AML 2 — KYC, CDD & EDD: định danh và hiểu khách hàng

13 thg 7, 2026 2 lượt xem
#banking
#aml
#kyc
#cdd
#ubo
#pep
#edd

KYC, CDD & EDD: định danh và hiểu khách hàng

Bài tổng quan AML đã dựng khung: ngân hàng có nghĩa vụ phát hiện và báo cáo dòng tiền bất thường. Nhưng muốn phát hiện bất thường thì trước tiên phải biết bình thường là gì — với chính khách hàng này. Một giao dịch 500 triệu đồng có thể hoàn toàn hợp lý với một doanh nghiệp xuất khẩu, nhưng lại rất đáng ngờ với một sinh viên. Không có hồ sơ khách hàng, mọi cảnh báo đều mù.

Đó là lý do KYC (Know Your Customer) là nền móng của cả toà nhà AML. Bài này đi qua toàn bộ chuỗi: từ việc định danh khách là ai (CIP), đến hiểu khách làm gì và tại sao (CDD), đến việc soi sâu những khách rủi ro cao (EDD), cùng hai chủ đề khó nhất trong thực tế — UBO (ai thực sự sở hữu một pháp nhân) và PEP (khách có quyền lực chính trị) — và cách ngân hàng chấm điểm rủi ro từng khách để quyết định làm KYC ở mức nào.


1. KYC là gì và vì sao là nền của AML

KYC là tập hợp các quy trình để ngân hàng biết khách hàng của mình là ai và hiểu quan hệ với họ. Nó không phải một thủ tục một lần lúc mở tài khoản, mà là một vòng đời:

  • Tại onboarding — khi mở quan hệ (mở tài khoản, cấp thẻ, cho vay): thu thập và xác minh danh tính, hiểu mục đích quan hệ.
  • Suốt vòng đời (ongoing) — cập nhật hồ sơ định kỳ, theo dõi xem hành vi thực tế có khớp với hồ sơ ban đầu không.

Ba tầng của KYC, tăng dần độ sâu:

  1. CIP — Customer Identification Program: bạn là ai? Thu thập và xác minh danh tính.
  2. CDD — Customer Due Diligence: bạn làm gì, tiền từ đâu, dự kiến giao dịch thế nào? Hiểu bản chất quan hệ.
  3. EDD — Enhanced Due Diligence: với khách rủi ro cao, soi sâu hơn nữa.

Chuẩn quốc tế nền tảng ở đây là Khuyến nghị 10 của FATF (Financial Action Task Force) về CDD, cùng các khuyến nghị về beneficial ownership (24/25) và PEP (12/22). Hầu hết luật AML quốc gia đều ánh xạ từ bộ khung này.


2. CIP — định danh và xác minh khách hàng

CIP trả lời câu hỏi cơ bản nhất: khách này có thực sự tồn tại và đúng là người/tổ chức họ tự nhận không? Gồm hai việc tách biệt:

  • Định danh (identification): thu thập thông tin định danh.
  • Xác minh (verification): đối chiếu thông tin đó với nguồn độc lập, đáng tin cậy — không chỉ tin lời khách khai.

Với khách hàng cá nhân, thông tin tối thiểu thường gồm: họ tên, ngày sinh, địa chỉ, số giấy tờ tuỳ thân (CCCD/hộ chiếu). Xác minh bằng cách kiểm tra giấy tờ gốc, đối chiếu với cơ sở dữ liệu dân cư/định danh quốc gia, hoặc dữ liệu bên thứ ba.

Với khách hàng tổ chức (pháp nhân), phức tạp hơn nhiều: cần giấy chứng nhận đăng ký doanh nghiệp, ngành nghề, cơ cấu sở hữu, người đại diện theo pháp luật — và quan trọng nhất, ai là chủ sở hữu hưởng lợi cuối cùng (UBO) (xem mục 5). Không đủ khi chỉ biết "công ty A"; phải biết con người thật đứng sau công ty A.

eKYC — định danh điện tử

Trước đây khách phải ra quầy. Ngày nay phần lớn onboarding bán lẻ đã chuyển sang eKYC (electronic KYC) — định danh từ xa qua điện thoại/web, dựa trên vài trụ cột kỹ thuật:

  • OCR (Optical Character Recognition): chụp ảnh giấy tờ, máy tự đọc và trích xuất họ tên, số giấy tờ, ngày sinh — không cần gõ tay.
  • Sinh trắc học khuôn mặt (face matching): so ảnh selfie của khách với ảnh trên giấy tờ để xác nhận "người cầm giấy tờ đúng là chủ giấy tờ".
  • Liveness detection (kiểm tra sự sống): đảm bảo đang chụp một người thật trước camera, không phải ảnh in, video phát lại, hay mặt nạ/deepfake. Đây là tuyến phòng thủ chống giả mạo.
  • Video KYC: với hồ sơ cần độ đảm bảo cao hơn, một cuộc gọi video có nhân viên (hoặc bán tự động) để xác nhận trực tiếp.

Các mô hình thị giác máy tính đứng sau face matching và liveness chính là ứng dụng thực tế của mạng nơ-ron tích chập (CNN) — đây là chỗ AML gặp học sâu. eKYC hạ chi phí và ma sát onboarding rất mạnh, nhưng đổi lại mở ra bề mặt tấn công mới (deepfake, giấy tờ giả tinh vi), nên liveness và phát hiện giả mạo là cuộc chạy đua liên tục.


3. CDD — thẩm định khách hàng

Biết khách là ai mới là một nửa. CDD trả lời phần còn lại: khách này định làm gì với chúng ta, và điều đó có hợp lý không? CDD thu thập và đánh giá:

  • Mục đích và bản chất quan hệ (purpose & intended nature): khách mở tài khoản để làm gì — nhận lương, kinh doanh, đầu tư, kiều hối?
  • Nguồn tiền và nguồn tài sản:
    • Source of Funds (SoF) — tiền đưa vào giao dịch cụ thể này từ đâu (ví dụ: tiền bán một lô hàng).
    • Source of Wealth (SoW) — toàn bộ tài sản của khách tích luỹ từ đâu (ví dụ: thừa kế, cổ phần doanh nghiệp, nhiều năm thu nhập). SoW là bức tranh lớn hơn, thường chỉ đào sâu với khách giàu/rủi ro cao.
  • Hoạt động dự kiến (expected activity): dự kiến giao dịch bao nhiêu, tần suất thế nào, với những đối tác/quốc gia nào?

Điểm mấu chốt: hoạt động dự kiến chính là "đường cơ sở" (baseline) để lớp giám sát so sánh. Nếu hồ sơ CDD nói khách là quán ăn nhỏ dự kiến doanh thu vài chục triệu/tháng, mà tài khoản đột nhiên nhận chuyển khoản 5 tỷ từ nước ngoài — đó là lệch khỏi baseline và sẽ sinh cảnh báo. Đây chính là mắt xích nối CDD với giám sát giao dịch: CDD tạo ra kỳ vọng, monitoring đo độ lệch so với kỳ vọng.

CDD theo mức độ rủi ro (risk-based approach): không phải khách nào cũng làm CDD như nhau. FATF yêu cầu cách tiếp cận theo rủi ro:

  • SDD — Simplified Due Diligence cho khách rủi ro thấp (ví dụ tài khoản lương giá trị nhỏ, sản phẩm đơn giản): thu thập tối thiểu, ít ma sát.
  • CDD tiêu chuẩn cho phần lớn khách.
  • EDD cho khách rủi ro cao (mục 4).

Mức CDD được quyết định bởi điểm rủi ro khách hàng (mục 6).


4. EDD — thẩm định tăng cường

EDD áp dụng khi khách hoặc quan hệ được đánh giá rủi ro cao. Các tình huống điển hình kích hoạt EDD:

  • Khách là PEP hoặc người thân/liên quan của PEP (mục 5 dưới).
  • Ngành nghề rủi ro cao: kinh doanh tiền mặt lớn (casino, đổi tiền), tài sản mã hoá, kim loại quý, vũ khí.
  • Quốc gia rủi ro cao: khách hoặc dòng tiền liên quan tới quốc gia trong danh sách giám sát của FATF (grey/black list) hoặc bị cấm vận.
  • Cơ cấu sở hữu phức tạp/mờ ám: nhiều tầng công ty, công ty vỏ bọc (shell company), pháp nhân ở thiên đường thuế.
  • Private banking / khách siêu giàu, giao dịch giá trị rất lớn không rõ mục đích kinh tế.

EDD làm sâu và chặt hơn so với CDD tiêu chuẩn:

  • Xác minh sâu hơn nguồn tài sản (SoW): không chỉ hỏi mà thu thập bằng chứng (hợp đồng, báo cáo tài chính, hồ sơ thuế).
  • Thu thập thông tin bổ sung về khách, đối tác, mục đích giao dịch; tra cứu thông tin bất lợi (adverse media).
  • Phê duyệt cấp cao (senior management approval): quan hệ với khách rủi ro cao (đặc biệt PEP) phải được lãnh đạo cấp cao phê duyệt trước khi thiết lập/duy trì.
  • Giám sát tăng cường (enhanced ongoing monitoring): review thường xuyên hơn, ngưỡng cảnh báo nhạy hơn.

Ba mức SDD / CDD / EDD tạo thành một dải liên tục, và một khách có thể dịch chuyển giữa các mức khi rủi ro thay đổi (một khách bình thường trở thành PEP sau khi nhậm chức, chẳng hạn).


5. PEP và UBO — hai bài toán khó nhất

PEP — Politically Exposed Person

PEP là người đang hoặc từng nắm giữ chức vụ công quyền quan trọng — và những người thân/liên quan gần gũi với họ. FATF chia ba nhóm:

  • Foreign PEP: người nắm chức vụ quan trọng ở nước ngoài (nguyên thủ, bộ trưởng, thẩm phán cấp cao, tướng lĩnh, lãnh đạo doanh nghiệp nhà nước).
  • Domestic PEP: tương tự nhưng trong nước.
  • International organization PEP: lãnh đạo cấp cao tại tổ chức quốc tế (LHQ, EU, IMF...).

Quan trọng: định nghĩa PEP còn phủ cả thành viên gia đình (vợ/chồng, con, cha mẹ) và người thân cận (close associates) — vì tiền tham nhũng thường được giấu qua người thân.

Vì sao PEP rủi ro? Không phải vì PEP đương nhiên là tội phạm — mà vì họ có cơ hội tham nhũng, nhận hối lộ, biển thủ công quỹ, và cần rửa số tiền đó. Do đó FATF yêu cầu EDD bắt buộc với foreign PEP, và theo rủi ro với domestic PEP. Việc phát hiện một khách là PEP thuộc về lớp sàng lọc (screening) — đối chiếu tên khách với danh sách PEP — được bàn kỹ trong bài sàng lọc & cấm vận. Lưu ý là "nhãn PEP" thường không tự mất đi ngay khi rời chức; nhiều khung yêu cầu tiếp tục coi là rủi ro trong một thời gian sau đó.

UBO — Ultimate Beneficial Owner

UBOcon người thật cuối cùng sở hữu hoặc kiểm soát một pháp nhân — người thực sự hưởng lợi hoặc điều khiển, chứ không phải cái tên công ty trên giấy tờ.

Ngưỡng thông dụng theo FATF là sở hữu hoặc kiểm soát từ 25% trở lên (một số nước hạ xuống 10%). Kiểm soát không chỉ là cổ phần — còn qua quyền bổ nhiệm ban lãnh đạo, thoả thuận cổ đông, hay các dàn xếp khác.

Vì sao UBO khó? Vì tội phạm cố tình che giấu danh tính thật qua:

  • Công ty vỏ bọc (shell companies): pháp nhân không hoạt động thực, chỉ để đứng tên.
  • Sở hữu nhiều tầng (layered ownership): công ty A thuộc công ty B ở nước ngoài, B thuộc quỹ tín thác C, C do người được uỷ thác D đứng tên... Người thật bị chôn dưới nhiều lớp.
  • Nominee (người đứng tên hộ): một người/công ty đứng tên thay cho chủ thật.

Nhiệm vụ của ngân hàng là truy vết cấu trúc sở hữu (unwrap ownership) cho đến khi chạm được con người thật, rồi mới screening và đánh giá rủi ro người đó (có phải PEP không, có bị cấm vận không). Nếu không thể xác định UBO một cách hợp lý, đó tự nó là một cờ đỏ nghiêm trọng.


6. Customer risk rating — chấm điểm rủi ro khách hàng

Vì KYC theo cách tiếp cận dựa trên rủi ro, ngân hàng cần một cơ chế cho điểm rủi ro từng khách để quyết định: làm CDD ở mức nào (SDD/CDD/EDD), review lại bao lâu một lần, ngưỡng giám sát ra sao. Mô hình chấm điểm thường tổ hợp nhiều yếu tố:

  • Loại khách hàng: cá nhân, doanh nghiệp, tổ chức tài chính, quỹ tín thác.
  • Ngành nghề / nghề nghiệp: ngành thâm dụng tiền mặt và ngành nhạy cảm điểm cao hơn.
  • Địa lý: quốc gia cư trú/quốc tịch/nơi đặt trụ sở; liên quan quốc gia rủi ro cao → điểm cao.
  • Sản phẩm/dịch vụ: sản phẩm dễ bị lạm dụng (chuyển tiền quốc tế, private banking) rủi ro hơn tiết kiệm cơ bản.
  • Kênh: onboarding từ xa (non-face-to-face) thường rủi ro hơn tại quầy.
  • PEP / adverse media: cờ PEP thường đẩy thẳng lên rủi ro cao.
(minh hoạ) Tiêu chí chấm điểm rủi ro khách hàng — mô hình đơn giản

Yếu tố                Giá trị của khách          Trọng số   Điểm
----------------------------------------------------------------
Loại KH               Doanh nghiệp                 x2        2
Ngành nghề            Kinh doanh vàng bạc (cao)    x3        3
Địa lý (quốc gia)     Có đối tác ở nước grey-list  x3        3
Sản phẩm              Chuyển tiền quốc tế          x2        2
Kênh onboarding       Tại quầy (thấp)              x1        1
Cờ PEP                Không                        x0        0
----------------------------------------------------------------
Tổng điểm = 11

Phân mức:
   0 - 5   -> THẤP    -> SDD,  review 3 năm/lần
   6 - 10  -> TRUNG   -> CDD,  review 2 năm/lần
  11 - 15  -> CAO     -> EDD,  phê duyệt cấp cao, review 1 năm/lần
  (Bất kỳ cờ PEP/cấm vận -> tự động CAO, bỏ qua điểm số)

Điểm quan trọng: mô hình rủi ro là động (dynamic), không phải chấm một lần rồi quên. Khi hành vi hay thông tin khách thay đổi, điểm phải được tính lại và mức CDD điều chỉnh theo.


7. Ongoing due diligence & KYC refresh

KYC không dừng ở onboarding. Nghĩa vụ thẩm định liên tục (ongoing due diligence) đòi hỏi hồ sơ khách luôn được cập nhật và phản ánh đúng thực tế:

  • Refresh định kỳ theo rủi ro: khách rủi ro cao review hằng năm hoặc dày hơn; rủi ro thấp có thể vài năm một lần (như bảng phân mức ở trên). Đây là periodic review / KYC refresh.
  • Refresh theo sự kiện (trigger-based): một số sự kiện kích hoạt review ngoài lịch, ví dụ:
    • Hành vi giao dịch lệch mạnh khỏi baseline (một cảnh báo từ giám sát giao dịch).
    • Thay đổi thông tin: đổi cơ cấu sở hữu, đổi người đại diện, đổi địa chỉ sang quốc gia rủi ro.
    • Khách trở thành PEP, hoặc xuất hiện tin bất lợi (adverse media).

Xu hướng hiện đại là chuyển từ periodic (theo lịch cứng) sang perpetual KYC (pKYC) — cập nhật liên tục dựa trên dữ liệu, kích hoạt review đúng lúc rủi ro đổi thay thay vì chờ đến hạn.


8. Vai trò của dữ liệu

KYC hiện đại là một bài toán dữ liệu, và chất lượng của nó quyết định chất lượng mọi lớp AML phía sau. Vài điểm cốt lõi (đào sâu ở bài dữ liệu & công nghệ):

  • Entity resolution (hợp nhất thực thể): một khách có thể xuất hiện nhiều lần với tên viết khác nhau, ở nhiều hệ thống (tiền gửi, thẻ, vay). Phải gom về một hồ sơ khách duy nhất thì mới nhìn được toàn cảnh — và mới truy vết được UBO qua các pháp nhân liên quan.
  • Dữ liệu KYC nuôi sàng lọc & giám sát: hồ sơ định danh là đầu vào cho screening (đối chiếu tên với danh sách PEP/cấm vận), còn hồ sơ hoạt động dự kiến là baseline cho monitoring. Dữ liệu KYC bẩn → false positive tràn ngập và bỏ lọt rủi ro thật.

Use case thực tế — onboarding một doanh nghiệp

Doanh nghiệp Global Trading JSC đến mở tài khoản thanh toán quốc tế để nhập khẩu thiết bị.

  1. CIP: ngân hàng thu giấy chứng nhận đăng ký doanh nghiệp, điều lệ, danh sách cổ đông, giấy tờ người đại diện. Xác minh pháp nhân qua cổng đăng ký doanh nghiệp và giấy tờ cá nhân người đại diện qua eKYC (OCR + face match + liveness).
  2. Truy vết UBO: cơ cấu cho thấy Holdings B Ltd (offshore) sở hữu 60%. Đào tiếp: B do một quỹ tín thác sở hữu 100%, người thụ hưởng cuối là ông X. 60% × 100% = 60% ≥ 25% → ông X là UBO và phải được xác minh, screening.
  3. CDD: hiểu mục đích (nhập khẩu thiết bị), nguồn tiền (doanh thu bán hàng), hoạt động dự kiến (chuyển tiền quốc tế ~vài tỷ/tháng tới vài nhà cung cấp châu Á). Con số này thành baseline cho giám sát.
  4. Screening & PEP: đối chiếu ông X với danh sách. Kết quả: ông X là domestic PEP (từng là quan chức cấp tỉnh). Kết hợp với yếu tố offshore + ngành thương mại quốc tế → hồ sơ được nâng lên rủi ro cao.
  5. EDD: vì rủi ro cao, ngân hàng đào sâu nguồn tài sản của ông X (thu bằng chứng), quét adverse media, và trình lãnh đạo cấp cao phê duyệt trước khi mở quan hệ. Đặt tần suất giám sát tăng cườngreview hằng năm.
  6. Ongoing: một năm sau, tài khoản bắt đầu chuyển tiền sang một quốc gia mới nằm trong grey-list → trigger review ngoài lịch, đánh giá lại điểm rủi ro.

Chuỗi này cho thấy toàn bộ khung KYC vận hành như một cỗ máy liền mạch: định danh → hiểu → chấm rủi ro → soi sâu → theo dõi liên tục.


Ghi nhớ

  • KYC là nền của AML: không hiểu khách thì không có "bình thường" để so, không phát hiện được "bất thường". KYC chạy cả lúc onboarding lẫn suốt vòng đời.
  • Ba tầng: CIP (bạn là ai — định danh + xác minh, ngày càng làm qua eKYC: OCR, face match, liveness), CDD (bạn làm gì, tiền từ đâu, SoF/SoW, hoạt động dự kiến), EDD (soi sâu khách rủi ro cao). SDD cho rủi ro thấp.
  • CDD tạo baseline cho giám sát giao dịch: hoạt động dự kiến là thước đo để đo độ lệch.
  • PEP = người có quyền lực chính trị (và người thân/liên quan) — rủi ro tham nhũng, bắt buộc EDD với foreign PEP; phát hiện qua sàng lọc.
  • UBO = con người thật cuối cùng sở hữu/kiểm soát pháp nhân (ngưỡng ~25%); khó vì shell company và sở hữu nhiều tầng — phải truy vết đến người thật.
  • Customer risk rating (loại KH, ngành, địa lý, sản phẩm, kênh, PEP) quyết định mức CDD và tần suất review; phải động.
  • Ongoing/refresh theo định kỳ và theo trigger; xu hướng là perpetual KYC.
  • Chất lượng dữ liệu (entity resolution, hồ sơ sạch) quyết định chất lượng cả screening lẫn monitoring — xem bài dữ liệu & công nghệ.

Bài viết liên quan

Dòng chảy dữ liệu core -> ODS -> DWH -> BI, mô hình dữ liệu cốt lõi và bộ ví dụ SQL thực hành chạy được.

13 thg 7, 2026 7

Bản chất kinh doanh của ngân hàng: trung gian tài chính, bảng cân đối, NIM và vì sao dữ liệu quan trọng.

13 thg 7, 2026 5

Kiến trúc core banking, CIF, các phân hệ và xử lý online vs batch/EOD.

13 thg 7, 2026 5

Nguyên lý hạch toán kép, Nợ/Có, hệ thống tài khoản và cách mọi giao dịch ngân hàng luôn cân sổ.

13 thg 7, 2026 5