风险为本下的反洗钱工作介绍
反洗钱处
二〇一五年十月
目录
一、对被监管者:
(一)全面做好风险评估工作。
(二)以风险评估为基础有效制定合规制度。
(三)以风险为导向开展合规工作。
二、对监管者:
(四)采取风险为本的监管方式。
(五)对被监管者实施风险为本方法采取适当的监管措
施。
(一)全面做好风险评估工作。
• 有效识别哪些区域或领域更具洗钱威胁、哪些产品或
服务类型存在薄弱环节、哪些客户洗钱概率更大,对
自身经营业务的风险和危害程度进行判断,进而采取
与风险程度相适应的反洗钱措施,优化反洗钱资源配
置,有效地预防和化解风险。
• 应涵盖所有的风险领域。
• 应充分全面分析存在的反洗钱风险。
• 同时,应分析机构对洗钱风险防控的有效性。
1、风险识别
• 首先,应识别风险类别 ,识别出存在的威胁和薄弱环节
。
• 应全面考虑风险因素,如地理位置,机构性质与规模,产
品和业务的性质、规模、种类、复杂性、运营模式 ,目
标市场,客户群,高风险客户数,分销渠道,交易的数量
和大小,经营国,公司法人治理,财会信息,内审和监管
者结论等等。
• 同时,应充分利用内部、外部资源不断补充完善用于评估
的信息,信息可来源于相关企业的负责人、客户经理、国
家风险评估、政府间国际组织、政府部门、FATF互评估
报告、洗钱类型分析研究等。
• 其次,应根据评估需要,确定各类信息的
来源及采集方法,收集整合数据。
• 数据主要是与机构交易活动相关,与客户
身份识别及客户尽职调查信息相关的数据。
• 数据应达到一定的数量、质量,数据应准
确、及时、客观。
2、风险评估
• 详细分析收集的数据,精确评估每个风险
类别的反洗钱风险 。
• 评估风险发生的可能性、可能带来的影响,
确定工作重点,采取预防、减缓措施,并
确定风险接受程度等。
风险评估的方法
• 可使用多种有效的风险评估方法。
• 应结合特定风险状况选取适当的方法,风
险评估方法应简洁、条理清晰。
• 风险评估体系应与其属性、规模、业务相
匹配,如客户类型单一或产品和服务的范
围有限,可采取简单的风险评估体系,反
之,则应建立更完善、复杂的评估体系。
• 国内有关研究提议采用矩阵方式评价风险。
第一种评价方法:洗钱风险=固有风险×内控风险
• 固有风险包括:国家/地域风险、产品/服务
风险、客户风险。
• 内控风险主要是指反洗钱内控制度及执行
风险。
第二种评估方法:反洗钱风险=原本风险×管控风
险×监管风险。
• 洗钱风险水平受以下四个方面的因素影响:
• 国家经济,所在行业、地域环境;
• 反洗钱内控制度与内部环境;
• 金融产品、服务及客户本身的洗钱风险水
平;
• 可疑交易报告的及时性和有效性。
• 第三种评价方法:金融机构洗钱风险=国家
(地域、行业)风险×控制风险×产品(或
客户)风险×交易监测风险 。
德国的12格矩阵评估法
• 德国运用12格矩阵表示不同的风险等级,
对金融机构的风险评估方法为,金融机构
洗钱风险=潜在洗钱威胁×反洗钱措施的质
量。
• 金融机构潜在洗钱威胁分为高、中、低三
档,包括金融机构所处地理位置、业务范
围、产品结构、客户构成及销售方式。
• 反洗钱措施的质量分高、中高、中低、低
四档,评估结果主要依据金融机构的年度
审计报告。
我省的洗钱风险自评估情况介绍
• 多数机构以“5C”风险评估模板作参考进
行风险评估,或者自行制定制度。
• 个别外资银行采取评估固定风险、评估管
控效率后计算剩余风险的方式评估。
• 个别机构自主研发了模型,采取外部接触
规模×内控控制效能的方式计算洗钱风险系
数,衡量业务洗钱风险和机构洗钱风险。
剩余风险评估法
• 第一步:从产品/服务、渠道、区域、客户四个方面衡量
每个业务部门的固有风险,分别以赋分加权方式计算。
• 第二步: 从反洗钱内部结构、制度、措施等方面衡量每
个业务部门的内部管控效率,也分别以赋分加权方式计算。
• 第三步: 获取每个业务部门剩余风险,评定风险等级,
对不同风险等级赋分。
• 第四步:加权汇总剩余风险,得到公司的整体剩余风险。
3、风险分级
• 根据风险评估的结论, 查找风险漏洞和
薄弱环节,深入分析风险成因及源头。
• 将风险大小进行排序,对风险进行分级,
根据风险大小拟定有针对性的风险应对
措施,缓释风险,弥补内部控制制度中
存在的空白,所有缓解风险的规定、程
序、措施、内控等均应和风险评估的结
果相匹配。
• 从程度上看,对较高风险采取强化措施、
对较低风险采取简化措施。
• 从时限上看:
高风险事项—应立即处理;
中风险事项—尽快、适时处理;
低风险事项—保持监测。
• 如下图所示:
• 同时,应在同一种风险事项中考虑风险处
理的优先次序。
• 应向不同的部门沟通反馈风险大小。
• 风险评估应获得高级管理层的认可,并作
为制定下一步计划和工作程序的参考。
风险评估的频率
• 有效的风险评估必须是动态持续的过程,非一
次性的,这样可避免风险评估结果的过时。
• 当出现新情况(例如新产品、新业务,现有产
品及服务变更、并购扩张等)、新威胁等影响
风险状况的情况下,应充分审核、更新风险评
估。
• 一般情况下,国外经验表明,每12个月到18个
月定期审核评估一次反洗钱风险为最佳。
(二)以风险评估为基础制定反洗钱合规制度。
• 建立合理的公司治理制度。
• 应以风险管理为目标,从整体出发,针对规模、结构、复
杂性、风险状况量身制定完善内控制度 (含制度、政策、
程序、流程、系统、监控措施等)。
• 应在规模大、业务复杂的机构制定部门级别的内控制度,
应在风险较高的领域或机构制定更加灵活的制度。
• 内控制度应能充分应对风险评估中的自身风险状况,有效
处理高风险业务活动,充分管理风险,缓释风险敞口。
• 应建立以风险为导向,与自身风险状况相适应的客户尽职
调查政策、程序及流程,应制定对客户风险等级变更的政
策、程序、流程,对高风险客户进行强化尽职调查的程序
和流程。
• 应保证合规制度的连续性。
• 应杜绝出现高风险业务增长过快超过合规制度监控能力的
情况。
• 应关注洗钱趋势和手法的变化,据此调整内控制度、业务
流程。
• 应根据洗钱形势变化,做好内部风险预警和风险控制。
(三)以风险为导向有效开展反洗钱合规工作。
• 1、以风险为导向设置组织机构、人员。
• 2、以风险为导向开展客户身份识别。
• 3、以风险为导向识别、检索、报送可疑交
易报告。
• 4、以风险为导向开展培训。
• 5、以风险为导向开展独立的反洗钱审计
(检查)。
以风险为导向设置组织机构、人员
• 应针对风险水平及合规需要,设置足够的
反洗钱岗位人员。
• 应招聘/安排正直,具备相应知识和技能的
员工从事反洗钱工作。
• 应设立风险合规官,监督、评价全公司风
险以及公司用于缓释风险的政策的充分性
和有效性。
• 高级管理层应建立良好的内部沟通过机制,及时有效在内
部沟通面临的现有或潜在的风险。
• 高级管理层应根据风险状况制定降低风险的措施,确定机
构能接受的风险范畴、配置足够的反洗钱资源。
• 高管人员不仅应知道公司面临的洗钱风险,更应该清楚自
身内控体系怎样消除风险。
• 高管人员应有充分/持续、规范/客观的信息来源了解洗钱
和恐怖融资风险,了解公司的反洗钱控制政策是否依然有
效。
以风险为导向开展客户身份识别
• 应建立合理、实用、以风险为导向的客户身份核实程序
(文件核实、非文件核实)。
• 建立审批程序,根据客户风险程度大小,提高审批层次。
• 应在账户开立后的合理期限内核实足够的客户身份信息。
• 应根据制裁名单对客户或者实际受益人进行筛选比对。
• 必须对自己的客户群和所提供的产品实施风险评估。
• 应对所有客户实施全面的客户尽职调查,客户尽职调查措
施适用于所有情形,没有经过适当的尽职调查,不能与客
户建立或终止业务关系。
• 尽职调查的程度可以根据法规要求和面临的风险适当调整。
例如应对高风险客户进行强化尽职调查,对低风险客户可
进行简化的尽职调查。
强化尽职调查措施包括:获取更多的客户身份信息,通过
多种媒介查询,分析资金和财富来源、客户的交易目的、
交易性质,增加业务存续期间的审查频率,报告可疑线索
等等。
简化的尽职调查措施包括:获取较少的信息、推迟进行客
户身份识别、采取常规性的客户尽职调查、可疑交易监测。
持续尽职调查
• 对客户进行持续的事中监测,进一步对客
户、产品的属性和业务关系等实施动态了
解,随时根据客户行为、产品使用情况、
交易金额大小等更新客户风险档案信息,
并决定是否采取强化的客户尽职调查措施。
• 客户风险状况发生变动,应重新评估客户
风险,调整风险等级,以确定是否建立、
继续提供或终止与客户的关系,必要时提
交可疑交易报告。
初始尽职调查
• 识别客户及实际受益人,至少在法定层面核实客户身份。
• 了解客户要求建立业务关系的目的和用途。
• 对高风险的情况必须进行更详细的审查、采集更多的信息。
• 确保拥有足够的客户信息,保证留存的客户信息最新。
• 对账户和客户进行分类,建立客户风险档案,根据客户职
业了解客户的日常交易及可预期交易,评估客户风险,为
客户划分风险等级。
以风险为导向识别、检索、报送可疑交易报告。
• 基于整体风险状况和交易量,配备足够多的人员开展可以
交易识别、筛查与报告。
• 可疑交易监测应特别关注高风险的产品、业务、客户、区
域。可疑交易监测水平由机构的风险评估决定。
• 应在审核高风险客户、产品、服务之后,基于客户的合理
的、可预期到的行为,制定系统和筛选标准。系统、筛选
标准及其阀值应与风险状况相适应。
• 应定期审核监测系统的运行状态,确保系统能有效识别洗
钱和恐怖融资风险,监测的广度和深度应与客户的风险等
级相匹配。
• 应紧密根据风险变动,动态优化反洗钱监测系统功能。
以风险为导向开展培训
• 培训必须与风险状况相当。
• 培训内容应与业务活动、风险状况紧密相关,并根据最近
最新要求及时更新,将最新信息反馈给相关员工,培训应
覆盖洗钱和恐怖融资的不同方式。
• 培训要有针对性,应专门对特定业务设计,例如培训中关
于洗钱行为和可以交易监测及报告的例子,需要依据培训
对象量身选定。
• 培训不仅应让员工了解要应履行的义务、应实施的程序,
还应使其了解其中的风险及这些风险可能导致的后果。
• 培训应持续进行,保持常规性和相关性,不仅仅是员工招
聘时的一次性培训。
以风险为导向开展独立的反洗钱审计(检查)
• 应基于本机构的风险状况,审核所实施风险评估的合理性。
审计人员可从审计(检查)的角度再做风险评估。
• 根据风险状况确定初步的审计(检查)的范围、计划,在
此基础上可做适当延伸。
• 评估本机构是否已经充分识别出业务风险,评价反洗钱合
规制度的完整性、有效性,是否适当、是否包含所有风险
因素,并足以管理、减缓反洗钱风险。
• 应评估反洗钱系统的有效性,可疑监测系统筛选标准的合
理性、可疑监测系统的监测能力。
• 应评估可疑交易报告的全过程。应评估培训的充分性、准
确性、完整性。应评估反洗钱整改情况等等。
• 以风险为导向,集中于高风险业务活动开展测试。但审计
(检查)应着眼与所有的风险因素而不仅仅聚焦于高风险。
• 应合理确定审计(检查)国外通常每12个月-18个月进行
一次独立审计(检查),时间间隔应与反洗钱风险状况向
适应。德国要求被监管机构必须每年提供一份由专业审计
机构出具的反洗钱工作审计报告。
(四)采取风险为本的监管方式。
• 开展对国家、区域、产品等洗钱风险的分
析和预测,为被监管机构提供风险预警,
发布风险提示。
• 应考虑被监管行业面临的风险,包括但不
限于管辖区域内的风险评估、国内或国际
上出项的风险类型以及监管方法、金融情
报机构反馈的信息。
• 建立对被监管机构的反洗钱风险评估制度,研究评估方法,
配备评估人员、定期审核被监管行业和机构的洗钱和恐怖
融资风险,对机构的反洗钱活动风险状况进行评估,只要
被监管机构的情况发生变动或者有新的风险出现,就应重
新审核、评估。
• 分类监管,对不同的被监管机构采取灵活的方式,合理分
配监管资源。
• 应根据被监管机构风险状况,审核监管是否到位、是否充
分,确定或调整审查力度、监管方式、监管力度、持续监
管的频率和性质。
• 确保监管资源向风险高的机构倾斜,要求
风险高的机构提供更多的信息、对风险高
的机构更多以现场检查为主,对风险较低
的机构主要采取非现场检查方式,对风险
高的机构采取强化监管。
• 时刻根据风险等级情况采用与其范围和等
级相适应的监管方式,当发生特殊事件时,
应调整监管频率。
• 应将监管中发现的情况或问题向被监管者传达,应保持与
被监管者持续而有效的沟通。
• 应保持监管行为的可预见性、连贯性、均衡性、一致性。
• 应加强培训,培养与风险为本相称的人才。
• 加强与不同监管部门的协调,确保风险为本的监管协同一
致。
• 可疑交易报告,应注重发挥机构的主观能动性。
英国以风险为本的监管情况简介
• 现场和非现场监管方式
• 对被监管机构进行风险分类,分为高(in the highest
band)、中(in the second band) 、低(in the lower band)三
类。
• 根据风险情况配置专业监管资源;具体体现为对被监管者
反洗钱系统和内控充分性开展现场评价和非现场评价。
• 非现场评价包括对监管统计表、政策和程
序、审计报告、一分钟面谈、历史监管走
访报告、从外部获取的情报线索等进行分
析。
• 现场检查包括与关键岗位人员面谈、对反
洗钱控制情况进行测试。
• 监管频率和监管强度
将高风险机构纳入系统性反洗钱项目
(SAMLP),对该类机构实施最强化的反
洗钱监管,包括与关键人员面谈、详细的
系统和内控测试等。典型的SAMLP一般持
续数月,以每4年为一个周期持续开展。
将中风险机构纳入常规性现场检查项目,
每2年内开展2-3天的现场检查。
• 通过特定事件监管、专题复查的形式对低风险机构开展
监管。当然,可以对所有的被监管机构开展此类监管。
• 专题复查一般包括对机构的政策和流程的非现场评价,以
及到现场开展2到3天详细的测试与面谈,具体根据机构的
规模和业务的复杂性而定。
• 特定事件监管强度根据涉嫌违规情况的性质确定。
• 监管指引
• 金融行为监管局(FCA)基于一系列广泛的金融犯罪案例,
发布了监管指引(Regulatary guidance)。
• 指引对被监管机构的金融犯罪系统和内控提出了监管期望。
列出了机构可用于测试自身系统和内控充分性问题。列出
了在现场监管中发现的做得好的或差的实践案例清单。但
该指引不具有强制性。
• FCA定期更新该指引,以纳入新的发现、在机构中普遍存
在的薄弱领域明确监管期望。所有的更改在确定之前都会
公开征求意见。
我国现有反洗钱监管方式
• 考核评级、质询、约见谈话
• 监管走访、风险评估
• 现场检查
(五)对被监管者实施风险为本方法采取适当的
监管措施。
• 应发布工作指引,将监管要求清晰地传递
给被监管者。
• 要求被监管者以风险为本,建立风险管理
流程,对不同风险类别的客户及其业务的
身份识别、尽职调查提出明确的监管要求。
• 确保监管者与被监管者双方对风险为本理
解一致。
• 对机构实施风险为本的情况进行监督、管
理、指导。实现以法人为单位评价机构内
控体系的完整性,判断机构风险为本规定、
程序、内控等是否合理,重点关注洗钱风
险控制措施的有效性,确保其遵守自身的
规定、程序、内控。
• 对忽视风险、应对不利,造成严重后果的
机构强化检查、从严处理,体现反洗钱激
励机制的公平性。
