法人金融机构洗钱和恐怖融资风险自评估指引简评
法人金融机构洗钱和恐怖融资风险自评估指引简评
2021年1月15日,中国人民银行反洗钱局发布了1号文件《法人金融机构洗钱和恐怖融资风险自评估指引》(反洗发[2021]1号)(以下简称“自评估指引”),以指导法人金融机构进行洗钱和恐怖融资风险自评估。此前,我国关于金融机构洗钱和恐怖融资风险评估的相关规定主要为《法人金融机构洗钱和恐怖融资风险管理指引(试行)》,相关具体要求散见在诸如《金融机构大额交易和可疑交易报告管理办法》等规定之中,自评估的基本要求即为金融机构需要根据自身业务、资产、客户等情况对自身的洗钱和恐怖融资风险进行评估,并根据评估结果完善自身的监测指标与合规流程。本次人民银行发布的《自评估指引》综合了多年来的监管经验及对现有经济趋势的判断,对各个金融机构而言,既是一个研究课题,也是一个工作任务。在本文中,笔者拟将《自评估指引》相关重要条款进行罗列与简要评析,具体到每个金融机构,需要根据自身情况予以差别化适用。
一、适用范围
《自评估指引》第二条规定该指引适用于中国境内依法设立的法人金融机构和非银行支付机构,并在附则中明确“银行卡清算机构、资金清算中心等从事支付清算业务的机构,从事汇兑业务、基金销售业务、保险专业代理和保险经纪业务的机构,以及网络小额贷款公司等其他从事互联网金融业务的非金融机构开展洗钱风险自评估可参照本指引”。该等适用范围在此前《反洗钱法》、《法人金融机构洗钱和恐怖融资风险管理指引(试行)》、《法人金融机构反洗钱分类评级管理办法(试行)》所规定的法人金融机构的基础上增加了非金融机构类型,这与此前《金融机构反洗钱和反恐怖融资监督管理办法》征求意见稿将非银行支付机构纳入监管范围是一致的。
二、评估原则
《自评估指引》提出了四项基本原则,即“全面性原则”、“客观性原则”、“匹配性原则”、“灵活性原则”,和反洗钱工作的几个重要要求相对应,包括风险评级全面反映机构情况的要求、数据信息收集的完整性要求、风险为本采用适合的尽职调查与风险评估手段的要求、及时调整机构内部反洗钱评估指标的要求等。
值得注意的是,根据此前规定及机构实践情况,一般机构风险自评估工作往往需要三年才进行一次,但在监管机构的实际检查过程中,发现大量机构在评估后不久其内部筛查机制与风控措施已趋于失效或部分失效,因此《自评估指引》中提出的“灵活性原则”要求法人金融机构按照实际情况缩短自评估周期,提高自评估频率。
三、评估内容
《自评估指引》规定,自评估的内容包括固有风险评估、控制措施有效性评估及剩余风险评估。值得关注的有以下几点:
1. 《自评估指引》中要求根据“经营场所覆盖地域”分别评估境内及境外各司法管辖区的风险。
2. 《自评估指引》中对于固有风险评估时应当考虑的因素条件进行了罗列,基本原则与此前规定一致,但本次对不同固有风险考量因素进行了细化,比如将“国际组织有关避税天堂名单”所涉地区、高比例接受司法机构刑事执法的地区等均作为地域类别固有风险考量因素;比如将受同一控制人控制下的关联公司作为评估客户固有风险的考量因素;再比如要求将金融产品的转让便利程度、保值性等作为衡量产品业务固有风险的考量因素等。
3. 将渠道固有风险细化,明确自助终端、互联网渠道、实体场所、代理渠道等应分类评估其渠道固有风险。
4. 在控制措施有效性评估方面,《自评估指引》要求既需在整体上评估机构反洗钱内部控制情况,也需要逐条针对固有风险评估分类相应的特殊控制措施进行评价。
5. 在内部控制评价考核因素方面,《自评估指引》与此前的规定与实践要求基本一致,其中仍然强调董事会、高级管理层、反洗钱管理部门、负责人在反洗钱工作的分工情况,并提出了将机构总部对各部门、各条线及分支机构的反洗钱工作落实的监督管控与信息共享情况纳入内部控制评价考核因素。
需要重视的是,虽然我国监管部门仅要求法人金融机构将联合国定向制裁、我国人民银行及其他政府部门要求关注的国家地区、我国认可的制裁名单作为风险评估考量因素,但是对于跨国金融机构、存在涉外业务的金融机构而言,在满足我国风险评估要求的基础上满足国际其他主要制裁输出国的金融合规监管要求同样重要,在实践中,该问题可能与我国政治政策、金融机构股东背景等因素均有关联,需要综合统筹考虑。
四、风险等级划分
《自评估指引》要求在风险等级划分上需针对地域、客户、产品、渠道四个维度各自进行风险控制措施有效性评级,并最终对机构整体风险控制有效性进行评级判断。在风险等级划分上,法人金融机构将风险等级划分为五级或更高,规模较小、业务类型单一的机构可简化至不少于三级。
同时,《自评估指引》提供了固有风险与控制措施有效性二维矩阵列表,比如在固有风险较高但控制措施较为有效的情况下,相关剩余风险评级可设置为中高风险,在全部控制措施均非常有效的情况下,相关剩余风险评级可设置为最高不超过中风险。
五、自评估流程
《自评估指引》以专章的形式对自评估工作的流程和方法进行了说明要求,具体包括如下流程:
1. 法人金融机构指定一名高级管理人员建立一个整合各部门的领导小组,组织协调自评估整体工作,包括指导各部门承担相应评估职责、确保自评估的客观性与独立性等。具体的评估工作需要由评估工作组进行,评估工作组应研究自评估工作方案、评估指标和方法等。
2. 法人金融机构工作组应收集自评估所需各类信息,包括但不限于相关黑白名单、监管趋势与报告、监管部门境内外风险提示、机构内部客户分析、本机构业务制度、异常交易报告等。法人金融机构可聘请第三方专业机构进行评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作。
3. 在第三方专业机构的协助下,自评估工作组应选取科学合理的评估方法,通过书面问卷、现场座谈、抽样调查等形式进行自评估工作。
4. 最终法人金融机构形成书面的自评估报告,经高级管理层审定后上报董事会或其下设的专业委员会审阅,并书面报告有管辖权的人行总行或分支,自评估重点在于发现薄弱环节并提出风险管理建议。
六、自评估结果运用
从《自评估指引》来看,自评估是法人金融机构了解自身风险情况、掌握薄弱环节的重要方式,对此,《自评估指引》对自评估发现的高风险或较高风险情形、原有控制措施有效性不足的情形需采取的措施进行了规定,包括:
1. 根据洗钱风险自评估结论,确定反洗钱工作所需的资源配置和优先顺序,必要时调整经营策略,确保与风险管理相适应;
2. 根据评估发现的控制措施薄弱环节,加强内控制度建设、工作流程优化,完善工作机制,严格内部检查和审计;
3. 针对评估发现的高风险客户类型进行优先处理,采取从严的客户接纳政策或强化的尽职调查,提高对其信息更新的频率,或加强对其的交易监测和限制;
4. 针对评估发现的高风险业务类型采取强化控制措施,在业务准入、交易频率、交易金额等方面设置限制;
5. 调整和优化交易监测指标与名单监控,对评估发现的高风险业务活动,进行更频繁深入的审查;
6. 针对评估发现的问题,进行风险提示;
7. 强化信息系统功能建设,支持洗钱风险管理的需要;
8. 其他能够有效控制风险的措施。
★结语★
《自评估指引》是人民银行首次详细将法人金融机构的风险评估方式、细则、评估后处理方式等进行梳理并具体出台的规定,笔者曾在《解析FFIEC反洗钱检查指导手册更新对合规工作的影响》一文中指出我国缺少类似的有一定指引作用的反洗钱评估与监管规定,本次《自评估指引》及将要出台的新版《金融机构反洗钱和反恐怖融资监督管理办法》很大程度上弥补了这一遗憾。法人金融机构需要深入掌握自评估指引中的要求与精神,因为其规定代表了人民银行对反洗钱合规监管的具体思路。根据《自评估指引》要求,法人金融机构应在2021年12月31日前制定或更新本机构的自评估制度,并在2022年12月31日前完成首次基于新制度的自评估,此外,对于认为本指引不符合该机构情况的,也应在2021年6月30日前向人民银行报告。笔者认为,学习消化《自评估指引》并制定符合本机构情况的自评估制度是需要在了解自身情况的基础上花大量时间开展的一项工作,各个内部机制较为成熟的机构已陆续开展相关准备,对于大量经验不足的机构而言,早日开展相关工作更是刻不容缓。