诈骗牵头管理部门为“快速”控制风险，未经内部多部门统筹，对被反诈模型预警的大量正常客户，采取暂停非柜面业务的管控措施，结果引发了负面舆情。

（五）多重管控，金融产品/业务创新受到一定程度制约

为做好金融犯罪风险管理工作，多个金融犯罪风险管理条线都会从本部门角度对业务部门开发的新产品/业务，在功能或受众群体方面提出要求，以达到防范风险的目的。然而这可能无形中为产品/业务部门增加了额外的工作负担，同时产生了不必要的工作困扰，直接影响了产品/业务研发创新效率。

例如，反电信网络诈骗牵头管理部门要求产品/业务部门，在产品/业务创新环节开展产品/业务涉诈风险评估，通过客户、渠道、区域、交易等维度评估出产品/业务的固有涉诈风险等级；反洗钱牵头管理部门也要求产品/业务部门评估新产品/业务的洗钱风险，同样结合客户、渠道、地域、交易等维度开展评估，得到产品/业务的固有洗钱风险等级。结合这两个部门要求，产品/业务部门需对应考虑产品/业务的固有风险，与产品/业务功能的匹配性。

此时，一方面，这两个部门的风险评估在形式、实质、维度、作用等方面相似度极高，但评价体系完全独立，产品/业务部门重复操作，降低了工作效率；另一方面，因涉诈风险评估重视对客户的银行账户关注，容易出现对非银行账户类产品/业务评估为固有涉诈风险较低，然而该类产品/业务固有洗钱风险却可能评估为较高，导致产品/业务部门不知该如何优先哪个金融犯罪风险管理条线的管理策略，金融产品/业务创新效率在一定程度上受到制约。

（六）各自为战，影响预防和打击金融犯罪的效果

为做好金融犯罪风险管理工作，信息有效和共享是前提条件之一。然而在目前管理模式下，容易出现的主要问题有：

一是司法协查案件风险信息安全性不能得到保障。因为案件风险信息散落在各金融犯罪风险管理部门，缺乏统筹管理，容易导致案件风险信息知悉范围扩大的情况，引发信息安全风险。

二是影响金融情报的有效性。各金融犯罪风险管理条线间“硬件”“软件”基础体系建设能力客观上存在较大的差异，条线之间无法复用成熟的监测模型、基础数据、分析系统和甄别人员，不但造成资源浪费（管理层面）和金融排斥（客户层面），也会导致各金融犯罪风险管理条线间上报的金融情报质量差异较大，影响金融情报的有效性。

三是在不同风险管理场景下，建立风险监测模型缺少统一“数据底座”支撑，底层数据相互孤立，容易造成各场景的应用数据来源与业务指标口径差异。一方面，可能出现各建模场景对同一数据指标反复加工的重复性操作，降低监测效率；另一方面，将极易衰弱风险监测模预警效果。各金融犯罪风险管理条线的监测模型独立建设本身并无问题，但其所使用的底层数据信息，如果没有进一步整合或各自独立，监测结果在不同条线也不能共享的情况下，这就形成了信息孤岛效应，影响预防和打击金融犯罪的效果。

例如，某银行某个上报过可疑交易的客户经过反洗钱尽职调查后，发现客户的真实职业为“无业人员”，但核心系统记录的职业为“农民”。由于全行范围内缺少将尽职调查信息统筹、更新、应用的机制，所以无法将客户职业信息更新到核心系统，导致依赖核心系统的其他金融犯罪风险管理条线的风险监测、分析和外部有权机关协查不准确。

又例如，某客户因是电信网络诈骗犯罪嫌疑人被有权机关协查，但该信息未关联至反洗钱监测系统，导致在开展可疑交易监测分析时运用外部风险信号的甄别能力不足，进一步导致出现可疑交易漏报风险。

另外，据笔者了解，有的金融机构不同金融犯罪风险管理部门在资源分配、绩效考核等方面存在竞争关系，出于部门利益，在工作中各自为政，出现不愿意共享信息和资源等情况，进一步加剧了信息孤岛效应。

（七）管理粗放，刑事司法协查数据未起到应有的作用

一方面，某一金融机构一定期间内刑事司法协查案件的数量、性质，以及案件犯罪的严重程度，在某种程度上反映出某一金融机构金融犯罪剩余风险的真实情况。

另一方面，通过分析刑事司法查询数据可以反映出本单位面临的外部威胁，可以评估出本单位有哪些高风险产品/业务，可以挖掘出本单位存在和潜在的高风险客户及特征，可以发现本单位控制措施存在的漏洞。

然而笔者在工作中发现，很多商业银行，也包括其他类型的金融机构，对本单位的刑事司法查询数据关注不够，管理不够，分析不够、应用不够。线上或线下刑事司法查询数据散落在不同的金融犯罪风险管理部门或者经营网点。刑事司法查询数据管理主责部门不清晰，数据运用主体和渠道不清楚；刑事司法查询数据应有哪些字段，字段的标准，保存的方式都没有明确规定，甚至统计也不准确，管理粗放，刑事司法协查数据没有起到应有的作用。

三、问题成因分析

产生上述问题的原因也许是多种多样的，但是笔者认为主要成因如下：

（一）缺乏统筹观念，简单归并工作职责给已有内设部门了事

因反洗钱、反电信诈骗、反非法金融活动、反欺诈等监管工作，分属于不同监管机关，甚至分属同一监管机关的不同监管部门，或者不同监管机关都监管。金融机构未加统筹、评估和分析，根据传统工作思路，按照本单位既有部门设置情况对应分工，简单归并工作职责给已有内设部门了事。未根据现有的成熟资源和工作效果，统筹考虑部门分工和设置。

例如，反洗钱工作经过多年的磨练和发展，已经形成了较为成熟的各类金融犯罪资金特征的监测模型和甄别技战法，但反电信网络诈骗、反欺诈、反非法金融活动等工作都是近年逐步开始并从头建设，金融机构没有考虑在反洗钱工作的基础上，进一步分配和丰富资源，统筹做好所有金融犯罪风险管理工作。

（二）缺乏统一认识，未分清楚风险与合规管理的范畴

一般情况下，绝大多数商业银行把洗钱风险管理工作看作内控合规性管理范畴。把电信网络诈骗风险管理工作看作是银行账户业务合规管理范畴。把欺诈风险中的贷款欺诈、票据欺诈、信用卡欺诈等，以及非法金融活动风险管理工作看作是风险管理范畴。商业银行对上述风险与合规管理范畴缺少统一认识，未分清楚各种金融犯罪风险管理工作应归属的范畴，最后导致多部门、多头管理。

然而，笔者认为，合规管理和风险管理是不同的概念。合规管理更关注的是工作过程，不违法违规即可。风险管理更关注控制措施是否能缓释固有风险，将剩余风险控制到本单位的风险偏好或符合本单位风险管理策略。在低风险领域的控制措施有较大的选择空间，可以差异化管理，禁忌完全统一的合规程序，否则风险管理将失去意义。对属于风险管理范畴的某项风险管理工作，如果只是采取合规管理措施并不一定能有效缓释风险，甚至可能是所有管理程序、措施完全合法合规，风险却没有缓释到位或者没有缓释，出现合规管理体系“空转”的现象。

（三）缺乏与时俱进，对金融犯罪风险管理工作重要性认识不足

随着社会和经济发展，科技的进步，社会治理水平的提高，以“打打杀杀”通过暴力手段获取非法经济利益犯罪日益无生存空间。以经济和获利为目的黑灰产业或者金融犯罪行为不再是个体、作坊式或者孤立、偶发式，而是呈现集团化、职业化、专业化、科技化、网络化等特征。不法分子对于各种新技术和新支付工具高度敏感，不断试探和利用金融体系的各种漏洞进行不法活动或者金融犯罪活动。

面对当前严峻形势，金融机构继续贯彻或采取“单兵作战”“各自为战”“运动式”的预防和打击金融犯罪的理念和手段面对这些不法分子时，可能会捉襟见肘。然而，在大多数情况下，金融犯罪风险管理工作是“成本中心”，即使产生利润也是“机会成本”，更多是社会效益。

因此，有些金融机构董监高层可能尚未真正重视此项工作，而是将主要精力放在经营部门的分与合，对风险、合规管理部门调整少，除非监管部门有明确要求。在此情况下，这可能出现金融机构董监高层对金融犯罪风险管理工作关注不够，对当前严峻形势估计不准，应对不足，分配资源偏少的情况，进而导致金融机构尚未建立一支专业的、稳定的、充足的金融犯罪风险管理团队，以匹配金融机构的外部威胁。

笔者认为，金融机构建立的金融犯罪风险防控体系相对于社会和本单位的意义，就像“化工厂”的环保净化体系，是不能弱，更不能缺的工作，否则“我们很难呼吸到新鲜空气，看到蓝蓝的天空。”

四、境外金融机构采用的金融犯罪风险管理模式

随着全球金融市场的不断发展和金融创新的加速，金融犯罪活动日益复杂和隐蔽且不断变化，给全球社会、经济、贸易和金融机构带来了严重威胁。

国际上金融机构打击的金融犯罪广泛且复杂，主要包括但不限于：洗钱犯罪、恐怖融资犯罪、税务犯罪、腐败犯罪、毒品犯罪、诈骗类犯罪（如保险诈骗、金融凭证诈骗、信用卡诈骗）等。

为了有效应对这一挑战，各国金融机构纷纷加强内部组织结构建设，集约整合反金融犯罪管理职能，形成统一的内部管理体系，以提升打击金融犯罪的能力和效率。

笔者以美国、英国和中国香港等国家或地区的金融机构为例，分析这些机构为打击金融犯罪而普遍设置的内部组织结构形式和优秀实践经验。

（一）美国

1.美国打击金融犯罪的监管分工

美国金融犯罪执法网络（FinCEN）是主要负责打击洗钱和恐怖主义融资的机构。除了FinCEN外，美国还有美联储（FED）、美国证券交易委员会（SEC）、商品期货交易委员会（CFTC）、联邦存款保险公司（FDIC）等多个机构，参与打击如内幕交易、市场操纵、衍生品交易等相关的金融犯罪。

2.某大型金融机构预防和打击金融犯罪风险管理架构

以美国某大型商业银行为例：在该行总部的合规部门内设置反金融犯罪合规条线，承担金融犯罪风险管理政策制定、指导等职责，对全辖合规进行管理，以确保其分支机构的业务操作及合规业务决策的统一性。

合规部门的反金融犯罪合规条线下设多个团队，分别负责实施本单位金融犯罪风险评估，制定各项风险与合规政策、操作流程，评估、监测和分析金融犯罪风险及数据，提供专业建议及培训，做出与反金融犯罪相关的管理建议，负责反金融犯罪监测系统模型设计、调优与校准等。负责具体客户尽职调查职能主要在业务部门的客户尽职调查团队。负责具体制裁和可疑交易日常监测、警报分析和案例调查职能主要在运营部门。业务部门客户尽职调查团队和运营部门监测团队一般采用双线汇报机制，分别向本部门以及合规部门汇报。

（二）英国

1.英国打击金融犯罪的监管分工

英国金融行为监管局（FCA）在打击金融犯罪方面发挥着重要作用，包括对金融机构进行反洗钱和反恐融资的监管。除了FCA外，还有英格兰银行、税务海关总署、国家犯罪调查局（NCA）多个机构参与打击金融犯罪。

2.某大型金融机构预防和打击金融犯罪风险管理架构

以英国某大型金融集团为例：在公司治理层面，董事会下设集团风险管理委员会，监督集团风险管理架构及内部监控系统、集团操守及反金融犯罪方面的政策等相关事宜，并向董事会提供意见。在总部设置集团金融犯罪风险管理主管，参加集团风险管理委员会会议，并向董事会报告有关金融犯罪及滥用本单位金融体系的情况。

在机构设置层面，风险管理与合规部门作为预防和打击金融犯罪的牵头部门，负责制定和执行反洗钱及制裁措施的合规计划，确保业务活动符合相关法律法规，监督金融犯罪风险防控体系运行并提供监督指导意见。风险管理与合规部门下设反洗钱团队（含反逃税、腐败等）、反欺诈团队、制裁合规团队、监测调查团队、对公和对私政策咨询团队、系统开发或新技术应用团队等。

此外，该金融集团设立内部举报机制，通过举报工作平台，实现在保密机制的保护下，员工不必汇报即可畅所欲言反馈内部发现的腐败或其他金融犯罪等问题，避免举报行为被打击报复。这些团队、岗位和机制共同构成了该金融集团预防和打击金融犯罪的组织架构，确保该集团能够有效地识别、预防和应对金融犯罪风险。

（三）中国香港

1.中国香港打击金融犯罪的监管分工

香港金融管理局负责监管香港的银行业和货币体系，防范和打击与银行业相关的金融犯罪。证券及期货事务监察委员会作为香港证券期货市场的监管机构，负责打击市场操纵、内幕交易等证券期货领域的金融犯罪行为。保险业监理处通过制定和执行保险法规，监督保险公司的运营等措施，防范和打击与保险业相关的金融犯罪。

2.某大型金融机构预防和打击金融犯罪风险管理架构

以中国香港某大型商业银行为例：在公司治理层面，该金融机构董事会下设风险委员会等五个常设附属委员会，各附属委员会均有清晰的职责规章，并就其职权范围内的有关事项向董事会提出意见。

风险委员会负责定期审查来自本集团风险管理部、法律合规与操作风险管理部、防范金融犯罪部以及其他业务单位和支持单位的有关风险信息，审批法律合规风险管理政策，以及反洗钱、反恐怖融资及防范金融犯罪风险管理政策。一般情况下，风险总监和风险管理部、法律合规与操作风险管理部、防范金融犯罪部的代表需列席风险委员会会议。

在机构设置层面，该金融机构总部设置防范金融犯罪部负责洗钱、恐怖融资、欺诈与贪腐风险管理，牵头制定和完善集团反洗钱政策与制度，指导和监督一道防线开展反金融犯罪工作。

防范金融犯罪部下设多个专业职能团队，分别负责不同领域的金融犯罪防范工作，包括：政策与程序团队，负责制定和完善防范金融犯罪的政策和程序。风险评估团队，负责金融犯罪风险评估，确保对潜在风险有充分了解。交易监控团队，通过技术手段实时监控交易活动，识别并报告可疑交易报告。培训团队，负责提供全面的反洗钱、制裁合规、反欺诈、反舞弊培训并制定培训计划，确保全体员工了解和遵守防范金融犯罪相关规定。案件调查及协查团队，负责协调与内外部执法机构的合作，对案件类可疑交易进行深入调查。系统与技术支持团队，负责开发及维护防范金融犯罪所需的技术系统和工具，确保金融犯罪及制裁合规技术解决方案的先进性和有效性。

综上可见，美国、英国和中国香港等国家或地区的金融机构为应对不断发展和日益复杂的金融犯罪挑战，正在继续加强内部组织结构建设。各机构为打击金融犯罪而设置的内部组织结构呈现出多样化特点，但共同之处在于它们都将打击金融犯罪风险管理上升至公司治理层面，都建立专门的队伍应对外部金融犯罪风险的挑战，并将打击各类金融犯罪的政策管理、评估管理、监测管理、系统建设整合设置在某一个部门牵头管理，而不是分散在多个部门牵头管理，从而一体化推进本单位全辖开展金融犯罪风险管理工作。通过整体构建和完善的内部组织结构，这些金融机构不仅节约了管理成本，提高了自身应对金融犯罪的能力，也为维护本地区乃至全球金融市场的稳定和安全做出了重要贡献。

五、工作建议

（一）成立金融犯罪风险管理部的可行性分析

1.金融犯罪风险管理工作有共同点

为何笔者建议将反洗钱、反电信网络诈骗、反非法金融活动、反欺诈等工作完全归一个部门牵头管理？因为这些工作在管理对象、尽职调查、交易监测、机构协同等管理方面有共同之处。

一是均以客户为单位（中心）开展风险管理。反洗钱、反电信诈骗、反非法金融活动、反欺诈等工作，主要管理对象是办理金融产品/业务并产生交易的客户。在风险管理的全周期看，在客户准入与审核、交易监测、识别风险、缓释风险、业务结束等环节，均围绕客户进行。

二是均以尽职调查和交易监测分析为手段识别风险。例如，为防范电信网络诈骗风险，商业银行通过在客户开立银行账户时的尽职调查，客户存续时的资金交易监测、分析识别风险，了解客户的交易背景、资金用途等，评估客户、交易的风险，并适时对银行账户管控；又如，为防范欺诈风险，商业银行需要通过资金监测系统，发现异常情形，然后对客户的交易行为与实际情况进行甄别分析。对于反洗钱、反非法金融活动等工作也是如此，笔者不再赘述。

三是均需要业务部门（第一道防线）、经营机构（分行与支行）协同实施。反洗钱、反电信诈骗、反非法金融活动、反欺诈等工作，不是牵头管理部门“单打独斗”就能完成的工作，牵头部门只是牵头管理，均需业务部门（第一道防线）、客户所归属经营机构的配合与协同。

2.金融犯罪风险管理部的编制解决途径

金融犯罪风险管理部的编制从哪里来呢？笔者认为有三个途径可以解决：

一是直接增加编制。在不影响其他部门设置的基础上，直接设立金融犯罪风险管理部，人随业务（职责）走，将散落在目前各金融犯罪风险管理条线的职能归并到新设立的部门；

二是其他部门“翻牌”。金融机构在评估本单位各内部组成部门职责与内外部实际工作需要的基础上，将某一部门与其他部门合并，“腾出”位置，将某一部门直接“翻牌”为金融犯罪风险管理部。例如，将安全保卫部门的消防、保安等职场物理安全等职责划归其他综合管理部门，或者留在金融犯罪风险管理部，把安全保卫部直接“翻牌”为金融犯罪风险管理部；

三是吸纳其他业务线职责。金融机构在评估本单位各内部组成部门职责与内外部实际工作需要的基础上，在几个负责金融犯罪风险管理条线中，选择一个管理机制成熟，“软件”“硬件”设施都突出的部门作为本单位金融犯罪风险牵头管理部门，承担本单位所有的金融犯罪风险管理工作。

笔者认为，根据我国目前实际情况，第一种与第二种方式适合大型、特大型商业银行和非银行支付机构。第三种方式可能适合中小型商业银行或者证券保险类金融机构。当然，笔者鼓励中小型商业银行或者证券保险类金融机构设立单独的金融犯罪风险管理部。

（二）金融犯罪风险管理架构及部门管理职能

经过笔者上述论证，设立金融犯罪风险管理部是可行的，甚至对于大型、特大型商业银行和非银行支付机构迫在眉睫，否则无法有效应对其面临的外部威胁。从我国实际情况和适合角度看，笔者推荐大型、特大型的商业银行和非银行支付机构借鉴中国香港某大型金融机构的管理模式，设立金融犯罪风险管理部，并根据实际情况进一步完善工作范围和职责，承担本单位的金融犯罪风险管理工作。具体是：

在公司治理层面，董事会下设风险管理委员会，在总部设置金融犯罪风险管理高管人员，参加本单位风险管理委员会会议，并向董事会报告有关金融犯罪及滥用本单位金融体系的情况。

在机构设置层面，设置三道风险防线，各有侧重地开展金融犯罪风险管理工作。预防和打击的金融犯罪风险范畴可以主要包括：洗钱（恐怖融资、扩散融资）、电信网络诈骗、非法金融活动、欺诈等。

在第一道风险防线，业务部门，即具有客群、业务/产品、渠道等管理职能的部门，在金融犯罪风险管理部的牵头指导下，制定本条线业务操作规程，开展客户、产品/业务金融犯罪风险评估，在业务流程中嵌入金融犯罪风险控制措施，在业务系统中设置监测模型，监测、识别金融犯罪风险，并及时采取管控措施。

在第二道风险防线，设置金融犯罪风险管理部作为预防和打击金融犯罪的牵头管理部门。

工作职责是：根据有关法律法规，负责牵头制定和监督执行本单位金融犯罪风险管理策略、管理政策、内控制度，牵头开展金融犯罪风险自评估工作，开展可疑交易监测、分析与报告工作，负责对本单位的监测系统进行维护和升级，定期评估本单位监测模型的有效性，统筹管理本单位高风险客户与产品，统筹管理本单位重点可疑交易报告与司法协查，监督第一道防线（业务部门）金融犯罪风险管理机制运行，并提供指导意见，负责对本单位金融犯罪风险防范工作参与者进行专业培训。

金融犯罪风险管理部下设以下专业职能团队，包括但不限于：

一是风险评估团队。负责金融犯罪风险自评估，确保本单位能够长期对金融犯罪风险及时识别、评估与理解，对潜在风险也有一定的了解。

二是政策与内控团队。负责根据有关法律法规和本单位金融犯罪风险自评估结果，制定和完善本单位防范金融犯罪风险的政策和程序，并根据实际情况及时调整和更新相关制度和政策。

三是可疑交易监测团队。负责通过技术或人工分析监测可疑交易活动，及时识别并提交可疑交易报告。

四是案件调查及协查团队。负责协调外部司法部门的合作，对本单位重点可疑交易报告进行深入调查，并移交有关部门，对接受的司法协查案件及时跟进，对司法协查案件信息和数据及时整理、分析、评估，及时将本单位面临的金融犯罪风险和控制措施缺陷等信息与风险评估团队共享。

五是系统与技术支持团队。负责开发、维护防范金融犯罪风险所需的技术系统和工具，及时评估、调整、校准各类金融犯罪风险的监测模型，确保金融犯罪风险“技防”措施的先进性和有效性。

六是高风险客户与业务管理团队。负责对本单位高风险客户、高风险产品/业务、高风险渠道的审定，统筹和指导本单位客群部门、产品/业务部门、渠道部门对高风险客户、高风险/业务、高风险渠道进行强化尽职调查、监测、控制。

七是监督和检查团队。负责监督本单位金融犯罪风险内控制度、操作规程执行和落实情况，及时将发现的控制措施缺陷信息、改进建议共享给政策与内控团队。

八是培训团队。负责提供全面的反洗钱、反电信诈骗、反非法金融活动、反欺诈培训。制定培训计划，分岗位施策，确保全体员工了解和遵守防范金融犯罪风险的相关规定，并有履职的相应技能。

在第三道风险防线，内部审计部门负责对本单位金融犯罪风险管理体系进行审计，对高管层和各部门履职效果做出评价，确保本单位金融犯罪风险管理架构的韧性和强度。

（三）注意事项

笔者认为，金融机构设立金融犯罪风险管理部的目标是：构建科学规范、系统完备、运行高效、资源统一配置、信息高度共享的金融犯罪风险防控体系。在部门设置上更加科学，在职能配置上更加优化，在机制上更加完善，在运行管理上更加高效，推动本单位高质量发展。

笔者在此提醒的是，金融机构设立金融犯罪风险管理部是根据外部风险变化，内部实际需要，坚持问题导向，适应新情况，解决新问题，顺势而为的做法，甚至是不得不为的举措；金融机构设立金融犯罪风险管理部不是为了设立而设立，或者简单将所有金融犯罪风险管理工作“一股脑丢给某内设部门了事”，或者单纯的压缩管理成本，而是为了有效应对本单位当前的外部威胁，对本单位金融犯罪风险管理机制的再造和完善，以缓释或匹配本单位面临的金融犯罪风险。

六、写作后记

很久以前就想写作本篇文章，因为在工作实践中看到了各金融犯罪风险管理工作交叉重叠带来的弊端，一直想论证设立金融犯罪风险管理部的可行性，是否可以促进相关风险管理工作。笔者深知，各金融机构的风险偏好不同，各部门的利益诉求不同，个人的价值取向不同，本文只是从个人专业角度论证设立金融犯罪风险管理部的可行性。

鉴于本人不在金融机构具体负责金融犯罪风险管理工作，对各项工作分与合的优缺点也许把握不好，对其中的因果也许了解不够深入和全面，文章难免有不当之处，欢迎业内人士批评指正。本文只是抛砖引玉，欢迎大家继续讨论，得出最正确的结论。

本文只代表个人观点，与任何方面无关。文中案例虚构，如有雷同，纯属巧合。

作者：刘丽洪 

（注：本文仅代表作者个人观点，与所在单位无关。）

更多阅读：

《反洗钱理论与实务探析（第四辑）》微店购书二维码：

《反洗钱理论与实务探析（第四辑）》淘宝购书二维码：

《反洗钱理论与实务探析（第四辑）》京东购书二维码：

《反洗钱理论与实务探析》（第一辑至第四辑）微店购书二维码：

更多阅读：

道琼斯公司(Dow Jones) 创建于1882年，旗下有道琼斯指数, 《巴伦周刊》(Barron's), 《华尔街日报》(WSJ), MarketWatch, OPIS，Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌，由道琼斯风险合规中国团队运营。欢迎关注公众号，或联系道琼斯风险合规中国负责人：Johnson.Ma@dowjones.com