法人金融机构洗钱和恐怖融资风险自评估指引
第一章 总体要求
第一条 为深入实践风险为本原则,指导法人金融机构落实《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》,识别、评估洗钱和恐怖融资(以下统称洗钱)风险,优化反洗钱和反恐怖融资(以下统称反洗钱)资源配置,制定和实施与其风险相称的管理策略、政策和程序,提升反洗钱工作有效性,根据《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》等法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的法人金融机构和非银行支付机构(以下统称法人金融机构)。
第三条 法人金融机构开展洗钱风险自评估应当遵循以下原则:
(一)全面性原则。覆盖本机构所有经营地域、客户群体、产品业务(含服务)、交易或交付渠道;覆盖境内外所有与洗钱风险管理相关的分支机构及总部有关部门;充分考虑各方面风险因素,贯穿决策、执行和监督的全部管理环节。
(二)客观性原则。以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面准确地揭示本机构面临的洗钱风险和管理漏洞。
(三)匹配性原则。洗钱风险自评估的性质与程度应当与法人金融机构自身经营的性质和规模相匹配,国家洗钱风险评估或中国人民银行认可的行业风险评估报告中认定为中等以下风险水平的行业机构,或经营规模较小、业务种类简单、客户数量较少的机构可适当简化评估流程与内容。
(四)灵活性原则。机构应根据经营管理、外部环境、监管法规、洗钱风险状况等因素的变化,及时调整自评估指标和方法。对于风险较高的领域,应当缩短自评估周期,提高自评估频率。
第四条 法人金融机构应当在本指引的基础上制定具体的洗钱风险自评估制度。
本指引所述部分内容不适用的,法人金融机构可以在充分考虑各项风险因素及本机构实际情况的基础上进行调整,并向对法人金融机构具有管辖权的人民银行总行或分支机构报告。有关调整及相应论证应有必要的书面记录。
第五条 洗钱风险自评估目的是为机构洗钱风险管理工作提供必要基础和依据,法人金融机构应充分运用风险自评估结果,确保反洗钱资源配置、洗钱风险管理策略、政策和程序与评估所识别的风险相适应。
第二章 评估内容
第六条 法人金融机构洗钱风险自评估包括固有风险评估、控制措施有效性评估、剩余风险评估。
固有风险评估反映在不考虑控制措施的情况下,法人金融机构被利用于洗钱和恐怖融资的可能性。控制措施有效性评估反映法人金融机构所采取的控制措施对管理和缓释固有风险的有效程度,进而对尚未得到有效管理和缓释的剩余风险进行评估。
法人金融机构应当建立与本机构经营规模与复杂程度相匹配的洗钱风险自评估指标和模型,确保有效识别风险管理漏洞,提高自评估结论的准确性和针对性。
第七条 法人金融机构固有风险评估应当考虑以下方面:
(一)地域环境;
(二)客户群体;
(三)产品业务(含服务);
(四)渠道(含交易或交付渠道)。
法人金融机构应当设计科学、合理的固有风险指标,确保充分考虑各类风险因素。
第八条 法人金融机构在评估地域环境的固有风险时,应当全面考虑经营场所覆盖地域,分别评估境内各地区和境外各司法管辖区地域风险,境内地区划分原则上按经营地域范围内的下一级行政区划划分,如全国性机构按省划分,或按总部对分支机构管理结构划分。对于地理位置相近、经营情况类似的地域可合并评估。
对各地域的固有风险评估可考虑以下因素:
(一)当地洗钱、恐怖融资与(广义)上游犯罪形势,是否毗邻洗钱、恐怖融资或上游犯罪、恐怖主义活动活跃的境外国家和地区,或是否属于较高风险国家和地区(至少包括金融行动特别工作组呼吁采取行动的高风险国家、地区和应加强监控的国家、地区,也可参考国际组织有关避税天堂名单等,以下简称较高风险和地区);
(二)接受司法机关刑事查询、冻结、扣划和监察机关、公安机关查询、冻结、扣划(以下简称刑事查冻扣)中涉及该地区的客户数量、交易金额、资产规模等;
(三)本机构上报的涉及当地的一般可疑交易和重点可疑交易报告数量及客户数量、交易金额;
(四)本机构在当地网点数量、客户数量、客户资产规模、交易金额及市场占有率水平。
第九条 法人金融机构在评估客户群体的固有风险时,应当全面考虑本机构服务客户群体范围和结构,分别评估各主要客户群体固有风险。客户群体划分可结合本机构对客户管理的分类,如个人客户、公司客户、机构客户等,有条件的机构可按照行业(职业)或主要办理业务、建立业务关系方式等角度进一步聚焦洗钱风险突出的群体。同时,也应对具有高风险特征的客户群体进行评估,如政治公众人物客户、非居民客户。
对各客户群体的固有风险评估可考虑以下因素:
(一)客户数量、资产规模、交易金额及相应占比;
(二)客户涉有权机关刑事查冻扣、涉人民银行调查的数量与比例;
(三)客户身份信息完整、丰富程度和对客户交易背景、目的了解程度;
(四)识别客户身份不同方式的分布,如当面核实身份、或采取可靠的技术手段核实身份、通过第三方机构识别身份的比例;
(五)客户风险等级划分的分布结构;
(六)非自然人客户的股权或控制权结构,存在同一控制人风险的情况;
(七)客户来自较高风险国家或地区的情况;
(八)客户办理高风险业务(如现金、跨境、高额价值转移等)的种类和相应的规模;
(九)客户涉可疑交易报告的数量及不同管控措施的比例;
(十)客户属于高风险行业或职业的数量、比例;
(十一)该类型客户是否属于洗钱或上游犯罪高风险群体;
(十二)客户群体涉联合国定向金融制裁名单及其他人民银行要求关注的反洗钱和反恐怖融资监控名单,或其交易对手涉以上名单的比例。
第十条 法人金融机构在评估产品业务的固有风险时,应当全面考虑本机构向客户提供的各类产品业务(或服务)。产品业务划分原则上应在本机构产品业务管理结构的基础上进一步细化,如私人银行业务、国际金融业务、个人银行卡、理财产品等。业务模式、性质相同且洗钱风险因素不存在重大差异的,可作为同一类产品业务进行评估。
对各类产品业务的固有风险评估可考虑以下因素:
(一)产品业务规模,如账户数量、管理资产总额,年度交易量等;
(二)是否属于已知存在洗钱案例、洗钱类型手法的产品业务;
(三)产品业务面向的主要客户群体,以及高风险客户数量和相应资产规模、交易金额和比例;
(四)产品业务销售、办理渠道及相应渠道的风险程度,是否允许他人代办或难以识别是否本人办理;
(五)产品业务记录跟踪资金来源、去向的程度,与现金的关联程度,现金交易金额和比例;
(六)产品业务是否可向他人转移价值,包括资产(合约)所有权、受益权转移,以及转移的便利程度,是否有额度限制,是否可跨境转移;
(七)产品业务是否可作为客户的资产(如储蓄存款、理财产品等),是否有额度限制,保值程度和流动性如何,是否可便利、快速转换为现金或活期存款;
(八)产品业务是否可作为收付款工具(如结算账户),使用范围、额度、便利性如何,是否可跨境使用;
(九)产品业务是否可作为其他业务的办理通道或身份认证手段,身份识别措施是否比原有通道和手段更为简化,是否有额度限制或使用范围限制;
(十)产品业务是否应用可能影响客户尽职调查和资金交易追踪的新技术。
第十一条 法人金融机构在评估渠道的固有风险时,应当全面考虑本机构自有或通过第三方与客户建立关系、提供服务的渠道。渠道可划分为机构自有实体经营场所、自有互联网渠道、自助设备与终端、第三方实体经营场所、第三方互联网渠道,银行业机构还应考虑代理行渠道。
对各类渠道的固有风险评估可考虑以下因素:
(一)渠道覆盖范围(线下网点数量与分布区域,线上可及地域范围)及相应地区(包括境外国家和地区)的风险程度;
(二)通过该渠道建立业务关系的客户数量和风险水平分布;
(三)通过该渠道办理业务的客户数量、交易笔数与金额,办理业务的主要类型和风险水平。
第十二条 法人金融机构应在分别评估不同地域、不同客户群体、不同产品业务、不同渠道固有风险的基础上,汇总得出机构地域、客户、产品业务、渠道四个维度的固有风险评估结果,最终得出对机构整体固有风险的判断。各层次评估应当包括对主要风险点的分析和总体风险的评价,并给出相应的风险评级,以便进行地域、客户群体、产品业务、渠道之间的横向对比和不同年度评估结果的纵向对比。
第十三条 法人金融机构在评估控制措施有效性时,既要从整体上评估机构反洗钱内部控制的基础与环境、洗钱风险管理机制有效性,也要按照固有风险评估环节的分类方法,分别对与各类地域、客户群体、产品业务、渠道相应的特殊控制措施进行评价。
第十四条 对反洗钱内部控制基础与环境的评价可以考虑以下因素:
(一)董事会与高级管理层对洗钱风险管理的重视程度,包括决策、监督跨部门反洗钱工作事项的情况;
(二)反洗钱管理层级与架构,管理机制运转情况;
(三)反洗钱管理部门的权限和资源,反洗钱工作主要负责人和工作团队的能力与经验;
(四)机构信息系统建设和数据整合情况,特别是获取、整合客户和交易信息的能力,以及对信息安全的保护措施;
(五)机构总部监督各部门、条线和各分支机构落实反洗钱政策的机制与力度,特别是是否将反洗钱纳入内部审计和检查工作范围、发现问题并提出整改意见;
(六)对董事会、高级管理层、总部和分支机构业务条线人员的培训机制。
第十五条 对法人金融机构整体洗钱风险管理机制有效性的评价,可以考虑以下因素:
(一)高级管理层、反洗钱管理部门和主要业务部门、分支机构了解机构洗钱风险(包括地域、客户、产品业务、渠道)和经营范围内国家或地区洗钱威胁的情况;
(二)机构洗钱风险管理政策制定情况,以及政策与所识别风险的匹配程度,如机构拓展业务范围,包括地域范围、业务范围、客户范围、渠道范围是否考虑相应的洗钱风险,并经过董事会、高级管理层或适当层级的审议决策;
(三)机构反洗钱内控制度与监管要求的匹配程度,是否得到及时更新,各条线业务操作规程和系统中内嵌洗钱风险管理措施的情况;
(四)集团层面洗钱风险管理的统一性及集团内信息共享情况(仅集团性机构、跨国机构适用);
(五)反洗钱管理部门与业务部门、客户管理部门、渠道部门和各分支机构沟通机制和信息交流情况;
(六)客户尽职调查与客户风险等级划分和调整工作的覆盖面、及时性和质量,客户身份资料获取、保存和更新的完整性、准确性、及时性,客户风险等级划分指标的合理性(包括考虑地域、产品业务、渠道风险的情况),对风险较高客户采取强化尽职调查和其他管控措施的机制;
(七)大额和可疑交易监测分析与上报机制、流程的合理性,监测分析系统功能与对信息的获取,监测分析指标和模型设计合理性、修订及时性,监测分析中考虑地域、客户、产品业务、渠道风险的情况;
(八)交易记录保存完整性和查询、调阅便利性;
(九)名单筛查工作机制健全性,覆盖业务与客户范围的全面性,以及系统预警和回溯性筛查功能。
第十六条 对不同地域、客户群体、产品业务、渠道有特殊控制措施的,可以在评估时分别考虑以下因素:
(一)针对地域风险
1、当地分支机构反洗钱合规管理部门设置与人员配备;
2、当地分支机构执行总部反洗钱政策情况,内审和检查发现问题及整改情况;
3、所在国或地区反洗钱监管要求与我国是否存在重要差异,是否有未满足当地监管要求或我国监管要求的情形;
4、当地分支机构接受反洗钱监管检查、走访情况和后续整改工作;
5、对涉当地线上客户、业务的管控措施;
6、是否因洗钱风险而控制客户、业务规模,减缓或减少经营网点、限制或停止线上服务等。
(二)针对客户风险
对该客户群在建立业务管理、持续监测和退出环节的特殊管理措施,包括强化身份识别,交易额度、频次与渠道限制,提高审批层级等。
(三)针对产品业务风险
1、在建立业务关系和后续使用过程中识别、核验客户身份的手段措施,可获取的客户身份(包括代办人)信息,了解客户交易性质、目的的程度;
2、产品业务交易信息保存的全面性和透明度,可否便捷查询使用;
3、是否纳入可疑交易监测和名单监测范围,或有强化监测情形;
4、是否针对特定情形采取限制客户范围或交易金额、频率、渠道等措施。
(四)针对渠道风险
1、渠道识别与核验客户身份的手段措施及准确性;
2、渠道获取、保存和查询客户与交易信息的能力;
3、与第三方机构、代理行之间客户尽职调查和反洗钱相关工作职责划分与监督情况;
4、是否针对特定情形采取限制客户范围、产品业务种类、交易金额或频率等措施。
在评估过程中,可采取映射方式反映同一控制措施与不同固有风险之间的对应关系,实现对不同维度控制措施有效性和剩余风险的差别化评估。
第十七条 法人金融机构应在综合考虑反洗钱内部控制基础与环境、洗钱风险管理机制有效性和特殊控制措施基础上,得出对不同地域、客户群体、产品业务、渠道的风险控制措施有效性评级,再汇总得出地域、客户、产品业务、渠道四个维度的风险控制措施有效性评价和评级,最终得出对机构整体控制措施有效性的判断。
第十八条 法人金融机构应在整体固有风险评级基础上,考虑整体控制措施有效性,得出经反洗钱控制后的机构整体剩余风险评级。同时,对于地域、客户群体、产品业务、渠道维度及细分类别,也应在考虑固有风险与包括特殊控制措施在内的整体控制措施有效性的基础上,得出相应类别的剩余风险评级。
第十九条 法人金融机构应当合理划分固有风险、控制措施有效性以及剩余风险的等级。风险等级原则上应分为五级或更高。机构规模较小、业务类型单一的机构可简化至不少于三级。规模越大、结构越复杂的机构,其设定的风险等级应当越详细。
第二十条 法人金融机构可以通过固有风险与控制措施有效性二维矩阵方式(见下表,以固有风险和控制措施有效性均分为五级为例)对照计量机构整体及不同维度的剩余风险等级,或根据自身的实际情况确定依据固有风险和控制措施有效性情况计量剩余风险的方法。
表1 矩阵对照计量剩余风险方法
第三章 流程和方法
第二十一条 法人金融机构应当指定一名高级管理人员全面负责洗钱风险自评估工作,建立包括反洗钱牵头部门和业务部门、稽核与内审部门等在内的领导小组。领导小组应当组织协调自评估整体工作,指导相关业务条线、部门、分支机构按照评估方案承担本部门、本机构自评估职责,确保自评估的客观性与相对独立性。各条线、部门、分支机构应充分梳理和反映自身面临的洗钱风险和反洗钱工作存在的困难与脆弱性,提供自评估工作所必需的数据、信息和支持。
法人金融机构可聘请第三方专业机构协助进行评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作,但评估过程中对各类固有风险、控制措施有效性及剩余风险的讨论、分析和判断应由领导小组、反洗钱牵头部门及各条线、部门、分支机构主导完成。不得将自评估工作完全委托或外包至第三方专业机构完成。
第二十二条 法人金融机构开展全面洗钱风险自评估,一般包括准备阶段、实施阶段和报告阶段。
第二十三条 法人金融机构应当结合本机构实际情况,充分做好自评估前的准备工作,包括成立评估工作组,配备相关评估人员和资源,制定评估工作方案,研究确定或更新评估指标和方法,认真梳理本机构经营地域、客户群体、产品业务、渠道种类,广泛收集自评估所需的各类信息等。
由于金融产品和业务种类繁多复杂,法人金融机构应当按照科学、合理的分类标准,认真梳理现有产品业务和渠道的种类。
第二十四条 法人金融机构收集自评估所需的各类信息,应当充分考虑内外部各方面来源,例如:
(一)金融行动特别工作组(FATF)、亚太反洗钱组织(APG)、欧亚反洗钱与反恐融资组织(EAG)发布的呼吁采取行动的高风险国家和应加强监控的国家名单、洗钱类型分析报告和相关行业指引,以及巴塞尔银行监管委员会(BCBS)、国际证券监管委员会组织(IOSCO)、国际保险监督官协会(IAIS)等国际组织发布的洗钱风险研究成果;
(二)国家相关部门通报的上游犯罪形势、破获的洗钱案例、洗钱类型分析报告,以及机构境外经营所在国家或地区洗钱风险评估报告或其他洗钱威胁情况;
(三)中国人民银行、银保监会、证监会、外汇局等金融管理部门发布的洗钱风险提示和业务风险提示,以及机构境外经营所在国家或地区监管部门风险提示、指引等;
(四)本机构的客户群体规模信息、特征分析数据,各类金融产品业务和渠道的发展规模状况、结构分析数据,客户洗钱和恐怖融资风险等级划分以及产品业务洗钱风险评估结果等;
(五)本机构反洗钱和相关业务制度、工作机制,信息系统建设、运行情况,内部审计情况,必要时查找和了解具体客户、业务、交易或反洗钱工作信息作为例证;
(六)反洗钱系统记录的各类异常交易排查分析资料,可疑交易报告信息,内部管理或业务操作中发现的各类风险事件信息;
(七)本机构依托开展客户尽职调查或有其他业务、客户合作的第三方机构在客户尽职调查、客户身份资料和交易记录保存方面的情况,以及双方信息传递权利义务划分与执行情况。
第二十五条 法人金融机构实施风险评估应当选取科学合理的评估方法,通过恰当的书面问卷、现场座谈、抽样调查等形式,定性或定量开展评估。
第二十六条 法人金融机构应当形成书面的自评估报告,经高级管理层审定后上报董事会或董事会下设的专业委员会审阅,并书面报告对法人机构具有管辖权的人民银行总行或分支机构。自评估报告应当记录自评估的方法、流程等情况,重点反映自评估发现的固有风险点、控制措施的薄弱环节和风险隐患,作出明确评估结论,指明应当予以重点关注的风险领域和拟采取的管控措施,提出有针对性的风险管理建议。同时,法人金融机构应当做好自评估的指标、方法和相关数据记录和保存。
第四章 结果运用和管理
第二十七条 法人金融机构应当以自评估报告和结论为基础,制定或持续调整、完善经高级管理层批准的洗钱风险管理政策、控制措施和程序,并关注控制措施的执行情况。
针对自评估发现的高风险或较高风险情形,或原有控制措施有效性存在不足时,应当采取以下一项或多项强化风险管理措施:
(一)根据洗钱风险自评估结论,确定反洗钱工作所需的资源配置和优先顺序,必要时调整经营策略,确保与风险管理相适应;
(二)根据评估发现的控制措施薄弱环节,加强内控制度建设、工作流程优化,完善工作机制,严格内部检查和审计;
(三)针对评估发现的高风险客户类型进行优先处理,采取从严的客户接纳政策或强化的尽职调查,提高对其信息更新的频率,或加强对其的交易监测和限制;
(四)针对评估发现的高风险业务类型采取强化控制措施,在业务准入、交易频率、交易金额等方面设置限制;
(五)调整和优化交易监测指标与名单监控,对评估发现的高风险业务活动,进行更频繁深入的审查;
(六)针对评估发现的问题,进行风险提示;
(七)强化信息系统功能建设,支持洗钱风险管理的需要;
(八)其他能够有效控制风险的措施。
法人金融机构制定的改进措施不改变当次洗钱风险自评估结论,其执行效果应在后续评估中予以考虑。
第二十八条 法人金融机构应当建立洗钱风险自评估成果共享机制,明确共享的内容、对象和方式,以及信息保密要求,确保相关条线、部门、分支机构知晓、理解与之相关的洗钱风险特征及程度,以推动洗钱风险管理措施在全系统的落地执行。
第二十九条 法人金融机构应当动态、持续关注风险变化情况,及时更新完善本机构的自评估指标及方法,特别是在机构可疑交易监测分析结果或接受外部协查情况与评估结果出现明显偏差时,应及时分析原因并调整风险评估方法或改进可疑交易监测模型等措施。
第三十条 法人金融机构应当定期开展本机构洗钱风险自评估,原则上自评估的周期应不超过36个月,机构固有风险或剩余风险处于较高及以上等级的,自评估周期应不超过24个月。
法人金融机构出现以下情形时应及时开展自评估工作:
(一)经济金融和反洗钱法律制度、监管政策作出重大调整,使机构经营环境或应当履行的反洗钱义务发生重大变化;
(二)公司实际控制人、受益所有人发生变化或公司治理结构发生重大调整;
(三)经营发展策略有重大调整;
(四)内外部风险状况发生显著变化,如出现重大洗钱风险事件;
(五)其他认为有必要评估风险的情形。
第三十一条 在两次自评估间期,法人金融机构应在拟作出以下调整或变化时,参照本指引第二章相关内容,对相应的地域、客户群体、产品业务、渠道或控制措施开展专项评估,并考虑其对机构整体风险的影响:
(一)在新的境外国家或地区开设分支机构或附属机构;
(二)面向新的客户群体提供产品业务或服务;
(三)开发新的产品业务类型,或在产品业务(包括已有产品业务和新产品新业务)中应用可能对洗钱风险产生重大影响的新技术;
(四)采用新的渠道类型与客户建立业务关系或提供服务;
(五)对洗钱风险管理的流程、方式、内部控制制度或信息系统等作出重要变更。
专项评估应由负责管理相应变化因素的部门与反洗钱工作牵头部门共同开展,于调整或变化实现前完成评估,并根据结果完善或强化洗钱风险控制措施,确保剩余风险水平处于机构洗钱风险接纳或管理能力范围内。法人金融机构应对调整后可能的客户、业务、交易等情况作出合理估计,并在评估后持续监测以上调整或变化实际发生后的风险状况,在6至12个月的期间内根据最新的客户、业务、交易等情况更新专项评估结果。
法人金融机构对新产品、新业务和产品业务中应用新技术有更详细、更严格评估机制的,可直接将该评估结果引用或映射至对新产品业务类型的专项评估当中。
第三十二条 法人金融机构应当积极加强自评估相关系统建设,建立并定期维护产品业务种类清单和客户类型清单,逐步实现通过系统准确提取自评估所需的各类数据信息,提高自评估工作效能。
第三十三条 在法人金融机构洗钱风险自评估及相关工作符合本指引前述要求的情况下,对于评估发现的低风险情形,可以采取适当的简化措施。但发现涉嫌洗钱和恐怖融资活动时,不得采取简化措施。
第五章 附则
第三十四条 境外金融机构在中国境内依法设立的最高层级分支机构(或被指定为境内报告行的分支机构),应参照本指引开展评估。
若境外金融机构的洗钱风险自评估已覆盖在我国境内分公司,且已充分考虑本指引要求的各项因素,特别是中国境内与跨境洗钱犯罪威胁形势和手法、中国境内分支机构客户群体与产品业务、渠道特色,能够实现对中国境内地域、客户群体、产品业务、渠道的洗钱风险评估和管理要求,境外金融机构在我国境内的分支机构可直接援引其总公司或集团的洗钱风险自评估结论。
具有关联关系的农村信用社、农村商业银行及农村信用联社可根据本机构实际情况,在确定的层级范围内开展统一的联合风险评估。
银行卡清算机构、资金清算中心等从事支付清算业务的机构,从事汇兑业务、基金销售业务、保险专业代理和保险经纪业务的机构,以及网络小额贷款公司等其他从事互联网金融业务的非金融机构开展洗钱风险自评估可参照本指引。
第三十五条 本指引由中国人民银行反洗钱局负责解释。
第三十六条 本指引自印发之日起实行。