ERP 系统中的反洗钱合规性：了解您的客户和交易监控

反洗钱（AML）合规不再是银行和金融机构唯一关心的问题。跨行业的企业——从专业服务和房地产到奢侈品、加密货币交易所以及任何处理大量支付的公司——都面临着其 ERP 系统必须支持的反洗钱义务。金融行动特别工作组 (FATF) 标准通过 200 多个司法管辖区的国家立法实施，创建了一个涉及支付处理、客户入职、交易监控、记录保存和可疑活动报告的义务网络。

ERP 系统既是反洗钱风险也是反洗钱控制。他们处理客户付款、管理应收账款、处理供应商交易并生成监管机构检查的财务轨迹。配置 ERP 以支持反洗钱合规性并避免成为金融犯罪的工具需要了解法律义务和技术控制。

要点

• 反洗钱义务适用于广泛的非金融企业：房地产经纪人、会计师、律师、高价值商品经销商、信托和公司服务提供商
• 了解您的客户 (KYC) 和客户尽职调查 (CDD) 是基础 — 在建立业务关系之前验证客户身份
• 高风险客户需要加强尽职调查 (EDD)，包括 PEP（政治公众人物）、高风险司法管辖区和复杂的所有权结构
• 交易监控必须检测异常模式：结构、资金快速流动、与客户资料不一致的交易、高风险目的地国家
• 当发现可疑活动时，必须向国家金融情报机构 (FIU) 提交可疑活动报告 (SAR) — 举报对象属于刑事犯罪
• FATF 的 40 条建议构成了全球反洗钱标准；司法管辖区通过国家立法实施
• AML 的 ERP 配置：客户分类、付款筛选、交易规则、审计跟踪和 SAR 工作流程集成
• 违规处罚：刑事起诉、巨额罚款（主要银行 5B+ 美元）、吊销营业执照、声誉受损

---

反洗钱监管框架

FATF 和 40 条建议

金融行动特别工作组 (FATF) 是一个政府间机构，负责制定防止洗钱、恐怖主义融资和扩散融资的国际标准。其 40 项建议（最后更新于 2023 年）是全球公认的 AML/CFT（打击资助恐怖主义）计划的基准。 FATF对成员国进行相互评估；评级较低的国家面临灰名单或黑名单，严重影响金融准入。

** FATF 对企业的主要建议：**

• 建议 10：客户尽职调查 (CDD)
• 建议 11：保存记录（至少 5 年）
• 建议 12：PEP 要求
• 建议 13：代理银行业务
• 建议 14：货币或价值转移服务
• 建议15：新技术和虚拟资产
• 建议 20：报告可疑交易
• 建议 22：指定非金融企业和专业 (DNFBP)

谁须承担反洗钱义务？

金融机构：银行、信贷机构、支付服务提供商、货币交易所、证券公司、保险公司、加密资产服务提供商（欧盟 MiCA 下）

指定非金融企业和职业 (DNFBP)：

• 房地产经纪人（购买/出售房地产）
• 律师、公证员、会计师（涉及金融交易、公司组建、信托安排时）
• 信托和公司服务提供商 (TCSP)
• 贵金属和宝石经销商（交易超过阈值，通常为 10,000 美元或 10,000 欧元）
• 赌场（包括在线赌场）

高价值商品：艺术品经销商（欧盟交易额超过 10,000 欧元）、超过门槛的奢侈品经销商、某些司法管辖区的游艇和飞机经纪人

加密资产服务提供商：根据 FATF 建议 15 和欧盟 MiCA（加密资产市场监管，2024 年 12 月全面适用），加密货币交易所、托管机构和某些 DeFi 平台承担全面的反洗钱义务

企业部门警报：一般商业企业（不属于 DNFBP 类别）通常没有基于 FATF 的反洗钱报告义务，但许多企业确实面临特定部门的要求（例如，在受监管交易所上市的公司、政府承包商），并且在大多数司法管辖区都具有一般犯罪收益报告义务。

---

了解您的客户 (KYC) 和客户尽职调查 (CDD)

标准 CDD 要求

在建立业务关系或进行高于阈值的偶尔交易之前，必须执行 CDD。标准 CDD 包括：

1.客户身份：获取个人身份信息：法定全名、出生日期、国籍、居住地址、身份证或护照号码。对于法人实体：法定全名、法律形式、注册管辖区、注册办公地址、董事/受益所有人身份。

2.验证：验证通过可靠、独立来源提供的信息。对于个人：政府签发的带照片的身份证件、地址的水电费账单。对于法人实体：公司注册文件、公司注册证书、公司章程、正式注册记录。

3.受益所有权：识别并验证法人实体的最终受益所有人 (UBO)，通常是拥有或控制该实体 25% 或以上股份的自然人（某些司法管辖区使用较低的门槛）。复杂的所有权结构（信托、代理人、离岸工具）需要追溯到自然人层面。

4.了解业务关系：了解业务关系的性质和目的，以及资金来源。

5.持续监控：持续监控业务关系和交易，以确保与客户资料的一致性。

强化尽职调查 (EDD)

高风险客户、业务关系和交易需要 EDD。触发因素包括：

政治公众人物 (PEP)：政府高级官员、国有企业高级管理人员、国际组织高级官员、政党高级成员及其家庭成员和亲密伙伴。对于 PEP，EDD 要求： 在建立关系之前获得高级管理层的批准；建立财富和资金来源；加强持续监测。

高风险司法管辖区：FATF 灰名单或黑名单上的国家，或存在严重反洗钱缺陷的司法管辖区。无论其他风险因素如何，涉及高风险司法管辖区的交易都需要 EDD。

非面对面入职：比面对面验证风险更高 - 使用增强验证（经过认证的文件副本、视频验证、电子身份验证服务）。

复杂的所有权结构：分层公司结构、信托、代理人安排——追溯到自然人UBO；了解结构的基本原理。

异常交易模式：交易与其规定的业务或风险状况不一致的客户。

简化尽职调查 (SDD)

对于风险较低的客户和交易，SDD 可能比较合适——较少的身份要求或较低的验证深度。 SDD 不能应用于 PEP 或高风险司法管辖区。例如：在受监管市场上市的老牌上市公司、政府部门。

---

KYC/CDD 的 ERP 配置

现代 ERP 系统可以配置为支持客户入职流程中的 KYC/CDD 工作流程。对于 Odoo 和类似平台：

客户分类字段：

• 客户类型（个人/企业/政府/金融机构）
• 法人实体注册号、国家/地区、成立日期
• 最终受益人姓名、出生日期、国籍、所有权比例
• PEP 状态（是/否/密切关联）
• 客户风险评级（低/中/高）
• CDD完成日期和审查官员
• 文件清单（身份验证、公司注册验证、UBO 验证）
• 下次审核日期（基于风险评级 — 高风险：每年；中：2 年；低：3 年）

文档管理：将文档上传链接到客户记录。对身份证件（护照、执照）和公司注册实施到期提醒。

工作流程自动化：

• 新客户创建触发 CDD 检查表
• PEP 标志触发 EDD 工作流程和高级管理层审批队列
• 高风险管辖区标志触发 EDD
• 文档过期警报触发审核队列
• 自动生成年度审核提醒

筛选集成：ERP 可以通过 API 与制裁筛选服务（Refinitiv World-Check、道琼斯风险与合规性、Comply Advantage）集成，自动筛选客户和受益所有人：

• OFAC SDN 列表（美国）
• 欧盟综合制裁名单
• 联合国安理会制裁
• PEP 数据库

---

交易监控

交易监控是对客户交易的系统审查，以检测与客户概况、业务或风险级别不一致的模式。有效的交易监控需要基于规则的警报和日益由人工智能驱动的异常检测。

高风险交易指标（危险信号）

结构化（Smurfing）：故意将大额交易分解为低于报告阈值的较小金额。危险信号：来自同一客户或关联方的多笔交易金额略低于 10,000 美元（或当地等值金额）。

快速的资金流动：收到资金并立即转出——“分层”——账户中的时间很少，没有明显的商业目的。

整数交易：异常数量的整数交易（正好是 50,000 美元、100,000 美元）可能表明存在结构性付款。

高风险地理模式：向或来自 FATF 黑名单/灰名单司法管辖区、与特定犯罪类型相关的司法管辖区（避税天堂、离岸金融中心）的付款。

与业务概况不符的交易：从外国交易对手处接收大额电汇的零售企业；个体经营者从数百个不同的个人那里接收付款。

现金密集型交易：大额现金支付（房地产、高价值商品）；多笔现金存款；现金收益与申报的业务收入不一致。

第三方付款：客户向与业务关系不直接相关的第三方付款；代表客户从未知第三方付款。

紧急请求：在没有充分业务理由的情况下快速完成交易的压力；以紧急情况为由绕过正常控制。

ERP交易监控规则

在您的 ERP 或交易监控系统中配置以下规则：

Rule 1 — Structuring Alert:
TRIGGER if sum of transactions from a single customer within 24 hours
        approaches or exceeds reporting threshold (e.g., $9,500 aggregate)
TRIGGER if multiple transactions in 7 days total exceed 150% of customer's
        historical average transaction volume

Rule 2 — High-Risk Geography Alert:
TRIGGER if payment destination country is on FATF blacklist/greylist
TRIGGER if beneficial owner is resident in high-risk jurisdiction

Rule 3 — Unusual Volume Alert:
TRIGGER if single transaction exceeds 3× the customer's average transaction size
TRIGGER if monthly transaction volume exceeds 5× the historical 12-month average

Rule 4 — Rapid Movement Alert:
TRIGGER if funds received are transferred out within 48 hours
        and transfer exceeds 80% of received amount

Rule 5 — PEP/Sanctions Hit:
TRIGGER if customer or beneficial owner matches sanctions or PEP database
TRIGGER on name change or new beneficial owner addition

---

可疑活动报告 (SAR/STR)

当调查交易监控警报并确认可疑活动时，或者当任何员工发现可疑活动时，必须向国家金融情报机构 (FIU) 提交可疑活动报告 (SAR) 或可疑交易报告 (STR)。

按司法管辖区划分的主要金融情报机构：

• 美国：FinCEN（金融犯罪执法网络）— 通过 BSA 电子归档提交 SAR
• 英国：国家犯罪局 (NCA) — 通过 SAR 在线提交 SAR
• 欧盟成员国：每个国家都有一个国家金融情报机构（例如德国的 BaFin/FIU、法国的 TRACFIN、卢森堡的 CSSF）
• 澳大利亚：AUSTRAC — 通过 AUSTRAC Online 获取 SAR
• 阿联酋：反洗钱和可疑案件部门（AMLSCU）

关键规则：举报禁止：一旦提交 SAR 或有合理理由提交 SAR，您不得告诉 SAR 主体已提交 SAR 或他们正在接受调查。在大多数司法管辖区，举报属于刑事犯罪。请勿就可疑活动联系客户；不要冻结明显会引起他们警觉的资金；在处理特别行政区期间继续正常业务。

SAR内容：

• 可疑活动的描述
• 交易日期和金额
• 客户信息（姓名、身份、账户详细信息）
• 说明该活动为何可疑
• 任何先前的可疑活动
• 采取的行动（如果有）——记录继续或退出关系的任何业务决定

记录保留：SAR 记录保留至少 5 年。监管机构在检查期间通常需要这些记录。

---

记录保存要求

FATF 建议 11 和国家实施立法要求至少保留 5 年：

• 客户身份识别和验证记录（从业务关系结束开始）
• 交易记录（从交易之日起）
• SAR 记录和支持文件

用于记录保留的 ERP 配置：

• 不允许在保留期限到期之前删除客户身份记录
• 归档已关闭的账户并保留记录
• 自动保留时间表：标记记录用于 5 年归档/审查
• 客户记录变更的不可变审计日志
• 涵盖 AML 记录的备份和恢复程序

---

企业反洗钱风险评估

每个受反洗钱义务约束的企业都必须进行并记录反洗钱风险评估，涵盖：

1. 客户风险：谁是您的客户？是否存在高风险（PEP、非居民、复杂结构）？
2. 产品/服务风险：哪些产品/服务具有较高的洗钱/恐怖融资风险（现金承兑、高价值交易、全球影响力）？
3. 地理风险：您是否在高风险司法管辖区运营或提供服务？
4. 交易/交付渠道风险：线上入职、非面对面交付、中介机构

风险评估会推动您的 AML 计划中的风险偏好、CDD 阈值、交易监控规则和 EDD 触发器。

---

ERP 反洗钱合规检查表

• 已针对您的业务类型和司法管辖区完成反洗钱义务评估
• 书面反洗钱政策和程序记录
• 指定洗钱报告官 (MLRO)
• 记录客户风险评级框架（低/中/高标准）
• ERP 客户入职工作流程中实施的 KYC/CDD 检查表
• UBO 识别和验证过程记录在案
• 针对 PEP、高风险地区、复杂结构的 EDD 工作流程
• 制裁和 PEP 筛查与客户数据库集成
• 事务监控规则配置和测试
• 记录警报审查流程（谁审查、升级、时间表）
• 记录 SAR 备案流程（表格、备案说明、禁止举报）
• 员工关于反洗钱义务、危险信号和搜寻与援救流程的培训
• 配置记录保留：CDD 和交易记录至少保留 5 年
• 记录年度 AML 风险评估
• MLRO 向高级管理层提交的年度报告已完成

---

常见问题

如果我们不是银行，我的日常业务是否需要遵守反洗钱法？

这取决于您的业务类型、司法管辖区和交易的性质。 FATF 建议 22 将反洗钱义务适用于特定的 DNFBP——房地产经纪人、会计师、律师、TCSP、贵金属/宝石经销商和赌场。如果您的企业属于这些类别，则需承担全部反洗钱义务。如果没有，您可能没有正式的反洗钱报告义务，但仍然面临一般犯罪收益法，这些法律禁止故意便利洗钱。特定行业（加密货币、游戏、支付服务）无论其 DNFBP 状态如何，都有额外的 AML 义务。

提交可疑活动报告的门槛是多少？

SAR 申报没有金钱门槛——该义务源于怀疑，而不是交易规模。如果您知道或怀疑或有合理理由怀疑客户或其资金与洗钱或恐怖主义融资有关，则必须提交 SAR。许多司法管辖区都有单独的交易报告要求（例如，美国针对超过 10,000 美元的现金交易的货币交易报告）——这些要求与 SAR 不同，并且会自动适用，无需怀疑要求。

我们如何根据制裁名单筛选客户？

制裁筛查服务提供受制裁个人、实体和国家的数据库，并提供与业务系统的 API 集成。领先的提供商包括：Refinitiv World-Check、道琼斯风险与合规部、LexisNexis、Comply Advantage、ComplyAdvantage。这些可以通过 API 与您的 ERP 集成，以便在入职时进行筛选，并在列表更新时持续进行筛选。至少要根据以下内容进行筛选：OFAC SDN 名单（美国）、欧盟综合制裁名单、联合国安理会综合名单以及您所在辖区的国家制裁名单。实施明确的处理命中的流程 - 并非所有命中都是真正的匹配（名称相似时误报很常见）。

如果我们提交 SAR 但我们对可疑活动的判断是错误的，会发生什么情况？

SAR 申报者通常会因善意申报而免于承担民事责任——即使所报告的活动最终没有被证明是洗钱活动。大多数司法管辖区的保护都很强大：金融情报机构将调查并确定是否存在犯罪活动。当您确实怀疑时，善意地提交 SAR 总是比不提交更安全。举报禁止令您无法告知客户您已提交 SAR。故意提交虚假 SAR 是一项单独的犯罪行为，但善意的错误受到保护。

企业不遵守反洗钱法会受到什么处罚？

处罚根据管辖范围和违法性质的不同而有很大差异。对于受监管的金融机构来说，罚款数额巨大：汇丰银行因反洗钱失败支付了 19 亿美元（2012 年）、高盛 29 亿美元（2020 年）、德国商业银行 14.5 亿美元（2015 年）。对于 DNFBP，处罚较低但数额较大：英国 HMRC 因反洗钱失败而对房地产经纪人处以高达 80 万英镑的罚款。对于所有企业来说，洗钱本身的刑事起诉（如果违反犯罪收益法）可能会导致监禁。公共执法行动造成的声誉损害往往超过经济处罚。

---

后续步骤

将反洗钱合规性纳入您的 ERP 系统是一项投资，可以保护您的企业免受金融犯罪责任、监管制裁以及被认定为洗钱工具的声誉损害。配置工作——客户分类、筛选集成、交易监控规则、SAR 工作流程——通过提高客户数据质量和交易可见性，带来的好处远远超出了 AML 合规性。

ECOSIRE 的 Odoo 实施团队拥有使用支持 AML 的工作流程配置 ERP 系统的经验，包括客户风险分类、文档管理、交易监控规则设计和审计跟踪配置。

开始使用：ECOSIRE Odoo 服务

免责声明：本指南仅供参考，不构成法律建议。反洗钱义务具有高度的司法管辖区特定性，并通过 FATF 更新和国家立法定期演变。请咨询合格的法律顾问和经过认证的反洗钱合规专家，获取针对您的组织的具体建议。