基于行为模式识别的可疑金融交易监控体系的构建与完善.docx

基于行为模式识别的可疑金融交易监控体系的构建与完善汤 俊 王 妍（中南财经政法大学 湖北武汉 430073）摘 要：本文从监管发展沿革角度，剖析了制约我国反洗钱可疑交易监控体系有效运作的主要原因，认为基于客观刚性标准的美国监管模式导致更具柔性应变能力的智能监控技术难以在国内推广。在监管逐步向欧洲自律模式变迁结合的前提下，应改变直接提取识别犯罪活动线索的 传统思路，而利用客户尽职调查与交易记录保存两大反洗钱基本义务的成果，充分发挥金融机构“了解你的客户”的优势，通过构建和完善基 于行为模式识别体系，使企业具备监控什么是与客户身份与业务性质吻合、值得信任交易的能力，并将落入置信区间之外的交易在经过强化的 尽职调查之后，作为可疑交易提交金融情报机构和执法部门，由此实现对金融交易的有效监控。关键词：可疑交易报告 行为模式识别 反洗钱监管 金融交易监控中图分类号：F830 文献标识码：A文章编号：1009-4350-2015（02）-0015-04可疑交易报告制度作为金融机构反洗钱义务的核心，其实施过程与实际效果一直备受各界诟病。自 1995 年美国金融犯 罪执法网络 FinCEN 在全球率先采用首个人工智能反洗钱系统 FAIS(FinCEN Artificial Intelligence System) 以来，利用信息技术对 海量金融交易实施自动智能监控是监管当局和金融机构一直追 求的目标，但在具体实施过程中，却受监管模式的局限，基于规 则筛选和知识获取的监控系统成为我国商业机构反洗钱系统的 主体。实践证明，正是这种基于客观标准的规则系统是导致目前 可疑金融交易报告工作陷入误报率高、实效性差被动局面的主 要因素。本文从监管变迁角度分析了我国可疑交易报告制度发 展的趋势，提出通过构建和完善基于客户行为模式识别的交易 监控体系是改变当前可疑交易报告制度监管与实施不利局面的 途径。部、湖南、湖北、河北、辽宁等地分支机构；中国工商银行、中国农业银行、交通银行、招商银行、民生银行、湖北农村信用合作社 等大型股份制银行与城市商业银行；银河证券、长江证券、泰康 人寿保险等非银行金融机构；支付宝、快钱等第三方支付机构； 恒生电子、银丰等国内反洗钱方案开发商；IBM、Oracle、SAS、 Actimize(Fortent/SearchSpace) 等国外解决方案供应商。调研结果 表明，几乎所有的义务主体毫无例外地采用了以央行 2006 年修 订的金融机构大额交易和可疑交易报告管理办法( 以下简称 “办法”) 为核心依据的规则筛选系统，将符合“办法”中所列规 则的交易进行自动抓取，然后经过人工分析后加以上报。基于客 观标准筛选标准的监控体系长期主导反洗钱核心技术。央行为 提高可疑交易监控的实效性一再对相关政策进行了调整，以引 导金融机构关注实质性的可疑交易识别，但由于监管模式与政 策法规的延续性、洗钱活动监控甄别的复杂性、交易可疑与否判 别的难度与主观性等因素的影响，金融机构在开发与实施可疑 金融交易监控系统时，仍然以围绕合规管理，以迎合监管条款要 求为核心，而非切实发挥主观能动性与创造性、按照风险为本导 向实施交易的监控，国内外研究开发的智能监控方案成果难以 得到实际推广应用。一、我国可疑交易监管发展与智能监控体系应用现状金融交易智能监控技术在国内外已有近 20 年的研究开发 历程，但在我国的实际运用情况不容乐观。我们在 20092012 年间就国内可疑交易监控识别体系的监管与实施状况进行了 问卷与实地调研，调研对象包括中国人民银行总行及其上海总基金项目：本文受国家社科基金“基于行为模式识别的可疑金融交易监控体系研究”（编号 :09BTJ002）资助。作者简介：汤俊（1967-），男，湖南益阳人，工学博士，教授，复旦大学理论经济学博士后，复旦大学中国反洗钱研究中心特聘研究员，供职于中南财经政法大学信息与安全工程学院，研究方向：信息工程、反洗钱。王妍 (1991-)，女，湖北武汉人，中南财经政法大学信息与安全工程学院硕士研究生 , 研究方向 : 信息工程。庞贞燕 , 石彦杰关于可疑交易报告制度执行中存在问题的思考J. 金融理论与实践 ,2010（10）:57-59.152015 年 第 2 期政 策 研 究我国金融机构反洗钱义务的推进过程主要借鉴了美国模式，通过制定详尽的规则条款与细致的检查和处罚程序来强制 推动。到目前为止，对可疑交易报送义务的监管经历了三个发展 阶段。第一阶段是对金融机构是否履行报送义务的监管，要求金 融机构开始建立报送可疑交易意识，报则免责，不报则处罚。主 管部门央行分别于 2003 年颁发并于 2006 年修订了金融机构 大额交易和可疑交易报告管理办法（以下简称办法），总结 归纳了可能涉嫌洗钱活动的金融交易的若干 48 条特征，为便于 金融机构把握，甚至对于一些主观概念进行了量化规定，如“短 期”指 10 个工作日以内，“长期”指 1 年以上，“频繁”指交易行 为每天发生 3 次以上，或每天发生持续 3 天以上等。并在随后 的监管活动中加大了对疏于报送的处罚力度，以“报则免责”为 原则，随之而来的是金融机构为规避处罚、无限制滥报防卫性报 送现象的大量发生，金融机构在交易业务系统中设置交易抓取 程序，将符合办法所列特征的所有交易不加分析全部上报，致 使 2007 年开始我国可疑交易报告数量名列世界第一。大量垃 圾信息的报送令金融情报中心难以应付。为此监管开始进入第二阶段，即对金融机构是否对拟报送 的可疑数据做人工分析进行监管。中国人民银行分别于 2008 年12 月和 2010 年 2 月连续发布通知，要求金融机构加强对可疑 交易报告的人工分析审核工作，以控制不加分析的防卫性滥报。 于是金融机构在第一阶段机器抓取系统的基础上按要求增加了 人工分析的流程，在原有反洗钱系统中增加了一些用于人工分 析的系统模块，如工商银行开发的所谓新一代反洗钱监控系统， 为便于员工的人工分析与跟踪关注，专门开发了一个跟踪报告 库，用于将机器按客观标准特征抓取但又未能明确是否可疑判 的异常交易放入该库中，对其进行特别跟踪和关注。这种在原有客观标准加上人工判别的方法，一定程度上遏 制了金融机构无限制地报送垃圾信息的势头，但在实践过程中 仍然发现单靠人工分析，很容易受人手不足、专业素质良莠不 齐、交易数据海量特征、基层网点情报视域狭窄等因素影响，只 能作为一种辅助手段，难以真正做到高质量的情报分析与甄别。而规则筛选系统由于规则建立在过往案例的总结，其最大弊端就是缺乏应变能力，无法随着形势变化自动进行参数调整，无法 主动识别新的洗钱手法。美国监管部门特别认为人工的活动监 测只能在交易层面进行观测，基于账户及其以上层面的活动监 测只能交由机器自动系统来完成。随着可疑交易监控实践的不断深入，监管部门开始反思过 于刚性的单纯由监管部门发布客观监控标准的可疑交易报告监 管制度，既易于被犯罪分子规避，也使金融机构产生合规惰性， 以应付监管要求为主，而非注重如何依据自身业务特点与专业 能力去发现真正的风险所在。因此，监管机构自 2012 年开始试 点所谓法人监管方法，将可疑交易判别标准与实施方案的主动 权下放给金融机构，充分发挥金融机构的主观能动性与熟悉业 务和风险所在的专业优势。这一模式意味着我国监管由参照事 无巨细的美国模式开始转为借鉴欧洲的自律模式，只发布一些 基本原则，而将具体实施标准细节下放给义务主体。这一监管 路径的发展变化意味着在长期主导反洗钱监控系统核心的基于 客观标准的规则筛选技术即将向更具智能性、适应性、自主调整 型的机器学习技术发展。这一技术我们认为其核心应为基于用 户行为模式识别的监控体系。二、用户行为模式识别与可疑交易监控( 一 ) 行为模式识别监控机理所谓行为模式 (behavior pattern)，即用户在内在和外在环境 共同影响和作用下表现出来的一种行为趋势和规律性特征。与 传统特征匹配法采用“if then”判别模式不同，机器学习等智能 和数据分析技术可通过对一段时期的用户行为数据进行理解， 掌握其行为模式规律与趋势。而以欺诈为目的的可疑交易由于 运作不围绕正常业务目的，虽然竭力模仿正常用户行为，但无法 周密地考虑到经营活动局部和整体的全部细节，也很少考虑外 界宏观环境影响，必然导致实际交易活动反映出与正常业务预 期值不同的一个或多个特征量，从模式识别角度看，只要存在与 正常用户行为范式不同的地方，只要甄别特征变量和甄别层次这一量化规定的荒谬之处在于真正的洗钱者会有意规避而脱离监控，而金融机构报送的都是开展正常业务的客户而无意中符合可疑特 征范围的交易。师永彦 .2007. 对我国可疑交易报告数量增长过快的分析J. 中国金融 ,（19）:44-45. 2008 年 12 月中国人民银行发布关于进一步加强金融机构反洗钱工作的通知，要求金融机构分析、审核判断机器筛查出的交易是否 存在“与客户身份、财务状况、经营业务明显不符”、“原因不明”等可疑原因。2010 年 2 月中国人民银行发布关于明确可疑交易报告制度 有关执行问题的通知，进一步明确指出办法所列举的异常交易特征，是引导我国反洗钱工作经验相对缺乏的情况下，有效识别可疑交 易的重要参考指标之一。金融机构在利用技术手段筛选出这些异常交易后，应当按照规定审查交易背景、交易目的、交易性质。金融机构 应逐步建立以客户为监测单位的可疑交易报告流程，有效整合可疑交易监测分析与客户尽职调查两项工作。中国人民银行郑州中心支行课题组 . 风险为本前提下反洗钱大额交易和可疑交易报告研究以河南省改革试点为例J. 金融理论与实践 ,2014（2）,63-66. FFIEC Examination Manual 2010，P72，/bsa_aml_infobase/documents/bsa_aml_man_2010.pdf童文俊 . 反洗钱可疑交易报告制度有效性探析J. 河北金融，2011（5）:3.如 2010 年 1 月 1 日起实施的支付清算组织反洗钱和反恐怖融资指引中出现了 10 处使用“合理”一词的表述，以扩大义务主体合规 自主权。16足够，就有很大把握发现所谓与众不同的异常交易，这是行为模金融机构有足够能力和资源得以在海量数据中发现犯罪线索， 式识别技术监控可疑交易的机理。通过利用特征比对或统计分析的离群挖掘技术，实现对可疑交与基于客观标准的特征匹配规则筛选模式不同，行为模式易的直接识别和提取。 识别更符合国际反洗钱监管标准“了解你的客户”的基本要求，但事实上，国内外一直对于单一金融机构与单纯的信息系 通过技术手段构建用户行为的规律与活动框架，从而掌握其交统是否足以做到对高智力的金融犯罪洗钱策划与实施的过程进 易的置信领域，并根据其交易活动的延续以及同行交易活动随行揭露存在质疑 #，反洗钱制度实施多年并未显著遏制洗钱上 内外环境变化随时调整其参数，做到与时俱进，自适应、自调整游犯罪势头也证明可疑交易甄别面临形势的复杂性与艰难性。 的智能动态变化，有效克服了客观标准一刀切的弊端。由于进行因此，监管者当前的思路调整应当是引导金融机构将工作重点 行为模式识别分析的数据来源是基于反洗钱另外两大基本义务放到其力所能及的地方，即通过构建用户行为模式识别系统来 客户尽职调查与交易记录保存基础上，这也将可疑交易监控与建立用户交易行为的置信区间，通过信息系统对反洗钱另外两 这两大义务的成果进行了有效利用，从而促使金融机构将反洗个基本义务客户尽职调查与交易记录保存的成果，实现对客户 钱三大基本义务连接为一个有机整体，不再分散到不同业务部交易行为预期的基本判断，而将超乎预期之外的交易予以重点 门，更加体现了反洗钱这一制度创新的科学性，更为符合监管当关注。换言之，可疑交易报告制度监管的核心并非要求金融机 局有关法规的精神与原则。构识别和发现犯罪分子与犯罪活动，而是考核金融机构是否真( 二 ) 行为模式监控与基于客户为单位的交易监管原则正具备了解自己客户的能力 $。而将可疑交易报告 (Suspicious国外对用户行为模式的识别的具体构建实现技术已有多年Transaction Report，STR) 统一转变为可疑行为报告 (Suspicious 的研究。与欧洲自律监管模式一致，欧洲监管当局要求金融机构Activity Report,SAR) 当前已成为欧美国家监管当局的共识 %。 报送的不像美国开始那样是基于单笔现金交易的可疑交易报告(Suspicious Transaction Report)，而是以客户为单位的基于真实可三、用户行为模式识别的实现疑基础上的可疑活动报告 (Suspicious Activity Report,SAR)，并要 由单笔交易监控转为对交易行为的监控，亦即对交易由点 求金融机构自行制定实施方案，英国 SearchSapce 公司最早将理转为线与面的监控，具体实现无法像以往一样由单一特征比对 解客户行为规律的概念引入金融机构合规管理。SAS、Oracle、来完成，而需要在监测过程中金融交易业务按照从微观到宏观、 Infosys、IBM 甚至微软公司都提出了基于大数据分析背景下的欺从点到线乃至到面的原则划分为四个层次进行风险分析，然后 诈监测与可疑交易识别的解决方案。但这些方案普遍未能适应再按照了解你的客户原则对客户行为预期以及和同行同类的对 我国监管法规与金融机构实际情况，推广效果普遍不理想。利用比提高分析的有效性与准确性。 数据挖掘技术实施交易监控很早就引起了国内学术界的重视 ，（一）数据分析的层次 对各种数据挖掘技术在可疑交易的判别上的应用进行了比较与 对客户行为模式识别的分析可按照以下四个层次进行： 分析；北京银丰电子公司提出“指纹特征分析”方法，通过建立 交易层：包括一系列的单独交易行为，如现金存取、电汇、支 有关客户与账户的行为特征指纹、实体指纹等，用来判别异常交票等，一般能形成一个典型的时间序列数据。易 。国内学术界与实业界提出的理论模型与应用系统大都基账户层：系列交易都由特殊的个人或账户完成，可形成多个 于对可疑交易的直接提取与识别方面，这一思路的前提是认为时间序列数据。2015 年 第 2 期政 策 研 究!中国人民银行关于明确可疑交易报告制度有关执行问题的通知 ( 银发 201048 号）中明确提出“：一是金融机构应逐步建立以客户为 监测单位的可疑交易报告工作流程，有效整合可疑交易监测分析与客户尽职调查两项工作。既要在客户尽职调查工作中采取合理手段识 别可疑交易线索，又要在交易数据的筛选、审查、分析过程中，有意识地运用客户尽职调查的工作成果，提高监测分析工作的有效性。二是 金融机构应将可疑交易监测工作贯穿于金融业务办理的各个环节，通过合理有效的操作流程，引导本单位金融从业人员随时随地注意客 户、资金和交易是否与洗钱、恐怖融资等违法犯罪活动有关。三是反洗钱监测工作应覆盖各项金融业务。” Jason Kingdon. AI Fights Money LaunderingJ.IEEE INTELLIGENT SYSTEMS. 2004（5）:87-89.11 如杨胜刚，国家自然科学基金基于数据挖掘技术的反洗钱大额与可疑资金交易甄别技术与方法研究( 项目编号 70773038)；张成虎， 国家自然科学基金基于数据挖掘的可疑金融交易识别研究( 项目编号 70771087)。12 具体参见 /bank_of_usa/blog/static/4395240920078803241976/.13 美国联邦金融机构监察委员会承认承认单家银行不可能侦测上报经由该银行的所有非法交易，参见 FFIEC Examination Manual 2010P67. 原文为“： Within this system, FinCEN and the federal banking agencies recognize that, as a practical matter, it is not possible for a bank to detect and report all potentially illicit transactions that flow through the bank. Examiners should focus on evaluating a banks policies, procedures, and processes to identify, evaluate, and report suspicious activity”.14 汤俊 . 反洗钱可疑交易报告工作绩效评估要素及其技术实现J. 西南金融 ,2013（3）:24-27.15 参见美国联邦金融机构监察委员会反洗钱检查手册，访问网址：/bsa_aml_infobase/documents/bsa_aml_man_2010.pdf，英国 反洗钱合规指引，访问网址：JMLSG Guidance .uk/industry-guidance/article/jmlsg-guidance-current.17组织层：客户行为主体往往归属一个公司或组织，其中包含的监控，一般从两个方面来进行，即将其与自身过往历史行为模 多个账户和个人。式比较以及与同行的所谓对比客户组（peer group）的行为模式链接层：客户金融交易行为往往牵涉到多个公司、组织和个比较。判别时不以单条记录作为单位，而是分别以账号、开户人、 人。这一层面的分析往往跨机构、跨地域，无法由单一金融机构开户人所属组织以及相关联组织机构等多个层面对交易的各个 完成，只能由金融情报中心或执法强力部门出面组织。特征属性进行比照，从而发现客户异常。（二）用户行为预期模型交易行为模式系统的建立并不意味着传统基于规则判别的 所谓客户行为预期是根据客户开户背景资料、同行信息以系统的退出。基于知识获取和专家系统模式的规则系统在可疑 及对客户一段时间交易行为模式的观察，在业务细节各层面建交易监控中仍然可以发挥经验积累总结的作用，可以用于交易 立和不断调节客户行为模式预期，预测客户未来活动的趋势，建的实时监控，而利用行为模式识别进行深度分析以及误报的排立客户交易行为概貌 (profile)，包括交易金额、频率、对象、资金来除。 源与流向归属等方面的预期置信阈值，将实际发生行为与预期（四）利用关注名单系统完善交易行为模式识别监控体系值比较，超出置信阈值的行为将触发报警。与宏观金融走势分析的运作效率 如证券期货等影响因素众多，呈现难以准确预测的随机性不同，近年美国监管机构对英国汇丰、法国巴黎等银行的巨额违 大多数微观个体的正常金融交易行为受其明确的内在行为偏好规处罚 证明，我国金融机构反洗钱监控系统重大风险之一是违 和业务经营机制影响，即表现出与其身份相符合的消费与交易反国际金融制裁制度的合规风险。巴塞尔委员会也认为由于恐 行为特征，其金额、频率、来源去向等呈现很强的规律性和可预怖主义融资与正常交易模式难以区分，关注名单成为防范国际 测性，一些基本的时间序列预测技术如回归模型、神经网络等对金融制裁与恐怖主义融资的重要手段。当国内这方面的研究极 个体金融交易都可以有很好的预测效果。识别和描述交易主体少，据我们文献检索的视野所及，仅梁欢 (2011) 有关于如何完善 的行为模式规律特征的能力是检查考核金融机构客户尽职调查监控名单系统的技术成果发表 _。关注名单系统作为有效识别 与可疑交易报告工作绩效的核心指标之一。国际金融制裁、政治公众人物与涉恐融资行为的反洗钱信息支行为模式预期模块随着行为数据记录时间序列数据的变 撑系统，在我们的调研中发现在很多中小商业银行尚属空白，应 化能实现自学习和自调节能力，使得系统具备理解每个客户行 当引起监管部门的高度重视。而所谓白名单系统，用于放置那些 为的智能，自动适应形势发展的变化，因而可以发现新的洗钱手 可以信任与豁免的客户 ( 如政府机关等 ) 名单，可以有效降低监 法。现已有很多基于统计与时间序列分析的预测核心技术研究 控的数据处理负荷，减少误报率。成果。许涤龙等 (2009) 分析了传统统计方法对于交易监控的应用 ；王斌等 (2009) 提出可以利用非线性拟合的方法还原用户四、结语 趋利避害内在动