法人金融機構洗錢和恐怖融資風險自評估指引

第一章 總體要求

第一條  為深入實踐風險為本原則，指導法人金融機構落實《國務院辦公廳關于完善反洗錢、反恐怖融資、反逃稅監管體制機制的意見》，識別、評估洗錢和恐怖融資（以下統稱洗錢）風險，優化反洗錢和反恐怖融資（以下統稱反洗錢）資源配置，制定和實施與其風險相稱的管理策略、政策和程序，提升反洗錢工作有效性，根據《中華人民共和國反洗錢法》《中華人民共和國反恐怖主義法》等法律法規，制定本指引。

第二條  本指引適用于在中國境內依法設立的法人金融機構和非銀行支付機構（以下統稱法人金融機構）。

第三條  法人金融機構開展洗錢風險自評估應當遵循以下原則：

（一）全面性原則。覆蓋本機構所有經營地域、客戶群體、產品業務（含服務）、交易或交付渠道；覆蓋境內外所有與洗錢風險管理相關的分支機構及總部有關部門；充分考慮各方面風險因素，貫穿決策、執行和監督的全部管理環節。

（二）客觀性原則。以客觀公正的態度收集有關數據和資料，以充分完整的事實為依據，力求全面準確地揭示本機構面臨的洗錢風險和管理漏洞。

（三）匹配性原則。洗錢風險自評估的性質與程度應當與法人金融機構自身經營的性質和規模相匹配，國家洗錢風險評估或中國人民銀行認可的行業風險評估報告中認定為中等以下風險水平的行業機構，或經營規模較小、業務種類簡單、客戶數量較少的機構可適當簡化評估流程與內容。

（四）靈活性原則。機構應根據經營管理、外部環境、監管法規、洗錢風險狀況等因素的變化，及時調整自評估指標和方法。對于風險較高的領域，應當縮短自評估周期，提高自評估頻率。

第四條  法人金融機構應當在本指引的基礎上制定具體的洗錢風險自評估制度。

本指引所述部分內容不適用的，法人金融機構可以在充分考慮各項風險因素及本機構實際情況的基礎上進行調整，并向對法人金融機構具有管轄權的人民銀行總行或分支機構報告。有關調整及相應論證應有必要的書面記錄。

第五條  洗錢風險自評估目的是為機構洗錢風險管理工作提供必要基礎和依據，法人金融機構應充分運用風險自評估結果，確保反洗錢資源配置、洗錢風險管理策略、政策和程序與評估所識別的風險相適應。

第二章 評估內容

第六條  法人金融機構洗錢風險自評估包括固有風險評估、控制措施有效性評估、剩余風險評估。

固有風險評估反映在不考慮控制措施的情況下，法人金融機構被利用于洗錢和恐怖融資的可能性。控制措施有效性評估反映法人金融機構所采取的控制措施對管理和緩釋固有風險的有效程度，進而對尚未得到有效管理和緩釋的剩余風險進行評估。

法人金融機構應當建立與本機構經營規模與復雜程度相匹配的洗錢風險自評估指標和模型，確保有效識別風險管理漏洞，提高自評估結論的準確性和針對性。

第七條  法人金融機構固有風險評估應當考慮以下方面：

（一）地域環境；

（二）客戶群體；

（三）產品業務（含服務）；

（四）渠道（含交易或交付渠道）。

法人金融機構應當設計科學、合理的固有風險指標，確保充分考慮各類風險因素。

第八條  法人金融機構在評估地域環境的固有風險時，應當全面考慮經營場所覆蓋地域，分別評估境內各地區和境外各司法管轄區地域風險，境內地區劃分原則上按經營地域范圍內的下一級行政區劃劃分，如全國性機構按省劃分，或按總部對分支機構管理結構劃分。對于地理位置相近、經營情況類似的地域可合并評估。

對各地域的固有風險評估可考慮以下因素：

（一）當地洗錢、恐怖融資與（廣義）上游犯罪形勢，是否毗鄰洗錢、恐怖融資或上游犯罪、恐怖主義活動活躍的境外國家和地區，或是否屬于較高風險國家和地區（至少包括金融行動特別工作組呼吁采取行動的高風險國家、地區和應加強監控的國家、地區，也可參考國際組織有關避稅天堂名單等，以下簡稱較高風險和地區）；

（二）接受司法機關刑事查詢、凍結、扣劃和監察機關、公安機關查詢、凍結、扣劃（以下簡稱刑事查凍扣）中涉及該地區的客戶數量、交易金額、資產規模等；

（三）本機構上報的涉及當地的一般可疑交易和重點可疑交易報告數量及客戶數量、交易金額；

（四）本機構在當地網點數量、客戶數量、客戶資產規模、交易金額及市場占有率水平。

第九條  法人金融機構在評估客戶群體的固有風險時，應當全面考慮本機構服務客戶群體范圍和結構，分別評估各主要客戶群體固有風險。客戶群體劃分可結合本機構對客戶管理的分類，如個人客戶、公司客戶、機構客戶等，有條件的機構可按照行業（職業）或主要辦理業務、建立業務關系方式等角度進一步聚焦洗錢風險突出的群體。同時，也應對具有高風險特征的客戶群體進行評估，如政治公眾人物客戶、非居民客戶。

對各客戶群體的固有風險評估可考慮以下因素：

（一）客戶數量、資產規模、交易金額及相應占比；

（二）客戶涉有權機關刑事查凍扣、涉人民銀行調查的數量與比例；

（三）客戶身份信息完整、豐富程度和對客戶交易背景、目的了解程度；

（四）識別客戶身份不同方式的分布，如當面核實身份、或采取可靠的技術手段核實身份、通過第三方機構識別身份的比例；

（五）客戶風險等級劃分的分布結構；

（六）非自然人客戶的股權或控制權結構，存在同一控制人風險的情況；

（七）客戶來自較高風險國家或地區的情況；

（八）客戶辦理高風險業務（如現金、跨境、高額價值轉移等）的種類和相應的規模；

（九）客戶涉可疑交易報告的數量及不同管控措施的比例；

（十）客戶屬于高風險行業或職業的數量、比例；

（十一）該類型客戶是否屬于洗錢或上游犯罪高風險群體；

（十二）客戶群體涉聯合國定向金融制裁名單及其他人民銀行要求關注的反洗錢和反恐怖融資監控名單，或其交易對手涉以上名單的比例。

第十條  法人金融機構在評估產品業務的固有風險時，應當全面考慮本機構向客戶提供的各類產品業務（或服務）。產品業務劃分原則上應在本機構產品業務管理結構的基礎上進一步細化，如私人銀行業務、國際金融業務、個人銀行卡、理財產品等。業務模式、性質相同且洗錢風險因素不存在重大差異的，可作為同一類產品業務進行評估。

對各類產品業務的固有風險評估可考慮以下因素：

（一）產品業務規模，如賬戶數量、管理資產總額，年度交易量等；

（二）是否屬于已知存在洗錢案例、洗錢類型手法的產品業務；

（三）產品業務面向的主要客戶群體，以及高風險客戶數量和相應資產規模、交易金額和比例；

（四）產品業務銷售、辦理渠道及相應渠道的風險程度，是否允許他人代辦或難以識別是否本人辦理；

（五）產品業務記錄跟蹤資金來源、去向的程度，與現金的關聯程度，現金交易金額和比例；

（六）產品業務是否可向他人轉移價值，包括資產（合約）所有權、受益權轉移，以及轉移的便利程度，是否有額度限制，是否可跨境轉移；

（七）產品業務是否可作為客戶的資產（如儲蓄存款、理財產品等），是否有額度限制，保值程度和流動性如何，是否可便利、快速轉換為現金或活期存款；

（八）產品業務是否可作為收付款工具（如結算賬戶），使用范圍、額度、便利性如何，是否可跨境使用；

（九）產品業務是否可作為其他業務的辦理通道或身份認證手段，身份識別措施是否比原有通道和手段更為簡化，是否有額度限制或使用范圍限制；

（十）產品業務是否應用可能影響客戶盡職調查和資金交易追蹤的新技術。

第十一條  法人金融機構在評估渠道的固有風險時，應當全面考慮本機構自有或通過第三方與客戶建立關系、提供服務的渠道。渠道可劃分為機構自有實體經營場所、自有互聯網渠道、自助設備與終端、第三方實體經營場所、第三方互聯網渠道，銀行業機構還應考慮代理行渠道。

對各類渠道的固有風險評估可考慮以下因素：

（一）渠道覆蓋范圍（線下網點數量與分布區域，線上可及地域范圍）及相應地區（包括境外國家和地區）的風險程度；

（二）通過該渠道建立業務關系的客戶數量和風險水平分布；

（三）通過該渠道辦理業務的客戶數量、交易筆數與金額，辦理業務的主要類型和風險水平。

第十二條  法人金融機構應在分別評估不同地域、不同客戶群體、不同產品業務、不同渠道固有風險的基礎上，匯總得出機構地域、客戶、產品業務、渠道四個維度的固有風險評估結果，最終得出對機構整體固有風險的判斷。各層次評估應當包括對主要風險點的分析和總體風險的評價，并給出相應的風險評級，以便進行地域、客戶群體、產品業務、渠道之間的橫向對比和不同年度評估結果的縱向對比。

第十三條  法人金融機構在評估控制措施有效性時，既要從整體上評估機構反洗錢內部控制的基礎與環境、洗錢風險管理機制有效性，也要按照固有風險評估環節的分類方法，分別對與各類地域、客戶群體、產品業務、渠道相應的特殊控制措施進行評價。

第十四條  對反洗錢內部控制基礎與環境的評價可以考慮以下因素：

（一）董事會與高級管理層對洗錢風險管理的重視程度，包括決策、監督跨部門反洗錢工作事項的情況；

（二）反洗錢管理層級與架構，管理機制運轉情況；

（三）反洗錢管理部門的權限和資源，反洗錢工作主要負責人和工作團隊的能力與經驗；

（四）機構信息系統建設和數據整合情況，特別是獲取、整合客戶和交易信息的能力，以及對信息安全的保護措施；

（五）機構總部監督各部門、條線和各分支機構落實反洗錢政策的機制與力度，特別是是否將反洗錢納入內部審計和檢查工作范圍、發現問題并提出整改意見；

（六）對董事會、高級管理層、總部和分支機構業務條線人員的培訓機制。

第十五條  對法人金融機構整體洗錢風險管理機制有效性的評價，可以考慮以下因素：

（一）高級管理層、反洗錢管理部門和主要業務部門、分支機構了解機構洗錢風險（包括地域、客戶、產品業務、渠道）和經營范圍內國家或地區洗錢威脅的情況；

（二）機構洗錢風險管理政策制定情況，以及政策與所識別風險的匹配程度，如機構拓展業務范圍，包括地域范圍、業務范圍、客戶范圍、渠道范圍是否考慮相應的洗錢風險，并經過董事會、高級管理層或適當層級的審議決策；

（三）機構反洗錢內控制度與監管要求的匹配程度，是否得到及時更新，各條線業務操作規程和系統中內嵌洗錢風險管理措施的情況；

（四）集團層面洗錢風險管理的統一性及集團內信息共享情況（僅集團性機構、跨國機構適用）；

（五）反洗錢管理部門與業務部門、客戶管理部門、渠道部門和各分支機構溝通機制和信息交流情況；

（六）客戶盡職調查與客戶風險等級劃分和調整工作的覆蓋面、及時性和質量，客戶身份資料獲取、保存和更新的完整性、準確性、及時性，客戶風險等級劃分指標的合理性（包括考慮地域、產品業務、渠道風險的情況），對風險較高客戶采取強化盡職調查和其他管控措施的機制；

（七）大額和可疑交易監測分析與上報機制、流程的合理性，監測分析系統功能與對信息的獲取，監測分析指標和模型設計合理性、修訂及時性，監測分析中考慮地域、客戶、產品業務、渠道風險的情況；

（八）交易記錄保存完整性和查詢、調閱便利性；

（九）名單篩查工作機制健全性，覆蓋業務與客戶范圍的全面性，以及系統預警和回溯性篩查功能。

第十六條  對不同地域、客戶群體、產品業務、渠道有特殊控制措施的，可以在評估時分別考慮以下因素：

（一）針對地域風險

1、當地分支機構反洗錢合規管理部門設置與人員配備；

2、當地分支機構執行總部反洗錢政策情況，內審和檢查發現問題及整改情況；

3、所在國或地區反洗錢監管要求與我國是否存在重要差異，是否有未滿足當地監管要求或我國監管要求的情形；

4、當地分支機構接受反洗錢監管檢查、走訪情況和后續整改工作；

5、對涉當地線上客戶、業務的管控措施；

6、是否因洗錢風險而控制客戶、業務規模，減緩或減少經營網點、限制或停止線上服務等。

（二）針對客戶風險

對該客戶群在建立業務管理、持續監測和退出環節的特殊管理措施，包括強化身份識別，交易額度、頻次與渠道限制，提高審批層級等。

（三）針對產品業務風險

1、在建立業務關系和后續使用過程中識別、核驗客戶身份的手段措施，可獲取的客戶身份（包括代辦人）信息，了解客戶交易性質、目的的程度；

2、產品業務交易信息保存的全面性和透明度，可否便捷查詢使用；

3、是否納入可疑交易監測和名單監測范圍，或有強化監測情形；

4、是否針對特定情形采取限制客戶范圍或交易金額、頻率、渠道等措施。

（四）針對渠道風險

1、渠道識別與核驗客戶身份的手段措施及準確性；

2、渠道獲取、保存和查詢客戶與交易信息的能力；

3、與第三方機構、代理行之間客戶盡職調查和反洗錢相關工作職責劃分與監督情況；

4、是否針對特定情形采取限制客戶范圍、產品業務種類、交易金額或頻率等措施。

在評估過程中，可采取映射方式反映同一控制措施與不同固有風險之間的對應關系，實現對不同維度控制措施有效性和剩余風險的差別化評估。

第十七條  法人金融機構應在綜合考慮反洗錢內部控制基礎與環境、洗錢風險管理機制有效性和特殊控制措施基礎上，得出對不同地域、客戶群體、產品業務、渠道的風險控制措施有效性評級，再匯總得出地域、客戶、產品業務、渠道四個維度的風險控制措施有效性評價和評級，最終得出對機構整體控制措施有效性的判斷。

第十八條  法人金融機構應在整體固有風險評級基礎上，考慮整體控制措施有效性，得出經反洗錢控制后的機構整體剩余風險評級。同時，對于地域、客戶群體、產品業務、渠道維度及細分類別，也應在考慮固有風險與包括特殊控制措施在內的整體控制措施有效性的基礎上，得出相應類別的剩余風險評級。

第十九條  法人金融機構應當合理劃分固有風險、控制措施有效性以及剩余風險的等級。風險等級原則上應分為五級或更高。機構規模較小、業務類型單一的機構可簡化至不少于三級。規模越大、結構越復雜的機構，其設定的風險等級應當越詳細。

第二十條  法人金融機構可以通過固有風險與控制措施有效性二維矩陣方式（見下表，以固有風險和控制措施有效性均分為五級為例）對照計量機構整體及不同維度的剩余風險等級，或根據自身的實際情況確定依據固有風險和控制措施有效性情況計量剩余風險的方法。

表1  矩陣對照計量剩余風險方法

第三章 流程和方法

第二十一條  法人金融機構應當指定一名高級管理人員全面負責洗錢風險自評估工作，建立包括反洗錢牽頭部門和業務部門、稽核與內審部門等在內的領導小組。領導小組應當組織協調自評估整體工作，指導相關業務條線、部門、分支機構按照評估方案承擔本部門、本機構自評估職責，確保自評估的客觀性與相對獨立性。各條線、部門、分支機構應充分梳理和反映自身面臨的洗錢風險和反洗錢工作存在的困難與脆弱性，提供自評估工作所必需的數據、信息和支持。

法人金融機構可聘請第三方專業機構協助進行評估方案、指標與方法的起草和內外部信息收集整理等輔助性工作，但評估過程中對各類固有風險、控制措施有效性及剩余風險的討論、分析和判斷應由領導小組、反洗錢牽頭部門及各條線、部門、分支機構主導完成。不得將自評估工作完全委托或外包至第三方專業機構完成。

第二十二條  法人金融機構開展全面洗錢風險自評估，一般包括準備階段、實施階段和報告階段。

第二十三條  法人金融機構應當結合本機構實際情況，充分做好自評估前的準備工作，包括成立評估工作組，配備相關評估人員和資源，制定評估工作方案，研究確定或更新評估指標和方法，認真梳理本機構經營地域、客戶群體、產品業務、渠道種類，廣泛收集自評估所需的各類信息等。

由于金融產品和業務種類繁多復雜，法人金融機構應當按照科學、合理的分類標準，認真梳理現有產品業務和渠道的種類。

第二十四條  法人金融機構收集自評估所需的各類信息，應當充分考慮內外部各方面來源，例如：

（一）金融行動特別工作組（FATF）、亞太反洗錢組織（APG）、歐亞反洗錢與反恐融資組織（EAG）發布的呼吁采取行動的高風險國家和應加強監控的國家名單、洗錢類型分析報告和相關行業指引，以及巴塞爾銀行監管委員會（BCBS）、國際證券監管委員會組織（IOSCO）、國際保險監督官協會（IAIS）等國際組織發布的洗錢風險研究成果；

（二）國家相關部門通報的上游犯罪形勢、破獲的洗錢案例、洗錢類型分析報告，以及機構境外經營所在國家或地區洗錢風險評估報告或其他洗錢威脅情況；

（三）中國人民銀行、銀保監會、證監會、外匯局等金融管理部門發布的洗錢風險提示和業務風險提示，以及機構境外經營所在國家或地區監管部門風險提示、指引等；

（四）本機構的客戶群體規模信息、特征分析數據，各類金融產品業務和渠道的發展規模狀況、結構分析數據，客戶洗錢和恐怖融資風險等級劃分以及產品業務洗錢風險評估結果等；

（五）本機構反洗錢和相關業務制度、工作機制，信息系統建設、運行情況，內部審計情況，必要時查找和了解具體客戶、業務、交易或反洗錢工作信息作為例證；

（六）反洗錢系統記錄的各類異常交易排查分析資料，可疑交易報告信息，內部管理或業務操作中發現的各類風險事件信息；

（七）本機構依托開展客戶盡職調查或有其他業務、客戶合作的第三方機構在客戶盡職調查、客戶身份資料和交易記錄保存方面的情況，以及雙方信息傳遞權利義務劃分與執行情況。

第二十五條  法人金融機構實施風險評估應當選取科學合理的評估方法，通過恰當的書面問卷、現場座談、抽樣調查等形式，定性或定量開展評估。

第二十六條  法人金融機構應當形成書面的自評估報告，經高級管理層審定后上報董事會或董事會下設的專業委員會審閱，并書面報告對法人機構具有管轄權的人民銀行總行或分支機構。自評估報告應當記錄自評估的方法、流程等情況，重點反映自評估發現的固有風險點、控制措施的薄弱環節和風險隱患，作出明確評估結論，指明應當予以重點關注的風險領域和擬采取的管控措施，提出有針對性的風險管理建議。同時，法人金融機構應當做好自評估的指標、方法和相關數據記錄和保存。

第四章 結果運用和管理

第二十七條  法人金融機構應當以自評估報告和結論為基礎，制定或持續調整、完善經高級管理層批準的洗錢風險管理政策、控制措施和程序，并關注控制措施的執行情況。

針對自評估發現的高風險或較高風險情形，或原有控制措施有效性存在不足時，應當采取以下一項或多項強化風險管理措施：

（一）根據洗錢風險自評估結論，確定反洗錢工作所需的資源配置和優先順序，必要時調整經營策略，確保與風險管理相適應；

（二）根據評估發現的控制措施薄弱環節，加強內控制度建設、工作流程優化，完善工作機制，嚴格內部檢查和審計；

（三）針對評估發現的高風險客戶類型進行優先處理，采取從嚴的客戶接納政策或強化的盡職調查，提高對其信息更新的頻率，或加強對其的交易監測和限制；

（四）針對評估發現的高風險業務類型采取強化控制措施，在業務準入、交易頻率、交易金額等方面設置限制；

（五）調整和優化交易監測指標與名單監控，對評估發現的高風險業務活動，進行更頻繁深入的審查；

（六）針對評估發現的問題，進行風險提示；

（七）強化信息系統功能建設，支持洗錢風險管理的需要；

（八）其他能夠有效控制風險的措施。

法人金融機構制定的改進措施不改變當次洗錢風險自評估結論，其執行效果應在后續評估中予以考慮。

第二十八條  法人金融機構應當建立洗錢風險自評估成果共享機制，明確共享的內容、對象和方式，以及信息保密要求，確保相關條線、部門、分支機構知曉、理解與之相關的洗錢風險特征及程度，以推動洗錢風險管理措施在全系統的落地執行。

第二十九條  法人金融機構應當動態、持續關注風險變化情況，及時更新完善本機構的自評估指標及方法，特別是在機構可疑交易監測分析結果或接受外部協查情況與評估結果出現明顯偏差時，應及時分析原因并調整風險評估方法或改進可疑交易監測模型等措施。

第三十條  法人金融機構應當定期開展本機構洗錢風險自評估，原則上自評估的周期應不超過36個月，機構固有風險或剩余風險處于較高及以上等級的，自評估周期應不超過24個月。

法人金融機構出現以下情形時應及時開展自評估工作：

（一）經濟金融和反洗錢法律制度、監管政策作出重大調整，使機構經營環境或應當履行的反洗錢義務發生重大變化；

（二）公司實際控制人、受益所有人發生變化或公司治理結構發生重大調整；

（三）經營發展策略有重大調整；

（四）內外部風險狀況發生顯著變化，如出現重大洗錢風險事件；

（五）其他認為有必要評估風險的情形。

第三十一條  在兩次自評估間期，法人金融機構應在擬作出以下調整或變化時，參照本指引第二章相關內容，對相應的地域、客戶群體、產品業務、渠道或控制措施開展專項評估，并考慮其對機構整體風險的影響：

（一）在新的境外國家或地區開設分支機構或附屬機構；

（二）面向新的客戶群體提供產品業務或服務；

（三）開發新的產品業務類型，或在產品業務（包括已有產品業務和新產品新業務）中應用可能對洗錢風險產生重大影響的新技術；

（四）采用新的渠道類型與客戶建立業務關系或提供服務；

（五）對洗錢風險管理的流程、方式、內部控制制度或信息系統等作出重要變更。

專項評估應由負責管理相應變化因素的部門與反洗錢工作牽頭部門共同開展，于調整或變化實現前完成評估，并根據結果完善或強化洗錢風險控制措施，確保剩余風險水平處于機構洗錢風險接納或管理能力范圍內。法人金融機構應對調整后可能的客戶、業務、交易等情況作出合理估計，并在評估后持續監測以上調整或變化實際發生后的風險狀況，在6至12個月的期間內根據最新的客戶、業務、交易等情況更新專項評估結果。

法人金融機構對新產品、新業務和產品業務中應用新技術有更詳細、更嚴格評估機制的，可直接將該評估結果引用或映射至對新產品業務類型的專項評估當中。

第三十二條  法人金融機構應當積極加強自評估相關系統建設，建立并定期維護產品業務種類清單和客戶類型清單，逐步實現通過系統準確提取自評估所需的各類數據信息，提高自評估工作效能。

第三十三條  在法人金融機構洗錢風險自評估及相關工作符合本指引前述要求的情況下，對于評估發現的低風險情形，可以采取適當的簡化措施。但發現涉嫌洗錢和恐怖融資活動時，不得采取簡化措施。

第五章 附則

第三十四條  境外金融機構在中國境內依法設立的最高層級分支機構（或被指定為境內報告行的分支機構），應參照本指引開展評估。

若境外金融機構的洗錢風險自評估已覆蓋在我國境內分公司，且已充分考慮本指引要求的各項因素，特別是中國境內與跨境洗錢犯罪威脅形勢和手法、中國境內分支機構客戶群體與產品業務、渠道特色，能夠實現對中國境內地域、客戶群體、產品業務、渠道的洗錢風險評估和管理要求，境外金融機構在我國境內的分支機構可直接援引其總公司或集團的洗錢風險自評估結論。

具有關聯關系的農村信用社、農村商業銀行及農村信用聯社可根據本機構實際情況，在確定的層級范圍內開展統一的聯合風險評估。

銀行卡清算機構、資金清算中心等從事支付清算業務的機構，從事匯兌業務、基金銷售業務、保險專業代理和保險經紀業務的機構，以及網絡小額貸款公司等其他從事互聯網金融業務的非金融機構開展洗錢風險自評估可參照本指引。

第三十五條  本指引由中國人民銀行反洗錢局負責解釋。

第三十六條  本指引自印發之日起實行。