中国人民银行上海总部金融服务二部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行反洗钱处;国家开发银行,各政策性银行、大型商业银行、股份制商业银行,中国银联股份有限公司,银联国际有限公司,农信银资金清算中心,城市商业银行资金清算中心,中国人寿保险股份有限公司,中国人民财产保险股份有限公司,银河证券股份有限公司,中信证券股份有限公司反洗钱部门:
为指导法人金融机构落实有关洗钱和恐怖融资风险自评估工作要求,加快反洗钱工作向风险为本转型,提升金融体系反洗钱工作有效性,中国人民银行反洗钱局制定了《法人金融机构洗钱和恐怖融资风险自评估指引》(以下简称《指引》),现印发给你们,并就《指引》中有关事项通知如下,请遵照执行。
(一)法人金融机构应于2021年12月31日前制定或更新本机构洗钱和恐怖融资风险自评估制度,以符合《指引》的总体要求,并于2022年12月31日前完成基于新制度的首次自评估。
(二)认定《指引》部分内容不适用本机构,需对评估方法、指标、流程或组织形式等作出重大调整的,应于2021年6月30日前向具有管辖权的人民银行总行或分支机构报告。
(三)《法人金融机构洗钱和恐怖融资风险管理指引》有关机构洗钱风险自评估内容与本《指引》不一致的,以本《指引》为准。
(一)中国人民银行及分支机构反洗钱部门收到法人金融机构关于调整《指引》适用的报告后,如有不同意见,应在30个工作日内向金融机构反馈。
(二)中国人民银行及分支机构反洗钱部门应当将法人金融机构洗钱和恐怖融资自评估开展情况及结果运用情况作为反洗钱监管重点。
请中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行反洗钱处将本通知转发至总部注册于辖区内的各股份制商业银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、村镇银行、证券公司、期货经纪公司、基金管理公司、保险公司、保险资产管理公司、信托公司、金融实物资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等金融机构和非银行支付机构、保险专业代理公司、保险经纪公司,以及汇兑、基金销售、网络从业机构反洗钱部门。
第一条为深入实践风险为本原则,指导法人金融机构落实《国务院办公厅关于完善反洗钱、反恐怖融资、反逃税监督管理体制机制的意见》,识别、评估洗钱和恐怖融资(以下统称洗钱)风险,优化反洗钱和反恐怖融资(以下统称反洗钱)资源配置,制定和实施与其风险相称的管理策略、政策和程序,提升反洗钱工作有效性,根据《中华人民共和国反洗钱法》《中华人民共和国反法》等法律和法规,制定本指引。
第二条本指引适用于在中国境内依法设立的法人金融机构和非银行支付机构(以下统称法人金融机构)。
(一)全面性原则。覆盖本机构所有经营地域、客户群体、产品业务(含服务)、交易或交付渠道;覆盖境内外所有与洗钱风险管理相关的分支机构及总部有关部门;最大限度地考虑各方面风险因素,贯穿决策、执行和监督的全部管理环节。
(二)客观性原则。以客观公正的态度收集有关数据和资料,以充分完整的事实为依据,力求全面准确地揭示本机构面临的洗钱风险和管理漏洞。
(三)匹配性原则。洗钱风险自评估的性质与程度应当与法人金融机构自身经营的性质和规模相匹配,国家洗钱风险评估或中国人民银行认可的行业风险评估报告中认定为中等以下风险水平的行业机构,或经营规模较小、业务种类简单、客户数量较少的机构可适当简化评估流程与内容。
(四)灵活性原则。机构应根据经营管理、外部环境、监督管理法规、洗钱风险状况等因素的变化,及时作出调整自评估指标和方法。对于风险较高的领域,应当缩短自评估周期,提高自评估频率。
本指引所述部分内容不适用的,法人金融机构可以在最大限度地考虑各项风险因素及本机构真实的情况的基础上做调整,并向对法人金融机构具有管辖权的人民银行总行或分支机构报告。有关调整及相应论证应有必要的书面记录。
第五条洗钱风险自评估目的是为机构洗钱风险管理工作提供必要基础和依据,法人金融机构应充分运用风险自评估结果,确保反洗钱资源配置、洗钱风险管理策略、政策和程序与评估所识别的风险相适应。
第六条法人金融机构洗钱风险自评估包括固有风险评估、控制措施有效性评估、剩余风险评估。
固有风险评估反映在不考虑控制措施的情况下,法人金融机构被利用于洗钱和恐怖融资的可能性。控制措施有效性评估反映法人金融机构所采取的控制措施对管理和缓释固有风险的有效程度,进而对尚未得到一定效果管理和缓释的剩余风险进行评估。
法人金融机构应当建立与本机构经营规模与复杂程度相匹配的洗钱风险自评估指标和模型,确保有效识别风险管理漏洞,提高自评估结论的准确性和针对性。
法人金融机构应当设计科学、合理的固有风险指标,确保最大限度地考虑各类风险因素。
第八条法人金融机构在评估地域环境的固有风险时,应当全面考虑经营场所覆盖地域,分别评估境内各地区和境外各司法管辖区地域风险,境内地区划分原则上按经营地域范围内的下一级行政区划划分,如全国性机构按省划分,或按总部对分支机构管理结构划分。对于地理位置相近、经营情况类似的地域可合并评估。
(一)当地洗钱、恐怖融资与(广义)上游犯罪形势,是否毗邻洗钱、恐怖融资或上游犯罪、活动活跃的境外国家和地区,或是否属于较高风险国家和地区(至少包括金融行动特别工作组呼吁采取行动的高风险国家、地区和应加强监控的国家、地区,也可参考国际组织有关避税天堂名单等,以下简称较高风险和地区);
(二)接受司法机关刑事查询、冻结、扣划和监察机关、公安机关查询、冻结、扣划(以下简称刑事查冻扣)中涉及该地区的客户数量、交易金额、资产规模等;
(三)本机构上报的涉及当地的一般可疑交易和重点可疑交易报告数量及客户数量、交易金额;
(四)本机构在当地网点数量、客户数量、客户资产规模、交易金额及市场占有率水平。
第九条法人金融机构在评估客户群体的固有风险时,应当全面考虑本机构服务客户群体范围和结构,分别评估各主要客户群体固有风险。客户群体划分可结合本机构对客户管理的分类,如个人客户、公司客户、机构客户等,有条件的机构可按照行业(职业)或主要办理业务、建立业务关系方式等角度进一步聚焦洗钱风险突出的群体。同时,也应对具有高风险特征的客户群体做评估,如政治公众人物客户、非居民客户。
(四)识别客户身份不同方式的分布,如当面核实身份、或采取可靠的技术方法核实身份、通过第三方机构识别身份的比例;
(八)客户办理高风险业务(如现金、跨境、高额价值转移等)的种类和相应的规模;
(十二)客户群体涉联合国定向金融制裁名单及其他人民银行要求关注的反洗钱和反恐怖融资监控名单,或其交易对手涉以上名单的比例。
第十条法人金融机构在评估产品业务的固有风险时,应当全面考虑本机构向客户提供的各种类型的产品业务(或服务)。产品业务划分原则上应在本机构产品业务管理结构的基础上进一步细化,如私人银行业务、国际金融业务、个人银行卡、打理财产的产品等。业务模式、性质相同且洗钱风险因素不存在重大差异的,可作为同一类产品业务进行评估。
(三)产品业务面向的主要客户群体,以及高风险客户数量和相应资产规模、交易金额和比例;
(四)产品业务销售、办理渠道及相应渠道的风险程度,是否允许他人代办或难以识别是否本人办理;
(五)产品业务记录跟踪资产金额来源、去向的程度,与现金的关联程度,现金交易金额和比例;
(六)产品业务是否可向他人转移价值,包括资产(合约)所有权、受益权转移,以及转移的便利程度,是否有额度限制,是否可跨境转移;
(七)产品业务是否可作为客户的资产(如储蓄存款、打理财产的产品等),是否有额度限制,保值程度和流动性如何,是否可便利、快速转换为现金或活期存款;
(八)产品业务是否可作为收付款工具(如结算账户),使用范围、额度、便利性如何,是否可跨境使用;
(九)产品业务是否可作为别的业务的办理通道或身份认证手段,身份识别措施是否比原有通道和手段更为简化,是否有额度限制或应用限制范围限制;
第十一条法人金融机构在评估渠道的固有风险时,应当全面考虑本机构自有或通过第三方与客户建立关系、提供服务的渠道。渠道可划分为机构自有实体经营场所、自有互联网渠道、自助设备与终端、第三方实体经营场所、第三方互联网渠道,银行业机构还应考虑代理行渠道。
(一)渠道覆盖范围(线下网点数量与分布区域,线上可及地域范围)及相应地区(包括境外国家和地区)的风险程度;
(三)通过该渠道办理业务的客户数量、交易笔数与金额,办理业务的主要类型和风险水平。
第十二条法人金融机构应在分别评估不同地域、不一样的客户群体、不一样的产品业务、不同渠道固有风险的基础上,汇总得出机构地域、客户、产品业务、渠道四个维度的固有风险评估结果,最终得出对机构整体固有风险的判断。各层次评估应当包括对主要风险点的分析和总体风险的评价,并给出相应的风险评级,以便进行地域、客户群体、产品业务、渠道之间的横向对比和不同年度评估结果的纵向对比。
第十三条法人金融机构在评估控制措施有效性时,既要从整体上评估机构反洗钱内部控制的基础与环境、洗钱风险管理机制有效性,也要按照固有风险评估环节的分类方法,分别对与各类地域、客户群体、产品业务、渠道相应的特殊控制措施进行评价。
(一)董事会与高级管理层对洗钱风险管理的重视程度,包括决策、监督跨部门反洗钱工作事项的情况;
(三)反洗钱管理部门的权限和资源,反洗钱工作主要负责人和工作团队的能力与经验;
(四)机构信息系统建设和数据整合情况,特别是获取、整合客户和交易信息的能力,以及对信息安全的保护措施;
(五)机构总部监督各部门、条线和各分支机构落实反洗钱政策的机制与力度,特别是是否将反洗钱纳入内部审计和检查工作范围、察觉缺陷并提出整改意见;
第十五条对法人金融机构整体洗钱风险管理机制有效性的评价,可优先考虑以下因素:
(一)高级管理层、反洗钱管理部门和主体业务部门、分支机构了解机构洗钱风险(包括地域、客户、产品业务、渠道)和营业范围内国家或地区洗钱威胁的情况;
(二)机构洗钱风险管理政策制定情况,以及政策与所识别风险的匹配程度,如机构拓展经营事物的规模,包括地域范围、经营事物的规模、客户范围、渠道范围是否考虑相应的洗钱风险,并经过董事会、高级管理层或适当层级的审议决策;
(三)机构反洗钱内控制度与监督管理要求的匹配程度,是否得到及时更新,各条线业务操作规程和系统中内嵌洗钱风险管理措施的情况;
(四)集团层面洗钱风险管理的统一性及集团内信息共享情况(仅集团性机构、跨国机构适用);
(五)反洗钱管理部门与业务部门、客户关系管理部门、渠道部门和各分支机构沟通机制和信息交流情况;
(六)客户尽职调查与客户风险等级划分和调整工作的覆盖面、及时性和质量,客户身份资料获取、保存和更新的完整性、准确性、及时性,客户风险等级划分指标的合理性(包括考虑地域、产品业务、渠道风险的情况),对风险较高客户采取强化尽职调查和其他管控措施的机制;
(七)大额和可疑交易监测分析与上报机制、流程的合理性,监测分析系统功能与对信息的获取,监测分析指标和模型设计合理性、修订及时性,监测分析中考虑地域、客户、产品业务、渠道风险的情况;
(九)名单筛查工作机制健全性,覆盖业务与客户范围的全面性,以及系统预警和回溯性筛查功能。
第十六条对不同地域、客户群体、产品业务、渠道有特殊控制措施的,可以在评估时分别考虑以下因素:
3、所在国或地区反洗钱监督管理要求与我国是不是真的存在重要差异,是否有未满足当地监督管理要求或我国监督管理要求的情形;
6、是否因洗钱风险而控制客户、业务规模,减缓或减少经营网点、限制或停止线上服务等。
对该客户群在建立业务管理、持续监测和退出环节的特殊管理措施,包括强化身份识别,交易额度、频次与渠道限制,提高审批层级等。
1、在建立业务关系和后续使用的过程中识别、核验客户身份的手段措施,可获取的客户身份(包括代办人)信息,了解客户交易性质、目的的程度;
3、与第三方机构、代理行之间客户尽职调查和反洗钱相关工作职责划分与监督情况;
4、是否针对特定情形采取限制客户范围、产品业务种类、交易金额或频率等措施。
在评估过程中,可采取映射方式反映同一控制措施与不同固有风险之间的对应关系,实现对不同维度控制措施有效性与剩余风险的差别化评估。
第十七条法人金融机构应在考虑反洗钱内部控制基础与环境、洗钱风险管理机制有效性与特殊控制措施基础上,得出对不同地域、客户群体、产品业务、渠道的风险控制措施有效性评级,再汇总得出地域、客户、产品业务、渠道四个维度的风险控制措施有效性评价和评级,最终得出对机构整体控制措施有效性的判断。
第十八条法人金融机构应在整体固有风险评级基础上,考虑整体控制措施有效性,得出经反洗钱控制后的机构整体剩余风险评级。同时,对于地域、客户群体、产品业务、渠道维度及细分类别,也应在考虑固有风险与包括特殊控制措施在内的整体控制措施有效性的基础上,得出相应类别的剩余风险评级。
第十九条法人金融机构应当合理划分固有风险、控制措施有效性以及剩余风险的等级。风险等级原则上应分为五级或更高。机构规模较小、业务类型单一的机构可简化至不少于三级。规模越大、结构越复杂的机构,其设定的风险等级应当越详细。
第二十条法人金融机构能够最终靠固有风险与控制措施有效性二维矩阵方式(见下表,以固有风险和控制措施有效性均分为五级为例)对照计量机构整体及不同维度的剩余风险等级,或依据自己的真实的情况确定依据固有风险和控制措施有效性情况计量剩余风险的方法。
第二十一条法人金融机构应当指定一名高级管理人员全面负责洗钱风险自评估工作,建立包括反洗钱牵头部门和业务部门、稽核与内审部门等在内的领导小组。领导小组应当组织协调自评估整体工作,指导相关业务条线、部门、分支机构按照评估方案承担本部门、本机构自评估职责,确保自评估的客观性与相对独立性。各条线、部门、分支机构应充分梳理和反映自身面临的洗钱风险和反洗钱工作存在的困难与脆弱性,提供自评估工作所必需的数据、信息和支持。
法人金融机构可聘请第三方专业机构协助做评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作,但评估过程中对各类固有风险、控制措施有效性及剩余风险的讨论、分析和判断应由领导小组、反洗钱牵头部门及各条线、部门、分支机构主导完成。不得将自评估工作完全委托或外包至第三方专业机构完成。
第二十二条法人金融机构开展全面洗钱风险自评估,一般来说包括准备阶段、实施阶段和报告阶段。
第二十三条法人金融机构应当结合本机构真实的情况,充分做好自评估前的准备工作,包括成立评估工作组,配备相关评估人员和资源,制定评估工作方案,研究确定或更新评估指标和方法,认真梳理本机构经营地域、客户群体、产品业务、渠道种类,广泛收集自评估所需的各类信息等。
由于金融理财产品和业务种类非常之多复杂,法人金融机构应当按照科学、合理的分类标准,认真梳理现有产品业务和渠道的种类。
第二十四条法人金融机构收集自评估所需的各类信息,应当最大限度地考虑内外部各方面来源,例如:
(一)金融行动特别工作组(FATF)、亚太反洗钱组织(APG)、欧亚反洗钱与反恐融资组织(EAG)发布的呼吁采取行动的高风险国家和应加强监控的国家名单、洗钱类型分析报告和相关行业指引,以及巴塞尔银行监管委员会(BCBS)、国际证券监管委员会组织(IOSCO)、国际保险监督官协会(IAIS)等国际组织发布的洗钱风险研究成果;
(二)国家有关部门通报的上游犯罪形势、破获的洗钱案例、洗钱类型分析报告,以及机构境外经营所在国家或地区洗钱风险评估报告或其他洗钱威胁情况;
(三)中国人民银行、银保监会、证监会、外汇局等金融管理部门发布的洗钱风险提示和业务风险提示,以及机构境外经营所在国家或地区监管部门风险提示、指引等;
(四)本机构的客户群体规模信息、特征分析数据,各类金融理财产品业务和渠道的发展规模状况、结构分析数据,客户洗钱和恐怖融资风险等级划分和产品业务洗钱风险评估结果等;
(五)本机构反洗钱和相关业务制度、工作机制,信息系统建设、运作情况,内部审计情况,必要时查找和了解具体客户、业务、交易或反洗钱工作信息作为例证;
(六)反洗钱系统记录的各类异常交易排查分析资料,可疑交易报告信息,内部管理或业务操作中发现的各类风险事件信息;
(七)本机构依托开展客户尽职调查或有别的业务、客户合作的第三方机构在客户尽职调查、客户身份资料和交易记录保存方面的情况,以及双方信息传递权利义务划分与执行情况。
第二十五条法人金融机构实施风险评估应当选取科学合理的评估方法,通过恰当的书面问卷、现场座谈、抽样调查等形式,定性或定量开展评估。
第二十六条法人金融机构应当形成书面的自评估报告,经高级管理层审定后上报董事会或董事会下设的专业委员会审阅,并书面报告对法人机构具有管辖权的人民银行总行或分支机构。自评估报告应当记录自评估的方法、流程等情况,重点反映自评估发现的固有风险点、控制措施的薄弱环节和风险隐患,作出明确评估结论,指明应当予以着重关注的风险领域和拟采取的管控措施,提出有明确的目的性的风险管理建议。同时,法人金融机构应当做好自评估的指标、方法和有关数据记录和保存。
第二十七条法人金融机构应当以自评估报告和结论为基础,制定或持续调整、完善经高级管理层批准的洗钱风险管理政策、控制措施和程序,并关注控制措施的执行情况。
针对自评估发现的高风险或较高风险情形,或原有控制措施有效性存在不足时,应当采取以下一项或多项强化风险管理措施:
(一)根据洗钱风险自评估结论,确定反洗钱工作所需的资源配置和优先顺序,必要时调整经营策略,确保与风险管理相适应;
(二)根据评估发现的控制措施薄弱环节,加强内控制度建设、工作流程的优化,完善工作机制,严格内部检查和审计;
(三)针对评估发现的高风险客户类型进行优先处理,采取从严的客户接纳政策或强化的尽职调查,提高对其信息更新的频率,或加强对其的交易监测和限制;
(四)针对评估发现的高风险业务类型采取强化控制措施,在业务准入、交易频率、交易金额等方面设置限制;
(五)调整和优化交易监测指标与名单监控,对评估发现的高风险业务活动,进行更频繁深入的审查;
法人金融机构制定的改进措施不改变当次洗钱风险自评估结论,其执行效果应在后续评估中予以考虑。
第二十八条法人金融机构应当建立洗钱风险自评估成果共享机制,明确共享的内容、对象和方式,以及信息保密要求,确保相关条线、部门、分支机构知晓、理解与之相关的洗钱风险特征及程度,以推动洗钱风险管理措施在全系统的落地执行。
第二十九条法人金融机构应当动态、持续关注风险变动情况,及时来更新完善本机构的自评估指标及方法,特别是在机构可疑交易监测分析结果或接受外部协查情况与评估结果出现非常明显偏差时,应及时分析原因并调整风险评估方法或改进可疑交易监测模型等措施。
第三十条法人金融机构应当定期开展本机构洗钱风险自评估,原则上自评估的周期应不超过36个月,机构固有风险或剩余风险处于较高及以上等级的,自评估周期应不超过24个月。
(一)经济金融和反洗钱法律制度、监管政策作出重大调整,使机构经营环境或应当履行的反洗钱义务出现重大变化;
第三十一条在两次自评估间期,法人金融机构应在拟作出以下调整或变化时,参照本指引第二章相关联的内容,对相应的地域、客户群体、产品业务、渠道或控制措施开展专项评估,并考虑其对机构整体风险的影响:
(三)开发新的产品业务类型,或在产品业务(包括已有产品业务和新产品新业务)中应用可能对洗钱风险产生重大影响的新技术;
(五)对洗钱风险管理的流程、方式、内部控制制度或信息系统等作出重要变更。
专项评估应由负责管理相应变化因素的部门与反洗钱工作牵头部门共同开展,于调整或变化实现前完成评估,并根据结果完善或强化洗钱风险控制措施,确保剩余风险水平处于机构洗钱风险接纳或管理能力范围内。法人金融机构应对调整后可能的客户、业务、交易等情况作出合理估计,并在评估后持续监测以上调整或变化实际发生后的风险状况,在6至12个月的期间内根据最新的客户、业务、交易等情况更新专项评估结果。
法人金融机构对新产品、新业务和产品业务中应用新技术有更详细、更严格评估机制的,可直接将该评估结果引用或映射至对新产品业务类型的专项评估当中。
第三十二条法人金融机构应当积极加强自评估相关系统建设,建立并定期维护产品业务种类清单和客户类型清单,逐步实现通过系统准确提取自评估所需的各类数据信息,提高自评估工作效能。
第三十三条在法人金融机构洗钱风险自评估及相关工作符合本指引前述要求的情况下,对于评估发现的低风险情形,能采用适当的简化措施。但发现涉嫌洗钱和恐怖融资活动时,不得采取简化措施。
第三十四条境外金融机构在中国境内依法设立的最高层级分支机构(或被指定为境内报告行的分支机构),应参照本指引开展评估。
若境外金融机构的洗钱风险自评估已覆盖在我国境内分公司,且已最大限度地考虑本指引要求的各项因素,特别是中国境内与跨境洗钱犯罪威胁形势和手法、中国境内分支机构客户群体与产品业务、渠道特色,可以在一定程度上完成对中国境内地域、客户群体、产品业务、渠道的洗钱风险评估和管理要求,境外金融机构在我国境内的分支机构可直接援引其总公司或集团的洗钱风险自评估结论。
具有关联关系的农村信用社、农村商业银行及农村信用联社可根据本机构真实的情况,在确定的层级范围内开展统一的联合风险评估。
银行卡清算机构、资金清算中心等从事支付清算业务的机构,从事汇兑业务、基金销售业务、保险专业代理和保险经纪业务的机构,以及网络公司等其他从事互联网金融业务的非金融机构开展洗钱风险自评估可参照本指引。
附件下载地址加载中,如长时间未加载完成,请刷新此页面或点击这里加载以上资料为网友上传或网络收集,版权归作者所有,仅供学习和研究使用,如有侵权,请联系我们更正(。推荐下载
中国人民银行:机器学习金融应用技术指南(JR/T 0263-2022)
中国人民银行:银行业普惠金融业务数字化模式规范(JR/T 0269-2023)
中国人民银行:金融数据中心能力建设指引(JR/T 0265-2023)
中国人民银行重庆营业管理部等:关于重庆市金融支持全方面推进乡村振兴的指导意见(渝银发〔2023〕40号)
中国人民银行深圳市中心支行等3部门:深圳市开展预付式经营领域数字人民币试点推广工作方案
深圳市宇通互联信息技术有限公司地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606