金融机构洗钱风险自评估指引
第一章 总体要求
第一条 为深入贯彻基于风险的反洗钱工作原则,指导金融机构识别、分析、评估本机构洗钱、恐怖融资和规避防扩散定向金融制裁风险(除需分别列举外,统称为“洗钱风险”),优化反洗钱资源配置,制定并实施与风险状况相适应的管理制度和流程,提升反洗钱工作有效性,根据《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》等法律法规,制定本指引。
第二条 本指引适用于依法履行反洗钱义务的金融机构。
第三条 金融机构应当在本指引的基础上制定具体的洗钱风险自评估制度,实施自评估,充分运用风险自评估结果,使反洗钱资源配置、洗钱风险管理策略、风险管理制度和流程与本机构的洗钱风险状况相适应。
第四条 金融机构开展洗钱风险自评估应当遵循以下原则:
(一)全面性原则。覆盖本机构所有经营地域、客户、产品业务、渠道;覆盖境内外所有与洗钱风险管理相关的分支机构及总部有关部门;充分考虑各方面风险因素,贯穿决策、执行和监督的全流程风险管理。
(二)客观性原则。以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面准确地揭示本机构面临的洗钱风险和管理漏洞。
(三)匹配性原则。洗钱风险自评估的方式与程度应当与金融机构自身经营规模和业务特征相匹配,国家洗钱风险评估或中国人民银行认可的行业风险评估报告中认定为中等以下风险水平的行业机构,或经营规模较小、业务种类简单、客户数量较少的机构可适当简化评估流程与内容。
(四)动态性原则。机构应根据经营管理、外部环境、监管法规、洗钱风险状况等因素的变化,及时调整自评估指标和方法。对于风险较高的领域,应当缩短自评估周期,提高自评估频率。
第五条 在充分考虑各项风险因素及本机构实际情况后,金融机构认为指引所述的评估方法不适用的,可以进行调整,并向对金融机构具有管辖权的人民银行总行或分行反洗钱部门书面报告。有关调整及相应论证应有必要的书面记录。
第二章 自评估准备
第六条 金融机构应当结合本机构实际情况,充分做好自评估前的准备工作,包括成立自评估工作组,配备相关评估人员和资源,制定评估工作方案,研究确定或更新评估指标和方法,认真、全面梳理本机构经营地域、客户群体、产品业务、渠道种类,广泛收集自评估所需的各类信息等。
第七条 金融机构应当指定一名高级管理人员全面负责洗钱风险自评估工作,建立包括反洗钱牵头部门、合规部门、业务部门、稽核与审计部门等在内的自评估工作组,进行适当的资源配置。自评估工作组应当组织协调自评估整体工作,指导相关业务条线、部门、分支机构按照自评估方案承担相应职责,确保自评估的客观性与相对独立性。各条线、部门、分支机构应按照方案积极开展自评估工作,提供必需的数据、信息和支持。
第八条 金融机构可聘请第三方专业机构协助进行自评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作,但评估过程中对各类固有风险、控制措施有效性及剩余风险的讨论、分析和判断应由自评估工作组主导完成。不得将自评估工作完全委托或外包至第三方专业机构完成。金融机构对评估结果负最终责任。
第九条 金融机构应持续关注并收集与本机构相关的内外部洗钱风险信息,例如:
(一)联合国安理会定向金融制裁信息及专家小组报告,金融行动特别工作组(FATF)、亚太反洗钱组织(APG)、欧亚反洗钱与反恐怖融资组织(EAG)发布的洗钱类型分析报告和相关行业指引,巴塞尔银行监管委员会(BCBS)、世界银行集团(WBG)、国际货币基金组织(IMF)、埃格蒙特集团(Egmont Group)等国际组织发布的洗钱风险研究成果;
(二)国家相关部门发布的国家洗钱、恐怖融资和扩散融资风险评估报告、洗钱类型分析报告、反洗钱工作年报,通报的洗钱和上游犯罪形势,侦办或审判的典型洗钱案例;
(三)中国人民银行、金融监管总局、中国证监会、国家外汇局等金融管理部门发布的洗钱风险提示、业务风险提示和行业监管通报等;
(四)本机构客户涉及洗钱案件的有关信息,包括但不限于有权机关刑事侦查或人民银行反洗钱行政调查;
(五)本机构内部反洗钱系统记录的各类异常交易排查分析资料,可疑交易报告信息,名单监控预警和处理信息,内部管理或业务操作中发现的各类风险事件信息;
(六)学术研究机构发布或权威媒体报道的有关洗钱犯罪趋势或重大案件信息;
(七)金融机构境外分支机构所在国家或地区发布的洗钱风险评估报告和其他洗钱威胁情况,当地监管部门出台的风险提示、指引等。
第三章 自评估方法
第十条 自评估指金融机构对全机构整体层面的洗钱、恐怖融资和规避防扩散定向金融制裁风险的评估。规避防扩散定向金融制裁风险指的是潜在违反、不执行或规避执行《反洗钱法》第四十条第一款与防扩散相关的定向金融制裁的风险。金融机构应当对每类风险分别开展固有风险、控制措施有效性和剩余风险评估,得出三类风险的评估结论。
固有风险是指在不考虑控制措施的情况下,金融机构因其开展正常经营活动而被利用于洗钱、恐怖融资和规避防扩散定向金融制裁的可能性。
控制措施有效性是指金融机构所采取的控制措施对管理和缓释固有风险的有效程度。
剩余风险是指金融机构在采取反洗钱控制措施后仍被利用于洗钱、恐怖融资和规避防扩散定向金融制裁的可能性。
第十一条 金融机构应当结合本指引第九条所提示洗钱风险信息,从中归纳洗钱风险事件的规律性特征,总结形成风险场景。
第十二条 金融机构应当分析各风险场景,提炼出对洗钱风险事件发生与否具有重要影响的地域、客户、业务/产品、渠道等维度的风险因素和控制措施,深入剖析这些因素、措施对吸引或阻止犯罪分子利用本机构洗钱的作用机制和影响程度,并充分考虑不同因素、措施之间可能存在的关联影响(参考附件4案例)。
在已识别和归纳的风险场景之外,金融机构还应根据分析情况,考虑相关风险因素和控制措施在本机构存在但尚未发生风险事件的其他潜在风险场景。
第十三条 金融机构在识别和分析洗钱、恐怖融资、规避防扩散定向金融制裁风险的过程中,应充分参考附件1-3所列风险因素,根据本机构实际情况,选择适用的风险因素设计评估指标。
第十四条 金融机构应在识别和分析风险场景的基础上,综合衡量各风险因素、维度对本机构固有风险的影响程度和控制措施的有效性水平,以及可能导致的后果,通过选取适当的定性、定量或混合方法,确定相应的风险评级,以明确金融机构在后续洗钱风险管理中对相关领域、维度、风险因素和控制措施的优先次序。
第十五条 金融机构开展固有风险评估应当考虑以下四个维度,分别评估四个维度的风险水平:
(一)地域环境;
(二)客户;
(三)产品业务;
(四)渠道(含交易或交付渠道)。
第十六条 金融机构应当结合本机构的管理架构,在综合考虑风险因素的相似性或同质性的基础上,按照地域环境、客户、产品业务、渠道四个维度归纳细分类别清单。分类结果还应把握适当的颗粒度以便于后续的洗钱风险管理。
金融机构自评估归纳得出的细分类别应与对产品业务、客户的洗钱风险评估及管理相衔接。
第十七条 对归纳出的每个细分类别,金融机构应选取对风险有实质性影响的风险因素纳入评估,根据不同风险因素对细分类别风险水平的影响机制和程度,合理设置计量方式,开展定性、定量或综合评估,并最终得出该细分类别的评估结论。
第十八条 金融机构应依次对各细分类别、四个维度、整体固有风险进行评估。评估结论应当包括对主要风险点、风险发生机制的分析和总体风险程度的评价,并给出相应的风险评级,以便进行地域、客户、产品业务、渠道维度内不同分类的横向对比和不同年度评估结果的纵向对比。
第十九条 金融机构在评估控制措施有效性时,既要从整体上评估机构反洗钱内部控制的基础与环境、洗钱风险管理机制有效性,也要按照固有风险评估环节的分类方法,分别对被评为中风险及以上的各类地域、客户、产品业务、渠道相应的特殊控制措施进行评价。
金融机构应客观评价本机构的控制措施有效性,特别是要充分关注风险识别和分析环节以及日常内外部监督检查、审计当中发现的控制措施漏洞,深入挖掘问题根源。
第二十条 对金融机构反洗钱内部控制基础与环境的评价可以考虑董事会与高级管理层履职、反洗钱管理机制、管理部门权限和资源、内部监督与培训、信息系统建设和数据整合情况等方面的因素(见附件1-3)。
第二十一条 对金融机构整体洗钱风险管理机制有效性的评价,可以考虑机构了解自身洗钱风险的情况,机构洗钱风险管理机制与所识别风险的匹配程度,客户尽职调查与客户风险等级划分和调整工作的覆盖面、及时性和质量,可疑交易监测有效性,反洗钱特别预防措施及时性等因素(见附件1-3)。
第二十二条 对被评估为中风险及以上的地域、客户、产品业务、渠道有特殊控制措施的,应在评估时分别考虑四个维度的相关因素(见附件1-3)。在评估过程中,可采取映射方式反映同一控制措施与不同固有风险之间的对应关系,实现对不同维度控制措施有效性和剩余风险的差别化评估。
第二十三条 金融机构应在综合考虑反洗钱内部控制基础与环境、洗钱风险管理机制有效性和特殊控制措施基础上,得出对不同地域、客户、产品业务、渠道的风险控制措施有效性评级,再汇总得出地域、客户、产品业务、渠道四个维度的风险控制措施有效性评价和评级,最终得出对机构整体控制措施有效性的判断。
第二十四条 金融机构应当合理划分固有风险、控制措施有效性以及剩余风险的等级。风险等级原则上应分为四级或更多层级。业务规模较小、业务类型单一的机构可简化至不少于三级。
第二十五条 金融机构可以通过固有风险与控制措施有效性二维矩阵方式(矩阵法,见表1,以固有风险和控制措施有效性均分五级为例),或按照
“固有风险 - 控制措施有效性 = 剩余风险”
的结构设计制定评级方法(差分法),对照计量机构整体剩余风险等级。
对于地域、客户、产品业务、渠道维度及相应的细分类别,也应在考虑固有风险与控制措施有效性的基础上,得出相应类别的剩余风险评级。
表 1 矩阵对照计量剩余风险方法(二维矩阵图)
第四章 自评估要求
第二十六条 金融机构应当动态、持续关注风险变化情况,及时更新完善本机构的自评估指标及方法,特别是在机构日常洗钱风险监测情况或接受外部协查情况与评估结果出现明显偏差时,应及时分析原因,调整风险评估方法或改进日常洗钱风险监测方法。
第二十七条 金融机构应当定期开展本机构洗钱风险自评估,原则上两次自评估时点的间隔应不超过 36 个月,对于经监管评估显示固有风险或剩余风险处于较高及以上等级的机构,自评估时点间隔应不超过 24 个月。
金融机构出现以下情形时应及时开展自评估工作:
(一)经济金融和反洗钱法律制度、监管政策作出重大调整,使机构经营环境或应当履行的反洗钱义务发生重大变化;
(二)受益所有人、实际控制人发生变化或其他原因导致机构经营发展战略发生重大调整;
(三)公司治理结构或组织架构发生重大调整;
(四)内外部风险状况发生显著变化,如出现重大洗钱风险事件;
(五)其他认为有必要评估风险的情形。
金融机构向高管层提交自评估报告的时间不宜晚于评估时点后的6个月。
第二十八条 在两次自评估期间,金融机构应在作出以下调整之前或发生局部显著风险变化时,参照本指引第三章相关内容,对相应的地域、客户群体、产品业务、渠道或控制措施开展专项评估,并考虑其对机构整体风险的影响:
(一)在新的境外国家或地区开设分支机构;
(二)面向新的客户群体提供产品业务或服务;
(三)开发新的产品业务类型,或在评估所列的细分产品业务类型(包括已有产品业务和新产品新业务)中应用可能对洗钱风险产生显著影响的新技术;
(四)采用新的渠道类型与客户建立业务关系或提供服务;
(五)部分地域、客户群体、产品业务、渠道被频繁利用于洗钱等犯罪活动,且之前的评估并未发现相关风险时;
(六)对洗钱风险管理的流程、方式、内部控制制度或信息系统等作出重要变更。
专项评估应由负责管理相应变化因素的部门与反洗钱工作牵头部门共同开展,于调整或变化实现前完成评估,并根据结果完善或强化洗钱风险控制措施,确保剩余风险水平处于机构洗钱风险接纳或管理能力范围内。金融机构应对调整后可能的客户、业务、交易等情况作出合理估计,并在评估后持续监测以上调整或变化实际发生后的风险状况,在6至12个月的期间内根据最新的客户、业务、交易等情况更新专项评估结果。
第二十九条 对于产品业务类型较为复杂的金融机构,应建立更加全面、细化的评估机制,持续做好对本机构每一项产品、业务的洗钱、恐怖融资和规避防扩散定向金融制裁风险评估。产品业务的细化评估结果可在机构整体自评估当中直接引用或映射至对相应产品业务类型的评估当中。
第三十条 金融机构应当建立并定期维护本机构产品业务类型清单和客户类型清单。业务品种多、客群多、自评估所需数据量大的金融机构应当积极加强自评估相关系统建设,通过系统准确提取自评估所需的各类数据信息,提高自评估工作效能。
第五章 结果运用和管理
第三十一条 金融机构应当形成书面的自评估报告,经高级管理层审定后上报董事会或董事会下设的专业委员会审阅,并在高级管理层审定之日起的10个工作日内,书面报告对法人机构具有管辖权的人民银行总行或分行。自评估报告应当记录评估方法、流程等情况,重点反映自评估发现的洗钱风险场景、洗钱风险因素、固有风险、控制措施的薄弱环节和风险隐患,作出明确评估结论,指明应当予以重点关注的风险领域和拟采取的管控措施,提出有针对性的风险管理建议。同时,金融机构还应当按规定做好洗钱风险自评估相关资料和数据的保存。
第三十二条 金融机构应当以自评估报告和结论为基础,制定或持续调整、完善经高级管理层批准的洗钱风险管理机制、控制措施和程序,并关注控制措施的执行情况。针对自评估发现的高风险或较高风险情形,或原有控制措施有效性存在不足时,应当采取以下一项或多项强化风险管理措施:
(一)根据洗钱风险自评估结论,确定反洗钱工作所需的资源配置和优先顺序,必要时调整经营策略,确保与风险管理相适应;
(二)根据评估发现的控制措施薄弱环节,加强内控制度建设、工作流程优化,完善工作机制和预防措施,严格内部检查和审计;
(三)针对评估发现的高风险客户类型进行优先处理,采取从严的客户接纳策略或强化的尽职调查措施,提高对其信息更新的频率,或加强对其的交易监测和限制;
(四)针对评估发现的高风险业务类型采取强化控制措施,在业务准入、交易频率、交易金额等方面设置限制;
(五)调整和优化交易监测指标与名单监控,对评估发现的高风险业务活动,进行更频繁深入的审查;
(六)针对评估发现的问题,进行风险提示;
(七)强化信息系统功能建设,支持洗钱风险管理的需要;
(八)其他能够有效控制风险的措施。
金融机构制定的改进措施不改变当次洗钱风险自评估结论,其执行效果应在后续评估中予以考虑。
第三十三条 在金融机构洗钱风险自评估及相关工作符合本指引前述要求的情况下,对于评估发现的低风险情形,可以采取适当的简化措施,但应确保能够全面执行《反洗钱法》第四十条关于反洗钱特别预防措施的要求。当发现涉嫌洗钱和恐怖融资活动时,不得采取简化措施。
第三十四条 金融机构应当建立洗钱风险自评估成果共享机制,明确共享的内容、对象和方式,以及信息保密要求,确保相关条线、部门、分支机构知晓、理解与之相关的洗钱风险特征及程度,以推动洗钱风险管理措施在全系统的落地执行。
第三十五条 金融集团应当在集团层面建立洗钱风险自评估机制安排和自评估成果共享机制,确保所有分支机构结合自身业务特点有效执行风险管理安排,共享自评估成果和防止泄密。
如果本指引要求比驻在国家(地区)的相关规定更为严格,但驻在国家(地区)法律禁止或限制境外分支机构实施本指引要求的,金融机构应当采取适当措施评估境外分支机构的洗钱、恐怖融资和规避防扩散定向金融制裁风险,并在向中国人民银行总行或分行的书面报告中说明情况。
第六章 附则
第三十六条 境外金融机构在中国境内依法设立的最高层级分支机构,应参照本指引牵头开展中国境内机构的自评估工作。对于境内不存在履行统一管理职能的最高层级机构的,各分支机构可自行开展自评估工作。
若境外金融机构的洗钱风险自评估已覆盖在我国境内分支机构,且已充分考虑本指引要求的各项因素,特别是我国境内与跨境洗钱犯罪威胁形势和手法、境内分支机构客户群体与产品业务、渠道特色,能够实现对境内地域、客户群体、产品业务、渠道的洗钱风险评估和管理要求,境外金融机构在我国境内的分支机构可直接援引其总公司或集团的洗钱风险自评估结论。
第三十七条 具有关联关系的农村信用合作社、农村信用社联合社及农村商业银行、农商联合银行,以及村镇银行及其发起行可根据本机构实际情况,联合开展风险评估。
银行卡清算机构及其他从事支付清算业务的机构、网络小额贷款公司以及从事汇兑业务、基金销售业务、保险专业代理和保险经纪业务的机构,参照本指引开展洗钱、恐怖融资和规避防扩散定向金融制裁风险自评估,可根据经营规模和机构特征进行适当调整。
第三十八条 本指引由中国人民银行反洗钱局负责解释。
第三十九条 本指引自2025年11月1日起实行。《关于印发<法人金融机构洗钱和恐怖融资风险自评估指引>的通知》(银反洗发〔2021〕1号)同时废止。
附件1:洗钱风险因素
附件2:恐怖融资风险因素
附件3:规避防扩散定向金融制裁风险因素
附件4:风险场景识别分析案例
附件5:金融机构洗钱风险自评估模板(以银行业为例)