观点 I 金融机构洗钱与恐怖融资风险自评估思路和方法探析

本文结合反洗钱工作实践，指出了开展自评估应遵守的原则，给出了自评估的两种思路，提出了自评估的基本单位是“业务条线”，点出了自评估如何组织和有效应用，并以贸易融资业务中的信用证产品为例，说明如何开展自评估。

经梳理反洗钱监管部门颁布的监管文件，主要有以下三个文件对自评估提出了要求： 

一是《金融机构反洗钱监督管理办法（试行）》（银发﹝2014﹞344号印发）第三十七条规定，“法人金融机构应当建立风险自评估制度，按照风险为本原则，定期对本机构内外部洗钱风险进行分析研判，评估本机构风险防控机制的有效性，查找风险漏洞和薄弱环节，采取有针对性的风险应对措施。金融机构应当及时向中国人民银行或其分支机构报告风险自评估结果和资料。”

二是《法人金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发﹝2018﹞19号印发）第四章风险管理政策和程序--方法，要求金融机构建立风险评估制度，定期或不定期开展洗钱风险评估，采取定性和定量分析相结合的方法，从国家或地域、客户及业务等维度进行综合考虑，确定风险因素，设定风险评估指标等。

三是《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》（银反洗发﹝2018﹞21号印发）第十七条规定，“中国人民银行及分支机构应当督导法人金融机构加强洗钱和恐怖融资风险管理，建立和完善相关工作机制，定期或不定期开展全系统或特定领域的洗钱和恐怖融资风险自评估，采取针对性的风险控制措施。”

上述文件中，《金融机构反洗钱监督管理办法（试行）》只是对开展自评估提出了要求；《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》是从监管方角度提出的一种“风险为本”的监管方法；《法人金融机构洗钱和恐怖融资风险管理指引（试行）》对如何开展自评估做出了原则性规定。

金融机构开展自评估应贯彻既全面又相关的原则。一是自评估应当覆盖本机构全部客户、交易、业务、产品、服务和渠道，且上述客户、交易、业务、产品、服务和渠道应与本机构洗钱风险管理具有相关性，不具有相关性的不纳入自评估范围。例如，为客户办理信用卡提供的赠品不用纳入自评估的范围；二是自评估应当覆盖所有境内外与洗钱风险管理相关的分支机构或附属机构，否则不必纳入。例如，境外只是为总部搜集金融信息，不提供金融服务的分支机构不必纳入自评估范围。另外，如果金融机构不是附属公司（机构）的控制人，或附属公司（机构）不属于监管部门纳入反洗钱监管范围的行业，也不必将此类附属公司（机构）纳入自评估的范围；三是自评估应当覆盖各项与洗钱风险管理相关的业务活动和管理流程，贯穿决策、执行和监督的全过程。例如，金融机构采购自身的办公设备等业务活动，不必纳入自评估范围。

金融机构开展自评估过程中，应遵守统一与一致性原则。一是金融机构纳入自评估范围的各分支机构、业务部门、附属机构应有统一的风险偏好。即使某个别分支机构、业务条线、附属机构选择了高于金融机构的统一的风险偏好，那么金融机构应降低其他分支机构、业务条线、附属机构的风险偏好，在总体上仍旧要达到金融机构统一的风险偏好；二是金融机构同一金融产品或业务自评估指标应有统一性，或者不同附属机构的评估指标的核心“精神”有统一性；三是自评估组织管理工作应有统一性。例如，自评估组织和管理部门、自评估的周期节点、自评估的业务数据提取的时间段等。

金融机构虽然可以自由选择自评估的方法和确定权重的方法，但是前后年不应跳动很大，尽量保持一致性。除非金融机构有重大的经营调整或外部环境发生较大变化。另外对同一类客户、同一类金融产品或服务，主观打分判断也应有一致性。

自评估不是一劳永逸的工作，是一个持续的、动态管理的过程。另外，自评估方法和指标应当随着内外部风险环境的变化而及时调整。但此过程中，金融机构应确保评估方法和指标的科学性，即，金融机构改变评估方法和指标更能真实的揭示本机构的固有风险和控制措施有效性，否则是不科学的，不能为了“调整而调整”。另外，金融机构应当根据内外部风险事件，定期或不定期进行自评估。

自评估的基本思路是，通过评估本机构的固有风险和控制措施有效性，得到本机构的剩余风险。 

固有风险和控制措施有效性的计算通常运用权重法，以定性分析与定量分析相结合的方式来计量风险或评估等级；剩余风险的确定通常使用矩阵法。需要注意的是，自评估过程必须以书面或电子方式清晰留痕，以便使自评估可逆、可追溯、可检查、可审计。

（1）固有风险评估：一般以定量评估为主，定性方法相结合。

用数据统计来定量分析固有风险因素，包括高风险客户数量、可疑交易量和交易金额、客户/交易活动的地理位置等。

部分固有风险因素应结合定性评估方法，例如产品或服务特点，需要定性分析后赋予其一定的分数。

（2）控制措施有效性评估：一般以定性评估为主，辅以定量分析。

（3）剩余风险评估：剩余风险=固有风险-控制措施有效性

剩余风险评估示例：

笔者结合反洗钱工作实践，推荐下面两种自评估方法。自评估方法是见仁见智，不必拘泥于一格，不同金融机构应根据本机构的实际情况斟酌选择，但是选用的方法应遵循客观、有效的原则，尽量选用能充分揭示本机构实际风险分布的方法。

逐层分析法是指按照“产品/服务→业务条线→金融机构”的逻辑，以最底层产品/服务为基础，微观层面评定固有风险、控制措施有效性，评估剩余风险，并按照相应权重，逐层向上加权，最终得到金融机构固有风险、控制措施有效性和剩余风险。具体来说：

（1）评估具体产品和服务的固有风险、控制措施有效性，得到剩余风险。

（2）根据产品和服务相应权重，计算某个业务条线的固有风险、控制措施有效性和剩余风险。

（3）根据各业务条线的权重，计算金融机构整体（此处暂不考虑附属机构）的固有风险、控制措施有效性和剩余风险。

在此金融机构需要注意的：

一是本机构所处地理位置，或在高风险国家（地区）设立境外分支机构等情况属于金融机构整体的固有风险因素，在评估具体产品和服务固有风险的时候，需要考虑这类因素对单个产品和服务固有风险的影响。

二是制度体系、组织架构和洗钱风险管理文化的建设情况、洗钱风险管理策略等方面属于金融机构整体层面的控制措施有效性的影响因素，在评估具体产品和服务控制措施有效性的时候，需要考虑该因素对单个产品/服务控制措施有效性的影响。

三是逐层分析法下，关注的是微观层面评估固有风险和控制措施有效性，也就是固有风险和控制措施有效性都下沉到具体产品和服务进行评估。最终判断金融机构整体的剩余风险时，不需要纠结应该将每一层级的剩余风险逐层加权最终得到整体剩余风险，还是逐层加权固有风险和控制措施有效性，最终整体评估有效风险。因为这两种方式得出的结果是一致的。

以简化的两层结构举例，推导如下：

整体固有风险 X=a1X1+a2X2+⋯⋯+anXn

整体控制措施有效性Y=a₁Y₁+a₂Y₂+……+a_nY_n

整体剩余风险R=a₁R₁+a₂R₂+……+a_nR_n=a₁（X₁ -Y₁）+a₂（X₂ -Y₂）+……+a_n（X_n -Y_n）=（a₁X₁+a₂X₂+……+a_nX_n）-（a₁Y₁+a₂Y₂+……+a_nY_n）=X-Y

整体分析法和监管方的金融机构洗钱和恐怖融资风险评估有类似之处。固有风险评估可参照逐层分析法，或直接参照监管方的金融机构洗钱和恐怖融资固有风险评估方法。但是控制措施有效性评估并不逐层加权评估，而是在金融机构整体的宏观层面评估得出结果。整体层面的剩余风险由整体固有风险和整体控制措施有效性综合后评估得出。

如果逐层分析法控制措施有效性的评估满足以下条件：

采取上述措施后，在季度、半年或年底等时间节点上，观察各风险指标的变化情况，再根据结果，动态适度调整控制措施的强度。

本文写作的动机来源于一次监管方内部的培训授课。反洗钱现场检查前，检查人员需要通过审核被查机构的自评估报告，或发起一次简化的风险评估，根据审核或评估的结果确定现场检查的重点范围，确定检查时间，选择检查程序等。检查人员想要高质量的完成这些检查准备工作，如何审核被查机构的自评估报告，或如何发起一次简化的风险评估成为“重中之重”。在此过程中，了解和掌握自评估的方法和过程是检查人员必备的知识，否则在审核或评估时会遇到一些BUG，从而影响现场检查准备工作。

同时笔者在监管中发现，很多金融机构反洗钱从业者，对如何开展自评估还有很多困惑或疑问，有些第三方机构做出的自评估也是“五花八门”。在此，笔者根据自己的监管实务和经验，写作了本文，本文定位在“抛砖引玉”，希望为自评估贡献一份微薄的力量。笔者在此强调的是，本文仅代表本人个人观点，与各方无关，请谨慎参考使用。

鉴于本人的专业能力和对贸易融资条线业务知识了解和掌握有限，文中不当之处欢迎各路大咖批评指正。

       本期作者：刘丽洪 中国人民银行营业管理部
       文章来源：道琼斯风险合规（微信公众号）