银行机构洗钱风险自评估工作实践与改进措施

2021年中国人民银行反洗钱局正式发布《法人金融机构洗钱和恐怖融资风险自评估指引》（以下简称《指引》），要求法人金融机构建立符合标准的洗钱风险自评估机制，并于当年完成制定或更新本机构洗钱和恐怖融资风险自评估制度，在2022年底前完成基于新制度的首次自评估。机构洗钱风险自评估工作是金融机构制定洗钱风险管理政策措施的基础，也是反洗钱履职从被动落实合规要求向主动管理洗钱风险转变的关键环节。

建立机构洗钱风险自评估机制的重要意义

对接国际互评估的内在要求。推进自评估机制落地，有助于国内监管加快向“风险为本”转型，持续提升反洗钱工作有效性，对接国际互评估要求，避免不必要的国际制裁，提高我国的国际声誉和金融体系影响力。

有利于提升金融机构洗钱风险管理的质效。自评估机制的全面性和结果的准确性，能一定程度上反映金融机构洗钱风险管理的质效，对于金融机构自身的风险研判、迎检自查、效率提升等方面均有积极作用。

有利于夯实“风险为本”的洗钱风险管理基础。自评估以可量化、可视化的结果，揭示潜在的洗钱风险管理漏洞或意识偏差，是金融机构全面检视洗钱风险并完善工作机制的重要举措，也是实施内部控制的重要保证。机构洗钱风险自评估工作的国际及国内形势国际形势。全球洗钱上游犯罪形势严峻，国际组织呼吁各国加以重视。多个国际组织发布专题报告①指出由于技术的变化导致有组织犯罪规模和数量迅速增加，催生出多种新型诈骗方式，仅2023年犯罪分子窃取的资金额度已超过1万亿美元。反洗钱金融行动特别工作组（Financial Action Task Force on Money Laundering，FATF）认为要遏制上游犯罪现状，需要跨国、跨部门的信息共享和加强投资执法能力建设。国内形势。最新的《中国反洗钱报告》显示，2 0 2 2年中国人民银行共处理重点可疑交易报告1 . 3 7 万份；全国人民法院审结洗钱案件3 . 8万起，生效判决6.91万人；全国检察机关共批捕涉嫌洗钱犯罪案件5581起。洗钱等非法金融活动的猖獗引起监管机构高度重视，已采取严厉措施惩治洗钱犯罪，出台多个指导性文件②。

机构洗钱风险自评估工作的国际理念和国内监管导向

国际理念。一方面，FATF呼吁各国监管率先践行由“规则为本”向“风险为本”的转型。“风险为本” 的概念最早由英国提出，由FATF明确为供成员国参考的新40项建议内容，并指出以“风险为本”原则识别、评估并理解洗钱和恐怖融资风险，是国家反洗钱和反恐怖融资战略的重要组成部分。另一方面，FATF明确，有效且合理的反洗钱程序必须包括洗钱风险评估的流程。金融机构应当识别和分析洗钱、恐怖融资和其他非法金融活动所形成的风险，例如基于业务、产品、服务、客户和金融机构对客户提供服务或开展业务的地理位置等多种因素的评估。

国内监管导向。一方面，我国监管机构开始注重监管的有效性。FATF在第四轮国际互评估报告指出，中国金融业需要更有效的监管，并采取更多预防性措施来防止金融系统被滥用。作为强化后续整改措施，中国人民银行由此开始构建适用于我国的评估体系，提高监管措施的针对性和有效性。另一方面，我国监管机构加强对金融机构评估工作的指导。即将开始的FATF第五轮国际互评估要求更严、标准更高，且以有效性为导向。基于互评估结果与当前外交形势，进一步推动金融机构建立并完善洗钱风险评估与管理的常态化机制，已成为我国金融监管机关提高风险评估有效性的工作重点。

机构洗钱风险自评估工作实施情况

机构洗钱风险自评估是金融机构全面检视洗钱和恐怖融资风险并完善管理机制的重要工作，应当秉持全面性、客观性、匹配性、灵活性原则，充分考虑内外部信息，建立与本机构经营规模与复杂程度相匹配的洗钱风险自评估指标和模型，确保有效识别风险管理漏洞。根据《指引》第六条规定，“法人金融机构洗钱风险自评估包括固有风险评估、控制措施有效性评估、剩余风险评估。”其中，固有风险评估应反映在不考虑控制措施的情况下，法人金融机构被利用于洗钱和恐怖融资的可能性；控制措施有效性评估应反映法人金融机构所采取的控制措施对管理和缓释固有风险的有效程度；通过“固有风险-控制措施有效性=剩余风险”的方法论，得到尚未有效管理和缓释的剩余风险并评估风险程度。

搭建自评估指标体系。依据《指引》要求及行内实践，围绕“固有风险-控制措施有效性=剩余风险”的核心方法论，搭建自评估指标体系及评估模型。通过各个维度的固有风险和对应的控制措施有效性可以分别得出各个维度的剩余风险，也可以从整体固有风险和控制措施有效性中得出机构整体剩余风险程度（见表1）。

设计评估指标分类范围。评估指标分为固有风险指标和控制措施有效性指标，针对《指引》要求和风险因素，总结细化形成不同级别指标，并初步配置指标权重、指标说明和评分要点、取数需求、时间范围、负责部室等要素。其中，固有风险指标分别从地域环境、客户群体、产品业务、渠道四个维度考虑风险因素；控制措施有效性指标分别从反洗钱内部控制基础与环境、洗钱风险管理机制有效性和特殊控制措施三方面考虑控制有效性。指标设计可分别参考《指引》、洗钱风险评估相关文件③、各类监管机构发布的风险提示以及银行机构自身发现的风险领域等。

设定评估指标具体维度。评估对象分别从上述四个维度细化选取对象。地域环境维度，充分考虑银行机构经营属地，合理设定横向分类，评估时应考虑所在地区的洗钱案件高发情形。客户群体维度，分别考虑基础客群和特殊客户群体，其中基础客群包括银行所有客户种类；同时可考虑结合监管风险提示和银行自身情况，设置相应的特殊客群，如使用非身份证开户的客户、高净值客户等。产品业务维度，按银行机构实际产品业务进行梳理和分类，形成产品业务清单；具体分类时，以机构基础产品清单为基础，根据《指引》中关于产品归类评估的指导意见，结合银行本身的产品业务模式、性质和洗钱风险因素等标签，将相关标签相同的产品予以合并评估，对于相关因素不同的产品，应考虑进一步细分评估，如获客渠道不同、身份识别方式不同等。渠道维度，结合银行实际经营状况，可分为自有实体经营场所、自助设备与终端、自有互联网渠道、第三方互联网渠道、第三方实体经营场所、代理行渠道等。

细化评估指标权重占比。固有风险和控制措施有效性的指标权重设置参考国内外监管及专业机构洗钱风险评估建议，在对权重进行分配时，整体遵循风险为本原则、适用性原则、客观性原则，并结合沃尔夫斯堡建议范围，分别按照不同比例设定权重。即：对应反洗钱监管要求和监管重点关注的风险指标权重高于其他指标；适用于少数维度分类的风险指标权重低于其他指标；指标为一手信息或客观信息的权重高于指标为二手信息或主观判断类信息。

评估结果的计量。一是计量固有风险。固有风险评分按照分级赋分法，以各个评估对象在同一个指标的不同得分排序赋予相应风险评分，再根据评分区间映射出所对应的风险等级。考虑到银行机构面临的洗钱威胁较高，因此将高风险等级的评分档位设置得较为严格（见表2）。二是计量控制措施有效性。在计量控制措施有效性时，基于控制措施有效性指标要素属性，采用“扣分法”。以统一的评分标准，对控制措施有效性评估要点进行说明或提供证明材料，若出现与评估标准不符的情况，则按照对应评估标准进行扣分。最后参考《法人金融机构反洗钱分类评级管理办法（试行）》（银发〔2017〕1号）的映射规则，可以对控制措施有效性做较为严格的等级映射（见表3）。三是计量剩余风险。根据《指引》第二十条规定，机构剩余风险应分为5 级，由低到高分别为低风险、中低风险、中风险、中高风险和高风险，形成风险评估结果计量矩阵（见表4）。

基于《指引》和监管部门的指导，目前，各银行机构均建立了自评估体系，主流观点认为部分银行机构的自评估体系在方法论、指标颗粒度等方面正在积极与国际自评估要求接轨。部分数据挖掘能力较强的银行机构，充分发挥了金融科技对洗钱风险管理的支撑作用。在评估或整改阶段能建立自己的反洗钱数据仓库、数据集市，形成客户画像，对风险因素进行数据分析。大部分银行机构的自评估结果极大程度地推动了思维转变和洗钱风险管理体系的变革。虽然从实践来看，银行机构需要通过全面梳理业务产品、渠道、客群等分类，完成精准评估，并对发现的薄弱环节作出整改指导，导致自评估工作的进程较缓慢，但是作为“风险为本”转型的契机，自评估工作成果逐步得到机构高级管理层的重视，并制定相应的整改或优化方案。

机构洗钱风险自评估实践存在的不足

我国银行机构的首次自评估工作，对于国内几乎所有银行机构来说都是一次全新的探索。尽管部分机构均聘请了第三方咨询公司来协助自评估，但由于可供参考的经验较少，工作推进中还是以机构自身逐项总结、创新评估的方法论和标准为主。

“风险为本”理念尚未得到充分贯彻。近年来，各银行机构致力于推进“规则为本”到“风险为本”的意识转型，虽取得一定成效，但在面对新任务时，多数职能部室仍支持“规则”优先。对自评估工作的理解，尚不能全面认识到其目的是为机构洗钱风险管理工作提供必要的基础和依据，仅认为这是反洗钱牵头管理部室布置的任务，以完成问卷、提供佐证材料为主要工作，并没有对问卷题目背后的深意进行思考，审视本条线洗钱风险管理方式是否合理、有效，是否能够激励条线岗位人员勤勉尽责地履职，从而完善条线反洗钱工作机制。

职能部室对自评估理解不足。业务职能部室可能因洗钱风险管理意识薄弱，怠于主动履职或不愿深度参与。开展固有风险指标口径梳理和取数逻辑时，存在业务职能部室未对提供数据口径一事引起重视，敷衍了事，造成数据统计有误，导致评估结果偏差。业务职能部室常常只关注产品业务等传统的洗钱风险管理职责，对于监管提出的客户或渠道的洗钱风险管理职责存在认知空缺，因此在自评估过程中容易发现不同维度的管控措施或预警机制有待完善，相关洗钱风险管理要求有待全面有效落实。

基础数据管理有待加强。银行机构的基础数据目前来看并不足以支撑自评估工作指标设定的精确度需求。具体指标体系由各银行机构自行考量，需要大量案例验证设定是否合理、能否揭示风险薄弱环节。而银行机构目前多个系统间的交互机制均须加强，大部分业务系统及反洗钱系统各自独立，部分指标取数条件在系统间未能有效映射，自评估指标所需数据无法直接获取，仍需要通过复杂的逻辑取数并进一步加工，难以保证数据的准确性。

自评估成果未得到充分运用。目前在成果运用上未形成有效的评估后管理机制，多以问题整改为主。反洗钱牵头管理职能部室对自评估成果提出的建议，没有被业务职能部室实际采纳，仍存在简化管控或直接终止业务关系等行为。同时辖内没有成果共享机制，仅反洗钱牵头管理职能部室传输成果经验，业务条线没有就其自身的洗钱风险管理经验进行总结分享，全辖应对洗钱风险缺少多维度的经验。

反洗钱人力资源仍须加强。银行机构如何在辖内建立专业的人才队伍同样是亟待解决的问题。要想真正做好自评估工作，需要了解国内外各类监管形势、精通反洗钱法律法规、充分掌握各类业务的运行流程、知悉系统架构等全方位知识。我国对于反洗钱专业人才的培养尚在起步阶段，目前国际公认反洗钱师（CAMS）持证人已属于上海市“十四五”金融类紧缺人才，然而仍缺乏对于反洗钱专业人才准入和发展的上层导向，对于银行机构反洗钱队伍配置比例或具体要求尚不明确。

机构洗钱风险自评估工作改进措施

金融机构应勤勉尽责地根据《指引》第三十条规定定期开展自评估，及时总结分析问题成因，不断优化评估机制，控制资源成本，在意识和执行层面探索完善方向都是十分必要的。

提高风险认知，强化内生动力。自评估工作作为银行机构反洗钱工作从“规则为本”向“风险为本”转型的标志性工程，不但能降低洗钱风险给本机构和社会带来的危害，也能促使机构减少或免于反洗钱行政处罚。应进一步提高对自评估工作的认识，将认识转化为动力，通过自评估主动评估风险、识别隐患，制定切实可行的整改措施。

构建基础环境，推动系统建设。建立机构专属的自评估系统是反洗钱系统建设的理想目标之一，系统整合反洗钱资源，大幅提升自评估工作的有效性和准确性。通过厘清全量产品业务、客户清单，规范业务口径、取数逻辑以及后续管控措施等，构建多维度数据信息共享渠道。加速推进数据治理，也能同时提升反洗钱基础数据的全面准确性和传输及时性，如构建类似反洗钱数据集市等，助力开展高效便捷的反洗钱日常工作。

完善评估指标，推进纵向发展。建立以主要的重点风险因素为核心的评估框架，在指标设计时应同时考虑四个维度的覆盖面和指标数据能够体现的风险程度，以此确定现有自评估体系的广度和深度。银行机构可以通过后续开展自查等方式，倒查指标合理性，以问题为导向不断优化指标，最终形成一套逻辑自洽的评估方法。此外，可通过评估指标在不同评估期的跨度比对，了解机构自身在不同发展阶段的洗钱风险差异和管理薄弱环节。

充分运用成果，持续整改优化。根据自评估发现的风险点，逐步完善或调整后续控制措施，减少风险薄弱环节和风险隐患。除了发现问题，制定相应的整改措施计划并限时整改，持续提升洗钱风险控制能力也是自评估成果运用的关键。需要制定针对高风险因素的防控措施，对于相同风险或管控相似的产品业务等要“举一反三”。尤其在收到监管风险提示、司法查询等情况下，要及时优化调整评估方法，充分揭示风险并督促业务职能部室将管控措施落实到位，形成自评估后管理机制。

（作者单位：上海农商银行合规内控部）

责任编辑：杨生恒ysh1917@163.com

①国际刑警组织《全球诈骗评估报告》、世界经理论坛《2024年全球风险报告》等。

②《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》《打击治理洗钱违法犯罪三年行动计划（2022-2024年）》等。

③《法人金融机构反洗钱分类评级管理办法（试行）》《法人金融机构洗钱和恐怖融资风险管理指引（试行）》等。