法人金融机构洗钱和恐怖融资风险管理指引(试行)

《法人金融机构洗钱和恐怖融资风险管理指引(试行)一、洗钱和恐怖融资风险管理的核心定位与治理架构要求以风险为本为核心原则，明确要求法人金融机构必须将洗钱和恐怖融资风险管理全面纳入机构整体风险管理体系，作为全面风险管理的核心组成部分，而非孤立的合规性事务，从法人层面压实机构的反洗钱主体责任，改变了过去重一线操作、轻法人统筹的管理偏差。截至2024年一季度，中国人民银行反洗钱统计数据显示，国内92.3%的银行、证券、保险类法人金融机构已按要求将洗钱风险纳入机构整体风险偏好管理框架，明确了洗钱风险的容忍度标准，较制度发布的2018年提升了71个百分点。1.1治理主体责任划分清晰划分了董事会、监事会、高级管理层的三级责任体系：一是董事会承担洗钱和恐怖融资风险管理的最终责任，负责审批机构洗钱风险偏好、风险管理战略、基本管理制度，定期（每年至少一次）审议机构整体洗钱和恐怖融资风险管理状况，对管控有效性负责；二是监事会承担监督责任，负责监督董事会、高级管理层的洗钱风险管理履职情况，对治理有效性开展评价，督促整改履职短板；三是高级管理层承担具体执行责任，负责落实董事会审批的风险管理战略，建立健全管理架构、配置相应资源、制定具体操作制度、定期向董事会报告风险管理情况。据中国人民银行2023年反洗钱执法检查报告，未按要求明确治理架构、压实主体责任的机构，违规处罚占比达31.2%，远高于其他类型违规，治理架构不合规已成为当前反洗钱处罚的首要诱因之一。1.2牵头管理与人员配置要求明确要求法人金融机构必须设立独立于业务条线的洗钱风险管理牵头部门，直接向高级管理层汇报工作，具备独立的决策权和资源调配权，不得依附于业务部门或其他后台部门。人员配置方面，要求专职人员数量与机构整体风险规模、业务复杂度相匹配，核心风险管理岗位人员每年接受反洗钱专业培训不得少于40小时，董事会、高级管理层成员每年培训不得少于8小时。数据显示，2023年国内19家系统重要性银行平均配置反洗钱专职人员126人，较2017年制度发布前增长187%，行业整体专职人员数量年均增速达16%，人员配置达标率从2018年的28%提升至2023年的89%。1.3法人统筹管理要求突出法人层面的统筹管控责任，要求法人机构对全部分支机构、控股子公司、合作业务的洗钱风险实行统一管理，统一制定制度、统一建设系统、统一配置资源、统一开展监督，分支机构不得自行下调风险管控标准，子公司的洗钱风险必须纳入法人整体风险管理框架，从法人层面实现风险全覆盖。二、洗钱风险自评估机制建设要求风险自评估是风险为本原则的核心载体，也是落实差异化管控的基础，对自评估的范围、频率、方法、运用都作出了明确要求。2.1全维度自评估框架要求要求法人金融机构每两年至少开展一次全面的洗钱和恐怖融资风险自评估，发生机构并购重组、新业务上线、监管政策调整、出现重大洗钱风险事件时，必须在3个月内开展专项自评估。自评估必须覆盖四个核心维度：一是机构整体风险维度，涵盖机构业务规模、覆盖区域、客户结构、系统建设能力；二是客户风险维度，区分自然人客户、非自然人客户，按行业、身份、资金来源划分风险类型；三是业务产品维度，覆盖表内、表外、线上、线下所有产品和业务；四是地域渠道维度，覆盖国内高风险区域、境外反洗钱监管高风险区域、不同获客渠道的风险特征。要求自评估采用定性与定量相结合的方法，设定量化风险阈值，不得仅依靠定性判断得出评估结论，客户风险等级划分不得少于三级，鼓励有条件的机构细化为五级分类。截至2023年末，国内87%的法人金融机构已完成符合要求的全维度自评估，较2019年提升62个百分点，其中系统重要性金融机构全维度自评估达标率达100%。2.2自评估结果的运用要求明确禁止“为评估而评估”，要求自评估结果必须直接运用于风险管理全流程，作为资源配置、管控强度调整的核心依据：对评估认定的高风险领域，必须加大人员投入、提高监测频率、强化管控措施；对低风险领域，可按规定简化尽职调查等管控流程，降低管控成本，提升风控效率。中国人民银行的数据显示，落实要求将自评估结果有效运用于管控流程的机构，可疑交易报告整体质量提升41%，系统误报率下降37%，报送的可疑线索被监管立案采纳的比例提升2.3倍，风控效率提升十分显著。2.3自评估与监管评估的衔接要求要求法人金融机构主动对接监管部门开展的风险评估，针对监管评估指出的风险短板，必须在3个月内制定可落地的整改方案，6个月内完成全部整改工作，并向监管部门报送正式整改报告，整改结果纳入下一年度自评估的核心内容。三、全流程风险管理的核心管控要求对客户准入到交易监测上报的全流程作出了明确规范，覆盖反洗钱工作的核心操作环节。3.1客户尽职调查管理客户尽职调查是反洗钱管控的第一道关口，要求法人金融机构严格落实“了解你的客户”原则，在建立业务关系、开立账户、发生单笔20万元以上人民币交易或者1万美元以上外币交易、发现客户信息存在疑点、监管要求核查时，必须开展完整的客户尽职调查。核心要求包括：一是必须核实客户身份的真实性、有效性，不得为身份不明的客户提供服务；二是必须穿透识别非自然人客户的受益所有人，按照“穿透原则”追溯至最终控制客户的自然人，直接或间接持有25%以上股权或表决权的自然人必须明确认定，无法找到持股25%以上自然人的，必须认定实际控制业务运营的自然人，股权链条超过三层的必须逐层核实，不得仅追溯至第一层法人机构；三是对高风险客户、政治公众人物、境外非居民客户、涉高风险行业客户必须开展强化尽职调查，进一步核实资金来源、交易目的，提高管控强度；四是对无法完成完整尽职调查、客户拒绝提供身份资料的，不得建立业务关系，已经建立业务关系的必须终止服务，并提交可疑交易报告。据2023年反洗钱执法检查数据，受益所有人识别不到位的违规占比达42%，是当前占比最高的反洗钱违规类型，也是制度重点要求落实的核心环节。3.2客户风险等级动态调整要求金融机构根据客户的身份背景、业务类型、交易特征、地域风险等因素，对客户划分风险等级，并实行动态调整：高风险客户的等级复核调整频率不低于每半年一次，中风险客户不低于每年一次，低风险客户不超过每三年一次，客户身份发生重大变更、出现可疑交易时必须即时调整等级，不得长期不变。截至2024年一季度，国有大型银行高风险客户半年一次复核达标率达98%，中小银行达标率为84%，行业整体达标率较2018年提升56个百分点。3.3交易监测与可疑交易报告管理要求法人金融机构建立与自身业务特征匹配的定制化交易监测标准，不得直接套用通用模板、不得单纯依赖大额交易阈值被动生成可疑报告，监测规则必须覆盖所有业务条线、所有渠道的交易，包括同业业务、跨境交易、线上移动端交易，监测规则每年至少评审优化一次，根据风险变化调整规则参数。明确要求可疑交易必须经过人工分析甄别，不得直接将系统生成的预警信息不加分析直接上报，从机制上提升可疑报告质量。3.4名单筛查与管控要求法人金融机构建立动态的涉恐融资、国际制裁、监管处罚名单库，及时更新名单信息，筛查范围覆盖客户、受益所有人、交易对手、实际控制人，新客户建立业务关系前必须完成筛查，存量客户每年至少筛查一次，高风险客户每季度至少筛查一次。命中名单的客户必须立即采取管控措施，包括限制交易、冻结账户、终止业务关系、提交可疑交易报告并上报监管部门，符合法律合规要求。制度发布以来，截至2023年末，国内法人金融机构累计筛查命中涉恐融资名单超过1.2万次，采取有效管控措施近8000次，成功拦截多笔涉恐涉险资金流动，有效发挥了风控作用。四、重点业务与场景的差异化管控要求针对不同类型金融机构、不同业务的风险特征，明确了差异化的管控要求，提升风控的针对性。4.1银行业务重点管控方向对商业银行而言，对公业务重点管控空壳公司、外贸结算、房地产开发、涉农资金、虚拟货币关联交易，核心要求是落实受益所有人穿透识别，排查空壳公司风险；零售业务重点管控批量开户、银行卡代办、异地开户、大额现金存取，要求核实开户真实用途，强化异常交易监测；同业业务重点管控同业账户开立、跨市场通道业务、同业投资，要求穿透识别最终资金来源和去向，落实最终客户的尽职调查责任。数据显示，2023年银行领域破获的洗钱相关案件中，空壳公司对公账户作为洗钱通道的占比达68%，符合确定的对公业务管控重点。4.2证券期货业重点管控方向证券期货法人机构重点管控客户开户、融资融券、新三板交易、大宗交易、非交易过户、跨境沪港通深港通交易，针对高频率短线交易、资金来源不明、交易对手异常的情况强化监测，重点识别利用证券市场清洗黑钱、转移涉险资金的行为，要求机构客户必须穿透识别实际控制人，高净值个人客户必须核实资金来源合法性。4.3保险业重点管控方向保险法人机构重点管控大额趸交寿险保单、团险业务、保单质押贷款、退保、理赔业务，针对第三方代付保费、短期内频繁退保、理赔资金流向非受益人账户、大额异常退保的情况强化监测，要求核实保费来源和资金去向，防范利用寿险产品洗钱风险。据银保监会2023年反洗钱违规统计，大额保单身份识别不到位的违规占比达57%，是保险业反洗钱违规的主要类型，契合制度的管控方向。4.4新兴业务与渠道管控要求针对数字人民币、移动支付、互联网获客、开放银行等新兴业务，落实“业务归属谁，风险谁承担”的原则，要求法人机构对合作第三方机构开展尽职调查，管控客户身份信息传递风险，对数字人民币钱包按等级落实差异化尽职调查：一类全功能钱包必须完成全量尽职调查，低等级钱包可简化尽职调查，但发生大额交易时必须补做身份核实；跨境支付业务重点管控地下钱庄通道、涉赌涉诈资金转移，强化交易背景真实性核查。截至2023年末，国内头部持牌支付机构均已按要求完成新兴业务洗钱风险自评估，新增定制化监测规则960余条，风险拦截能力提升近一倍。五、内控保障与监督问责机制对内部控制、监督考核、系统建设等保障机制作出了明确要求，确保风险管理要求落地。5.1内部审计监督要求洗钱风险管理内部审计每年至少开展一次，内部审计部门必须独立于反洗钱牵头管理部门，直接向董事会报告审计结果，审计范围覆盖所有业务条线、所有分支机构和子公司，重点审计治理架构合规性、风险评估有效性、管控措施落实情况，对审计发现的问题建立问题台账，明确整改期限和责任人，年度内部审计报告必须按要求报送监管部门。数据显示，按要求开展年度独立内部审计的法人金融机构，洗钱违规风险发生率比未达标机构低47%，监督有效性显著提升。5.2考核与问责机制要求将洗钱和恐怖融资风险管理纳入机构整体绩效考核体系，明确考核指标，考核权重不低于其他同等重要风险类型，对违规履职、引发风险的部门和个人落实问责，包括绩效扣减、岗位调整、纪律处分，对引发重大洗钱风险、造成严重后果的实行终身问责。2023年，国内系统重要性金融机构反洗钱考核权重占全面风险管理考核的平均比重达8.7%，较2017年提升6个百分点，问责力度显著加大。5.3信息系统与数据治理要求法人金融机构建立统一的反洗钱信息管理系统，整合客户身份信息、交易数据、风险评估数据，实现全流程线上化管控，数据治理要求客户身份信息、交易数据完整准确，满足风险监测和上报要求，不得缺失核心信息。截至2024年一季度，全国性法人金融机构均已上线统一的反洗钱管理系统，91%的机构完成了存量客户身份数据清理，客户信息完整率提升至95%以上，满足制度要求。5.4跨境风险合规管理对设有境外分支机构、开展跨境业务的法人金融机构，要求将境外