中國人民銀行反洗錢局關于印發《法人金融機構洗錢和恐怖融資風險管理指引(試行)》的通知
(銀反洗發〔2018〕19號)
中國人民銀行上海總部金融服務二部,各分行、營業管理部,各省會(首府)城市中心支行,各副省級城市中心支行反洗錢處;各政策性銀行、國有商業銀行、股份制商業銀行、中國郵政儲蓄銀行、中國銀聯、農信銀資金清算中心、城市商業銀行資金清算中心、中國人壽保險股份有限公司、中國人民財產保險股份有限公司、銀河證券股份有限公司、中信證券股份有限公司反洗錢部門:
為引導法人金融機構深入實踐風險為本的方法,落實《國務院辦公廳關于完善反洗錢、反恐怖融資、反逃稅監管體制機制的意見》,加強法人金融機構反洗錢和反恐怖融資工作,有效預防洗錢及相關違法犯罪活動,根據《中華人民共和國反洗錢法》、《中華人民共和國反恐怖主義法》、《中華人民共和國中國人民銀行法》等法律法規,中國人民銀行反洗錢局制定了《法人金融機構洗錢和恐怖融資風險管理指引(試行)》(以下簡稱《指引》),現印發給你們,并就《指引》中有關事項通知如下,請遵照執行。
一、金融機構工作安排
(一)在2018年12月31日之前制定執行《指引》的工作方案,報中國人民銀行反洗錢局或中國人民銀行反洗錢局授權對該金融機構實施反洗錢監管的當地中國人民銀行分支機構反洗錢部門。
(二)考慮到非銀行支付機構反洗錢工作起步較晚,適當給予其一定時限的制度執行過渡期,但不應晚于2019年7月1日前執行。
二、監管工作要求
(一)中國人民銀行反洗錢局及分支機構反洗錢部門收到金融機構提交的工作方案及相關報告后,如有不同意見,應在30個工作日內向金融機構反饋。
(二)中國人民銀行反洗錢局及分支機構反洗錢部門應當將金融機構執行《指引》要求的完善風險治理架構、制定洗錢風險管理策略等情況,作為反洗錢監管重點。
請中國人民銀行上海總部,各分行、營業管理部,各省會(首府)城市中心支行,各副省級城市中心支行反洗錢處將本通知轉發至總部注冊地在轄區內的各城市商業銀行、農村商業銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、證券公司、期貨經紀公司、基金管理公司、保險公司、保險資產管理公司、保險專業代理公司、保險經紀公司、信托公司、金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司等金融機構和非銀行支付機構反洗錢部門。
附件:法人金融機構洗錢和恐怖融資風險管理指引(試行)
中國人民銀行反洗錢局
2018年9月29日
附件:
法人金融機構洗錢和恐怖融資風險管理指引(試行)
第一章 總則
第一條 為引導法人金融機構深入實踐風險為本方法,落實《關于完善反洗錢、反恐怖融資、反逃稅監管體制機制的意見》,加強法人金融機構反洗錢和反恐怖融資工作,有效預防洗錢及相關違法犯罪活動,根據《中華人民共和國反洗錢法》、《中華人民共和國反恐怖主義法》、《中華人民共和國中國人民銀行法》等法律法規,制定本指引。
第二條 本指引適用于在中華人民共和國境內依法設立的法人金融機構。
第三條 法人金融機構應當高度重視洗錢、恐怖融資和擴散融資風險(以下統稱洗錢風險)管理,充分認識在開展業務和經營管理過程中可能被違法犯罪活動利用而面臨的洗錢風險。任何洗錢風險事件或案件的發生都可能帶來嚴重的聲譽風險和法律風險,并導致客戶流失、業務損失和財務損失。
第四條 有效的洗錢風險管理是法人金融機構安全、穩健運行的基礎,法人金融機構及其全體員工應當勤勉盡責,牢固樹立合規意識和風險意識,建立健全洗錢風險管理體系,按照風險為本方法,合理配置資源,對本機構洗錢風險進行持續識別、審慎評估、有效控制及全程管理,有效防范洗錢風險。
法人金融機構應當考慮洗錢風險與聲譽、法律、流動性等風險之間的關聯性和傳導性,審慎評估洗錢風險對聲譽、運營、財務等方面的影響,防范洗錢風險傳導與擴散。
第五條 法人金融機構洗錢風險管理應當遵循以下主要原則:
(一)全面性原則。洗錢風險管理應當貫穿決策、執行和監督的全過程;覆蓋各項業務活動和管理流程;覆蓋所有境內外分支機構及相關附屬機構,以及相關部門、崗位和人員。
(二)獨立性原則。洗錢風險管理應當在組織架構、制度、流程、人員安排、報告路線等方面保持獨立性,對業務經營和管理決策保持合理制衡。
(三)匹配性原則。洗錢風險管理資源投入應當與所處行業風險特征、管理模式、業務規模、產品復雜程度等因素相適應,并根據情況變化及時調整。
(四)有效性原則。洗錢風險管理應當融入日常業務和經營管理,根據實際風險情況采取有針對性的控制措施,將洗錢風險控制在自身風險管理能力范圍內。
第六條 洗錢風險管理體系應當包括但不限于以下要素:
(一)風險管理架構;
(二)風險管理策略;
(三)風險管理政策和程序;
(四)信息系統、數據治理;
(五)內部檢查、審計、績效考核和獎懲機制。
第七條 法人金融機構應當積極建設洗錢風險管理文化,促進全體員工樹立洗錢風險管理意識、堅持價值準則、恪守職業操守,營造主動管理、合規經營的良好文化氛圍。
第八條 中國人民銀行及其分支機構依法對法人金融機構洗錢風險管理工作實施監督管理。
第二章 風險管理架構
第九條 法人金融機構應當建立組織健全、結構完整、職責明確的洗錢風險管理架構,規范董事會、監事會、高級管理層、業務部門、反洗錢管理部門、內部審計部門、人力資源部門、信息科技部門、境內外分支機構和相關附屬機構在洗錢風險管理中的職責分工,建立層次清晰、相互協調、有效配合的運行機制。
第十條 法人金融機構董事會承擔洗錢風險管理的最終責任,主要履行以下職責:
(一)確立洗錢風險管理文化建設目標;
(二)審定洗錢風險管理策略;
(三)審批洗錢風險管理的政策和程序;
(四)授權高級管理人員牽頭負責洗錢風險管理;
(五)定期審閱反洗錢工作報告,及時了解重大洗錢風險事件及處理情況;
(六)其他相關職責。
董事會可以授權下設的專業委員會履行其洗錢風險管理的部分職責。專業委員會負責向董事會提供洗錢風險管理專業意見。
第十一條 法人金融機構監事會承擔洗錢風險管理的監督責任,負責監督董事會和高級管理層在洗錢風險管理方面的履職盡責情況并督促整改,對法人金融機構的洗錢風險管理提出建議和意見。
第十二條 法人金融機構高級管理層承擔洗錢風險管理的實施責任,執行董事會決議,主要履行以下職責:
(一)推動洗錢風險管理文化建設;
(二)建立并及時調整洗錢風險管理組織架構,明確反洗錢管理部門、業務部門及其他部門在洗錢風險管理中的職責分工和協調機制;
(三)制定、調整洗錢風險管理策略及其執行機制;
(四)審核洗錢風險管理政策和程序;
(五)定期向董事會報告反洗錢工作情況,及時向董事會和監事會報告重大洗錢風險事件;
(六)組織落實反洗錢信息系統和數據治理;
(七)組織落實反洗錢績效考核和獎懲機制;
(八)根據董事會授權對違反洗錢風險管理政策和程序的情況進行處理;
(九)其他相關職責。
第十三條 法人金融機構應當任命或授權一名高級管理人員牽頭負責洗錢風險管理工作,其有權獨立開展工作,直接向董事會報告洗錢風險管理情況。法人金融機構應當確保其能夠充分獲取履職所需的權限和資源,避免可能影響其有效履職的利益沖突。
牽頭負責洗錢風險管理工作的高級管理人員應當具備較強的履職能力和職業操守,同時具有五年以上合規或風險管理工作經歷,或者具有所在行業十年以上工作經歷。法人金融機構任命上述高級管理人員,應當按照規定向中國人民銀行或當地人民銀行備案。
第十四條 反洗錢管理部門牽頭開展洗錢風險管理工作,推動落實各項反洗錢工作,主要履行以下職責:
(一)制定起草洗錢風險管理政策和程序;
(二)貫徹落實反洗錢法律法規和監管要求,建立健全反洗錢內部控制制度及內部檢查機制;
(三)識別、評估、監測本機構的洗錢風險,提出控制洗錢風險的措施和建議,及時向高級管理層報告;
(四)持續檢查洗錢風險管理策略及洗錢風險管理政策和程序的執行情況,對違反風險管理政策和程序的情況及時預警、報告并提出處理建議;
(五)建立反洗錢工作協調機制,指導業務部門開展洗錢風險管理工作;
(六)組織或協調各相關部門開展客戶洗錢風險分類管理;
(七)組織落實交易監測和名單監控的相關要求,按照規定報告大額交易和可疑交易;
(八)牽頭配合反洗錢監管,協調配合反洗錢行政調查;
(九)組織或協調相關部門開展反洗錢宣傳和培訓、建立健全反洗錢績效考核和獎懲機制、建設完善反洗錢信息系統。
第十五條 業務部門承擔洗錢風險管理的直接責任,主要履行以下職責:
(一)識別、評估、監測本業務條線的洗錢風險,及時向反洗錢管理部門報告;
(二)建立相應的工作機制,將洗錢風險管理要求嵌入產品研發、流程設計、業務管理和具體操作;
(三)開展或配合開展客戶身份識別和客戶洗錢風險分類管理,采取針對性的風險應對措施;
(四)以業務(含產品、服務)的洗錢風險評估為基礎,完善各項業務操作流程;
(五)完整并妥善保存客戶身份資料及交易記錄;
(六)開展或配合開展交易監測和名單監控,確保名單監控有效性,按照規定對相關資產和賬戶采取管控措施;
(七)配合反洗錢監管和反洗錢行政調查工作;
(八)開展本業務條線反洗錢工作檢查;
(九)開展本業務條線反洗錢宣傳和培訓;
(十)配合反洗錢管理部門開展其他反洗錢工作。
第十六條 第十四條 、第十五條所述反洗錢工作職責、事項,涉及運營管理、風險管理、法律事務、財務會計、安全保衛等其他部門的,法人金融機構應當就上述部門對相關工作的職責分工進行明確規定。
第十七條 內部審計部門負責對反洗錢法律法規和監管要求的執行情況、內部控制制度的有效性和執行情況、洗錢風險管理情況進行獨立、客觀的審計評價。
未設立審計部門的法人金融機構,應當明確相關工作由承擔審計職能的其他部門承擔,并保證相關工作的獨立性。
第十八條 人力資源部門負責洗錢風險管理的人力資源保障,結合洗錢風險管理需求,合理配置洗錢風險管理職位、職級和職數,選用符合標準的人員,建立反洗錢績效考核和獎懲機制,為反洗錢宣導和培訓提供支持。
第十九條 信息科技部門負責反洗錢信息系統及相關系統的開發、日常維護及升級等工作,為洗錢風險管理提供必要的硬件設備和技術支持,根據相關數據安全和保密管理等監管要求,對客戶、賬戶、交易信息及其他相關電子化信息進行保管和處理。
第二十條 法人金融機構應當加強對境內外分支機構和相關附屬機構的管理指導和監督,采取必要措施保證洗錢風險管理
政策和程序在境內外分支機構和相關附屬機構得到充分理解與有效執行,保持洗錢風險管理的一致性和有效性。
對于在境外設有分支機構或相關附屬機構的法人金融機構,如果本指引的要求比所駐國家或地區的相關規定更為嚴格,但所駐國家或地區法律禁止或限制境外分支機構和相關附屬機構實施本指引,法人金融機構應當采取適當的其他措施應對洗錢風險,并向中國人民銀行報告。如果其他措施無法有效控制風險,法人金融機構應當考慮在適當情況下關閉境外分支機構或相關附屬機構。
第二十一條 金融控股公司(集團)應當在集團層面實施統一的洗錢風險管理政策和程序,結合各專業公司的業務和產品特點,以客戶為單位,建立適用于集團層面的可疑交易監測體系,有效識別和應對跨市場、跨行業和跨機構的洗錢風險,防范洗錢風險在不同專業公司間的傳導。
第二十二條 法人金融機構反洗錢資源配置應當與其業務發展相匹配,配備充足的洗錢風險管理人員,其中:反洗錢管理部門應當配備專職洗錢風險管理崗位(反洗錢崗位)人員,業務部門、境內外分支機構及相關附屬機構應當根據業務實際和洗錢風險狀況配備專職或兼職洗錢風險管理崗位(反洗錢崗位)人員。法人金融機構應當從制度建設、業務審核、風險評估、系統建設、監測分析、合規制裁、案件管理等角度細分洗錢風險管理崗位(反洗錢崗位)。洗錢風險管理崗位(反洗錢崗位)職級不得低于法人金融機構其他風險管理崗位職級,不得將洗錢風險管理崗位(反洗錢崗位)簡單設置為操作類崗位或外包。從事監測分析工作的人員配備應當與本機構的可疑交易甄別分析工作量相匹配。專職人員應當具有三年以上金融行業從業經歷,專職人員和兼職人員均應當具備必要的履職能力和職業操守。
法人金融機構有條件配備專職人員的,不得以兼職人員替代專職人員。兼職人員占全部洗錢風險管理人員的比例不得高于80%
第二十三條 法人金融機構在聘用員工、任命或授權高級管理人員、選用洗錢風險管理人員、引入戰略投資者或在主要股東和控股股東入股之前,應當對其是否涉及刑事犯罪、是否存在其他犯罪記錄及過往履職經歷等情況進行充分的背景調查,評估可能存在的洗錢風險。
第二十四條 法人金融機構應當賦予反洗錢管理部門、業務部門、審計部門等部門及洗錢風險管理人員充足的資源和授權,在組織架構、管理流程等方面確保其工作履職的獨立性,保證其能夠及時獲得洗錢風險管理所需的數據和信息,滿足履行洗錢風險管理職責的需要。
第二十五條 法人金融機構應當持續開展各類反洗錢宣傳和培訓,促進洗錢風險管理文化得到充分傳導,全面提高全體員工的反洗錢知識、技能和意識,確保全體員工能夠適應所在崗位的反洗錢履職需要。
第三章 風險管理策略
第二十六條 法人金融機構應當制定科學、清晰、可行的洗錢風險管理策略,完善相關制度和工作機制,合理配置、統籌安排人員、資金、系統等反洗錢資源,并定期評估其有效性。洗錢風險管理策略應當根據洗錢風險狀況及市場變化及時進行調整。
第二十七條 法人金融機構應當在建設全面風險管理文化、制定全面風險管理策略、制定全面風險管理政策和程序時統籌考慮洗錢風險管理,將洗錢風險納入全面風險管理體系。洗錢風險管理策略應當與其全面風險管理策略相適應。
第二十八條 法人金融機構應當按照風險為本方法制定洗錢風險管理策略,在識別和評估洗錢風險的基礎上,針對風險較低的情形,采取簡化的風險控制措施;針對風險較高的情形,采取強化的風險控制措施;超出機構風險控制能力的,不得與客戶建立業務關系或進行交易,已經建立業務關系的,應當中止交易并考慮提交可疑交易報告,必要時終止業務關系。
第二十九條 法人金融機構應當積極開展普惠金融工作,根據本機構業務實際、客戶的群體屬性、洗錢風險評估結果和監管部門的要求,在有效管理洗錢風險的基礎上,采取合理的客戶身份識別措施,為社會不同群體提供差異化、有針對性的金融服務。
第四章 風險管理政策和程序一-方法
第三十條 法人金融機構應當制定洗錢風險管理政策和程序,包括但不限于反洗錢內部控制制度(含流程、操作指引);洗錢風險管理的方法;應急計劃;反洗錢措施;信息保密和信息共享。
第三十一條 法人金融機構應當建立健全反洗錢內部控制制度,加強統一管理,規范制度制定和審批程序,明確發文種類、層級和對象。
反洗錢內部控制制度應當全面覆蓋反洗錢法律法規和監管要求,并與本機構業務實際相適應。在反洗錢法律法規、監管要求或業務發展情況發生變化時,法人金融機構應當及時更新反洗錢內部控制制度。
第三十二條 洗錢風險識別與評估是有效的洗錢風險管理的基礎。法人金融機構應當建立洗錢風險評估制度,對本機構內外部洗錢風險進行分析研判,評估本機構風險控制機制的有效性,查找風險漏洞和薄弱環節,有效運用評估結果,合理配置反洗錢資源,采取有針對性的風險控制措施。
評估結果的運用包括但不限于以下方面:調整經營策略、發布風險提示、完善制度流程、增強資源投入、加強賬戶管理和交易監測、強化名單監控、嚴格內部檢查和審計等。
法人金融機構應當確保洗錢風險評估的流程具有可稽核性或可追溯性,并對洗錢風險評估的流程和方法進行定期審查和調整。
法人金融機構可以在充分論證可行性的基礎上委托獨立第三方開展風險評估。
第三十三條 法人金融機構在廣泛收集信息的基礎上,采取定性與定量分析相結合的方法,建立洗錢風險評估指標體系和模型對洗錢風險進行識別和評估。
第三十四條 法人金融機構應當根據風險評估需要,統籌確定各類信息的來源及其采集方法。信息來源應當考慮國家、行業、客戶、地域、機構等方面,包括但不限于以下來源:
(一)金融行動特別工作組(FATF)、亞太反洗錢組織(APG)、歐亞反洗錢與反恐融資組織(EAG)、巴塞爾銀行監管委員會(BIS)、國際證券監管委員會組織(IOSCO)、國際保險監督官協會(IAIS)等國際組織、國家和行業的風險評估報告、研究成果、形勢分析、工作數據等;
(二)國家相關部門通報的上游犯罪形勢、案例或監管信息;
(三)中國人民銀行、銀保監會、證監會、外匯局等金融監管部門發布的洗錢風險提示和業務風險提示;
(四)在與客戶建立業務關系時和業務關系存續期間,客戶披露的信息、客戶經理或柜面人員工作記錄、保存的交易記錄、委托其他金融機構或第三方對客戶進行盡職調查工作所獲取的合法信息;
(五)內部管理或業務流程中獲取的信息,包括內部審計結果。
法人金融機構應當將信息采集嵌入相應業務流程,由各業務條線工作人員依據崗位職責、權限設置等開展信息采集。必要時通過問卷調查等方式,開展針對性的信息采集。
第三十五條 法人金融機構應當從國家/地域、客戶及業務(含產品、服務)等維度進行綜合考慮,確立風險因素,設置風險評估指標。
國家/地域風險因素應當考慮:1.在高風險國家(地區)設立境外分支機構情況;2.交易對手或對方金融機構涉及高風險國家(地區)情況;3.境外分支機構數量及地域分布情況;4.高風險國家(地區)經營收入占比等。
客戶風險因素應當考慮:1.非居民客戶數量占比;2.離岸客戶數量占比;3.政治公眾人物客戶數量占比;4.使用不可核查證件開戶客戶數量占比;5.職業不明確客戶數量占比;6.高風險職業(行業)客戶數量占比;7.由第三方代理建立業務關系客戶數量占比;8.來自高風險國家(地區)的客戶情況;9.被國家機關調查的客戶情況等。
業務(含產品、服務)風險因素應當考慮:1.現金交易情況;2.非面對面交易情況;3.跨境交易情況;4.代理交易情況;5.公轉私交易情況;6.私人銀行業務情況;7.特約商戶業務情況;8.一次性交易情況;9.通道類資產管理業務情況;10.場外交易情況:11.大宗交易情況;12.新三板協議轉讓業務;13.場外衍生品業務;14.保單貸款業務等。
法人金融機構應從制度體系、組織架構和洗錢風險管理文化的建設情況、洗錢風險管理策略、風險評估制度和風險控制措施的制定和執行情況等維度進行綜合考慮,設置風險控制措施有效性的評估指標。
評估指標的具體比重及分值設置由法人金融機構根據有效的洗錢風險管理需要自主確定。
第三十六條 洗錢風險評估包括定期評估和不定期評估。法人金融機構應當根據本機構實際和國家/區域洗錢風險評估需要,合理確定定期開展全系統洗錢風險評估的時間、周期或頻率。
不定期評估包括對單項業務(含產品、服務)或特定客戶的評估,以及在內部控制制度有重大調整、反洗錢監管政策發生重大變化、拓展新的銷售或展業渠道、開發新產品或對現有產品使用新技術、拓展新的業務領域、設立新的境外機構、開展重大收購和投資等情況下對全系統或特定領域開展評估。
為有效開展洗錢風險評估工作,法人金融機構應當建立并維護業務(含產品、服務)類型清單和客戶種類清單。
第三十七條 法人金融機構應當根據洗錢風險評估結果,結合客戶身份識別、客戶身份資料和交易記錄保存、交易監測、大額交易和可疑交易報告、名單監控、資產凍結等反洗錢義務制定風險控制措施,并融入相關業務操作流程,有效控制洗錢風險。
第三十八條 法人金融機構應當建立內部不同層次的洗錢風險報告制度。境內外分支機構、相關附屬機構應當及時向總部反洗錢管理部門報告洗錢風險情況;各業務條線、業務部門應當及時向反洗錢管理部門報告洗錢風險情況,包括風險調整變動情況、風險評估結果等;反洗錢管理部門應當及時向董事會和高級管理層報告洗錢風險情況,包括洗錢風險管理策略、政策、程序、風險評估制度、風險控制措施的制定和執行情況以及洗錢風險事件等。
第三十九條 法人金融機構應當制定應急計劃,確保能夠及時應對和處理重大洗錢風險事件、境內外有關反洗錢監管措施、重大洗錢負面新聞報道等緊急、危機情況,做好輿情監測,避免引發聲譽風險。應急計劃應當說明可能出現的重大風險情況及應當采取的措施。法人金融機構的應急計劃應當涵蓋對境內外分支機構和相關附屬機構的應急安排。第四十條 法人金融機構應當通過妥善方式記錄開展洗錢風險管理的工作過程,采取必要的管理措施和技術手段保存工作資料,保存方式應當保證洗錢風險管理人員獲取相關信息的便捷性。
第四十一條 法人金融機構應當健全內部控制機制,按照《中華人民共和國反洗錢法》、《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》和有關保密規定,嚴格保護反洗錢工作中獲得的信息,非依法律規定,不得向任何單位和個人提供。
法人金融機構應當建立跨境信息保密保障措施,對于在開展跨境業務、應對跨境監管等過程中所涉的客戶、賬戶和交易信息、可疑交易報告等信息,應當嚴格控制跨境信息知悉范圍和程度,建立完善的內部跨境信息傳遞體系、風險控制流程和授權審批機制。
境外有關部門因反洗錢和反恐怖融資需要要求其提供客戶、賬戶、交易信息及其他相關信息的,法人金融機構應當告知對方通過外交途徑、司法協助途徑或金融監管合作途徑等提出請求,不得擅自提供。有關國內司法凍結、司法查詢、可疑交易報告、行政機構反洗錢調查等信息不得對外提供。
境外清算代理行因反洗錢和反恐怖融資需要要求提供除匯款信息、單位客戶注冊信息等以外的客戶身份信息、交易背景信息的,法人金融機構應當在獲得客戶授權同意后提供;客戶不同意或未獲得客戶授權同意的,法人金融機構不得提供。
第四十二條 出于洗錢風險管理需要,法人金融機構應當建立內部信息共享制度和程序,根據信息敏感度及其與洗錢風險管理的相關性確定信息共享的范圍和程度,制定適當的信息共享機制,明確信息安全和保密要求,建立健全信息共享保障措施,確保信息的及時、準確、完整傳遞。
法人金融機構反洗錢管理部門、審計部門等部門為履行反洗錢工作職責,有權要求境內外分支機構和相關附屬機構提供客戶、賬戶、交易信息及其他與洗錢風險管理相關的信息。
第五章 風險管理政策和程序--措施
第四十三條 法人金融機構按照反洗錢法律法規和監管要求所采取的客戶身份識別、客戶身份資料和交易記錄保存、大額交易和可疑交易報告等措施是滿足反洗錢合規性要求的最低標準,情節嚴重的違法行為將受到處罰。為有效管理洗錢風險,法人金融機構應當在此基礎上,采取更有針對性、更嚴格、更有效的措施。
第四十四條 法人金融機構應當按照規定建立健全和執行客戶身份識別制度,遵循“了解你的客戶”的原則,針對具有不同洗錢風險的客戶、業務關系或交易,采取相應的控制措施,通過可靠和來源獨立的證明文件、數據信息和資料核實客戶身份,了解客戶建立、維持業務關系的目的及性質,了解實際控制客戶的自然人和交易的實際受益人。
客戶身份識別措施包括但不限于以下方面:在建立業務關系時的客戶身份識別措施、在業務關系存續期間的持續識別和重新識別措施、非自然人客戶受益所有人的識別措施、對特定自然人和特定類別業務的客戶身份識別措施以及客戶洗錢風險分類管理措施等。
在建立業務關系時,法人金融機構為不影響正常交易,可以在建立業務關系后完成對客戶的身份核實,但應當建立相應的風險管理機制和程序,確保客戶洗錢和恐怖融資風險可控。在業務關系存續期間,法人金融機構應詳細審查保存的客戶資料和交易,及時更新客戶身份信息,確保當前進行的交易與客戶身份背景相匹配。
第四十五條 法人金融機構應當按照規定建立客戶身份資料和交易記錄保存制度,強化內部管理措施,更新技術手段,逐步完善相關信息系統,統籌考慮保存范圍、方式和期限,確保客戶身份信息和交易記錄完整準確。法人金融機構應當建立適當的授權機制,明確工作程序,按照規定將客戶身份信息和交易記錄迅速、便捷、準確地提供給監管機構、執法機構等部門。
第四十六條 法人金融機構應當構建以客戶為基本單位的交易監測體系,交易監測范圍應當覆蓋全部客戶和業務領域,包括客戶的交易、企圖進行的交易及客戶身份識別的整個過程。法人金融機構應當根據本行業、本機構反洗錢工作實踐和真實數據,重點參考本行業發生的洗錢案件及風險信息,結合客戶的身份特征、交易特征或行為特征,建立與其面臨的洗錢風險相匹配的監測標準,并根據客戶、業務(含產品、服務)和洗錢風險變化情況及時調整。
第四十七條 法人金融機構應當建立健全大額交易和可疑交易報告制度,按照規定及時、準確、完整向中國反洗錢監測分析中心或中國人民銀行及其分支機構提交大額交易和可疑交易報告。
法人金融機構應當結合實際探索符合本機構特點的可疑交易報告分析處理模式,運用信息系統與人工分析相結合的方式,完整記錄可疑交易分析排除或上報的全過程,完善可疑交易報告流程,提高可疑交易報告質量。
法人金融機構在報送可疑交易報告后,應當根據中國人民銀行的相關規定采取相應的后續風險控制措施,包括對可疑交易所涉客戶及交易開展持續監控、提升客戶風險等級、限制客戶交易、拒絕提供服務、終止業務關系、向相關金融監管部門報告、向相關偵查機關報案等。
第四十八條 法人金融機構應當建立反洗錢和反恐怖融資監控名單庫,并及時進行更新和維護。監控名單包括但不限于以下內容:
(一)公安部等我國有權部門發布的恐怖活動組織及恐怖活動人員名單;
(二)聯合國發布的且得到我國承認的制裁決議名單;(三)其他國際組織、其他國家(地區)發布的且得到我國承認的反洗錢和反恐怖融資監控名單;
(四)中國人民銀行要求關注的其他反洗錢和反恐怖融資監控名單;
(五)洗錢風險管理工作中發現的其他需要監測關注的組織或人員名單。
第四十九條 法人金融機構應當對監控名單開展實時監測;涉及資金交易的應當在資金交易完成前開展監測,不涉及資金交易的應當在辦理相關業務后盡快開展監測。在名單調整時,法人金融機構應當立即對存量客戶以及上溯三年內的交易開展回溯性調查,并按規定提交可疑交易報告。
法人金融機構在洗錢風險管理工作中發現的其他需要監測關注的組織或人員名單,可以根據洗錢風險管理需要自主決定是否開展實時監測和回溯性調查。
實時監測和回溯性調查應當運用信息系統與人工分析相結合的方式,通過信息系統實現監控名單精準匹配的自動識別工作,或先通過信息系統實現監控名單模糊匹配的初步篩查,再通過人工分析完成監控名單模糊匹配的最終識別工作。交易的回溯性調查可以采取信息系統實時篩查與后臺數據庫檢索查詢相結合的方式開展。
第五十條 有合理理由懷疑客戶或其交易對手、資金或其他資產與監控名單相關的,應當按照規定立即提交可疑交易報告。客戶與監控名單匹配的,應當立即采取相應措施并于當日將有關情況報告中國人民銀行和其他相關部門。具體措施包括但不限于停止金融賬戶的開立、變更、撤銷和使用,暫停金融交易,拒絕轉移、轉換金融資產,停止提供出口信貸、擔保、保險等金融服務,依法凍結賬戶資產。暫時無法準確判斷客戶與監控名單是否相匹配的,法人金融機構應當按照風險管理原則,采取相應的風險控制措施并進行持續交易監控。
第五十一條 法人金融機構應當有效識別高風險業務(含產品、服務),并對其進行定期評估、動態調整。
對于高風險業務(含產品、服務),如建立賬戶代理行關系、提供資金或價值轉移服務、辦理電匯業務等,法人金融機構應按照相關法律法規的要求,開展進一步的強化盡職調查措施,并結合高風險業務(含產品、服務)典型風險特征及時發布風險提示。
第五十二條 法人金融機構應當制定并執行清晰的客戶接納政策和程序,明確禁止建立業務關系的客戶范圍,有效識別高風險客戶或高風險賬戶,并對其進行定期評估、動態調整。對于高風險客戶或高風險賬戶持有人,包括客戶屬于政治公眾人物、國際組織高級管理人員及其特定關系人或來自高風險國家(地區)的,法人金融機構應當在客戶身份識別要求的基礎上采取強化措施,包括但不限于進一步獲取客戶及其受益所有人身份信息,適當提高信息的收集或更新頻率,深入了解客戶經營活動狀況、財產或資金來源,詢問與核實交易的目的和動機,適度提高交易監測的頻率及強度,提高審批層級等,并加強對其金融交易活動的跟蹤監測和分析排查。
第六章 信息系統和反洗錢數據、信息
第五十三條 法人金融機構應當建立完善以客戶為單位,覆蓋所有業務(含產品、服務)和客戶的反洗錢信息系統,及時、準確、完整采集和記錄洗錢風險管理所需信息,對洗錢風險進行識別、評估、監測和報告,并根據洗錢風險管理需要持續優化升級系統。
第五十四條 反洗錢信息系統及相關系統應當包括但不限于以下主要功能,以支持洗錢風險管理的需要。
(一)支持洗錢風險評估,包括業務洗錢風險評估和客戶洗錢風險分類管理;
(二)支持客戶身份識別、客戶身份資料及交易記錄等反洗錢信息的登記、保存、查詢和使用;
(三)支持反洗錢交易監測和分析;
(四)支持大額交易和可疑交易報告;
(五)支持名單實時監控和回溯性調查;
(六)支持反洗錢監管和反洗錢調查。
第五十五條 在保密原則基礎上,法人金融機構應當根據工作職責合理配置本機構各業務條線、各境內外分支機構和相關附屬機構、各崗位的信息系統使用權限,確保各級人員有效獲取洗錢風險管理所需信息,滿足實際工作需要。
第五十六條 法人金融機構應當加強數據治理,建立健全數據質量控制機制,積累真實、準確、連續、完整的內外部數據,用于洗錢風險識別、評估、監測和報告。反洗錢數據的存儲和使用應當符合數據安全標準、滿足保密管理要求。
法人金融機構不得違反規定設置信息壁壘,阻止或影響其他法人金融機構正常獲取開展反洗錢工作所必需的信息和數據。
第七章 內部檢查、審計、績效考核和獎懲機制
第五十七條 法人金融機構應當對業務部門、境內外分支機構、相關附屬機構開展定期或不定期的反洗錢工作檢查,對檢查結果進行分析,對發現的問題進行積極整改。檢查結果與業務部門、境內外分支機構、相關附屬機構績效考核和管理授權掛鉤。
第五十八條 法人金融機構應當通過內部審計開展洗錢風險管理的審計評價,檢查和評價洗錢風險管理的合規性和有效性,確保各項業務自身管理與其洗錢風險管理工作相匹配,反洗錢內部控制有效。審計范圍、方法和頻率應當與洗錢風險狀況相適應。反洗錢內部審計可以是專項審計或與其他審計項目結合進行。
法人金融機構應當確保反洗錢內部審計活動獨立于業務經營、風險管理和合規管理,遵循獨立性、客觀性原則,不斷提升內部審計人員的專業能力和職業操守。
反洗錢內部審計報告應當提交董事會或其授權的專門委員會。董事會或其授權的專門委員會應當針對內部審計發現的問題,督促高級管理層及時采取整改措施。內部審計部門應當跟蹤檢查整改措施的實施情況,涉及重大問題的整改情況,應及時向董事會或其授權的專門委員會提交有關報告。
第五十九條 法人金融機構委托外部審計機構對洗錢風險管理工作開展評價的,外部審計必須確保審計范圍和方法科學合理,審計人員具有必要的專業知識和經驗,審計工作應當滿足反洗錢保密要求。
第六十條 法人金融機構應當將反洗錢工作評價納入績效考核體系,將董事、監事、高級管理人員、洗錢風險管理人員的洗錢風險管理履職情況和業務部門、境內外分支機構和相關附屬機構的洗錢風險管理履職情況納入績效考核范圍。
法人金融機構應當建立反洗錢獎懲機制,對于發現重大可疑交易線索或防范、遏止相關犯罪行為的員工給予適當的獎勵或表揚;對于未有效履行反洗錢職責、受到反洗錢監管處罰、涉及洗錢犯罪的員工追究相關責任。
第八章 附則
第六十一條 未設立董事會和監事會的法人金融機構,由其高級管理層承擔洗錢風險管理的最終責任,履行相應職責,并指定一個獨立于反洗錢管理部門的內設部門承擔洗錢風險管理的監督職責。
法人金融機構根據本機構業務實際對反洗錢信息系統及其他相關系統的開發、日常維護及升級等工作作出其他安排的,應當確保相關安排滿足洗錢風險管理需要。
第六十二條 非銀行支付機構、從事匯兌業務和基金銷售業務的機構,以及銀行卡清算機構、資金清算中心等從事清算業務的機構參照本指引開展洗錢風險管理。
第六十三條 本指引由中國人民銀行負責解釋。
第六十四條 本指引自2019年1月1日起施行。