跨境支付业务里,某笔交易的对手方让你觉得不对劲:交易金额异常、收款主体和往常不同、业务描述含糊、收款账户突然变更……这种"直觉"有时候会在事后证明是正确的。但在实际操作里,怎么把直觉变成可操作的核查动作,并且快速拿到结论,是风控团队必须解决的实际问题。
可疑信号的几种典型模式
主体不匹配。 付款合同或者业务描述对应的是 A 公司,但收款账户是 B 公司——两个名字不同、地址不同。对于不熟悉的情况,有时候 B 是 A 的正常关联账户,有时候是洗钱或诈骗操作,从账面上很难区分。
信息变更请求。 已有的稳定对手方,突然来要求更换收款账户或者公司名。这是 BEC 商业邮件诈骗中最常见的切入方式,也是合规核查中优先级最高的触发点之一。
业务描述与交易规模不匹配。 一家注册资本很小、行业背景不明的公司,发起了远超常理规模的单笔交易请求,交易描述又很模糊("货款"、"咨询费"、"服务费"之类的笼统词)。
注册地和业务地大幅偏离。 对方声称的业务在东南亚,但收款账户在加勒比离岸地,注册公司地址在中东自由区,几个地理信息来自完全不同的地方,没有合理的业务逻辑解释。
公开信息快速核查的操作路径
遇到可疑信号时,速度和覆盖面要同时兼顾,下面是一个可操作的快速核查路径:
第一:制裁名单速查。 对手方公司名和相关人名,立即过一遍 OFAC SDN 名单、欧盟制裁名单、联合国制裁名单。这是合规层面的底线,不管其他信息如何,制裁名单命中就直接触发阻断流程。现在有多种合规筛查工具可以做实时查询,速度很快,建议作为第一个动作。
第二:工商基础核查。 拿对手方的公司名和注册国,查当地注册局或公开数据库:公司是否存在、注册状态正常与否、注册地址与声称的业务地是否一致、成立时间与其声称的业务历史是否匹配。这一步排除空壳、注销公司和明显信息造假。
第三:主体一致性核查。 核对收款账户的开户名和合同主体名是否一致;如果不一致,核实两者之间的关联关系是否有合理解释且有书面依据。不一致而且没有合理解释,就应该暂停交易,通过独立渠道(不是对方发来的新邮件里的联系方式)联系确认。
第四:公开负面信息筛查。 在当地媒体、行业媒体里搜索对手方的名字,看有没有和欺诈、洗钱、监管处罚相关的报道。这一步不能覆盖所有风险,但能把已有公开记录的问题主体过滤出来。
不同可疑信号的处置建议
制裁名单命中:立即阻断,走合规上报流程,不要自行判断是否是"误匹配"。
主体不匹配但无法核实:暂停付款,通过可信渠道联系对手方,要求书面澄清关联关系,核实之前不放款。
信息变更请求未核实:绝对不直接按新信息打款,必须通过预先确认过的联系渠道(不是对方发来的新邮件)独立验证。
工商信息异常但制裁名单没命中:上升到人工复核,必要时要求对手方提供额外的核实材料。
数据核查能帮什么
对于可疑交易对手的核查,我们能做的是:工商注册信息核查(注册状态、地址、股东董事)、关联公司梳理、公开负面信息整合,出具中文报告供风控团队作为决策参考。
制裁名单的实时筛查,建议使用专业的合规系统(如 World-Check、Refinitiv、LexisNexis 风险解决方案等),这类系统的数据库覆盖和更新频率是我们做公开数据核查替代不了的。
我们的核查结论是"现有公开信息显示什么",不是"这笔交易可以放行"的判断,合规放行的决策权在你们机构内部的合规流程。
常见问题
Q:核查提交给合规部门,需要多快出结论?
取决于交易的紧迫程度和风险等级。制裁名单查询可以实时完成;工商基础核查通常在几小时到一天内可以出结论;涉及复杂关联公司穿透的,时间会更长一些。实际操作中,建议按风险等级设置不同的核查深度要求,不是所有可疑信号都需要做全套穿透,快速的基础核查能过滤掉大多数明显问题。
Q:核查结果显示公司是正常的,但直觉还是觉得有问题,怎么办?
直觉不是没有价值的,尤其是经验丰富的风控人员的判断。公开信息核查排除的是"有公开记录的问题",不能覆盖所有风险。如果核查通过了但仍有疑虑,可以:要求对手方提供额外文件(合同、发票链条、实际业务证明)、要求小额先行测试、或者上升到更资深的风控人员做二次评估。感觉不对就不放,哪怕核查通过,是风控文化里的一条合理原则。
Q:批量处理跨境支付,每笔都做这些核查,成本太高怎么办?
可以按风险分级来处理:低风险的(金额小、已有稳定合作记录、主体核实过)走轻量化流程;高风险的(金额大、新对手方、信息变更、地理异常)走完整核查流程。不同风险级别的触发条件,根据你们业务特点来设定。这个分级流程本身也需要定期审视,不能设定了就永远不更新。