风险为本下的反洗钱工作介绍课件

风险为本下的反洗钱工作介绍

反洗钱处

二〇一五年十月风险为本下的反洗钱工作介绍二〇一五年十月1目录一、对被监管者：（一）全面做好风险评估工作。（二）以风险评估为基础有效制定合规制度。（三）以风险为导向开展合规工作。二、对监管者：（四）采取风险为本的监管方式。（五）对被监管者实施风险为本方法采取适当的监管措施。目录一、对被监管者：二、对监管者：2（一）全面做好风险评估工作。

有效识别哪些区域或领域更具洗钱威胁、哪些产品或服务类型存在薄弱环节、哪些客户洗钱概率更大，对自身经营业务的风险和危害程度进行判断，进而采取与风险程度相适应的反洗钱措施，优化反洗钱资源配置，有效地预防和化解风险。应涵盖所有的风险领域。应充分全面分析存在的反洗钱风险。同时，应分析机构对洗钱风险防控的有效性。（一）全面做好风险评估工作。有效识别哪些区域或领域更具洗钱31、风险识别首先，应识别风险类别，识别出存在的威胁和薄弱环节。应全面考虑风险因素，如地理位置，机构性质与规模，产品和业务的性质、规模、种类、复杂性、运营模式，目标市场，客户群，高风险客户数，分销渠道，交易的数量和大小，经营国，公司法人治理，财会信息，内审和监管者结论等等。同时，应充分利用内部、外部资源不断补充完善用于评估的信息，信息可来源于相关企业的负责人、客户经理、国家风险评估、政府间国际组织、政府部门、FATF互评估报告、洗钱类型分析研究等。1、风险识别首先，应识别风险类别，识别出存在的威胁和薄弱环4其次，应根据评估需要，确定各类信息的来源及采集方法，收集整合数据。数据主要是与机构交易活动相关，与客户身份识别及客户尽职调查信息相关的数据。数据应达到一定的数量、质量，数据应准确、及时、客观。其次，应根据评估需要，确定各类信息的来源及采集方法，收集整合52、风险评估详细分析收集的数据，精确评估每个风险类别的反洗钱风险。评估风险发生的可能性、可能带来的影响，确定工作重点，采取预防、减缓措施，并确定风险接受程度等。2、风险评估详细分析收集的数据，精确评估每个风险类别的反洗钱6风险评估的方法可使用多种有效的风险评估方法。应结合特定风险状况选取适当的方法，风险评估方法应简洁、条理清晰。风险评估体系应与其属性、规模、业务相匹配，如客户类型单一或产品和服务的范围有限，可采取简单的风险评估体系，反之，则应建立更完善、复杂的评估体系。国内有关研究提议采用矩阵方式评价风险。风险评估的方法可使用多种有效的风险评估方法。7第一种评价方法：洗钱风险=固有风险×内控风险固有风险包括：国家/地域风险、产品/服务风险、客户风险。内控风险主要是指反洗钱内控制度及执行风险。第一种评价方法：洗钱风险=固有风险×内控风险固有风险包括：8第二种评估方法：反洗钱风险=原本风险×管控风险×监管风险。洗钱风险水平受以下四个方面的因素影响：国家经济，所在行业、地域环境；反洗钱内控制度与内部环境；金融产品、服务及客户本身的洗钱风险水平；可疑交易报告的及时性和有效性。第二种评估方法：反洗钱风险=原本风险×管控风险×监管风险。9第三种评价方法：金融机构洗钱风险=国家（地域、行业）风险×控制风险×产品（或客户）风险×交易监测风险。第三种评价方法：金融机构洗钱风险=国家（地域、行业）风险×控10德国的12格矩阵评估法德国运用12格矩阵表示不同的风险等级，对金融机构的风险评估方法为，金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量。金融机构潜在洗钱威胁分为高、中、低三档，包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档，评估结果主要依据金融机构的年度审计报告。德国的12格矩阵评估法德国运用12格矩阵表示不同的风险等级，11风险为本下的反洗钱工作介绍课件12我省的洗钱风险自评估情况介绍多数机构以“5C”风险评估模板作参考进行风险评估，或者自行制定制度。个别外资银行采取评估固定风险、评估管控效率后计算剩余风险的方式评估。个别机构自主研发了模型，采取外部接触规模×内控控制效能的方式计算洗钱风险系数，衡量业务洗钱风险和机构洗钱风险。我省的洗钱风险自评估情况介绍多数机构以“5C”风险评估模板作13剩余风险评估法第一步：从产品/服务、渠道、区域、客户四个方面衡量每个业务部门的固有风险，分别以赋分加权方式计算。第二步：从反洗钱内部结构、制度、措施等方面衡量每个业务部门的内部管控效率，也分别以赋分加权方式计算。第三步：获取每个业务部门剩余风险，评定风险等级，对不同风险等级赋分。第四步：加权汇总剩余风险，得到公司的整体剩余风险。剩余风险评估法第一步：从产品/服务、渠道、区域、客户四个14风险为本下的反洗钱工作介绍课件153、风险分级根据风险评估的结论，查找风险漏洞和薄弱环节，深入分析风险成因及源头。将风险大小进行排序，对风险进行分级，根据风险大小拟定有针对性的风险应对措施，缓释风险，弥补内部控制制度中存在的空白，所有缓解风险的规定、程序、措施、内控等均应和风险评估的结果相匹配。3、风险分级根据风险评估的结论，查找风险漏洞和薄弱环节，深16从程度上看，对较高风险采取强化措施、对较低风险采取简化措施。从时限上看：高风险事项—应立即处理；中风险事项—尽快、适时处理；低风险事项—保持监测。如下图所示：从程度上看，对较高风险采取强化措施、对较低风险采取简化措施。17风险为本下的反洗钱工作介绍课件18同时，应在同一种风险事项中考虑风险处理的优先次序。应向不同的部门沟通反馈风险大小。风险评估应获得高级管理层的认可，并作为制定下一步计划和工作程序的参考。同时，应在同一种风险事项中考虑风险处理的优先次序。19风险评估的频率有效的风险评估必须是动态持续的过程，非一次性的，这样可避免风险评估结果的过时。当出现新情况（例如新产品、新业务，现有产品及服务变更、并购扩张等）、新威胁等影响风险状况的情况下，应充分审核、更新风险评估。一般情况下，国外经验表明，每12个月到18个月定期审核评估一次反洗钱风险为最佳。风险评估的频率有效的风险评估必须是动态持续的过程，非一次性的20（二）以风险评估为基础制定反洗钱合规制度。

建立合理的公司治理制度。应以风险管理为目标，从整体出发，针对规模、结构、复杂性、风险状况量身制定完善内控制度(含制度、政策、程序、流程、系统、监控措施等）。应在规模大、业务复杂的机构制定部门级别的内控制度，应在风险较高的领域或机构制定更加灵活的制度。内控制度应能充分应对风险评估中的自身风险状况，有效处理高风险业务活动，充分管理风险，缓释风险敞口。（二）以风险评估为基础制定反洗钱合规制度。建立合理的公司治21应建立以风险为导向，与自身风险状况相适应的客户尽职调查政策、程序及流程，应制定对客户风险等级变更的政策、程序、流程，对高风险客户进行强化尽职调查的程序和流程。应保证合规制度的连续性。应杜绝出现高风险业务增长过快超过合规制度监控能力的情况。应关注洗钱趋势和手法的变化，据此调整内控制度、业务流程。应根据洗钱形势变化，做好内部风险预警和风险控制。应建立以风险为导向，与自身风险状况相适应的客户尽职调查政策、22（三）以风险为导向有效开展反洗钱合规工作。

1、以风险为导向设置组织机构、人员。

2、以风险为导向开展客户身份识别。3、以风险为导向识别、检索、报送可疑交易报告。

4、以风险为导向开展培训。5、以风险为导向开展独立的反洗钱审计（检查）。

（三）以风险为导向有效开展反洗钱合规工作。1、以风险为导向23以风险为导向设置组织机构、人员应针对风险水平及合规需要，设置足够的反洗钱岗位人员。应招聘/安排正直，具备相应知识和技能的员工从事反洗钱工作。应设立风险合规官，监督、评价全公司风险以及公司用于缓释风险的政策的充分性和有效性。以风险为导向设置组织机构、人员应针对风险水平及合规需要，设置24高级管理层应建立良好的内部沟通过机制，及时有效在内部沟通面临的现有或潜在的风险。高级管理层应根据风险状况制定降低风险的措施，确定机构能接受的风险范畴、配置足够的反洗钱资源。高管人员不仅应知道公司面临的洗钱风险，更应该清楚自身内控体系怎样消除风险。高管人员应有充分/持续、规范/客观的信息来源了解洗钱和恐怖融资风险，了解公司的反洗钱控制政策是否依然有效。高级管理层应建立良好的内部沟通过机制，及时有效在内部沟通面临25以风险为导向开展客户身份识别应建立合理、实用、以风险为导向的客户身份核实程序（文件核实、非文件核实）。

建立审批程序，根据客户风险程度大小，提高审批层次。应在账户开立后的合理期限内核实足够的客户身份信息。

应根据制裁名单对客户或者实际受益人进行筛选比对。

必须对自己的客户群和所提供的产品实施风险评估。应对所有客户实施全面的客户尽职调查，客户尽职调查措施适用于所有情形，没有经过适当的尽职调查，不能与客户建立或终止业务关系。以风险为导向开展客户身份识别应建立合理、实用、以风险为导向的26尽职调查的程度可以根据法规要求和面临的风险适当调整。例如应对高风险客户进行强化尽职调查，对低风险客户可进行简化的尽职调查。

强化尽职调查措施包括：获取更多的客户身份信息，通过多种媒介查询，分析资金和财富来源、客户的交易目的、交易性质，增加业务存续期间的审查频率，报告可疑线索等等。

简化的尽职调查措施包括：获取较少的信息、推迟进行客户身份识别、采取常规性的客户尽职调查、可疑交易监测。尽职调查的程度可以根据法规要求和面临的风险适当调整。例如应对27持续尽职调查

对客户进行持续的事中监测，进一步对客户、产品的属性和业务关系等实施动态了解，随时根据客户行为、产品使用情况、交易金额大小等更新客户风险档案信息，并决定是否采取强化的客户尽职调查措施。客户风险状况发生变动，应重新评估客户风险，调整风险等级，以确定是否建立、继续提供或终止与客户的关系，必要时提交可疑交易报告。持续尽职调查对客户进行持续的事中监测，进一步对客户、产品的28初始尽职调查

识别客户及实际受益人，至少在法定层面核实客户身份。了解客户要求建立业务关系的目的和用途。对高风险的情况必须进行更详细的审查、采集更多的信息。

确保拥有足够的客户信息，保证留存的客户信息最新。对账户和客户进行分类，建立客户风险档案，根据客户职业了解客户的日常交易及可预期交易，评估客户风险，为客户划分风险等级。初始尽职调查识别客户及实际受益人，至少在法定层面核实客户身29以风险为导向识别、检索、报送可疑交易报告。基于整体风险状况和交易量，配备足够多的人员开展可以交易识别、筛查与报告。可疑交易监测应特别关注高风险的产品、业务、客户、区域。可疑交易监测水平由机构的风险评估决定。应在审核高风险客户、产品、服务之后，基于客户的合理的、可预期到的行为，制定系统和筛选标准。系统、筛选标准及其阀值应与风险状况相适应。应定期审核监测系统的运行状态，确保系统能有效识别洗钱和恐怖融资风险，监测的广度和深度应与客户的风险等级相匹配。应紧密根据风险变动，动态优化反洗钱监测系统功能。以风险为导向识别、检索、报送可疑交易报告。基于整体风险状况和30以风险为导向开展培训培训必须与风险状况相当。培训内容应与业务活动、风险状况紧密相关，并根据最近最新要求及时更新，将最新信息反馈给相关员工，培训应覆盖洗钱和恐怖融资的不同方式。培训要有针对性，应专门对特定业务设计，例如培训中关于洗钱行为和可以交易监测及报告的例子，需要依据培训对象量身选定。培训不仅应让员工了解要应履行的义务、应实施的程序，还应使其了解其中的风险及这些风险可能导致的后果。培训应持续进行，保持常规性和相关性，不仅仅是员工招聘时的一次性培训。以风险为导向开展培训培训必须与风险状况相当。31以风险为导向开展独立的反洗钱审计（检查）应基于本机构的风险状况，审核所实施风险评估的合理性。审计人员可从审计（检查）的角度再做风险评估。根据风险状况确定初步的审计（检查）的范围、计划，在此基础上可做适当延伸。评估本机构是否已经充分识别出业务风险，评价反洗钱合规制度的完整性、有效性，是否适当、是否包含所有风险因素，并足以管理、减缓反洗钱风险。应评估反洗钱系统的有效性，可疑监测系统筛选标准的合理性、可疑监测系统的监测能力。以风险为导向开展独立的反洗钱审计（检查）应基于本机构的风险状32应评估可疑交易报告的全过程。应评估培训的充分性、准确性、完整性。应评估反洗钱整改情况等等。以风险为导向，集中于高风险业务活动开展测试。但审计（检查）应着眼与所有的风险因素而不仅仅聚焦于高风险。应合理确定审计（检查）国外通常每12个月-18个月进行一次独立审计（检查），时间间隔应与反洗钱风险状况向适应。德国要求被监管机构必须每年提供一份由专业审计机构出具的反洗钱工作审计报告。应评估可疑交易报告的全过程。应评估培训的充分性、准确性、完整33（四）采取风险为本的监管方式。

开展对国家、区域、产品等洗钱风险的分析和预测，为被监管机构提供风险预警，发布风险提示。应考虑被监管行业面临的风险，包括但不限于管辖区域内的风险评估、国内或国际上出项的风险类型以及监管方法、金融情报机构反馈的信息。（四）采取风险为本的监管方式。

开展对国家、区域、产品等洗钱34建立对被监管机构的反洗钱风险评估制度，研究评估方法，配备评估人员、定期审核被监管行业和机构的洗钱和恐怖融资风险，对机构的反洗钱活动风险状况进行评估，只要被监管机构的情况发生变动或者有新的风险出现，就应重新审核、评估。分类监管，对不同的被监管机构采取灵活的方式，合理分配监管资源。应根据被监管机构风险状况，审核监管是否到位、是否充分，确定或调整审查力度、监管方式、监管力度、持续监管的频率和性质。建立对被监管机构的反洗钱风险评估制度，研究评估方法，配备评估35确保监管资源向风险高的机构倾斜，要求风险高的机构提供更多的信息、对风险高的机构更多以现场检查为主，对风险较低的机构主要采取非现场检查方式，对风险高的机构采取强化监管。时刻根据风险等级情况采用与其范围和等级相适应的监管方式，当发生特殊事件时，应调整监管频率。

确保监管资源向风险高的机构倾斜，要求风险高的机构提供更多的信36应将监管中发现的情况或问题向被监管者传达，应保持与被监管者持续而有效的沟通。应保持监管行为的可预见性、连贯性、均衡性、一致性。

应加强培训，培养与风险为本相称的人才。加强与不同监管部门的协调，确保风险为本的监管协同一致。

可疑交易报告，应注重发挥机构的主观能动性。

应将监管中发现的情况或问题向被监管者传达，应保持与被监管者持37英国以风险为本的监管情况简介现场和非现场监管方式对被监管机构进行风险分类，分为高（inthehighestband)、中(inthesecondband)、低(inthelowerband)三类。根据风险情况配置专业监管资源；具体体现为对被监管者反洗钱系统和内控充分性开展现场评价和非现场评价。

英国以风险为本的监管情况简介现场和非现场监管方式38非现场评价包括对监管统计表、政策和程序、审计报告、一分钟面谈、历史监管走访报告、从外部获取的情报线索等进行分析。现场检查包括与关键岗位人员面谈、对反洗钱控制情况进行测试。非现场评价包括对监管统计表、政策和程序、审计报告、一分钟面谈39监管频率和监管强度将高风险机构纳入系统性反洗钱项目（SAMLP），对该类机构实施最强化的反洗钱监管，包括与关键人员面谈、详细的系统和内控测试等。典型的SAMLP一般持续数月，以每4年为一个周期持续开展。将中风险机构纳入常规性现场检查项目，每2年内开展2-3天的现场检查。监管频率和监管强度40通过特定事件监管、专题复查的形式对低风险机构开展监管。当然，可以对所有的被监管机构开展此类监管。专题复查一般包括对机构的政策和流程的非现场评价，以及到现场开展2到3天详细的测试与面谈，具体根据机构的规模和业务的复杂性而定。特定事件监管强度根据涉嫌违规情况的性质确定。

通过特定事件监管、专题复查的形式对低风险机构开展监管。当然41监管指引金融行为监管局（FCA）基于一系列广泛的金融犯罪案例，发布了监管指引（Regulataryguidance)。指引对被监管机构的金融犯罪系统和内控提出了监管期望。列出了机构可用于测试自身系统和内控充分性问题。列出了在现场监管中发现的做得好的或差的实践案例清单。但该指引不具有强制性。FCA定期更新该指引，以纳入新的发现、在机构中普遍存在的薄弱领域明确监管期望。所有的更改在确定之前都会公开征求意见。监管指引42我国现有反洗钱监管方式考核评级、质询、约见谈话监管走访、风险评估现场检查

我国现有反洗钱监管方式考核评级、质询、约见谈话43（五）对被监管者实施风险为本方法采取适当的监管措施。应发布工作指引，将监管要求清晰地传递给被监管者。要求被监管者以风险为本，建立风险管理流程，对不同风险类别的客户及其业务的身份识别、尽职调查提出明确的监管要求。确保监管者与被监管者双方对风险为本理解一致。（五）对被监管者实施风险为本方法采取适当的监管措施。应发布工44对机构实施风险为本的情况进行监督、管理、指导。实现以法人为单位评价机构内控体系的完整性，判断机构风险为本规定、程序、内控等是否合理，重点关注洗钱风险控制措施的有效性，确保其遵守自身的规定、程序、内控。对忽视风险、应对不利，造成严重后果的机构强化检查、从严处理，体现反洗钱激励机制的公平性。对机构实施风险为本的情况进行监督、管理、指导。实现以法人为单45演讲完毕，谢谢观看！演讲完毕，谢谢观看！46风险为本下的反洗钱工作介绍

反洗钱处

二〇一五年十月风险为本下的反洗钱工作介绍二〇一五年十月47目录一、对被监管者：（一）全面做好风险评估工作。（二）以风险评估为基础有效制定合规制度。（三）以风险为导向开展合规工作。二、对监管者：（四）采取风险为本的监管方式。（五）对被监管者实施风险为本方法采取适当的监管措施。目录一、对被监管者：二、对监管者：48（一）全面做好风险评估工作。

有效识别哪些区域或领域更具洗钱威胁、哪些产品或服务类型存在薄弱环节、哪些客户洗钱概率更大，对自身经营业务的风险和危害程度进行判断，进而采取与风险程度相适应的反洗钱措施，优化反洗钱资源配置，有效地预防和化解风险。应涵盖所有的风险领域。应充分全面分析存在的反洗钱风险。同时，应分析机构对洗钱风险防控的有效性。（一）全面做好风险评估工作。有效识别哪些区域或领域更具洗钱491、风险识别首先，应识别风险类别，识别出存在的威胁和薄弱环节。应全面考虑风险因素，如地理位置，机构性质与规模，产品和业务的性质、规模、种类、复杂性、运营模式，目标市场，客户群，高风险客户数，分销渠道，交易的数量和大小，经营国，公司法人治理，财会信息，内审和监管者结论等等。同时，应充分利用内部、外部资源不断补充完善用于评估的信息，信息可来源于相关企业的负责人、客户经理、国家风险评估、政府间国际组织、政府部门、FATF互评估报告、洗钱类型分析研究等。1、风险识别首先，应识别风险类别，识别出存在的威胁和薄弱环50其次，应根据评估需要，确定各类信息的来源及采集方法，收集整合数据。数据主要是与机构交易活动相关，与客户身份识别及客户尽职调查信息相关的数据。数据应达到一定的数量、质量，数据应准确、及时、客观。其次，应根据评估需要，确定各类信息的来源及采集方法，收集整合512、风险评估详细分析收集的数据，精确评估每个风险类别的反洗钱风险。评估风险发生的可能性、可能带来的影响，确定工作重点，采取预防、减缓措施，并确定风险接受程度等。2、风险评估详细分析收集的数据，精确评估每个风险类别的反洗钱52风险评估的方法可使用多种有效的风险评估方法。应结合特定风险状况选取适当的方法，风险评估方法应简洁、条理清晰。风险评估体系应与其属性、规模、业务相匹配，如客户类型单一或产品和服务的范围有限，可采取简单的风险评估体系，反之，则应建立更完善、复杂的评估体系。国内有关研究提议采用矩阵方式评价风险。风险评估的方法可使用多种有效的风险评估方法。53第一种评价方法：洗钱风险=固有风险×内控风险固有风险包括：国家/地域风险、产品/服务风险、客户风险。内控风险主要是指反洗钱内控制度及执行风险。第一种评价方法：洗钱风险=固有风险×内控风险固有风险包括：54第二种评估方法：反洗钱风险=原本风险×管控风险×监管风险。洗钱风险水平受以下四个方面的因素影响：国家经济，所在行业、地域环境；反洗钱内控制度与内部环境；金融产品、服务及客户本身的洗钱风险水平；可疑交易报告的及时性和有效性。第二种评估方法：反洗钱风险=原本风险×管控风险×监管风险。55第三种评价方法：金融机构洗钱风险=国家（地域、行业）风险×控制风险×产品（或客户）风险×交易监测风险。第三种评价方法：金融机构洗钱风险=国家（地域、行业）风险×控56德国的12格矩阵评估法德国运用12格矩阵表示不同的风险等级，对金融机构的风险评估方法为，金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量。金融机构潜在洗钱威胁分为高、中、低三档，包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档，评估结果主要依据金融机构的年度审计报告。德国的12格矩阵评估法德国运用12格矩阵表示不同的风险等级，57风险为本下的反洗钱工作介绍课件58我省的洗钱风险自评估情况介绍多数机构以“5C”风险评估模板作参考进行风险评估，或者自行制定制度。个别外资银行采取评估固定风险、评估管控效率后计算剩余风险的方式评估。个别机构自主研发了模型，采取外部接触规模×内控控制效能的方式计算洗钱风险系数，衡量业务洗钱风险和机构洗钱风险。我省的洗钱风险自评估情况介绍多数机构以“5C”风险评估模板作59剩余风险评估法第一步：从产品/服务、渠道、区域、客户四个方面衡量每个业务部门的固有风险，分别以赋分加权方式计算。第二步：从反洗钱内部结构、制度、措施等方面衡量每个业务部门的内部管控效率，也分别以赋分加权方式计算。第三步：获取每个业务部门剩余风险，评定风险等级，对不同风险等级赋分。第四步：加权汇总剩余风险，得到公司的整体剩余风险。剩余风险评估法第一步：从产品/服务、渠道、区域、客户四个60风险为本下的反洗钱工作介绍课件613、风险分级根据风险评估的结论，查找风险漏洞和薄弱环节，深入分析风险成因及源头。将风险大小进行排序，对风险进行分级，根据风险大小拟定有针对性的风险应对措施，缓释风险，弥补内部控制制度中存在的空白，所有缓解风险的规定、程序、措施、内控等均应和风险评估的结果相匹配。3、风险分级根据风险评估的结论，查找风险漏洞和薄弱环节，深62从程度上看，对较高风险采取强化措施、对较低风险采取简化措施。从时限上看：高风险事项—应立即处理；中风险事项—尽快、适时处理；低风险事项—保持监测。如下图所示：从程度上看，对较高风险采取强化措施、对较低风险采取简化措施。63风险为本下的反洗钱工作介绍课件64同时，应在同一种风险事项中考虑风险处理的优先次序。应向不同的部门沟通反馈风险大小。风险评估应获得高级管理层的认可，并作为制定下一步计划和工作程序的参考。同时，应在同一种风险事项中考虑风险处理的优先次序。65风险评估的频率有效的风险评估必须是动态持续的过程，非一次性的，这样可避免风险评估结果的过时。当出现新情况（例如新产品、新业务，现有产品及服务变更、并购扩张等）、新威胁等影响风险状况的情况下，应充分审核、更新风险评估。一般情况下，国外经验表明，每12个月到18个月定期审核评估一次反洗钱风险为最佳。风险评估的频率有效的风险评估必须是动态持续的过程，非一次性的66（二）以风险评估为基础制定反洗钱合规制度。

建立合理的公司治理制度。应以风险管理为目标，从整体出发，针对规模、结构、复杂性、风险状况量身制定完善内控制度(含制度、政策、程序、流程、系统、监控措施等）。应在规模大、业务复杂的机构制定部门级别的内控制度，应在风险较高的领域或机构制定更加灵活的制度。内控制度应能充分应对风险评估中的自身风险状况，有效处理高风险业务活动，充分管理风险，缓释风险敞口。（二）以风险评估为基础制定反洗钱合规制度。建立合理的公司治67应建立以风险为导向，与自身风险状况相适应的客户尽职调查政策、程序及流程，应制定对客户风险等级变更的政策、程序、流程，对高风险客户进行强化尽职调查的程序和流程。应保证合规制度的连续性。应杜绝出现高风险业务增长过快超过合规制度监控能力的情况。应关注洗钱趋势和手法的变化，据此调整内控制度、业务流程。应根据洗钱形势变化，做好内部风险预警和风险控制。应建立以风险为导向，与自身风险状况相适应的客户尽职调查政策、68（三）以风险为导向有效开展反洗钱合规工作。

1、以风险为导向设置组织机构、人员。

2、以风险为导向开展客户身份识别。3、以风险为导向识别、检索、报送可疑交易报告。

4、以风险为导向开展培训。5、以风险为导向开展独立的反洗钱审计（检查）。

（三）以风险为导向有效开展反洗钱合规工作。1、以风险为导向69以风险为导向设置组织机构、人员应针对风险水平及合规需要，设置足够的反洗钱岗位人员。应招聘/安排正直，具备相应知识和技能的员工从事反洗钱工作。应设立风险合规官，监督、评价全公司风险以及公司用于缓释风险的政策的充分性和有效性。以风险为导向设置组织机构、人员应针对风险水平及合规需要，设置70高级管理层应建立良好的内部沟通过机制，及时有效在内部沟通面临的现有或潜在的风险。高级管理层应根据风险状况制定降低风险的措施，确定机构能接受的风险范畴、配置足够的反洗钱资源。高管人员不仅应知道公司面临的洗钱风险，更应该清楚自身内控体系怎样消除风险。高管人员应有充分/持续、规范/客观的信息来源了解洗钱和恐怖融资风险，了解公司的反洗钱控制政策是否依然有效。高级管理层应建立良好的内部沟通过机制，及时有效在内部沟通面临71以风险为导向开展客户身份识别应建立合理、实用、以风险为导向的客户身份核实程序（文件核实、非文件核实）。

建立审批程序，根据客户风险程度大小，提高审批层次。应在账户开立后的合理期限内核实足够的客户身份信息。

应根据制裁名单对客户或者实际受益人进行筛选比对。

必须对自己的客户群和所提供的产品实施风险评估。应对所有客户实施全面的客户尽职调查，客户尽职调查措施适用于所有情形，没有经过适当的尽职调查，不能与客户建立或终止业务关系。以风险为导向开展客户身份识别应建立合理、实用、以风险为导向的72尽职调查的程度可以根据法规要求和面临的风险适当调整。例如应对高风险客户进行强化尽职调查，对低风险客户可进行简化的尽职调查。

强化尽职调查措施包括：获取更多的客户身份信息，通过多种媒介查询，分析资金和财富来源、客户的交易目的、交易性质，增加业务存续期间的审查频率，报告可疑线索等等。

简化的尽职调查措施包括：获取较少的信息、推迟进行客户身份识别、采取常规性的客户尽职调查、可疑交易监测。尽职调查的程度可以根据法规要求和面临的风险适当调整。例如应对73持续尽职调查

对客户进行持续的事中监测，进一步对客户、产品的属性和业务关系等实施动态了解，随时根据客户行为、产品使用情况、交易金额大小等更新客户风险档案信息，并决定是否采取强化的客户尽职调查措施。客户风险状况发生变动，应重新评估客户风险，调整风险等级，以确定是否建立、继续提供或终止与客户的关系，必要时提交可疑交易报告。持续尽职调查对客户进行持续的事中监测，进一步对客户、产品的74初始尽职调查

识别客户及实际受益人，至少在法定层面核实客户身份。了解客户要求建立业务关系的目的和用途。对高风险的情况必须进行更详细的审查、采集更多的信息。

确保拥有足够的客户信息，保证留存的客户信息最新。对账户和客户进行分类，建立客户风险档案，根据客户职业了解客户的日常交易及可预期交易，评估客户风险，为客户划分风险等级。初始尽职调查识别客户及实际受益人，至少在法定层面核实客户身75以风险为导向识别、检索、报送可疑交易报告。基于整体风险状况和交易量，配备足够多的人员开展可以交易识别、筛查与报告。可疑交易监测应特别关注高风险的产品、业务、客户、区域。可疑交易监测水平由机构的风险评估决定。应在审核高风险客户、产品、服务之后，基于客户的合理的、可预期到的行为，制定系统和筛选标准。系统、筛选标准及其阀值应与风险状况相适应。应定期审核监测系统的运行状态，确保系统能有效识别洗钱和恐怖融资风险，监测的广度和深度应与客户的风险等级相匹配。应紧密根据风险变动，动态优化反洗钱监测系统功能。以风险为导向识别、检索、报送可疑交易报告。基于整体风险状况和76以风险为导向开展培训培训必须与风险状况相当。培训内容应与业务活动、风险状况紧密相关，并根据最近最新要求及时更新，将最新信息反馈给相关员工，培训应覆盖洗钱和恐怖融资的不同方式。培训要有针对性，应专门对特定业务设计，例如培训中关于洗钱行为和可以交易监测及报告的例子，需要依据培训对象量身选定。培训不仅应让员工了解要应履行的义务、应实施的程序，还应使其了解其中的风险及这些风险可能导致的后果。培训应持续进行，保持常规性和相关性，不仅仅是员工招聘时的一次性培训。以风险为导向开展培训培训必须与风险状况相当。77以风险为导向开展独立的反洗钱审计（检查）应基于本机构的风险状况，审核所实施风险评估的合理性。审计人员可从审计（检查）的角度再做风险评估。根据风险状况确定初步的审计（检查）的范围、计划，在此基础上可做适当延伸。评估本机构是否已经充分识别出业务风险，评价反洗钱合规制度的完整性、有效性，是否适当、是否包含所有风险因素，并足以管理、减缓反洗钱风险。应评估反洗钱系统的有效性，可疑监测系统筛选标准的合理性、可疑监测系统的监测能力。以风险为导向开展独立的反洗钱审计（检查）应基于本机构的风险状78应评估可疑交易报告的全过程。应评估培训的充分性、准确性、完整性。应评估反洗钱整改情况等等。以风险为导向，集中于高风险业务活动开展测试。但审计（检查）应着眼与所有的风险因素而不仅仅聚焦于高风险。应合理确定审计（检查）国外通常每12个月-18个月进行一次独立审计（检查），时间间隔应与反洗钱风险状况向适应。德国要求被监管机构必须每年提供一份由专业审计机构出具的反洗钱工作审计报告。应评估可疑交易报告的全过程。应评估培训的充分性、准确性、完整79（四）采取风险为本的监管方式。

开展对国家、区域、产品等洗钱风险的分析和预测，为被监管机构提供风险预警，发布风险提示。应考虑被监管行业面临的风险，包括但不限于管辖区域内的风险评估、国内或国际上出项的风险类型以及监管方法、金融情报机构反馈的信息。（四）采取风险为本的监管方式。

开展对国家、区域、产品等洗钱80建立对被监管机构的反洗钱风险评估制度，研究评估方法，配备评估人员、定期审核被监管行业和机构的洗钱和恐怖融资风险，对机构的反洗钱活动风险状况进行评估，只要被监管机构的情况发生变动或者有新的风险出现，就应重新审核、评估。分类监管，对不同的被监管机构采取灵活的方式，合理分配监管资源。应根据被监管机构风险状况，审核监管是否到位、是否充分，确定或调整审查力度、监管方式、监管力度、持续监管的频率和性质。建立对被监管机构的反洗钱风险评估制度，研究评估方法，配备评估81确保监管资源向风险高的机构倾斜，要求风险高的机构提供更多的信息、对风险高的机构更多以现场检查为主，对风险较低的机构主要采取非现场检查方式，对风险高的机构采取强化监管。时刻根据风险等级情况采用与其范围和等级相适应的监管方式，当发生特殊事件时，应调整监管频率。