构筑打击金融犯罪的统一防线.pdf

pwccn 整合网络安全、反欺诈和反洗钱系统，提升金融犯罪防范能力 | 2018 年10 月 构筑打 击 金融 犯罪的 统一防线2 引言 2016 年2 月 的一天 ， 纽约联邦储备 银行 单 日 内处 理了 孟 加 拉 国 中 央 银 行 的 五笔 交 易 ， 总 额 超 过1 亿 美元。 这些资金随后被转移到斯 里兰卡和菲律 宾 的 多 个 账 户 。然 而 ，孟 加 拉 国 中 央 银 行 事 实 上 并 没 有发 起 这些 转 账交易。 网络 犯罪分 子 以虚假付款 请求骗过 了系统， 而有关部门也没有 及时采 取行 动， 阻 止 犯 罪 分 子 从 这 些 账 户 中 提 现 。 结 果只有 部 分流入斯里兰卡的款项被找回， 流入菲律宾的 8,100 万 美 元 大 部 分 都消 失在 该 国的 博 彩 业 中 。 孟 加 拉 国 中央 银行网络 入 侵 案只是 近 期几 起 引人 注 目 的 数 据 泄 露 事 件 之 一 ，所 暴 露 出 的 安 全 隐 患 不 仅 影响 了 数 以 亿 计 的消 费者 ， 也 是一 部活 生生 的 反 面教材 ， 展现 了 黑客 如 何利 用 金融机构 内 部 网 络安 全 、反 欺 诈 和 反 洗 钱（ AML ） 环 节的 漏洞谋 利 。 传 统 上 这 些 职 能 通 常 是 互 相 独 立 的 ，这 也 意 味 着 它 们 各 自 拥 有 的 数 据 不 完 整 ，彼 此 间 缺 乏 有 效 的 沟 通 ， 日 常 工 作 和流 程也存在 重 复。 将网络攻击 、 欺诈和洗钱视为 互相独立的金融犯 罪并 不正 确。 虚假 交易或网络盗 窃等 行为是 洗 钱 活 动 的温床， 因为 非法获得的资金必然要转移到 其他 账 户 。 盗 窃 和欺 诈 行 为 通 常 都 利 用 网 络 安 全 系 统 的漏 洞 ， 例如 向 用 户 设 备 植入 恶 意 软 件 或通 过 网 络 钓鱼 窃取认证信 息。 孟 加 拉国 中央 银行网络入 侵 案中 ， 黑 客 首 先 利 用网 络 安 全 漏 洞， 通 过 自 定 义 恶意软 件 绕 过 控制和登 陆网 络 系 统 。 然 后 ， 他 们 控 制了 该 系统， 在 未 经 授 权 的 情况 下 利用窃 取 的 孟 加 拉 国中 央 银 行 的 认 证 信息 向 系 统 发 出 指 令 ， 将 赃 款 转 移 至 数 个 欺 诈 的 银 行 账 户 。最 后 ，这 些“ 黑 钱 ” 再 流 向 菲 律 宾 的 多个 赌场 内 被 “洗 白 ” 。 金 融 机 构既 担 忧 网 络 犯 罪 ， 又 不 知 如 何 防 范 。 在 普 华永 道2018 年 全 球 信 息 安 全 状况 调 研 和第21 期全 球CEO 调 研 中 ， 首 席 执 行 官 们 和董 事 会 成 员 们 均坦 言 网 络 攻 击 是 最 令 人 担忧 的 业务 威 胁； 但 全 球信 息 安全状况调研结果显示 ， 44% 的 受 访 者 没有 制 定 整 体 信 息 安 全 战略 。 普 华 永 道同年 进 行 的 另 一 项 全 球 经 济 犯 罪 调 查 显 示 ， 过去 两 年 约 有 一 半的 跨 国 企 业 遭 遇 过 欺诈 自2016 年 以 来 增 长了13%。可 见 金融机构需要更好地整 合 其网络安全 、 反欺诈和 反洗 钱 等职 能 ， 才 能 更 清 楚 地 了 解 其面 临 的 威 胁 、 迅 速 识 别 可疑 交易 并 优 化 调 查 。3 哪 些 领 域可以 整 合？ 网 络 安全 、 反 欺 诈和 反 洗 钱 职能 通 常 具 有 共 同 的 要 素 和 内控体 系 ， 在人 员 、 流 程和技 术等方 面也存在 协 同 性。 对于大多 数 机构来 说 ， 某 些 流 程 应 合 并 ， 某 些 流 程 则应保 持 独 立但需更密 切地共享信 息 。 数据管理 对促 进各 领域的 相互 协 作 至关 重要 。 网 络 安 全 、 反 欺诈和 反洗 钱 职 能 一 直 以 来各 自 独 立 的 原因 之 一 是 数 据 来自 不同的 系 统 且 属 于 不同的 部 门。 例 如 ， 反 洗 钱 部 门拥 有客 户 的身 份 数 据和 交 易 记录， 反欺诈团队 掌握 了 账户 异常活动和账户 设 置 变 更 状 况， 网络 安 全 业 务 单 元 则 会 收 集设 备 、 用 户 和 网络数据。 金融机构 可将 这些信 息 汇集到一 个 “ 数 据 库 ” 中 ， 从 而 更 好 地 了 解 网络系统内正在 执 行 的 操 作 ， 以 及谁 访 问 了 哪 些 账 户 和 系统 。 来 自 第 三 方 的 威 胁 情 报 也 应添 加 到数 据库 中 。 表一：数据信息 IP IT CRUD 4 金 融 机 构 应 考 虑 整 合 的其 他 领 域 包 括 ：案 例 管 理： 可 以 通 过 相 同 的 工 具（ 例 如 Actimize 和Mantas ） 筛 选 和 预 警 洗 钱 和欺 诈事 件 。风 险 评 估： 网 络 、洗 钱 和 欺 诈 风 险 评 估 可 以 合 并 ，全 盘 审 视 机 构 面 临 的 风 险 。客户 体 验 ： 该 领 域的 整 合 不 会 影 响 对 金 融 犯 罪的 防 范 ， 但 可 让 客 户 免 于 重 复提交相 同 信 息或 等待 不 同部 门 的 多 次 批准 ， 进 而提 升 满 意 度 。 整 合的一大好处是 金融机构在进 行 金融犯罪 预 防 管 理 的 同时 ， 能 够 探 索 新 技 术 （ 例 如更 快 的 支 付 体 系 和 开 放 式 银 行 业 务 ）。客 户 越 来 越 希 望 付 款 等 请 求能够获得即 时处理， 因此金融机构需 要能够非 常 迅 速 地 拦 截 可疑 交 易 。 这 就 需要能 够 快 速 从 用 户惯常的行为模式 （ 包括所使用的移动设备类 型、 IP地 址 和过往付款记录等 ） 中 验 证 付款请 求的 真 实性 ， 但 也 只 有更完善的信 息 共享、 更完 整的 数 据 才 能实现 。 客 户 越 来 越 希 望 付 款 等 请求 能 够 获 得 即 时 处 理 ， 因此 金融 机构需 要 能够 非 常 迅 速地 拦 截 可 疑 交 易 。 5 如何进行整 合？ 整 合防范金 融 犯罪的各项流 程， 需要 建 立明确的 运营模式作为支撑。 高效的运营模式则包 含 了 三 大 基 本 要 素 ：架 构 设 计 、监 督 机 制 和 应 对 能 力 。 架 构 设 计： 金 融 机 构应 设 立 集团层 面 的 治 理 模 式， 包 括成 立 金 融 犯 罪风险委 员 会 并制定 相 应章 程， 提 升 沟 通 层 次 ，明 确 组 织 架 构 、人 力 资 源 、人 员 配 备 和工 作 方 式 。 这 包 括明 确 划 分 并 以 规 章 制度 的 形 式 固 定 企 业“ 三 道 防 线 ”的 角 色 、 职 责 和 沟 通 渠 道： 业 务 部 门 主 要 负 责 反欺诈 ， 并管理相 关 风险； 独 立 风险 管 理 部 门 负 责 监 督 和 管 理 欺 诈 风险； 内 部 审 计 部 门 负 责 为 反 欺诈管理提 供 独 立 保 证。 在制定防范金融犯罪的治理模式时 ， 金融机构应 整 合 流 程 ， 确 定 哪 些 团 队 可 以合 并， 从 而 识 别 和 消 除 重 复工 作 。 例 如 ， 与 其 让两 个 专门团 队 分 别审 阅 需要 特别关注的 洗 钱预警和欺诈预警 ， 不如设 立 一个联 合团 队统一处 理。 穿 透更 强 的数 据 ， 能 让一 个联合团队的效 率高 于两个团队分 开做 几 乎相 同 的 工作。6 监 督机制： 金 融 机 构同样 需要 在 集 团 层 面 设 立有 效 的 管 理 不 同金 融 犯 罪内容 的 治 理 框 架， 包 括成 立 金 融 犯 罪风 险委 员 会 ， 以 支 持对网络 安 全 、 反 欺 诈 和 反 洗 钱 职 能 的 管 理、 执 行 和 监 督 。 这 将 有 助于 防 范 金 融 犯 罪 战略 的 实 施 ， 并 确保 业 务 部 门 在 制定 战略 时 理解并将金融犯罪风险的容忍 度考 虑在 内 。 首 先， 金 融 机 构应 审 视 目 前 的 汇 报 结 构 ， 梳 理需 要简 化 的内 容， 以 便 高级 管 理 层和 董 事 会 集 中 审 视 金 融 犯罪风险。 这 可 能 意味网 络安全 、 威 胁情报 、 实体 安 全 和 反 欺 诈等都 将 是 首 席安 全 官的职责 。 此外 ， 随 着金融犯罪 预 防 系 统 的整 合 ， 实体安 全 起 到 很关键 的 作 用 ， 特别 是在加 强 防 范 内 部 威 胁 的 职 能和识别诈骗罪犯方面 。 这 一领域经常 忽视关键 协 同 效 应 ，包 括 通 用 案 例 管 理 系 统 、情 报 、执 法 协 作和行 为 分 析 等 。 应 对 能 力： 使 用 标准 化 流 程 和 集 中 化 技 术 解 决 方 案 ， 包括 单 一案 例管理系 统和一致的 归 因 分 析 ， 可 形 成统筹 、 有 效 、 易 于复制的调查流 程。 各部 门共 享 信息有 助 于 整 体 调 查， 并 推 动 金 融 机 构 在 单一 框 架 内 制 定 一致的 流 程。 此 举 可降 低 整 体 风险 。 反洗 钱 、 网 络安全和 反欺诈 内 控系 统和 职 能 的 整合 ， 让 金融机构有机 会 重新审视其 合规义务 ， 促 进流程 的 优化 。 金 融 机 构 应 审 视目前 的 汇 报 结 构， 梳 理 需 要 简 化 的 内 容 ，以 便 高 级 管 理层和董事会集中审视金融犯罪 风险 。7 量 身定制 整 合方 案 合 适的 解 决方 案 取决 于多 种 因 素 ， 包 括但 不 限 于 所 提 供 的 产 品 和 服务 、 地 理 覆 盖 范 围、 当 地 法 律 制 度 和监 管 预 期以 及 人口特 征 等 。 企 业 该 如何 立 即行 动 ？防范金融犯罪的各关键职能部 门加强 沟通 ， 探讨整 合 方 案 ； 明 确 短 期 益 处 、 搜 集反 馈 并 持 续对话 。梳 理 正 在 使 用 的 各 种 技 术 和 工 具 ，分 步 实 施 优 化 ，探 索 更 有 效 的 解 决 方 案 。 整 合 过 程 并 非 一 蹴 而 就 ， 业务 复 杂 的 大 型 机 构更 是如此 。 有 些环 节的时 机 已成 熟， 应 立即 实 施 ； 有 些 整 合 宜做 远 期规 划 ， 而 另 一些环 节则应继续保 持 独 立 。关 键 是 整 合 讨 论 要 尽 快 开 展 。 联 系我们 梁 国威 中国 金 融 服 务主 管 合 伙 人 +86 (10) 2323 3355 jimmy.leungcn.pwc 萧 健臣 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (10) 6533 2702 jianchern.siawcn.pwc 梁震 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (10) 6533 5979 zhen.liangcn.pwc 林祖辉 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (20) 3819 2279 steven.lincn.pwc 何淑 贞 中 国银行 业 主管 合 伙 人 +86 (10) 6533 2368 margarita.hocn.pwc 王寅入 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (21) 2323 6655 aileen.wangcn.pwc 王润 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (21) 2323 3550 speed.wangcn.pwc 李小 华 风险 管 理 及 内 部 控 制 服 务 部 高 级 经理 +86 (20) 3819 2090 alice.xh.licn.pwc 朱宇 中 国北 方 区 金 融 业 主管 合 伙 人 +86 (10) 6533 2236 richard.y.zhucn.pwc 杨 丰禹 风 险 管 理 及 内 部 控制服 务 部 合伙 人 +86 (755) 8261 8186 philip.yangcn.pwc 黄凯婷 金 融 服 务 合伙 人 +86 (755) 8261 8982 edith.ht.wongcn.pwc pwccn 2018 /pwc/structureCN-20181022-3-C1