ธปท.ออกกฎ KYM คุมอีมันนี่ สกัดฟอกเงินมีผล 1ม.ค.65

ปัจจุบันการชำระค่าสินค้าหรือบริการผ่านช่องทางอิเล็กทรอนิกส์ของการซื้อขายสินค้าหรือบริการจากร้านค้าผ่านช่องทางอิเล็กทรอนิกส์หรือร้านค้าออนไลน์ได้รับความนิยมและมีปริมาณธุรกรรมเพิ่มขึ้นอย่างต่อเนื่อง ผู้ประกอบธุรกิจบริการการชำระเงินภายใต้การกำกับ  มีการอำนวยความสะดวกแก่ร้านค้าในการรับชำระเงินด้วยวิธีการทางอิเล็กทรอนิกส์

 

เช่น การวางเครื่องรับบัตร (Electronic Data  Capture: EDC) การให้บริการ Quick  Response Code (QR Code) และการรับชำระเงินรูปแบบต่าง ๆ โดยมีการทำความรู้จักและการบริหารติดตามความเสี่ยงร้านค้าที่แตกต่างกัน ทั้งในมิติของการพิจารณาความเสี่ยงของประเภทสินค้าหรือบริการ ความเสี่ยงของร้านค้า และความเสี่ยงของวิธีการรับชำระค่าสินค้าหรือบริการ

 

ซึ่งการประเมินความเสี่ยงที่ไม่เพียงพอ อาจส่งผลให้มีการใช้การรับชำระเงินด้วยวิธีการทางอิเล็กทรอนิกส์เป็นช่องทางการทุจริต การฟอกเงิน หรือการหลีกเลี่ยงการปฏิบัติตามกฎหมายและหลักเกณฑ์ต่าง ๆ ซึ่งอาจส่งผลเสียหายต่อลูกค้าได้

ธนาคารแห่งประเทศไทย(ธปท.) จึงกำหนดแนวนโยบายการรู้จักและการบริหารติดตามความเสี่ยงร้านค้าสำหรับการรับชำระเงินด้วยวิธีการทางอิเล็กทรอนิกส์ ( Know Your Merchant (KYM) 

 

ทั้งนี้ เพื่อให้ผู้ประกอบธุรกิจ ได้แก่

1.ธนาคารพาณิชย์จดทะเบียนในประเทศ 

2.ธนาคารพาณิชย์ที่จดทะเบียนในต่างประเทศ 

3.ผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ที่มิใช่สถาบันการเงิน 

4.สถาบันการเงินเฉพาะกิจ  ซึ่งเป็นผู้ให้บริการรับชำระเงินแก่ร้านค้าด้วยวิธีการทางอิเล็กทรอนิกส์ มีกระบวนการรู้จักและพิสูจน์ทราบร้านค้า

 

รวมทั้งการบริหารจัดการความเสี่ยงที่เพียงพอเหมาะสมกับระดับความเสี่ยงของร้านค้า  เป็นแนวปฏิบัติที่เป็นมาตรฐานขั้นต่ำ โดยจะมีผลบังคับใช้ตั้งแต่วันที่ 1 มกราคม 2565

ความเสี่ยง 3ระดับ

สาระสำคัญประกอบด้วย

 1.จัดให้มีการประเมินและจัดระดับความเสี่ยงร้านค้าโดยแบ่งออกเป็น 3 ระดับ ได้แก่ 1) ร้านค้าทั่วไป  คือ ร้านค้าที่ผู้ประกอบธุรกิจประเมินแล้วว่าขายสินค้าหรือบริการทั่วไป ที่ไม่เข้าลักษณะความเสี่ยงสูงหรือไม่ใช่ร้านค้าที่เข้าลักษณะต้องห้าม

2) ร้านค้าที่เข้าลักษณะความเสี่ยงสูง คือ  ร้านค้าที่ผู้ประกอบธุรกิจประเมินว่าขายสินค้าหรือบริการที่เข้าลักษณะความเสี่ยงสูงจากการประเมินจากปัจจัยความเสี่ยง เช่น ประเภทสินค้าหรือบริการช่องทางการขายสินค้าหรือบริการ รูปแบบธุรกิจ สถานที่ตั้งของร้านค้า เป็นต้น หรือเข้าลักษณะตามกฎหมายและหลักเกณฑ์ว่าด้วยการป้องกันและปราบปรามการฟอกเงินหรือกฎหมายอื่นที่เกี่ยวข้อง ทั้งนี้ผู้ประกอบธุรกิจอาจนำแนวทางการจัดประเภทสินค้าหรือบริการตาม Merchant Category Code (MCC) ของผู้ให้บริการเครือข่ายบัตรระหว่างประเทศมาใช้ในการประเมินความเสี่ยงด้วยก็ได้

3) ร้านค้าที่เข้าลักษณะต้องห้าม  คือ  ร้านค้าที่ผู้ประกอบธุรกิจประเมินแล้วว่าขายสินค้าหรือบริการอย่างหนึ่งอย่างใดต้องห้ามโดยกฎหมายชัดแจ้ง หรือที่ขัดต่อความสงบเรียบร้อย หรือต่อศีลธรรมอันดีของประชาชน เช่น ร้านค้าที่ขายสินค้าหรือบริการที่เข้าข่ายความผิดมูลฐานตามพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน

 

2. กำหนดนโยบายการรู้จักร้านค้า แนวปฏิบัติและกระบวนการประเมิน ติดตาม สอบทาน และบริหารความเสี่ยง การควบคุมภายใน รวมทั้งการเปลี่ยนแปลงที่มีนัยสำคัญ ตั้งแต่เริ่มกระบวนการรู้จักร้านค้าจนถึงการยุติความสัมพันธ์กับร้านค้าตามระดับความเสี่ยงร้านค้า และสอดคล้องกับกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง

 

สำหรับร้านค้าที่เข้าลักษณะความเสี่ยงสูง ผู้ประกอบธุรกิจต้องกำหนดนโยบายแนวปฏิบัติ และกระบวนการสำหรับร้านค้าเพิ่มเติมจากแนวปฏิบัติขั้นต่ำที่ใช้กับร้านค้าทั่วไป รวมถึงกำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติที่วางไว้อย่างเคร่งครัด

 

4หลักการสำคัญ คือ

1) การจัดกลุ่มและกำหนดกระบวนการรู้จักร้านค้าที่สอดคล้องกับระดับความเสี่ยงของร้านค้าและกฎหมายหรือหลักเกณฑ์ที่เกี่ยวข้อง 

2) การบริหารจัดการความเสี่ยงที่มีกลไก กระบวนการ ระบบงาน หรือเครื่องมือที่เหมาะสมกับระดับความเสี่ยงของร้านค้า และสามารถติดตามตรวจสอบได้อย่างต่อเนื่อง 

3) การรู้จักและการบริหารติดตามความเสี่ยงร้านค้ามีมาตรฐานระหว่างผู้ประกอบธุรกิจ และไม่เป็นภาระให้กับผู้ประกอบธุรกิจเกินสมควร  และ 4) ระบบการชำระเงินมีความปลอดภัยในการให้บริการ

 

สำหรับแนวนโยบายการรู้จักและการบริหารติดตามความเสี่ยงร้านค้า  ผู้ประกอบธุรกิจต้องดำเนินการ  ได้แก่ 

1.กำหนดนโยบาย มาตรการบริหารความเสี่ยง กระบวนการควบคุมภายใน  เช่น หลักเกณฑ์เกี่ยวกับการแสดงตนของลูกค้าและการพิสูจน์ตัวตนลูกค้าตามกฎหมายว่าด้วยการป้องกันและปราบปราม การฟอกเงิน หรือหลักเกณฑ์ที่เกี่ยวกับการรู้จักลูกค้า (Know Your Customer: KYC) สำหรับการเปิดบัญชีเงินฝาก หรือการเปิดใช้บริการเงินอิเล็กทรอนิกส์เป็นต้น

 

โดยนโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการบริษัทหรือคณะกรรมการที่ได้รับมอบหมาย รวมทั้งจัดให้มีการเผยแพร่และจัดอบรมแก่พนักงานหรือบุคลากรที่เกี่ยวข้องเพื่อให้การปฏิบัติเป็นไปตามนโยบาย มาตรการ และแนวทางดังกล่าว และจัดให้มีการทบทวนและปรับปรุงนโยบาย มาตรการบริหารความเสี่ยง กระบวนการควบคุมภายในและการติดตามตรวจสอบความเสี่ยงและการปฏิบัติตามแนวทางที่กำหนดอย่างน้อยปีละ 1 ครั้ง

 

2 ประเมินและจัดระดับความเสี่ยงร้านค้าจากข้อมูลและหลักฐานของร้านค้า (Merchant  categorization) โดยจัดระดับความเสี่ยงตามรูปแบบลักษณะและประเภทของธุรกิจ และต้องคำนึงถึงปัจจัยความเสี่ยงที่เกี่ยวกับการทุจริต การฟอกเงิน และการสนับสนุนทางการเงินแก่การก่อการร้ายตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงินเป็นขั้นต่ำ หรือการหลีกเลี่ยงการปฏิบัติตามกฎหมายหรือหลักเกณฑ์ที่เกี่ยวข้อง ทั้งนี้ผู้ประกอบธุรกิจอาจนำปัจจัยความเสี่ยงตามแนวทางของผู้ให้บริการเครือข่ายบัตรระหว่างประเทศ (International Card Schemes) มาใช้ในการประเมินและจัดระดับความเสี่ยงด้วยก็ได้

 

3 แนวปฏิบัติในการรู้จักและบริหารติดตามความเสี่ยงร้านค้า ครอบคลุมกระบวนการตั้งแต่การรู้จักร้านค้าจนถึงการติดตามตรวจสอบและยุติความสัมพันธ์ให้สอดคล้องกับระดับความเสี่ยงร้านค้าโดยร้านค้าทุกแห่งปฏิบัติตามแนวปฏิบัติขั้นต่ำ

 

สำหรับร้านค้าที่เข้าลักษณะความเสี่ยงสูงต้องปฏิบัติตามแนวปฏิบัติเพิ่มเติมด้วย ดังนี้

 1) แนวปฏิบัติขั้นต่ำ   การรู้จักร้านค้าเพื่อให้บริการรับชำระเงิน (Onboarding)   ผู้ประกอบธุรกิจต้องทำความรู้จักเจ้าของร้านค้าหรือผู้มีอำนาจจัดการร้านค้า (KYM) ทั้งบุคคลธรรมดาหรือนิติบุคคล โดยต้องปฏิบัติตามหลักเกณฑ์การแสดงตนของลูกค้าและการพิสูจน์ตัวตน ลูกค้าตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน รวมถึงหลักเกณฑ์การรู้จักลูกค้า (Know Your Customer: KYC) สำหรับการเปิดบัญชีเงินฝาก การเปิดใช้บริการเงินอิเล็กทรอนิกส์ของ ธปท. หรือการให้บริการรับชำาระเงินรูปแบบอื่น แล้วแต่กรณี

 

ทั้งนี้ผู้ประกอบธุรกิจพิสูจน์ทราบข้อมูลและหลักฐานร้านค้า (Verification)ให้สอดคล้องกับลักษณะและความเสี่ยงของธุรกิจแต่ละประเภท เพื่อตรวจสอบความถูกต้อง ความแท้จริง และความเป็นปัจจุบันของข้อมูลและหลักฐานของร้านค้า

 

นอกจากนี้การบริหารติดตามความเสี่ยงร้านค้า (Ongoing monitoring)  ให้ผู้ประกอบธุรกิจกำหนดมาตรการ แนวทางดำเนินการ กระบวนการและกลไกในการบริหารติดตาม และตรวจสอบความเสี่ยง ความเคลื่อนไหวของธุรกรรมรับชำระเงิน รวมถึงติดตามปรับปรุงข้อมูลสถานะของร้านค้าที่ตนให้บริการอย่างสม่ำเสมอ เพื่อทราบถึงระดับความเสี่ยงของร้านค้าที่อาจเปลี่ยนแปลงไป

 

 เช่น การเปลี่ยนแปลงประเภทสินค้าหรือรายได้จากการขายสินค้า พร้อมทั้งจัดทำรายชื่อกลุ่มร้านค้าที่ต้องติดตามอย่างใกล้ชิด (Watch list) ด้วย

 

อีกทั้งดูแลกระบวนการบริหารติดตามความเสี่ยงของร้านค้าครอบคลุมทั้งร้านค้าหลัก(Master merchant) และร้านค้าอื่นภายใต้ร้านค้าหลัก (Sub-merchant) ซึ่งผู้ประกอบธุรกิจควรกำหนดให้ร้านค้าหลักถือปฏิบัติตามแนวนโยบายฉบับนี้เพื่อดูแลร้านค้าอื่นภายใต้ร้านค้าหลัก เช่น กำหนดให้มีแนวทางในการดำเนินการกับร้านค้าอื่นภายใต้ร้านค้าหลักในกรณีที่พบความผิดปกติของร้านค้าดังกล่าว

พร้อมกำหนดตัวชี้วัดความเสี่ยง และความถี่ในการติดตามและทบทวนความเสี่ยงของร้านค้าให้สอดคล้องตามระดับความเสี่ยง เพื่อให้มั่นใจว่าการจัดระดับความเสี่ยงร้านค้ายังคงสะท้อนความเสี่ยงของร้านค้าได้อย่างเหมาะสม

กรณีตรวจพบความผิดปกติของร้านค้า ตลอดจนกำหนดให้มีระยะเวลาและขั้นตอนการรายงานข้อมูลต่อผู้บริหารและหน่วยงานที่เกี่ยวข้องตามนัยสำคัญของความผิดปกติดังกล่าว  และ มีแนวทางปรับปรุงข้อมูลร้านค้า ข้อมูลของเจ้าของร้านค้าหรือผู้มีอำนาจจัดการร้านค้า และข้อมูลที่เกี่ยวข้องให้ทันสมัยอยู่เสมอ เพื่อให้มั่นใจว่าข้อมูลดังกล่าวถูกต้อง เป็นปัจจุบัน

 

ขณะเดียวกันได้กำหนดแนวปฏิบัติเพิ่มเติม

1) การรู้จักร้านค้าเพื่อให้บริการรับชำระเงิน (Onboarding) การพิสูจน์ทราบข้อมูลและหลักฐานร้านค้า (Verification) ให้ตรวจสอบจากแหล่งข้อมูลที่น่าเชื่อถือ เพื่อให้สามารถบ่งชี้และเชื่อได้ว่าข้อมูลและหลักฐานของร้านค้าถูกต้อง แท้จริง และเป็นปัจจุบัน เช่น การตรวจสอบหลักฐานการจดทะเบียนพาณิชย์หรือพาณิชย์อิเล็กทรอนิกส์กับกระทรวงพาณิชย์ การตรวจสอบหน้าร้าน (Site visit) การตรวจสอบช่องทางการขายทางออนไลน์จากเว็บไซต์ เป็นต้น

2.) การบริหารติดตามความเสี่ยงร้านค้า (Ongoing monitoring) การตรวจสอบและติดตามความเสี่ยงต้องดำเนินการในระดับที่เข้มข้นสำหรับร้านค้าที่เข้าลักษณะความเสี่ยงสูง โดยมีระบบงานหรือเครื่องมือที่ช่วยให้ติดตามและตรวจสอบธุรกรรมของร้านค้าได้อย่างครอบคลุมเพียงพอ หรือด้วยวิธีการพิเศษ เช่น การเพิ่มความถี่ในการออกตรวจสอบหน้าร้านหรือช่องทางการขายทางออนไลน์การตรวจสอบแบบไม่แสดงตน (Mystery shopping)ซึ่งการดำเนินการดังกล่าวรวมถึงร้านค้าในกลุ่มที่ต้องติดตามอย่างใกล้ชิด (Watch list) ด้วย และมีแนวทางดำเนินการที่ชัดเจนกรณีตรวจพบความผิดปกติ

3) ร้านค้าที่เข้าลักษณะต้องห้าม ผู้ประกอบธุรกิจต้องไม่ดำเนินการใด ๆ ที่เป็นการให้บริการหรือสนับสนุน หรือส่งเสริมให้เกิดการหลีกเลี่ยงการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง