金融机构反洗钱工作：从规则为本

东莞洪梅律师获悉

以中国人民银行2008年12月30日发布的《中国人民银行关于进一步加强金融机构反洗钱工作的通知》为标志，对金融机构反洗钱工作提出了监管要求逐渐从基于规则转向基于风险。 2018年，我国迎来金融行动特别工作组（以下简称“FATF”）第四轮反洗钱和反恐融资互评估[1]。中国人民银行等反洗钱监管机构（以下简称“监管机构”）密集出台一系列反洗钱规范性文件，要求各金融机构深入落实风险为本实践，提高反洗钱和反恐融资成效，防范洗钱和恐怖融资风险（以下简称洗钱风险）。与此同时，监管部门也加大了对部分金融机构反洗钱力度不力的处罚力度。反洗钱合规风险就像悬在各项反洗钱义务头上的“达摩克利斯之剑”。如何实施基于风险的反洗钱合规工作，成为2018年以来金融机构合规领域的热门话题。

尽管监管部门对基于风险的反洗钱工作越来越重视，来自金融行业的反洗钱风暴愈演愈烈，但学术界对此的研究还相对有限。当前，金融机构在实践中面临的最大困惑和挑战是如何将模糊的风险为本理念和抽象复杂的反洗钱法规落实到日常业务运营中。

鉴于此，本文首先介绍了风险为本的内涵，分析了风险为本与反洗钱工作的联系，进而得出风险评估是应用风险为本的基础和重要内容。在获得前述理论共识的基础上，结合《金融机构法人洗钱和恐怖融资风险评估管理办法（试行）》的相关规定，探讨金融机构需要做好进行洗钱风险评估时提前做好准备。最后，本文顺应风险为本的内涵，提出在现行反洗钱风险为本的监管要求下，金融机构实施相关反洗钱合规工作的建议。

一、风险为本的内涵分析

“风险为本”最早是由英国监管机构倡导的。英国金融监管局（FSA）在2000年1月制定的《新千年的新监管者》中提出了这一概念。随后，沃尔夫斯堡集团、金融行动特别工作组（FATF）、国际保险协会等国际组织纷纷提出这一概念。监管机构（IAIS）、国际证监会组织（IOSCO）积极倡导。经过不断发展，FATF于2012年正式颁布了《FATF新40项建议》，详细阐述了FATF第四轮“基于风险”的反洗钱监管体系互评的具体内容和技术名称； 2013年，FATF颁布了《FATF新建议》。 《40个国际反洗钱/反恐融资体系合规性和有效性说明》，系统阐述了FATF“基于风险”的反洗钱监管相互评估的技术要求和规范标准； 2014年，成员国颁布了《第四轮相互评估评估报告指导说明》，敦促成员国不断推进本国“基于风险”的反洗钱监管体系建设。这三项的正式颁布文件基本形成了FATF“基于风险”的反洗钱监管指导体系的主要框架，自此，“基于风险”的监管体系全面取代了FATF在《金融行动特别工作组》中提出的“基于规则”的监管体系。 2003年颁布的《反洗钱/反恐融资“40+9”建议》，反洗钱监管体系已成为以FATF为代表的国际反洗钱监管界的全面确认和落实。 [2]

《FATF新40条建议》第一条提出了评估风险和应用基于风险的理念的工作要求。 “各国应识别、评估和了解本国的洗钱和恐怖融资风险，并采取相应措施，包括指定一定部门或建立相关机制来协调行动，评估风险、配置资源，确保有效降低风险。根据评估，各国应采用基于风险的方法，以确保预防或减少洗钱和恐怖主义融资风险的措施与已确定的措施相一致。这种方法应作为有效分配资源的必要基础。反洗钱和反恐怖融资制度以及实施 FATF 建议所要求的基于风险的措施 如果发现风险较高，各国应确保其反洗钱和反恐怖融资措施能够充分应对这些风险。如果发现较低东莞洪梅律师，各国可以在某些情况下允许针对 FATF 的某些建议采取简化措施。各国应要求金融机构和特定非金融行业和职业识别、评估并采取有效措施降低洗钱和恐怖融资风险。”[3]

根据对FATF法规的理解，不少学者对基于风险的概念进行了提炼。薛永明认为，风险为本是指反洗钱主体开展反洗钱工作时，科学评估不同组织、企业、客户和交易面临的洗钱风险，确定反洗钱的方向和比例。加强反洗钱资源投入，采取不同措施精简反洗钱措施，确保有限的反洗钱资源优先用于高风险领域，提高防范和打击洗钱活动的有效性。 [4] 严立新、唐军认为，风险为本，正如美国金融犯罪执法网（）所总结的那样，可以简单理解为相关主体应将最多的反洗钱合规资源投入到资金较高的业务领域洗钱风险。 “[5]

二、风险为本与反洗钱工作的联系

从上述FATF国际标准和我国国内学术讨论可以看出，风险为本要求的本质是要求相关主体从风险管理的角度开展反洗钱工作。从反洗钱实施主体的角度来看，风险为本包括监管部门和金融机构两个层面的含义。对于监管部门而言，风险为本意味着监管部门应当科学合理地识别和评估被监管单位面临的洗钱及洗钱风险。恐怖融资风险根据评估结果，合理配置监管资源，对被监管单位实施与风险相适应的监管措施；金融机构作为受监管单位，应对其面临的洗钱和恐怖主义行为进行识别、评估和管理。融资风险，查找风险漏洞和薄弱环节，根据风险等级采取差异化管控措施。

无论是监管部门还是金融机构，应用风险为本的逻辑都是首先准确地识别和评估风险，然后根据风险评估的结果采取相应的措施防范和降低风险，从而实现有效的管理洗钱风险。其中，风险识别和评估是应用风险为本方法的基础和重要内容。对于金融机构来说，实施基于风险的反洗钱工作，首先需要准确识别和评估自身业务或客户的风险，根据风险评估结果采取相应措施，进而控制、减少、防范和缓释风险。 。识别和评估风险评估是应用基于风险的方法的基础和重要内容。

必须看到，反洗钱工作需要逐步从基于规则转向基于风险，但基于规则和基于风险并不是对立的。规则化合规管理是通过规则的制定和执行来实现的。基于风险的方法以风险为核心，通过评估洗钱风险并根据风险程度制定严格或宽松的预防措施来实现风险管理。基于规则和基于风险之间的关系是层次关系。向风险为本的反洗钱工作要求的转变并不意味着放弃基于规则的合规要求，而是要求金融机构在基本满足要求后，重点关注其内部反洗钱组织架构、内部控制制度和操作程序。合规要求。重点抓好洗钱风险管理，注重风险的识别、评估和控制，根据风险大小合理配置反洗钱资源，采取有针对性的风险控制措施。

3. 应用基于风险的方法进行洗钱风险评估的困难

随着反洗钱监管规定的不断完善，风险为本在我国反洗钱立法体系中的地位逐步完善、进一步巩固和深化，而风险评估是落实风险的前提和重要内容-基于。监管部门先后发布了《法人金融机构反洗钱分类评级管理办法（试行）》、《法人金融机构洗钱和恐怖融资风险管理指引（试行）》、 《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》、《金融机构法人洗钱和恐怖融资风险管理指引》《洗钱和恐怖融资风险评估管理办法》（以下简称《风险评估管理办法》等关于实施和实施基于风险的反洗钱监管，指导金融机构识别、评估和管理洗钱风险的规范性指引。洗钱风险评估体系，分析研判机构内外部洗钱风险，评估机构风控机制有效性，查找风险漏洞和薄弱环节，有效运用评估结果，合理配置反洗钱资源并采取有针对性的风险控制措施”[6]

鉴于金融机构可能尚未建立或不足的洗钱风险评估体系，监管机构将按照2018年12月发布的《风险评估管理办法》对金融机构进行洗钱风险评估，以确定需要对金融机构实施监管措施。强度和频率。因此，下面将结合《洗钱风险评估办法》的规定，探讨金融机构在进行风险评估之前可能需要提前解决的反洗钱要求。这使得金融机构能够有效运用基于风险评估的基于风险的反洗钱工作方法，提前发现风险漏洞和薄弱环节，确保当前防范或降低洗钱风险的措施与已识别的风险相适应。

（一）风险评估分析框架

根据《洗钱风险评估管理办法》，通过评估金融机构的固有风险和控制措施的有效性来反映金融机构的洗钱风险状况。分析框架是评估金融机构面临的洗钱固有风险和控制措施的有效性，进而确定剩余风险。具体内容及指标如下：

1. 固有风险评估

评估固有风险，即评估在缺乏任何有效控制措施的情况下洗钱漏洞的可能性。固有风险评估包括经营环境和规模、客户风险、业务（包括产品、服务、交付渠道）风险。

营商环境和规模的评价指标包括但不限于：（一）在高风险国家（地区）设立分支机构； （二）分支机构在高风险国家（地区）的经营情况； （三）下属分支机构数量及地域分布； （四）涉及高风险国家（地区）的交易； （五）金融机构经营规模等。

客户风险评估指标包括但不限于： （一）特定风险类型客户（如高风险客户、非居民、代理行、境外非政府组织代表处、高净值客户、政治客户等）暴露的人物）； (2) 客户使用不可验证的文件开户； (3) 职业不明的客户； (4) 具有同一控制人风险的客户； （5）高风险职业、高风险行业的客户； (6) 依赖第三方与客户建立业务关系； (7) 开立非柜台账户的客户； （八）客户委托金融机构以外的第三方进行身份识别的； （九）来自高风险国家（地区）的客户； (10) 受到主管机关调查的客户客户等。

业务风险评估指标包括但不限于： （一）高风险业务/产品情况； （二）现金交易； （三）一次性交易； （四）非面对面交易； （五）代理交易； （六）跨境汇款业务； （七）贸易融资交易； （八）代理银行业务； （九）私人银行业务； （十）特约商户业务； （十一）单客户跨行资金转账转账业务； （十二）渠道资产管理业务； （十三）场外交易； （14）大宗交易； （十五）新三板市场协议转让业务； （十六）场外衍生品业务； （十七）政策性贷款业务等。

最后根据经营环境和规模、客户风险和业务风险评估指标的综合指标权重和综合指标得分，加权计算相应的指标得分。

2. 控制有效性评估

评估控制措施的有效性，即评估金融机构内部控制措施的设计和实施是否能够有效管理洗钱风险。控制有效性评估重点关注金融机构的洗钱风险管理策略以及环境和内部控制措施。

洗钱风险管理策略的评价指标包括但不限于： （一）风险控制策略（风险控制目标设定、风险控制体系建设）； （二）制度体系（制度建立、制度更新、制度约束）； （三）组织机构（董事会、监事会、高级管理层的履职情况，机构及岗位设置，分支机构、控股子公司的合规管理）； （4）文化与沟通（合规文化与风控意识、沟通）等。

洗钱风险内部控制措施的评价指标包括但不限于： （一）风险识别和评估（客户风险评估、产品和业务风险评估、机构风险评估）； （2）风险控制措施（客户身份识别和风险等级划分）、客户身份信息和交易记录保存、大额交易和可疑交易报告、恐怖分子名单监控、技术系统支持、高风险客户管理、高风险产品和高风险产品-风险业务管理、内部审计和检查）等

最后根据洗钱风险管理策略和内部控制措施各项评价指标的综合指标权重和综合指标得分，加权计算相应的指标得分。

3. 评估残余风险

评估剩余风险，即在上述识别的固有风险目前实施的有效控制措施下，金融机构仍面临洗钱风险的程度。这就是剩余风险。金融机构计算上述固有风险和控制措施有效性的总分，以确定剩余风险。

（二）风险评估困难

利用上述风险评估指标计算和评估金融机构面临的洗钱风险，首要前提是了解和确定各项风险评估指标。但有一些指标需要金融机构独立确定。例如，《洗钱风险评估管理办法》（银行业金融机构适用）附件1《法人金融机构固有风险评估表》中的高风险职业是指经法人独立评估的职业。金融机构。 “高风险”职业、高风险行业是指被企业金融机构独立评估为“高风险”的行业，高风险产品是指被企业金融机构独立评估为“高风险”的产品/业务。企业金融机构基于产品洗钱风险管理经验。服务。

但金融机构如何独立评估其客户哪些职业和行业属于“高风险”，哪些产品、业务或服务属于“高风险”，目前尚无统一、权威的标准。 《洗钱风险评估管理办法》附件2《控制措施有效性评估表》要求对高风险客户采取强化识别和控制措施。客户办理高风险业务时，必须加强识别措施。然而，在目前的实践中，到什么程度才可以称为“强化”的识别控制措施并没有明确的衡量尺度。

基于风险的反洗钱工作方法要求对风险进行识别和评估，并根据风险情况采取相应的控制措施。 《洗钱风险评估管理办法（试行）》出台后，中国人民银行可以利用该办法评估金融机构面临的整体风险。对洗钱风险状况进行识别和评估，以确定监管力度和效率。这种针对整个机构的洗钱风险评估与控制又分为针对客户和业务的风险评估与控制。客户和业务的风险评估和控制依赖于金融机构的独立评估和管理。因此，如何识别和评估客户、产品、业务的风险，并根据风险情况制定相应的控制措施，是金融机构当前需要解决的首要任务。

四、风险为本金融机构落实反洗钱要求的建议

（1）制定或完善客户和业务/产品洗钱风险评估方法

1.制定或完善客户洗钱风险评估方法，细化评估指标，对所服务的客户进行洗钱风险评估。

金融机构参照《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》以及FATF建议等国际反洗钱标准的相关规定，对其服务的客户进行洗钱风险评估，为评估客户的固有风险提供依据。 。在覆盖客户特征、地域、业务、行业等基本要素的基础上，结合银行客户或业务行业特点、业务类型、业务规模、客户范围等实际情况，分解深化符合银行业务特点的客户。洗钱风险分项评估标准；扩大客户洗钱风险定量分析方法的应用范围，在定性分析的基础上开展工具化、规范化、规范化的洗钱风险评估，动态分类准确评估客户洗钱风险水平。

（二）制定或完善业务/产品洗钱风险评估方法，对开发的产品（或服务）进行洗钱风险评估，为评估业务/产品固有风险提供依据。

《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》的客户风险分项之一是业务（含金融产品和金融服务）风险分项。 《指引》要求金融机构对各类金融业务的洗钱风险进行评估。评估制定高风险业务清单，并对清单进行定期评估和动态调整。风险分项包括但不限于与现金的关联程度、非面对面交易、跨境交易、特殊类型交易的频率等。虽然评估各类业务的洗钱风险都有监管要求，但我国监管部门目前尚无关于业务洗钱风险评估的具体指导文件可供参考。不过，一些地方监管部门已出台相关文件，指导金融机构开展业务风险评估。中国人民银行南京分行于2017年8月21日发布《江苏省法人金融机构洗钱风险自评估指引（暂行）》（南京分行办[2017]199号）列出了银行业金融机构、保险业金融机构、证券期货金融机构评价产品（或服务）时应考虑的因素。每个金融机构都在制定反洗钱的内部产品（或服务）。也可以借鉴风险评估方法，结合实际情况，分解某一基本要素所包含的风险子项，合理增减风险评估指标。

（2）梳理直接认定为高风险客户的客户及业务/产品情况

高风险客户、高风险业务不能凭空、凭头脑来决定。除了通过严格的洗钱风险评估方法准确识别和评估高风险企业和客户外，FATF及其中国反洗钱监管机构还制定了许多指南。碎片化规定规定，无需一一进行风险评估，金融机构可直接判定其风险等级最高。

1、客户直接被认定为高风险客户的情况

目前，对高风险客户的直接识别分散在《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》、《中国人民银行关于金融机构洗钱和恐怖融资风险评估及客户分类管理指引》等反洗钱法规中。机构加强跨境业务合作反洗钱工作》。在规范性文件中。例如，《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》可以在以下情况下直接将风险级别确定为最高：客户被列入我国发布或认可的名单中应落实反洗钱监控措施；客户是外国政要或其亲属或密切关系人；客户的实际控制人或实际受益人属于前两项所列人员；客户曾多次被举报涉及可疑交易；客户拒绝金融机构依法开展的客户尽职调查工作。 《中国人民银行关于加强金融机构跨境业务合作反洗钱工作的通知》，经营机构提供货币兑换、跨境汇款等资金（价值）转移服务，并在线操作支付、移动支付、预付卡、信用卡等境外非金融机构提供金融服务或与非金融支付业务开展收单等业务合作时，将直接被列为高风险客户。

2、直接认定为高风险业务/产品的情况

《法人金融机构洗钱和恐怖融资风险管理指引（试行）》中的高风险业务包括建立账户代理关系、提供资金或价值转移服务、办理电汇服务等。 《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》规定，现金业务、非面对面交易、代理交易、频繁和异常交易等存在洗钱风险。

由于本文篇幅有限，对于可直接识别为高风险客户的客户和企业/产品的相关规定，我们不做详细介绍。需要注意的是，金融机构应在能够直接识别为高风险的前提下，有效识别该机构的高风险客户，避免遗漏该机构的高风险客户或业务。同时，不应编制高风险企业名单。它应该只是复制当前规范文件要求的所有高风险业务类型。需要根据机构开展的业务类型、机构客户的实际情况以及风险评估得出的实际情况进行相应的删除或增加，并建立和维护业务类型。名单和客户类别名单，为后续采取差异化管控措施奠定基础。

（三）采取差异化管控措施

经过严格的风险评估后，需要根据风险程度制定有针对性的差别化控制措施，提高洗钱风险控制能力，从而有效控制或缓释风险。从客户层面来看，各金融机构应根据客户的风险水平，采取差异化的控制措施。控制措施并非高风险客户或高风险企业所独有。对于低风险客户也可以采取简化的控制措施。

一、控制措施概述

反洗钱规范性文件列出了一些分散的控制措施。例如，针对高风险客户，《法人金融机构洗钱和恐怖融资风险管理指引（试行）》指出，金融机构应根据客户身份识别要求，采取强化措施，包括但不限于进一步获客及其实益拥有人。身份信息，适当增加信息收集或更新的频率，深入了解客户的经营活动、财产或资金来源，查询核实交易的目的和动机，适当增加交易的频率和强度监管、提高审批级别等，加强对其金融交易活动的跟踪、监测、分析和调查。

实践中，针对低风险客户的相应简化措施可能包括：减少更新客户身份信息的频率；降低持续监控水平，并以合理金额作为审核交易的依据；可以推断出交易类型或已建立的业务关系的目的和性质，并且无需收集特定信息或实施特殊措施以了解业务关系的目的和性质。

通过项目制定针对高风险企业（产品）项目的目标控制措施，包括严格标准化进行高危业务的批准程序（产品）；加强对开展高风险企业（产品）的客户身份的尽职调查，并适当增加交易监控和实力等的频率。

上述控制措施不是强制性规范，而只是指南。金融机构还可以根据自己的企业或客户的特征制定相关的控制措施，并基于确定的风险水平。

2。控制措施的应用

在从客户和业务层面分析了复杂和分散的控制措施之后，有必要解决如何应用控制措施的问题，即如何将它们集成到日常业务中。这也是金融机构目前面临的最大挑战。金融机构根据反洗钱法律，法规和监管要求采取的措施，例如客户识别，客户身份信息和交易记录的保存以及大型交易和可疑交易的报告，是满足符合的最低标准反洗钱合规要求。为了实施基于风险的工作方法，金融机构应在此基础上采取更有针对性，更严格和更有效的措施。

由于空间有限，该讨论将基于在客户身份中应用控制措施的应用。客户识别义务的实施包括两个主要部分：识别新客户以及对现有客户的持续识别。实际上，入学期间对新客户的识别包括客户识别，客户风险级别的分类，加强客户识别和客户访问批准。实际上，对现有客户的持续识别包括识别客户身份信息，持续交易监控以及客户风险水平调整和客户关系终止。根据深入的基于风险的工作方法的要求，对于具有不同风险类型的客户，确定新客户时收集的客户信息的深度和广度是不同的，并且批准新客户的管理级别也得到了区分;现有客户的连续身份信息识别的深度以及交易跟踪和监视的频率也将根据客户的风险水平而显着不同，从而实现洗钱风险管理的有效性。以定期审查基本客户信息为例，“金融机构的洗钱和恐怖融资风险评估和客户分类管理指南”和“金融机构的客户识别以及客户身份数据和交易记录保存管理措施”需要财务根据客户风险水平定期查看客户信息的机构。查看基本客户信息。风险级别最高的客户至少每六个月进行一次审核一次，较低级别的客户的审计期不得超过上层客户的审核期的两倍。当每个金融机构都制定自己的内部客户风险标识操作规范时，它需要根据客户风险设置来完善定期审核持续时间。例如，当设置高，中等或低风险时，每六个月将对高风险客户进行一次审查。 ，每年对中和低风险的客户进行一次审查（每年对中等风险的客户进行一次审查，并且每两年对低风险客户进行一次审查）。

[1]洗钱的金融行动工作组（货币工作队）是一个政府间国际组织，由七个西方国家于1989年在巴黎建立，专门研究洗钱，防止洗钱和协调国际行动的危险洗钱。目前，它是国际反洗钱和反恐融资领域中世界上最具影响力和权威的国际组织之一，FATF的主要任务是制定国际标准，并促进有效实施相关的法律，监管和行政措施，以实施战斗洗钱和恐怖主义。融资，大规模杀伤性武器（扩散融资）的融资和其他危害国际金融体系的活动。 FATF还与其他国际利益相关者紧密合作，以确定国家一级的漏洞，并保护国际金融体系免受滥用。

我的国家在2005年1月获得了观察员身份，并在接受第三轮FATF评估后，于2007年6月正式成为FATF的成员。在接下来的五年中，我的国家继续改善其反洗钱和反恐融资系统和系统，并向FATF提交了八项改进报告。 FATF全体会议在2012年最终得到了认可，成功地结束了第三轮共同评估程序，并成为了第一个完全符合FATF第三轮相互评估标准的13个成员国。

[2] Wang 。对国际“基于风险”的反洗钱监管系统评估的研究[D]。西南航空大学，2018年。

[3]“ FATF新40个建议” A.反洗钱和反恐融资的政策和协调1。评估风险并应用基于风险的方法

[4] Xue 。基于风险的客户识别工作的初步研究[J]。国际金融，2017年（12）：20-24。

[5] Yan Lixin，唐Jun。上海金融东莞洪梅律师，2011年（06）：45-48。

[6]“发行通知”第32条（ [2018]第19号）

洪梅 镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。