《法人金融机构和恐怖融资风险管理指引(试行)》

《法人金融机构和恐怖融资风险管理指引(试行)》第一章总则第一条为防范恐怖融资风险，规范法人金融机构经营行为，落实《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》等法律法规要求，遵循金融行动特别工作组（FATF）40项反洗钱/反恐怖融资建议标准，制定本指引。第二条本指引所称恐怖融资，包括以下四类行为：（一）恐怖组织、恐怖分子募集、占有、使用资金或者其他形式财产；（二）以资金或者其他形式财产协助恐怖组织、恐怖分子以及恐怖主义、恐怖活动犯罪；（三）为恐怖主义和实施恐怖活动犯罪占有、使用以及募集资金或者其他形式财产；（四）为恐怖组织、恐怖分子提供金融通道、转移资产等服务的行为。第三条本指引适用于在中华人民共和国境内依法设立的法人金融机构，具体包括：政策性银行、商业银行、农村合作金融机构、村镇银行、证券公司、期货公司、基金管理公司、保险公司、信托公司、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、小额贷款公司、非银行支付机构、银行卡清算机构、融资担保公司以及经金融监管部门批准设立的其他金融机构。境外金融机构在境内设立的分支机构参照本指引执行；境内法人金融机构境外分支机构应当遵循本指引要求，同时符合驻在地监管规定；若驻在地监管要求与本指引存在差异，按照孰严原则执行，驻在地法律禁止落实本指引要求的，分支机构应当及时向法人总部报告，由法人总部制定替代管控方案。第四条法人金融机构恐怖融资风险管理遵循以下核心原则：（一）风险为本原则：根据恐怖融资风险等级高低差异化配置管理资源，对高风险领域采取强化管控措施，对低风险领域可适当简化管控，不得搞“一刀切”式管控。（二）全覆盖原则：恐怖融资风险管理应当覆盖所有业务条线、所有分支机构、所有客户、所有交易环节，实现全流程、全维度管控，不留管控盲区。（三）法人统筹原则：由法人总部统一制定风险管理制度、统一建设监测系统、统一开展风险评估，分支机构负责落地执行，压实各级主体责任。（四）保密原则：对涉恐线索、涉恐名单、冻结操作、报告内容等信息严格保密，不得向任何无关单位和个人泄露，不得通知涉恐客户。第二章组织架构与职责分工第五条董事会承担恐怖融资风险管理最终责任，具体职责包括：（一）审批恐怖融资风险管理战略、风险偏好、容忍度和核心政策，每年至少结合监管政策更新、机构风险变化开展一次审议调整；（二）保障恐怖融资风险管理资源投入，根据监管要求，专职恐怖融资风险管理岗位人员数量不低于机构总员工数的0.3%；资产规模超过1万亿元、客户总量超过1000万的大型法人金融机构，专职人员占比不低于0.5%；单独列支反恐怖融资工作经费，保障系统建设、培训、审计等工作开展；（三）定期听取高级管理层关于恐怖融资风险管理的工作报告，每年不少于1次，审议重大恐怖融资风险处置方案，对风险管理有效性作出判断。第六条高级管理层承担恐怖融资风险管理直接管理责任，具体职责包括：（一）落实董事会审批的战略政策，制定具体操作流程和内部管理制度，确保各项要求嵌入业务全流程；（二）明确各部门、各层级的恐怖融资风险管理职责，建立反洗钱牵头部门统筹，业务条线、合规、风险管理、科技、人力、法务等部门分工配合的跨部门协调机制；（三）设立独立的恐怖融资风险管理牵头部门，不得与业务经营部门合署办公；资产规模超过1000亿元的中型以上法人金融机构，应当配备至少1名专职分管负责人，具有5年以上金融合规管理经验；（四）定期向董事会报告风险管理情况，发生重大恐怖融资风险事件时，24小时内启动报告程序。第七条恐怖融资风险管理牵头部门（一般为反洗钱部门）具体履行以下职责：（一）统筹开展恐怖融资风险识别、评估、监测、报告全流程工作；（二）牵头制定、修订内部恐怖融资风险管理制度，指导业务条线落实各项管控要求；（三）组织开展员工培训，建立培训档案，对接监管部门报送相关信息；（四）对监测预警、可疑交易进行集中核查，按要求报送可疑交易报告。第八条业务条线是恐怖融资风险管理第一道防线，具体职责包括：（一）在客户准入、业务办理、存续管理全流程嵌入恐怖融资风险管控要求；（二）配合开展客户身份识别、受益所有人穿透、客户风险等级调整，及时更新客户信息；（三）对本业务条线开展季度风险自查，及时上报可疑交易线索。第九条内部审计部门是恐怖融资风险管理第三道防线，具体职责包括：（一）每年至少开展一次独立全面的恐怖融资风险管理审计，高风险机构每半年开展一次专项审计；（二）审计结果直接报送董事会，同时抄送监管部门，对发现的问题督促整改，未完成整改不得销号。第三章恐怖融资风险识别与评估第十条法人金融机构应当对五个核心维度开展恐怖融资风险识别，实现风险全覆盖：（一）客户风险维度：重点识别客户是否被列入联合国安理会涉恐名单、我国发布的涉恐黑名单、FATF高风险主体名单；重点关注非居民客户、政治公众人物、空壳公司、现金密集型行业客户、非营利组织客户。据FATF2023年全球反恐怖融资报告，全球约12%的涉恐融资通过非营利组织渠道转移，因此法人金融机构应当将未纳入严格监管的非营利组织列为中高风险类别，强化识别。根据中国人民银行2022-2023年反洗钱执法检查数据，76%的涉恐违规案例源于客户准入环节未按要求开展风险识别。（二）业务风险维度：重点识别现金业务、跨境汇款、第三方支付、贸易融资、私人银行业务、信托托管、与虚拟资产相关的交易等高风险业务，据央行监测数据，此类业务的恐怖融资风险暴露度是普通零售业务的4.2倍。（三）地域风险维度：重点识别FATF认定的高风险国家或地区、受联合国制裁的国家或地区、国内恐怖活动高发地区，来自上述地域的客户和交易涉恐风险是普通地域的6.7倍。（四）交易渠道风险维度：重点识别网上银行、移动支付、自助终端、数字人民币钱包等非面对面交易渠道，非面对面交易因身份核实难度大，涉恐风险是面对面交易的3.1倍。（五）受益所有人风险维度：重点识别股权结构多层嵌套、匿名持股、代持持股的客户，受益所有人不透明的客户涉恐风险是股权透明客户的5.8倍。第十一条法人金融机构应当建立定性与定量相结合的恐怖融资风险评估机制，具体要求如下：（一）每年至少开展一次全机构整体恐怖融资风险评估，发生重大业务创新、监管政策调整、重大涉恐风险事件时，及时开展专项评估；（二）定量评估应当设定差异化风险权重，对涉恐名单主体赋予100分最高风险权重，高风险地域赋予80分权重，高风险业务赋予70分权重，根据加权得分将客户、业务划分为低、中、高三个风险等级，法人机构高风险客户占比原则上不超过全部客户的1%，占比超过的应当追加管控资源投入；（三）风险评估应当由多部门共同参与，必要时可邀请外部专业机构提供技术支持，最终评估责任由法人机构自行承担。第十二条风险评估结果直接作为管控资源配置和差异化管控的依据：对高风险业务条线、分支机构提高监测频率、增加专职人员配置、优化监测模型灵敏度；对低风险领域可适当简化管控流程，但不得免除基本管控义务。第四章恐怖融资风险管理措施第十三条涉恐名单筛查与资产冻结管理：（一）法人金融机构应当建立实时涉恐名单筛查机制，同步接入联合国安理会涉恐名单、我国官方发布的涉恐黑名单、FATF更新的高风险主体名单，名单更新后24小时内完成存量客户全量筛查；（二）筛查范围覆盖所有新客户、存量客户、受益所有人、交易对手、实际控制人，新客户准入必须逐笔筛查，存量普通客户每月筛查一次，高风险客户每日筛查，交易发起前必须完成交易对手筛查；（三）发现涉恐名单主体的，应当在2小时内完成对其名下所有资产的冻结，不得为其提供任何金融服务，12小时内将冻结情况报送中国人民银行反洗钱监测分析中心和当地反恐工作部门，严禁通知客户或者泄露冻结信息；未按要求及时冻结涉恐资产的，按照《反恐怖主义法》规定追究法律责任。第十四条客户身份识别与受益所有人穿透管理：（一）严格落实金融实名制要求，新客户办理业务必须核实身份真实性，对高风险客户开展强化尽职调查，核实资金来源和用途，了解客户经营背景和交易目的；（二）对所有法人客户、非法人组织穿透识别受益所有人，识别到最终拥有25%以上股权或者控制权的自然人，不存在持股25%以上自然人的，识别到实际控制客户经营管理的自然人，对信托、资管产品、合伙企业识别到受托人、普通合伙人、最终受益人，对多层股权嵌套的客户必须穿透到最终自然人，不得隐瞒或者模糊受益所有人信息；据央行2023年执法检查数据，未按要求穿透识别受益所有人的案例占所有涉恐违规案例的41%，是最常见的违规类型。第十五条差异化管控措施：（一）高风险等级客户：每半年更新一次客户身份和受益所有人信息，对所有跨境交易逐笔人工审核，限制交易规模和交易频率，提高监测预警灵敏度；（二）中风险等级客户：每年更新一次身份信息，每季度抽查交易情况，采取自动化监测加定期人工复核的模式；（三）低风险等级客户：每三年更新一次身份信息，可采取全自动化监测模式简化管理。第十六条重点领域特殊管控：（一）跨境业务：对来自FATF高风险国家或地区的交易，采取额外身份核实、逐笔背景审核等强化管控措施，必要时可限制与高风险地区机构开展业务往来；（二）现金业务：严格落实大额现金登记制度，单笔超过20万元的现金存取必须登记资金来源和用途，对可疑现金交易及时预警；（三）非面对面业务：落实多维度身份核实，采用人脸识别、银行卡四要素验证、活体检测等多重手段，确保开户人身份真实有效；（四）第三方合作业务：在合作协议中明确双方恐怖融资风险管理职责，每年对合作机构开展一次风险评估，高风险合作机构及时终止合作；（五）数字人民币业务：将短期内多笔小额交易累计接近大额报告标准、拆分规避监测的行为纳入重点可疑特征，强化监测。第五章恐怖融资监测与报告第十七条监测体系建设：（一）法人金融机构应当建立全业务覆盖的自动化恐怖融资交易监测系统，覆盖所有交易渠道、所有产品，能够根据涉恐交易特征自动预警；（二）法人金融机构应当结合本机构业务特点，定期优化监测模型，每年至少更新一次监测规则，要求监测模型漏报率不超过5%，误报率控制在20%以内，平衡监测效率和准确性；（三）典型涉恐交易特征应当纳入监测规则，包括：①分散转入集中转出、集中转入分散转出，涉及多个个人账户，单笔金额接近大额报告标准；②与涉恐高发地区发生无合理商业目的的交易；③短期内频繁收到多个陌生主体汇款，立即全额汇往境外；④空壳公司发生与经营规模严重不符的大额交易；⑤客户拒绝提供身份信息、提供虚假信息，无法对交易背景作出合理解释；⑥多笔小额数字人民币交易拆分规避大额监测。第十八条预警核查与（一）系统产生预警后，应当在3个工作日内完成人工核查，核查人员应当具有2年以上反洗钱工作经验，核查内容包括客户身份、交易背景、资金来源用途，形成核查结论归档留存，档案保存不少于5年；（二）经核查认定为可疑的交易，无论金额大小，都应当在核查结束后10个工作日内报送中国人民银行反洗钱监测分析中心，标注涉恐标签；发现明确涉恐线索的，应当在24小时内同时报送当地人民银行分支机构和反恐部门，严禁瞒报、漏报、迟报；瞒报涉恐线索属于严重违规，监管部门可依法吊销经营许可证。第十九条档案管理：所有恐怖融资风险管理相关的客户身份资料、交易记录、风险评估报告、核查记录、报告等档案，自业务关系结束或者交易完成之日起至少保存5年，电子档案应当做好异地备份，防止信息泄露和丢失。第六章审计、培训与问责第二十条内部审计：内部审计每年对恐怖融资风险管理开展独立审计，审计内容覆盖制度建设、资源配备、风险识别评估、管控措施落实、监测报告质量，所有高风险业务条线和分支机构必须覆盖，对审计发现的问题明确整改责任人和整改时限，整改完成率应当达到100%。第二十一条培训管理：建立分层分类培训体系：董事会和高级管理层每年至少参加1次反恐怖融资专项培训；专职风控人员每年培训不少于40学时；业务一线员工每年培训不少于10学时；新员工上岗前必须完成不少于4学时的反恐怖融资培训，培训考核不合格不得上岗。第二十二条内部问责：建立层级化内部问责机制：（一）情节较轻的，给予通报批评、扣除绩效奖金；（二）情节较重的，给予降职、撤职、解除劳动合同；（三）涉嫌犯罪的，移送司法机关追究刑事责任；因董事会、高级管理层履职不到位导致发生重大恐怖融资风险事件的，追究主要负责人责任。第七章监督管理第二十三条中国人民银行及其分支机构定期对法人金融机构恐怖融资风险管理工作开展评估，评估结果纳入反洗