• 关于《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》的通知

  （银反洗发[2018]21号）

       中国人民银行上海总部金融服务二部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行反洗钱处：

为有效实施风险为本反洗钱监管，督促法人金融机构加强洗钱和恐怖融资风险管理，根据《中华人民共和国中国人民银行法》《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》《金融机构反洗钱监督管理办法(试行)等法律法规，中国人民银行反洗钱局制定了《法人金融机构洗钱和恐怖融资风险评估管理办法(试行)》(以下简称《管理办法》)，现印发给你们，并就有关事项通知如下，请遵照执行。

一、中国人民银行及其分支机构按照本办法，从2019年起全面启动对辖内法人金融机构的洗钱和恐怖融资风险评估工作，统筹规划、分步推进，逐步实现对辖区不同行业、不同类型机构的全覆盖及动态管理。

二、中国人民银行反洗钱局根据本办法研究制定风险评估指标，并结合风险变化、监管政策和规则调整、金融业务发展等完善风险评估指标。中国人民银行副省级以上分支机构可以根据辖内风险特征及金融业务发展等，适当调整具体评估指标，合理确定相应的评分标准、阈值及权重，提升风险评估工作的针对性和有效性。

三、鼓励中国人民银行副省级以上分支机构积极探索通过信息技术、管理系统等采集、分析风险评估所需数据和信息，不断优化风险评估方法和工作流程，提高风险评估工作效率。

四、法人金融机构洗钱和恐怖融资风险评估工作的具体分工参照《中国人民银行办公室关于落实<金融机构反洗钱监督管理办法（试行）>》有关事项的通知》（银办发[2014]263号）的要求执行。

中国人民银行反洗钱局

2018年12玥29日

附件：

法人金融机构洗钱和恐怖融资风险评估管理办法（试行）

第一章总则

第一条为有效实施风险为本反洗钱监管，合理配置监管资源，推动法人金融机构对洗钱、恐怖融资和扩散融资风险(以下统称洗钱和恐怖融资风险)加强识别、评估和管理，根据《中华人民共和国中国人民银行法》《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》《金融机构反洗钱监督管理办法(试行)》等法律法规，制定本办法。

第二条本办法适用于中国人民银行及其分支机构对依据中华人民共和国法律依法设立的法人金融机构开展洗钱和恐怖融资风险评估。

第三条中国人民银行及其分支机构按照本办法对法人金融机构的洗钱和恐怖融资风险进行评估，以及时、准确掌握法人金融机构洗钱和恐怖融资风险，为开展行业、地区、国家等层面的洗钱和恐怖融资风险评估及优化配置反洗钱监管资源提供支持。

第四条中国人民银行及其分支机构根据辖内法人金融机构数量、规模、风险分布等因素，合理确定洗钱和恐怖融资风险的评估对象和评估周期，确保及时、准确掌握不同行业、不同类型机构的洗钱和恐怖融资风险特征及变化情况。

中国人民银行及其分支机构根据风险为本监管需要，可以开展特定业务(含产品、服务)、新技术等领域的洗钱和恐怖融资风险评估。中国人民银行及其分支机构应当采取合理措施，持续关注法人金融机构洗钱和恐怖融资风险变化情况，保持监管连续性。法人金融机构的管理运营出现重大事件或面临的洗钱和恐怖融资风险发生显著变化时，中国人民银行及其分支机构应当及时对其开展风险评估。

第五条中国人民银行及其分支机构根据风险评估结果，确定对法人金融机构实施反洗钱监管的措施及其强度和频率。

风险评估发现洗钱和恐怖融资风险隐患较为突出、集中或普遍的，中国人民银行及其分支机构根据具体情况，单独或会同有关金融监督管理机构及其派出机构发布相关风险提示，并采取相应的监管措施。

第六条洗钱和恐怖融资风险评估应当遵循以下原则：

    (一)一致性原则。洗钱和恐怖融资风险评估应当考虑法人金融机构总体风险控制环境与经营策略，关注其洗钱与恐怖融资风险管理政策和程序是否与全面风险管理相适应。

(二)全面性原则。洗钱和恐怖融资风险评估应当覆盖法人金融机构各项业务活动和管理流程；覆盖所有境内外分支机构及相关附属机构，以及相关部门、岗位和人员；贯穿决策、执行和监督全部管理环节。

(三)有效性原则。洗钱和恐怖融资风险评估结果应当充分揭示洗钱和恐怖融资风险特征及分布，为有效实施反洗钱监管提供支持，推动法人金融机构建立与其自身风险状况相适应的洗钱和恐怖融资风险管理策略、政策和程序。

(四)动态管理原则。洗钱和恐怖融资风险评估方法和指标应当根据国家、地区或行业的洗钱和恐怖融资风险变化情况及时调整，以满足法人金融机构风险评估的实际需要。

第七条中国人民银行及其分支机构对开展洗钱和恐怖融资风险评估获得或知悉的客户身份资料和交易信息，应当予以保密；非依法律规定，不得向任何单位和个人提供。

第二章风险评估方法

第八条法人金融机构洗钱和恐怖融资风险评估包括固有风险评估和控制措施有效性评估两项内容。固有风险评估反映在不考虑控制措施情况下，法人金融机构被利用进行洗钱、恐怖融资的可能性。控制措施有效性评估反映法人金融机构所采取的控制措施对管理和缓释固有风险的有效程度。

第九条中国人民银行从经营规模、国家地域、客户(含职业、行业)、业务(含产品、服务及交付渠道)等维度综合考虑，确定风险因素制定固有风险评估指标。

第十条中国人民银行从风险管理策略和架构、风险识别机制、风险控制措施、反洗钱工作机制等维度综合考虑，确定评估因素，制定控制措施有效性评估指标。

第十一条中国人民银行及副省级以上分支机构根据不同行业固有风险和控制措施的差异性，合理确定评估指标的评分标准、阈值和权重，并结合洗钱及恐怖融资风险变化、反洗钱监管政策和标准调整、金融业务发展特征等，适时进行调整。

第十二条中国人民银行及其分支机构通过现场或非现场途径，获取法人金融机构风险指标数据、相关风险信息和反洗钱合规管理信息资料，包括但不限于：

(一)所属行业风险状况，主要包括中国人民银行及其分支机构、行业监管部门掌握的风险信息；

（二）人金融机构洗钱和恐怖融资风险自评估方法、结论及所依据的信息资料；

    (三)反洗钱系统和业务系统操作手册；

    (四)高风险客户、高风险业务(含产品、服务)、客户风险等级分类、异常交易预警、可疑交易报告等方面的信息资料；

    (五)其他能够反映法人金融机构开展反洗钱工作的信息资料。

第十三条固有风险各风险因素评估分为五级，最高风险为5分、较高风险为4分、中风险为3分、较低风险为2分、低风险为1分。根据各风险因素评分及权重赋值，加权计算固有风险总分，分五档确定固有风险等级：高、较高、中、较低、低。

第十四条控制措施有效性各评估因素评估分为五级，有效为5分，大致有效为4分，部分有效为3分，低效为2分，基本无效为1分。根据各评估因素评分及权重赋值，加权计算控制措施有效性总分，分五档确定控制措施的有效程度：强健、满意、一般、不充分、重大缺陷。

控制措施强健，表明控制措施能够有效管控、缓释固有风险；控制措施满意，表明控制措施能够管控、缓释固有风险，虽仍存在少数问题，但预计能够得到充分解决；控制措施一般，表明控制措施能在一定程度上管控、缓释固有风险，但仍存在较多问题需要解决；控制措施不充分，表明控制措施亟待改进以有效管控、缓释固有风险，控制措施重大缺陷，表明控制措施存在较大程度缺失，或控制措施无法缓释固有风险。

第十五条中国人民银行及其分支机构综合固有风险和控制措施有效表明性评定结果，对照《风险评估结果计量矩阵》(见附表)得出法人金融机构洗钱和恐怖融资风险的评估结果。评估结果按照风险程度由低到高分为A级(低风险)、B级(较低风险)、C级(中风险)、D级(较高风险)、E级(高风险)五个等级。

第十六条中国人民银行及其分支机构采取定性与定量分析相结合、同业比较、趋势分析等方法，灵活运用询问谈话、问卷调查、系统查看、穿行测试、数据分析等辅助手段，客观评估法人金融机构的风险状况。

第十七条中国人民银行及其分支机构应当督导法人金融机构加强洗钱和恐怖融资风险管理，建立和完善相关工作机制，定期或不定期开展全系统或特定领域的洗钱和恐怖融资风险自评估，采取针对性的风险控制措施。

    中国人民银行及其分支机构开展洗钱和恐怖融资风险评估，可以参考法人金融机构洗钱和恐怖融资风险自评估的方法、结论及相关证明材料；如对自评估结论及相关证明材料有疑问的，要求其进行解释说明或提供补充材料。

    第十八条中国人民银行及其分支机构应当充分考虑反洗钱分类评级与风险评估的衔接。在评估控制措施有效性时，适当援引或参考反洗钱分类评级对法人金融机构反洗钱工作合规性和有效性的评价结论。

第三章风险评估流程

    第十九条中国人民银行及其分支机构应当至少考虑下列一项因素，合理确定洗钱和恐怖融资风险评估对象：

(一)是否涵盖主要金融行业及机构类型；

(二)是否代表某类金融行业的风险特征；

(三)是否反映新技术、新业务(含产品、服务)的发展趋势；

(四)因风险评估需要考虑的其它因素。

    中国人民银行及其分支机构原则上于每年第一季度确定本年度风险评估对象。

     第二十条中国人民银行及其分支机构开展洗钱和恐怖融资风险评估，应当按照规定程序填制《反洗钱监管审批表》及《反洗钱监管通知书》，经本行(部)行长(主任)或主管副行长(副主任)批准后，至少提前5个工作日将《反洗钱监管通知书》送达被评估的法人金融机构。

     第二十一条中国人民银行及其分支机构可以要求被评估的法人金融机构提供必要的信息资料，也可以现场采集满足评估所需的必要信息。通过现场方式实施评估，中国人民银行及其分支机构的反洗钱工作人员不得少于2人，并出示《反洗钱监管通知书》及合法证件。

     中国人民银行及其分支机构应当以适当方式要求评估对象对所提供信息资料的真实性、准确性和完整性进行承诺和负责。

     第二十二条中国人民银行及其分支机构应当在充分了解情况的基础上，客观评判法人金融机构的风险状况，得出评估结论，针对存在问题，提出指导性整改意见，形成《反洗钱监管意见书》。

   《反洗钱监管意见书》的内容包括但不限于：

    (一)固有风险状况。

    (二)控制措施有效程度。

    (三)风险评估结论及监管意见。

第四章风险评估结果运用

    第二十三条中国人民银行及其分支机构根据法人金融机构洗钱和恐怖融资风险评估结果，采取质询、约见谈话、监管走访、现场检查等针对性监管措施。原则上对风险较高机构实施监管措施的频率和强度应当高于风险较低机构。

    (一)质询。A级、B级机构可以采取电话或书面质询方式，C级及以下机构应当采取书面质询方式。

(二)约见谈话。A级、B级机构可以仅约谈法人金融机构反洗钱主管部门负责人，C级及以下机构应当约谈法人金融机构主要负责人或主管反洗钱工作高级管理人员。

    (三)监管走访。C级及以下机构通过监管走访方式督促或核实监管见的落实。

   （四)现场检查。风险较高机购被随机抽查的比例应当高于风险较低机构。在风险评估中发现法人金融机构涉嫌违反反洗钱规定且情节严重的，中国人民银行及其分支机构应当及时开展现场检查。

    第二十四条中国人民银行及其分支机构应当根据风险评估结果合理设定洗钱和恐怖融资风险的评估周期。原则上风险较高机构的评估周期应当短于风险较低机构。

    第二十五条中国人民银行及其分支机构应当将法人金融机构洗钱和恐怖融资风险评估结果和整改落实情况记入反洗钱监管档案，作为后续风险评估的参考，确保监管的连续性和严肃性。

    第二十六条中国人民银行及其分支机构对法人金融机构洗钱和恐怖融资风险评估结论与其风险自评估结论存在较大差异的，应当根据具体情况，及时调整、完善风险评估方法和指标等，或提示法人金融机构审视自评估方法、指标和流程，修正对风险的认知和风险控制措施等。

    第二十七条法人金融机构洗钱和恐怖融资风险评估结论仅限中国人民银行及其分支机构监管使用，不对外披露或用于其他目的，法律法规另有规定的除外。

    中国人民银行及其分支机构应当严禁法人金融机构将评估结论对外披露或用于广告、宣传、营销等商业目的。

第五章附则

     第二十八条中国人民银行及其分支机构可以按照本办法对金融集团开展洗钱和恐怖融资风险评估，或通过对属于同一集团的法人金融机构分别开展风险评估，综合确定金融集团的整体风险水平。

    第二十九条对非银行支付机构、银行卡清算机构、资金清算中心等从事支付清算业务的机构及从事汇兑业务和基金销售业务的机构开展洗钱和恐怖融资风险评估适用本办法。

    外资金融机构在中华人民共和国境内依法设立的最高层级机构不是法人的，视同法人金融机构适用本办法。

    第三十条固有风险评估指标和控制措施有效性评估指标由中国人民银行另行制定。

    第三十一条本办法由中国人民银行反洗钱局负责解释和修订。

    第三十二条本办法自印发之日起实施。本办法实施前有关规定与本办法规定不一致的，以本办法为准。

附表：《风险评估结果计量矩阵》

    根据固有风险和控制措施有效性的评估结果，结合风险矩阵得出总体洗钱风险评级结果，风险评级等级由低到高分为A级、B级、C级、D级、E级五个等级。