a. Biện pháp thực hiện nhận biết khách hàng:
KYC/CDD (Know Your Customer/Customer Due Diligence) là quá trình
nhận biết, cập nhật và xác minh thông tin về khách hàng, chủ sở hữu hưởng lợi, các bên có liên quan đến khách hàng và những thông tin về mục đích, bản chất của mối quan hệ kinh doanh của khách hàng với tổ chức tài chính, bao gồm cả thông tin về tiểu sử khách hàng, công việc kinh doanh, dự đoán mức độ giao dịch trên tài khoản khách hàng và khách hàng sử dụng sản phẩm, dịch vụ nào của tổ chức tài chính (tiền mặt, séc, điện chuyển tiền...). KYC/CDD là biện pháp phòng ngừa quan trọng và là một cấu phần đặc biệt trong việc nhận biết các giao dịch đáng ngờ và tổ chức tài chính nên áp dụng biện pháp tiếp cận trên cơ sở rủi ro vì nguồn lực của tổ chức tài chính có hạn, chúng ta không thể thực hiện KYC/CDD đối với tất cả khách hàng ở một mức độ cần mẫn như nhau
Luật phòng, chống rửa tiền quy định đối tượng báo cáo phải áp dụng các biện pháp nhận biết, cập nhật thông tin khách hàng trong các trường hợp sau: Khi khách hàng lần đầu mở tài khoản, bao gồm tài khoản thanh toán, tài khoản tiết kiệm, tài khoản thẻ và các loại tài khoản khác; Khi khách hàng lần đầu thiết lập mối quan hệ với tổ chức tài chính nhằm sử dụng sản phẩm, dịch vụ do tổ chức tài chính cung cấp; Khi khách hàng thực hiện giao dịch không thường xuyên có giá trị lớn. Giao dịch không thường xuyên có giá trị lớn là giao dịch của khách hàng không có tài khoản hoặc có tài khoản thanh toán nhưng không giao dịch trong vòng 6 tháng trở lên với tổng giá trị từ 300.000.000 (ba trăm triệu) đồng trở lên trong một ngày; Khi thực hiện chuyển tiền điện tử nhưng thiếu thông tin về tên, địa chỉ hoặc số tài khoản của người khởi tạo; Khi nghi ngờ giao dịch hoặc các bên liên quan đến giao dịch có liên quan đến hoạt động rửa tiền; Khi nghi ngờ về tính chính xác hoặc tính đầy đủ của các thông tin nhận biết khách hàng đã thu thập trước đó
Các nội dung nhận biết, cập nhật thông tin khách hàng được quy định tại Điều 9 Luật phòng, chống rửa tiền bao gồm các thông tin chính như nhận biết thông tin về khách hàng, xác định chủ sở hữu hưởng lợi và thực hiện các biện pháp thích hợp để xác minh thông tin của chủ sở hữu hưởng lợi. Thu thập thông tin về mục đích và bản
chất của mối quan hệ kinh doanh. Khi bắt đầu bất kỳ một quan hệ kinh doanh nào cũng cần phải thu thập thông tin dự kiến về mức độ giao dịch trên tài khoản khách hàng và khách hàng sử dụng sản phẩm, dịch vụ nào (tiền mặt, séc, điện chuyển tiền...). Với những thông tin này, tổ chức tài chính có thể làm hai việc. Một là xem xét liệu thông tin được cung cấp có thực tế về mặt kinh doanh hay không; hai là xác định một điểm chuẩn để làm cơ sở đánh giá hoạt động của khách hàng.
Các đối tượng báo cáo phải thực hiện KYC/CDD thường xuyên trong suốt quá trình thiết lập mối quan hệ kinh doanh và kiểm soát kỹ lưỡng các giao dịch được thực hiện trong quá trình duy trì mối quan hệ đó để đảm bảo rằng các giao dịch đang tiến hành phù hợp với những hiểu biết của đối tượng báo cáo về khách hàng, về hoạt động kinh doanh và về những rủi ro, khi cần thiết bao gồm cả nguồn gốc tiền, tài sản của khách hàng.
Với các trường hợp cần xác minh thông tin nhận biết khách hàng, đối tượng báo cáo áp dụng biện pháp xác minh thông tin nhận biết khách hàng quy định tại Điều 11 Luật Phòng, chống rửa tiền.
Sau khi xác minh nhận biết khách hàng, đối tượng báo cáo phải thực hiện theo dõi liên tục đối với khách hàng, hoạt động theo dõi liên tục đối với khách hàng bao gồm việc xem xét các giao dịch để đảm bảo chúng phù hợp với những thông tin đã biết về khách hàng, đặc biệt là về nguồn gốc của tiền. Mục đích của việc làm này là để tăng thêm hiểu biết về khách hàng. Hoạt động theo dõi liên tục cho phép đối tượng báo cáo nhận biết được những hoạt động đáng ngờ. Khi hoạt động kinh doanh của khách hàng thay đổi quá nhiều so với hoạt động dự kiến khi thiết lập quan hệ, đối tượng báo cáo nên tìm hiểu nguyên nhân của sự gia tăng đó và xác minh nguồn gốc của những khoản tiền nhận được. Việc nhận biết và cập nhật thông tin khách hàng là nghĩa vụ của các đối tượng báo cáo trong công tác phòng, chống rửa tiền.
Theo đánh giá, các ngân hàng, công ty bảo hiểm và công ty chứng khoán dường như đã thực hiện các yêu cầu về CDD, lưu giữ hồ sơ và đã đưa ra chính sách, thủ tục liên quan. Là một phần trong quy trình chấp nhận khách hàng, họ thu thập thông tin CDD và các tài liệu liên quan và từ chối khách hàng nếu CDD không đầy
đủ. Từ 2014 đến tháng 3/2019, các ngân hàng đã từ chối tổng số 1469 khách hàng/giao dịch và có 06 STRs được báo cáo về Cục PCRT do không hoàn thành CDD. Con số thống kê này được xem là thấp so với quy mô và bối cảnh của Việt Nam trong đó bao gồm cả khu vực tài chính. Các hồ sơ CDD được lưu giữ ít nhất năm năm và cũng có các biện pháp lập hồ sơ rủi ro của khách hàng, sau đó được sử dụng để xác định mức độ giám sát liên tục và liệu có cần phê duyệt của cấp quản lý để chấp nhận khách hàng hay không.
Các đối tượng báo cáo nếu vi phạm quy định về nhận biết, phân loại khách hàng theo mức độ rủi ro có thể bị phạt tiền theo quy định.
Đối với các ngân hàng đại lý, theo khoản 10 Điều 4 Luật phòng, chống rửa tiền thì: “Quan hệ ngân hàng đại lý là hoạt động cung cấp dịch vụ ngân hàng, thanh toán và các dịch vụ khác của một ngân hàng tại một quốc gia, vùng lãnh thổ cho một ngân hàng đối tác tại một quốc gia, vùng lãnh thổ khác”.
Nếu ngân hàng thiết lập quan hệ ngân hàng đại lý với ngân hàng đối tác nước ngoài thì ngân hàng phải áp dụng các biện pháp theo quy định tại Điều 14 Luật phòng, chống rửa tiền, khi một tổ chức tài chính (ngân hàng đại lý) cung cấp dịch vụ ngân hàng cho các ngân hàng khác (ngân hàng đối tác), ngân hàng đại lý sẽ có nguy cơ bị lạm dụng để rửa tiền, đặc biệt là cung cấp dịch vụ ngân hàng đại lý cho ngân hàng “vỏ bọc”. Khuyến nghị số 13 của FATF đề cập tới những biện pháp bổ sung mà ngân hàng nên áp dụng khi có quan hệ ngân hàng đại lý xuyên quốc gia và những mối quan hệ tương tự. Ngân hàng cung cấp dịch vụ ngân hàng đại lý cần có quy trình theo dõi khách hàng của mình nhằm hạn chế những rủi ro có thể phát sinh. Ngân hàng phải thực hiện kiểm tra, kiểm soát thường xuyên để đảm bảo quy trình đó luôn được tuân thủ. Ngân hàng đại lý có thể xem xét việc áp dụng phương pháp dựa trên rủi ro vào quy trình theo dõi khách hàng, theo đó tổ chức đối tác phải được xếp loại rủi ro.
Đối với các giao dịch liên quan đến công nghệ mới: Với sự phát triển của khoa học kỹ thuật, đặc biệt là việc ứng dụng công nghệ mới vào hoạt động ngân hàng cho phép khách hàng không cần đến ngân hàng những vẫn sử dụng được các sản phẩm, dịch vụ ngân hàng. Do đó, ngày càng có nhiều tổ chức tài chính cung cấp các dịch vụ tài chính, ngân hàng mà không cần gặp trực tiếp khách hàng. Hoạt động
này tiềm ẩn rủi ro rửa tiền cao vì tội phạm có thể sử dụng các phương tiện như internet, điện thoại di động để thực hiện các giao dịch chuyển tiền hoặc rút tiền mặt từ ATM mà không cần phải đến ngân hàng, không chịu sự kiểm tra, kiểm soát của cán bộ ngân hàng trước khi chúng thực hiện giao dịch. Trong những trường hợp như vậy, mức độ và yêu cầu của hoạt động theo dõi khách hàng ít nhất phải hiệu quả như đối với các khách hàng đến giao dịch trực tiếp với ngân hàng. Để hạn chế rủi ro
này, Điều 15 Luật phòng, chống rửa tiền quy định: “1. Đối tượng báo cáo phải ban
hành quy trình nhằm mục đích sau đây: a) Phát hiện, ngăn chặn việc sử dụng công nghệ mới vào việc rửa tiền; b) Quản lý rủi ro về rửa tiền khi thiết lập giao dịch với khách hàng sử dụng công nghệ mới và không gặp mặt trực tiếp. 2. Quy trình quy định tại khoản 1 Điều này phải bảo đảm việc cập nhật thông tin khách hàng có hiệu quả như việc cập nhật thông tin khách hàng gặp mặt trực tiếp”.
Mức độ thực hiện nhận biết, cập nhật thông tin khách hàng phụ thuộc vào mức độ rủi ro: nhóm khách hàng có rủi ro cao cần áp dụng biện pháp tăng cường như trình bày trên, nhóm khách hàng có rủi ro thấp có thể áp dụng biện pháp giảm nhẹ hoặc giản lược. Các biện pháp CDD giảm nhẹ/giản lược không có nghĩa là không áp dụng bất kỳ phương pháp CDD nào.
Các ngân hàng nên xác minh thông tin nhận biết khách hàng và chủ sở hữu hưởng lợi trước hoặc trong quá trình thiết lập mối quan hệ kinh doanh hoặc khi tiến hành các giao dịch đối với các khách hàng vãng lai, nên thông qua những quy trình quản lý rủi ro liên quan đến các điều kiện mà theo đó khách hàng có thể thực hiện quan hệ kinh doanh trước khi xác minh. Quy trình này nên bao gồm một loạt các biện pháp như hạn chế loại hình, số lượng và giá trị giao dịch được tiến hành; Khi ngân hàng không thể thực hiện được các yêu cầu cung cấp thông tin liên quan đế nhận biết khách hàng thì không nên mở tài khoản và bắt đầu quan hệ kinh doanh hoặc thực hiện giao dịch hoặc cần phải chấm dứt quan hệ kinh doanh với khách hàng hiện tại; và cần phải cân nhắc làm báo cáo giao dịch đáng ngờ liên quan đến khách hàng đó; Các yêu cầu này nên áp dụng đối với tất cả các khách hàng mới, mặc dù vậy các ngân hàng cũng cần phải áp dụng yêu cầu này đối với các khách
hàng hiện tại trên cơ sở thực trạng và rủi ro; và cần phải tiến hành các biện pháp CDD vào những thời điểm thích hợp.
b. Biện pháp đánh giá khách hàng, phân loại khách hàng theo mức độ rủi ro: Phân loại khách hàng theo mức độ rủi ro không chỉ là biện pháp phòng ngừa tội phạm rửa tiền từ phía các đối tượng báo cáo theo quy định của pháp luật mà còn được hiểu là cách thức tốt nhất để đảm bảo sự phát triển bền vững của tổ chức tài chính. Điều 12 Luật phòng, chống rửa tiền và Điều 6 Nghị định 116 hướng dẫn cụ thể về việc phân loại khách hàng theo mức độ rủi ro. Theo đó, cơ sở để đối tượng báo cáo phân loại khách hàng theo mức độ rủi ro bao gồm 4 yếu tố: loại khách hàng; loại sản phẩm, dịch vụ khách hàng sử dụng bao gồm cả dự kiến sử dụng; vị trí địa lý nơi khách hàng cư trú hoặc có trụ sở chính và yếu tố khác do ngân hàng tự xác định.
Về loại khách hàng: Người cư trú hoặc không cư trú; tổ chức hoặc cá nhân; khách hàng thuộc hoặc không thuộc danh sách đen, danh sách cảnh báo; lĩnh vực, phương thức hoạt động, kinh doanh.
Về loại sản phẩm, dịch vụ khách hàng sử dụng bao gồm cả dự kiến sử dụng: Dịch vụ tiền mặt hoặc chuyển khoản; dịch vụ thanh toán hoặc chuyển tiền, đổi tiền; dịch vụ môi giới, ủy thác, ủy quyền; dịch vụ bảo hiểm nhân thọ hoặc phi nhân thọ.
Về vị trí địa lý nơi khách hàng cư trú hoặc có trụ sở chính: Các nước trong danh sách cấm vận nêu tại các Nghị quyết của Hội đồng Bảo an Liên hợp quốc; các nước trong danh sách công khai không tuân thủ hoặc tuân thủ không đầy đủ các khuyến nghị về chống rửa tiền và chống tài trợ khủng bố do Lực lượng đặc nhiệm tài chính (FATF) công bố định kỳ; quốc gia hoặc vùng lãnh thổ được nhận định có nhiều hoạt động ma túy, tham nhũng, rửa tiền.
Với quy định trên, đối tượng báo cáo cần cụ thể hóa các yếu tố trên thành các tiểu yếu tố; và trên cơ sở đánh giá tác động rủi ro của từng tiểu yếu tố và yếu tố, đối tượng báo cáo gán trọng số cho các tiểu yếu tố và yếu tố khi tính điểm cho từng khách hàng. Việc gán trọng số đối với từng tiểu yếu tố và yếu tố phụ thuộc đặc thù riêng liên quan đến khách hàng, sản phẩm, dịch vụ, địa lý... của từng tổ chức tài chính. Ngoài ra, đối tượng báo cáo phải: Rà soát khách hàng hoặc chủ sở hữu hưởng lợi theo danh sách PEP do Ngân hàng Nhà nước cung cấp hoặc danh sách
PEP từ nguồn khác được Ngân hàng Nhà nước cho phép sử dụng; Rà soát khách hàng theo danh sách đen của Bộ Công an, danh sách cảnh báo của Ngân hàng Nhà nước; Rà soát quốc gia nơi khách hàng cư trú hoặc nơi khách hàng đặt trụ sở chính có nằm trong danh sách cấm vận nêu tại các Nghị quyết của Hội đồng Bảo an Liên hợp quốc không? Rà soát quốc gia nơi khách hàng cư trú hoặc nơi khách hàng đặt trụ sở chính có nằm trong danh sách công khai không tuân thủ hoặc tuân thủ không đầy đủ các khuyến nghị về chống rửa tiền và chống tài trợ khủng bố do Lực lượng đặc nhiệm tài chính (FATF) công bố định kỳ.
c. Biện pháp giám sát giao dịch và tài khoản
Việc giám sát giao dịch và hoạt động trên tài khoản của khách hàng để phát hiện các giao dịch không bình thường và đáng ngờ là nhiệm vụ thường xuyên của đối tượng báo cáo, cần có quy trình phù hợp cho phép xác định các giao dịch và hoạt động trên tài khoản không bình thường. Bởi vì không phải tất cả các giao dịch không bình thường là đáng ngờ. đối tượng báo cáo phải có đủ năng lực để phân tích những giao dịch như vậy để khẳng định liệu chúng có nhất quán với những thông tin đã nhận biết về khách hàng không. Các giao dịch hoặc hoạt động không bình thường mà không thể giải thích trên cơ sở pháp lý hoặc thương mại có thể là lý do để nghi ngờ và báo cáo cho Cục phòng, chống rửa tiền hoặc cơ quan có thẩm quyền. Khả năng của đối tượng báo cáo về giám sát hoạt động tài khoản phụ thuộc phần lớn vào tính sẵn có và đầy đủ về nhận biết khách hàng và quá trình ghi chép, lưu trữ hồ sơ của đối tượng báo cáo. Việc thực hiện nhận biết khách hàng và việc ghi chép, lưu trữ yếu kém có thể gây trở ngại đáng kể tới khả năng xác định những giao dịch và hoạt động trên tài khoản không bình thường và đáng ngờ.
Tại Việt Nam, theo quy định tại Điều 16 Luật phòng, chống rửa tiền: “1. Đối
tượng báo cáo phải giám sát đặc biệt đối với các giao dịch sau đây: a) Giao dịch với giá trị lớn bất thường hoặc phức tạp; b) Giao dịch với tổ chức, cá nhân tại quốc gia, vùng lãnh thổ nằm trong danh sách do Lực lượng đặc nhiệm tài chính công bố nhằm chống rửa tiền hoặc danh sách cảnh báo. 2. Đối tượng báo cáo phải kiểm tra cơ sở pháp lý và mục đích của giao dịch; trường hợp có nghi ngờ về tính trung
thực, mục đích của giao dịch, đối tượng báo cáo phải lập báo cáo về giao dịch đáng ngờ gửi Ngân hàng Nhà nước Việt Nam và có thể từ chối giao dịch đó”.
Điều 9 Nghị định số 116/2013/NĐ-CP quy định chi tiết về giao dịch có giá trị
lớn bất thường, giao dịch phức tạp như sau: “Giao dịch có giá trị lớn bất thường
hoặc phức tạp theo quy định tại điểm a khoản 1 Điều 16 Luật phòng, chống rửa tiền