提升可疑交易报告有效性的几点实践
可疑交易监测报告是反洗钱履职的核心义务之一,经过多年的实践,各金融机构已全面进入到自主定义可疑交易监测标准的阶段,而如何提升可疑交易报告的有效性,是反洗钱工作中的一项重要课题。其目标可以朴素地归纳为,更精确地找到有价值的可疑交易线索,同时投入的工作量是合理、可接受的。
一、困境和挑战
当前各金融机构的可疑交易监测报告存在一些普遍性问题:
1、准确性不高
系统产生的可疑告警,经人工甄别后,绝大部分被排除,最终认定可疑进行报告的比例不高,相当多的机构该比例可能小于15%。虽然笔者并不认同将其原因单纯地归结为监测标准的质量不高(拟另撰文论述),但报告率不高是客观的事实,可疑交易监测标准在精细定位关键疑点、适应和匹配业务特点、构建差异化等方面,确实存在着提升空间。
2、人工甄别工作量大
基于当前监管要求,无论最终是否可疑,均需要详尽的甄别信息以支持结论。同时,随着金融机构在反洗钱领域工作的不断成熟,过程管理不断加强,对可疑交易甄别的要求和标准也在提高。因此,甄别人员每天需开展大量的分析活动,而基于前述准确性不高的论述,意味着大量工作消耗在疑点的排除上。以至于在制定监测标准时,不得不考虑日常产生的告警量,甄别人员是否可以有效承担。
3、存在漏报风险
随着监管趋严,金融机构普遍担心现有监测体系覆盖的业务范围、风险领域是否完全。而在监测标准设计中,平衡风险识别与工作负荷的考虑,也在某种程度上制约了疑点的发现能力。新业务、新业态快速变化发展,新的洗钱手法也层出不穷,监管提示和金融机构监测能力的建立,以及对新风险的认知,往往滞后于风险的发生。这些都可能导致漏报的发生。因此,《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号)第十三条“金融机构应当定期对交易监测标准进行评估,并根据评估结果完善交易监测标准。如发生突发情况或者应当关注的情况的,金融机构应当及时评估和完善交易监测标准。”,明确提出了应当定期评估,以适应变化。
二、一般过程
可疑交易监测报告的一般过程为:
1.从业务系统获取客户、账户、交易等主要数据,并进行加工整理,使其符合反洗钱应用的规范;
2.依据事先设计好的可疑监测标准,主要以规则/模型的形式,系统进行可疑交易监测,生成可疑案例(告警);
3.对系统生成的可疑线索,开展人工甄别,可能因涉及客户、账户、交易情况的不同,会开展不同程度、形式的尽职调查、协查等工作,经过审核、审批流程,形成最终的认定意见,排除或报告。
三、原因定位
从上述过程中,我们可以梳理出影响可疑交易监测报告质量的几个要素:
1、数据
数据可以说是反洗钱工作的生命线,直接决定了反洗钱工作的质量和效果,是可疑交易监测的基础。
现有数据质量行不行。
对于可疑交易监测,会涉及客户身份、交易特征、交易对手、方面的各类要素信息,行业中普遍存在数据要素缺失,或质量不达标,导致相关监测无效的情况。例如交易对手的不准确、IP地址空缺、地址不真实等。
现有数据范围够不够。
目前大多以机构内部的结构化的业务数据为主,在尽可能全面、细致了解客户的要求下,如果能引入一些外部数据,丰富分析视角,无疑对身份识别的有效性是有益的。
2、监测标准
监测标准是识别可疑线索的核心业务逻辑和手段,目前行业中普遍依据监管倡导的“三化”——案件特征化、特征指标化、指标模型化,进行模型规则体系的建设。而具体的监测标准,则主要参考相关监管发文、风险提示、案件发现等。
3、人工甄别
可疑线索的最终定性,还是依赖人工,并且是经过多级检核,多人决策的。甄别人员是否有丰富的实战经验,方法是否科学,是否有好用易用的工具支持,是否有高效的调查手段等多方面因素决定了甄别工作的效率和效果。
四、优化思路
基于前述讨论,我们从其全流程路径分析,可从如下三方面有针对性地考虑提升点:
数据资源的治理优化
监测方法、监测手段的提升
更有效的人工甄别辅助、支撑、监督
由于数据治理本身就是一个庞大的课题,且其意义绝不止于可疑交易监测,本文不展开论述,重点着眼于后两方面,既从监测工作本身出发。
1、优化可疑监测标准,建立长效机制
金融机构的可疑监测体系,可能包括数百个可疑特征,数十个涉罪模型。虽然基于规则的体系有其自身的局限和缺陷,如依赖专家经验、滞后性等,但也不可否认其正面价值,毕竟大量的可疑线索都是基于此识别到的,为我们对可疑交易的认知,沉淀了大量的知识。
随着业务的不断创新,洗钱手法的快速变化,持续完善、有针对性地优化可疑监测标准,显然是首要、必要的工作。而开展优化的方法,则应当根据相关监管要求,评估其:
覆盖的全面性,是否涵盖了所有的业务场景,是否涵盖了所有的风险点和涉罪场景;
监测的准确性,以“三率”指标为基础,逐一评估监测标准中单一特征规则、涉罪模型的告警量、认定率等;
灵活性,评估根据风险、业务变化的,进行调整的情况。
基于评估结果,对不同的监测标准的情况,以目标为导向开展针对性的优化,包括新建、删除、合并、修改,而修改又可能涉及修改监测逻辑、修改监测的具体业务范围、选取更合理的参数等。
2、制定差异化监测标准,迈向精细化管理
全国性的金融机构,可对不同区域的分支机构设置不同的监测规则/模型,或者对相同规则/模型,对不同区域赋予不同参数。区域化的设定意味着形成差异,形成差异意味着监测标准对区域内的经济特点,客群特征,交易习惯更贴合,监测效果将更具针对性。
当然,对此普遍性的疑虑在于是否打破了以“客户为中心”的原则,以及当交易主要发生在线上时,地域属性已被淡化。必须强调,以“客户为中心”是必要的,即便是发生在线上的交易,其交易主体本身还是具有地域特征的。当客户存在跨区域的资金交易时,仍需要从全局视野进行监测,但当客户的交易行为只发生在特定区域范围内,则显现了区域化监测的价值。
因此,推荐对不同区域设定不同的监测标准,但差异化可不普遍执行,而是针对有明显特点的区域设置,在设置区域化标准的同时,保留普遍性标准。同时以“客户为中心”的原则,通过一定的策略保持对单一客户的全面、完整监测。
3、应用智能算法,向数据驱动转型
是否可疑,以及是哪种涉罪类型的可疑,是一个典型的分类问题。智能算法,是指应用机器学习等技术,以已知历史数据为样本或不依赖历史标签,通过构建特征工程,模型(算法)训练,以不同于规则体系的监测方法,达到识别可疑交易的目的,具体又可分为多种场景。其过程是基于训练数据集,根据学习策略,从假设空间中选择最优模型,然后考虑用什么样的计算方法求解最优模型。以数据为驱动建立的监测模型,会更适合金融机构自身特点,弥补原有规则驱动体系的部分缺欠。
在遵循机器学习一般理论的基础上,还应当充分理解反洗钱本身的特点和场景需求。在不同细分场景下,具体的思路,应用的方法和过程也有所不同,需加以灵活运用。例如在确保对已知风险尽量召回,同时提高监测准确率的场景下,对训练样本充足的,通过有监督学习,寻找最优(组合)模型;而试图发现新的可疑场景时,则可通过各类统计分析、无监督聚类算法,侧重于数据的分类、分组、分层,以识别异常。
通过工程实践我们还关注到,在数据准备,构建特征工程中,须充分认知和发挥已有规则特征的价值;模型训练时,相对于单一模型(算法),多种策略的多模型(算法)的融合效果更佳,更高的准确率,更强的稳定性。
4、利用图计算,加强团伙风险的识别
当前已知的洗钱涉罪类型中,如电信诈骗、地下钱庄等,往往存在多个账户协同操作的情况。依托知识图谱的相关知识,基于图数据库技术,应用图计算的方法,其目的一是构建有关联的群组(团伙),二是通过对关联关系的分析,识别群组涉嫌洗钱的风险。
群组构建的基础是各类实体-关系数据,实践中客户之间的联系存在多样性,比如交易关系,相同的联系方式、企业法人和企业的关系等等。哪些是有效的关系,哪些是需要剔除的噪声,尤其是纷繁复杂的交易关系中,需要大量的业务和数据分析工作来厘清。
形成群组网络后,开展社交网络分析,例如通过PageRank分析重要的个体节点,通过介数中心度识别关键中介节点,通过入度、出度判断节点的交易活跃度,通过子图挖掘分析重点子网络等。同时,应当综合运用图谱计算与机器学习,相辅相成地开展大数据分析,针对群组,进行算法训练和分析。最终通过对点、边、子图的信息度量,发现业务上的规律和异常。
5、利分析之器,善甄别之事
可疑交易甄别模块的定位是,对系统筛选出的可疑线索予以呈现,对人工甄别提供辅助和支持。一个完善的甄别模块,应当以“三个有效”为目标,即甄别工作量的有效降低,甄别效率的有效提升,甄别质量的有效保障,一降低,一提升,一保障。包括流程、机制、工具、视角、数据等多个方面。甄别工具作为其中的核心,应支持对客户的甄别,交易的分析。
对主体客群的甄别,应构建反洗钱视角的客户画像,全面展现客户的基本信息、账户信息、交易信息、尽职调查信息、评级信息,以及深度的衍生信息,如主要关联关系,交易习惯和特征,交易时段分布,交易渠道偏好,资金规模区间,交易对手分布等等。而对于包含多个客户的线索,从“风险为本”的角度,应提示重点关注客户。
对交易的甄别,应对常用分析手段进行功能化设定。例如日期、时段、交易渠道,结算方式等多个维度的资金的流入、流出金额和笔数的事情情况;IP地址、交易设备信息、地域等关键要素的特点分析;交易对手的排名、地域分布;交易摘要、资金用途等文本信息的统计、归纳等。除了固化的功能,还可提供甄别人员自主的分析能力,既对上述多个维度的组合分析,例如不同交易渠道,在时间维上的交易分布情况。
而分析的结果,以多样的可视化手段进行展现,如可地图、柱状图、折线图、饼状图、雷达图、散点图、词云图等,以高效反映信息的不同要点和价值。
6、自动化分析,智能研判辅助人工甄别
通过系统标准筛选出的可疑案例,人工甄别后,有的认定为可疑,有的被排除,因为不同案例在监测标准中未涉及的要素、定性的信息、背景信息等存在差异,例如客户身份信息的完整性不同、职业不同、长期的交易频率和习惯不同、交易的目的不同、历史可疑交易报告的情况不同、交易对手的特征不同等。
因此智能辅助分析,从人工甄别的经验和方法着手学习,并在此基础上从更广的数据范围、更长的时间周期开展大数据分析,提高甄别的深度。
实体风险,客户固有的风险,如受益所有人是否识别、行业风险性、洗钱风险等级等;
关联性风险,与之关联的自然人、非自然人客户是否有高风险,是否存在可疑,经常性交易对手的风险程度如何;
历史模式,客户之前是否发生过可疑,可疑线索被认定的记录,触发的规则/模型的准确率,当前案例与历史认定可疑报告的相似性;
行为风险,除了定量的交易频率、金额、结构性异常外,尽职调查中发现的异常行为。
经过多方面的综合诊断,系统对产生的可疑线索的风险程度,通过上述量化标准予以区分。基于评分,对可疑线索的风险程度进行排序,从而对甄别工作安排予以提示,分配不同的资源、精力,体现“风险为本”;或者对风险程度极低的,做自动排查(在容忍一定风险的前提下)。
7、再评估,对风险查遗补漏
再评估是对人工甄别后排除的可疑交易进行重新评估,评估其中是否存在可能应当报告的情况。其目的是发现由于人工经验、认知的差异,产生的误判导致的漏报。对于管理的意义,则在于辅助建立一套后督机制,在强化工作质量管理的同时,对可疑交易报告的生命周期管理更为完整。
其主要思路是基于机器学习方法,以历史报送数据为样本进行训练学习,归纳总结特征,将排除的与之进行对比分析,对特征高度相似、相近的标记为需要重新进行人工甄别。
五、总结
本文论述的方向和思路,有的是在现有体系之上,通过更精细化的管理,对某些环节的改进、补充,完善,有的则是尝试新技术、新方法,贯穿可疑交易监测的“事前”设计,“事中”执行,“事后”检验的全生命周期。
•[事前]可疑监测标准的优化、区域化监测标准设定,是对现有监测标准的进一步完善,是管理进一步精细化的;
•[事中]智能算法/图计算,是通过引入新技术、新方法,提升监测能力和监测效果,但于现有的监测标准,并不矛盾和冲突;
•[事中]智能分析、风险评分,是对系统现有产生的可疑线索,进行风险高低的划分,对人工甄别予以引导;
•[事中]甄别工具则是作用于人工甄别阶段,提供高效的辅助支持;
•[事后]再评估,则是以后督的角度,再一次识别风险,降低遗漏的概率。
其中的每个点,都是一项独立的专业性工作,需要仔细、深入的研判,而机构在实施中,可根据自身面临的主要问题、风险状况、风险偏好,有策略、有选择地逐步实施。
当然,本文所论的技术和方法,都是对数据处理的手段,其背后的要义还是对数据处理的思路,即要分析什么,怎么分析,要达到什么目标,而运用什么样的技术,是工具选择和工具运用的问题,因此关键还是人的因素,对可疑交易监测报告工作的理解和认识。
提升可疑交易报告有效性,是当前反洗钱工作形势,和机构洗钱风险防范的必然要求。本文旨在通过对相关问题的思考,结合实际工作实践,提出若干建议,不尽全面,笔者和团队也在持续研讨,如有不当之处,还请多加指正。