以2008年12月30日中国人民银行颁布的《中国人民银行关于进一步加强金融机构反洗钱工作的通知》为标志，对金融机构反洗钱工作的监管要求逐步从规则为本过渡到风险为本。2018年我国迎来反洗钱金融行动特别工作组[1]（以下简称“FATF”）第四轮反洗钱和反恐怖融资互评估，中国人民银行等反洗钱监管部门（以下简称“监管部门”）先后密集出台了一系列反洗钱规范性文件，要求各类金融机构深入实践风险为本，提高反洗钱和反恐怖融资工作有效性，防范洗 钱和恐怖融资风险（以下简称“洗钱风险”）。与此同时，监管部门也针对部分金融机构反洗钱工作不到位加大了处罚力度。反洗钱合规风险有如悬于各反洗钱义务机构头上的“达摩克利斯之剑”，就如何落实风险为本的反洗钱工作要求成为2018年金融机构合规领域一个热门话题。

尽管监管部门对于基于风险为本的反洗钱工作愈加重视、从金融行业刮起的反洗钱风暴愈演愈烈，但学界对此探讨相对有限。目前金融机构在实务上面临最大的困惑与挑战是，如何将晦涩的风险为本理念和抽象、冗杂的反洗钱规定，落实到日常业务运作中。

有鉴于此，本文首先从介绍风险为本的内涵入手，解析风险为本与反洗钱工作的联系，继而得出开展风险评估是适用风险为本的基础和重要内容的结论。在取得前述理论共识的基础上，结合《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》相关规定，论述在开展洗钱风险评估时，金融机构需要提前落实好的准备工作。最后，本文遵从风险为本的内涵，提出在当前反洗钱风险为本监管要求下，金融机构落实相关反洗钱工作的建议。

一、风险为本的内涵解析

“风险为本”（Risk-based）最早由英国监管机构倡导，英国金融监管局（FSA）在2000年1月制定的《新千年的新监管者》提出这一概念。随后，沃尔夫斯堡集团（Wolfsberg Group）、金融行动特别工作组（FATF）、国际保险监督官协会（IAIS）、国际证券委员会组织（IOSCO）等国际组织积极倡导。经过不断发展，FATF正式于2012年颁布《FATF新40项建议》，详实阐述了FATF第四轮“风险为本”反洗钱监管体系互评估的具体内容和技术名称； 2013年颁布了《FATF新40项国际反洗钱/反恐融资体系合规性与有效性说明》，系统阐述了FATF“风险为本”反洗钱监管互评估的技术要求及规范标准； 2014年颁布了成员国“第四轮互评估报告指导说明”，督促各国成员国不断推动本国“风险为本”反洗钱监管体系构建。这三个文件的正式颁布，基本形成了FATF“风险为本”反洗钱监管指引体系的主体框架。自此，标志“风险为本”监管制度全面取代了FATF于2003年颁布的《反洗钱/反恐怖融资“40+9”项建议》提出的“规则为本”监管制度，“风险为本”反洗钱监管体系成为FATF代表的国际反洗钱监管界的全面确认和开展实施。[1]

《FATF新40项建议》第一条即提出了评估风险与适用风险为本理念的工作要求，“各国应当识别、评估和了解本国的洗钱与恐怖融资风险，并采取相应措施，包括指定某一部门或建立相关机制协调行动以评估风险，配置资源，确保有效降低风险。在风险评估基础上，各国应适应风险为本的方法，确保防范或降低洗钱和恐怖融资风险的措施与已识别出的风险相适应。该方法应当作为在反洗钱与反恐怖融资体制内有效配置资源，实施FATF建议要求的风险为本措施的必要基础。如发现风险较高，各国应确保其反洗钱与反恐怖融资体系能充分解决这些风险。如发现风险较低，各国可以解决在特定情况下，允许对某些FATF建议采取简化的措施。各国应当要求金融机构和特定非金融行业与职业，识别、评估，并采取有效措施降低洗钱与恐怖融资风险。”[2]

按照FATF规定的理解，不少学者对风险为本理念进行了提炼。薛永明认为风险为本是指反洗钱主体在开展反洗钱工作时，通过科学评估不同组织机构、业务、客户和交易等所面临的洗钱风险，决定反洗钱资源的投入方向和比例，通过采取差异化反洗钱措施，确保有限的反洗钱资源能优先投入到高风险领域，提高预防与打击洗钱活动的有效性。[2]严立新、汤俊认为风险为本按照美国“金融犯罪执法网”（FinCEN）的概括，可以简单理解为相关主体应将最多的反洗钱合规资源投入到洗钱风险较高的业务领域。”[3]

二、风险为本与反洗钱工作的联系

通过从上述FATF国际标准和我国国内学术上的讨论可看出，风险为本的要求的实质是要求相关主体从风险管理的角度来开展反洗钱工作。从反洗钱实施主体看，风险为本包含对监管部门和金融机构两个层面的含义，对于监管部门而言，风险为本指监管部门应科学合理地识别、评估被监管单位所面临的洗钱和恐怖融资风险，根据评估结果，合理配置监管资源，对被监管单位实施与之风险相称的监管措施；对于作为被监管单位的金融机构而言，其应识别、评估和管理自身面临的洗钱和恐怖融资风险，查找风险漏洞和薄弱环节，并按照风险程度采取差异化控制措施。

无论是监管部门还是金融机构，适用风险为本的逻辑是首先要准确地识别和评估风险，再根据风险评估的结果，采取相应的措施，防范和降低风险，从而实现对洗钱风险的有效管理。其中，风险的识别和评估是适用风险为本的基础和重要内容。对金融机构而言，落实风险为本的反洗钱工作要求首先要准确地识别和评估业务或客户存在的风险，根据风险评估结果采取相应措施，进而管控、降低和防范和降低风险。识别和评估风险评估是适用风险为本方法的基础和重要内容。

必须说明的是，反洗钱工作要求逐步从规则为本过渡到风险为本，但规则为本和风险为本并非是对立的。规则为本通过对规则的制定与执行实现合规管理。风险为本则以风险为核心，通过评估面临洗钱风险，依据风险程度制定或严格或宽松的防范措施，从而实现风险管理。规则为本和风险为本的关系，是层次递进的关系。反洗钱工作要求过渡到风险为本，并不意味着放弃规则为本的合规要求，而是要求金融机构在内部反洗钱组织架构、内控制度和操作流程等基本达到合规要求后，将着力点放在洗钱风险的管理上，注重对风险的识别、评估和控制，依据风险的大小合理配置反洗钱资源，采取有针对性的风险控制措施。

三、适用风险为本开展洗钱风险评估的难点

随着反洗钱监管规定的不断完善，风险为本在我国反洗钱立法系统中的地位逐渐提升并进一步巩固、深化，而风险评估是实施风险为本的前提和重要内容，监管部门相继印发了《法人金融机构反洗钱分类评级管理办法（试行）》、《法人金融机构洗钱和恐怖融资风险管理指引（试行）》、《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》、《法人金融机构洗钱和恐怖融资风险评估管理办法》（以下简称“《风险评估管理办法）”）等多个关于落实和实施风险为本反洗钱监管、引导金融机构识别、评估和管理洗钱风险的规范性指引性文件，并要求金融机构“应当建立洗钱风险评估制度，对本机构内外部洗钱风险进行分析研判，评估本机构风险控制机制的有效性，查找风险漏洞和薄弱环节，有效运用评估结果，合理配置反洗钱资源，采取有针对性的风险控制措施。”[3]

鉴于目前金融机构可能尚未建立或洗钱风险评估制度不够完善，而监管部门将按照2018年12月印发的《风险评估管理办法》，对金融机构进行洗钱风险评估，从而确定对金融机构实施监管措施的强度和频率。因此下文将结合《洗钱风险评估办法》的规定，讨论在开展风险评估可能之前，金融机构可能需要提前解决的反洗钱工作要求。从而使金融机构在风险评估基础上，有效运用风险为本的反洗钱工作方法，提前查找风险漏洞和薄弱环节，确保目前防范或降低洗钱风险措施与已识别出的风险相适应。

（一）风险评估的分析框架

根据《洗钱风险评估管理办法》，金融机构洗钱风险状况通过评估固有风险和控制措施有效性进行反映，其分析框架是对金融机构面临的洗钱固有风险和控制有效性进行评估，继而确定剩余风险。具体的内容与指标如下：

1、固有风险评估

评估固有风险，即评估在没有任何有效性控制措施的情况下，存在洗钱漏洞的可能性。固有风险的评估内容包括经营环境与规模、客户风险、业务（含产品、服务，以及交付渠道）风险。

经营环境与规模中的评估指标包括但不限于：(1)在高风险国家（地区）设立分支机构情况；(2)在高风险国家（地区）分支机构经营情况；(3)辖属分支机构数量及地域分布；(4)涉及高风险国家（地区）交易情况；(5)金融机构经营规模等。

客户风险的评估指标包括但不限于：(1)特定风险类型客户（如，较高风险客户、非居民、代理行、境外非政府组织代表机构、高净值客户、政治公众人物）；(2)使用不可核查证件开户的客户；(3)职业不明确的客户；(4)存在同一控制人风险的客户；(5)高风险职业、高风险行业的客户；(6)依托第三方建立业务关系的客户；(7)非柜面方式开户的客户；(8)委托金融机构以外第三方识别身份的客户；(9)来自高风险国家（地区）的客户；(10)被有权机关调查的客户等。

业务风险的评估指标包括但不限于：(1)高风险业务/产品情况；(2)现金交易情况；(3)一次性交易情况；(4)非面对面交易情况；(5)代理交易情况；(6)跨境汇款业务情况；(7)贸易金融交易情况；(8)代理行业务情况；(9)私人银行业务情况；(10)特约商户业务情况；(11)单客户多银行资金划转业务；(12)通道类资产管理业务；(13)场外交易；(14)大宗交易；(15)新三板协议转让业务；(16)场外衍生品业务；(17)保单贷款业务等。

最后，按照经营环境与规模、客户风险和业务风险各项评估指标的综合指标权重和综合指标分值，加权计算相应的指标得分。

2、控制有效性评估

评估有效性控制措施，即评估金融机构内部在管控措施的设计面与落实面，是否能够有效的管理洗钱风险。控制有效性评估重点关注金融机构洗钱风险管理策略与环境和内部控制措施。

洗钱风险管理策略的评估指标包括但不限于：(1)风控策略(风控目标制定、风控体系建设）；(2)制度体系（制度建立、制度更新、制度约束）；(3)组织架构（董事会、监事会和高级管理层履职、机构和岗位设置、分支机构及控股子公司的合规管理）；(4)文化与沟通（合规文化与风控意识、沟通）等。

洗钱风险内部控制措施的评估指标包括但不限于：(1)风险识别与评估（客户风险评估、产品和业务风险评估、机构风险评估）；(2)风险控制措施（客户身份识别和风险等级划分、客户身份资料与交易记录保存、大额交易和可疑交易报告、涉恐名单监控、技术系统支持、高风险客户管理、高风险产品和高风险业务管理、内部审计和检查）等。

最后，按照洗钱风险管理策略、内部控制措施各项评估指标的综合指标权重和综合指标分值，加权计算出相应的指标得分。

3、评估剩余风险

评估剩余风险，即上述识别固有风险在本金融机构目前所实施之有效性控制措施下，仍然面临的洗钱风险程度，为剩余风险。金融机构在计算出上述固有风险和控制措施有效性总分，确定剩余风险。

（二）风险评估的难点

运用上述风险评估指标计算并评估金融机构面临的洗钱风险的首要前提，需要理解并确定各项风险评估指标。但同时存在有些指标是需要金融机构自主确定，比如：《洗钱风险评估管理办法》附件1《法人金融机构固有风险评估表》（银行机构适用）中的高风险职业是指法人金融机构自主评定为“高风险”职业，高风险行业是指法人金融机构自主评定为“高风险”行业，高风险产品是指法人金融机构根据产品洗钱风险管理经验，自主评定为“高风险”的产品/业务/服务。

但是目前对金融机构要如何自主评定，哪些职业、行业的客户是“高风险”以及哪些产品、业务或者服务是“高风险”等问题尚未有统一和权威的标准。《洗钱风险评估管理办法》附件2《控制措施有效性评估表》要求针对高风险客户采取加强型识别和控制措施、客户办理高风险业务时要采取强化识别措施，而目前实务中对于何种程度的识别控制措施才可称之为“加强型”尚未有明确的衡量尺度。

风险为本的反洗钱工作方法要求通过识别和评估风险，根据风险情况采取相应的控制措施，《洗钱风险评估管理办法（试行）》颁布后，中国人民银行可根据该办法对金融机构整体面临的洗钱风险状况予以识别、评估，从而确定监管的强度和效率。这种对于机构整体的洗钱风险评估和控制，又进一步的拆分为客户和业务的风险评估和控制。而对于客户和业务的风险评估和控制，又依赖于金融机构的自主评定与管理。因此，如何对客户和产品、业务进行风险识别和评估，并根据风险情况制定相应控制性措施是金融机构目前需要解决的首要工作。

四、风险为本下金融机构落实反洗工作要求建议

（一）制定或完善客户和业务/产品洗钱风险评估办法

1、制定或完善客户洗钱风险评估办法，细化评估指标对所服务的客户进行洗钱风险评估。

金融机构参照《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》以及FATF建议等反洗钱国际标准的相关规定，对其所服务的客户进行洗钱风险评估，从而为评估客户的固有风险提供基础。在覆盖客户特性、地域、业务和行业等基本要素的基础上，结合本行客户或业务的行业特点、业务类型、经营规模、客户范围等实际情况，分解深化与本行业务特征相匹配的客户洗钱风险子项评估标准；扩大客户洗钱风险定量分析方法适用范围，在定性分析的基础上，工具化、规范化和标准化开展洗钱风险评估，动态、分类准确评价客户洗钱风险等级。

2、制定或完善业务/产品洗钱风险评估办法，对所开展的产品（或服务）进行洗钱风险评估，为评估业务/产品的固有风险提供基础。

《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》客户风险子项之一是业务（含金融产品、金融服务）风险子项，该指引要求金融机构应当对各项金融业务的洗钱风险进行评估，制定高风险业务列表，并对该表进行定期评估、动态调整，风险子项包括但不限于与现金的关联程度、非面对面交易、跨境交易、特殊类型的交易频率。尽管对各项业务的洗钱风险有评估的法规要求，但是关于业务的洗钱风险评估，我国监管部门目前没有专门的指引性文件可供参考。但有地方监管部门颁布相关文件对金融机构进行业务风险评估予以指引，中国人民银行南京分行办公室于2017年8月21日印发《江苏省法人金融机构洗钱风险自评估指引（暂行）》（南银办[2017]199号）分别列举了银行业金融机构、保险业金融机构、证券期货业金融机构在评估产品（或服务）时的考虑因素，各金融机构在制定内部的产品（或服务）洗钱风险评估办法也可以参考适用，结合自身实际情况，分解出某一基本要素所蕴含的风险子项，合理增加或减少风险评估指标。

（二）梳理直接确定为高风险客户和业务/产品的情形

高风险客户或高风险业务不能毫无依据或者拍脑袋决定，除了通过严谨的洗钱风险评估办法准确识别、评估出高风险业务和客户之外，FATF及其我国反洗钱监管部门制定的不少指引零散的规定了无需逐一进行风险评估，金融机构可以直接确定其风险等级为最高。

1、直接认定为高风险客户的情形

目前，直接认定为高风险客户的情形散见于《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《中国人民银行关于金融机构在跨境业务合作中加强反洗钱工作的通知》等反洗钱规范性文件中。比如，《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》可直接将其风险等级确定为最高的情形有：客户被列入我国发布或承认的应实施反洗钱监控措施的名单；客户为外国政要或其亲属、关系密切人；客户实际控制人或实际受益人属前两项所述人员；客户多次涉及可疑交易报告；客户拒绝金融机构依法开展的客户尽职调查工作。《中国人民银行关于金融机构在跨境业务合作中加强反洗钱工作的通知》，经营机构为提供货币兑换、跨境汇款等资金(价值)转移服务以及经营网络支付、手机支付、预付卡、信用卡收单等非金融支付业务的境外非金融机构提供金融服务或与其开展业务合作时，直接将其列入高风险客户。

2、直接认定为高风险业务/产品的情形

《法人金融机构洗钱和恐怖融资风险管理指引（试行）》举例高风险业务包括建立账户代理行关系、提供资金或价值转移服务、办理电汇业务等。《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》规定了现金业务、非面对面交易、代理交易、频繁异常交易等情况具有洗钱风险。

囿于本文篇幅有限，不再赘述可以直接确定为高风险客户和业务/产品的相关规定。需说明的是，金融机构应在梳理可以直接确定为高风险的前提下，有效识别本机构的高风险客户，避免出现遗漏本机构高风险客户或业务的情形出现，同时高风险业务列表制作不应当只是照搬目前规范性文件要求的所有高风险业务类型，需要结合本机构所开展业务类型以及本机构客户的实际情况、以及风险评估出来的实际情况予以相应删减或增加，建立并维护业务类型清单和客户种类清单，从而为采取后续差异化管控措施奠定基础。

（三）采取差异化管控措施

在经过严密评估风险后，需要根据风险高低，制定有针对性的差异控制性措施，以提升洗钱风险控制能力，从而有效控制或缓释该风险。从客户层面来说，各金融机构应当依据客户的风险程度，适用差异化的管控措施。管控措施并非专属高风险客户或高风险业务，低风险的客户也可以采用简化型的管控措施。

1、管控措施的梳理

反洗钱规范性文件中零散的列举了不少的管控措施。比如针对高风险客户，《法人金融机构洗钱和恐怖融资风险管理指引（试行）》指出，金融机构应当在客户身份识别要求的基础上采取强化措施，包括但不限于进一步获取客户及其受益所有人身份信息，适当提高信息的收集或更新频率，深入了解客户经营活动状况、财产或资金来源，询问与核实交易的目的和动机，适度提高交易监测的频率及强度，提高审批层级等，并加强对其金融交易活动的跟踪监测和分析排查。

在实务中，对于较低风险客户采取相应的简化措施可能有：降低客户身份信息更新频率；降低持续性监控等级，并以合理的金额作为审查交易的基础；从交易类型或已建立业务往来关系可推断其目的及性质，不用再针对了解业务往来关系目的及其性质，搜集特定信息或执行特别措施。

对于高风险业务（产品）逐项制定针对性的控制措施，包括严格规范开展高风险业务（产品）的审批程序；加强对开展高风险业务（产品）客户身份尽职调查、适度提高交易监测的频率及强度等。

上述举例的管控措施并非强制性规范，只是指引性列举，金融机构也可以结合自身业务或客户的特点，根据识别出的风险程度，制定相关的管控措施。

2、管控措施的适用

将冗杂零散规定的管控措施从客户和业务两个层面予以归纳整理之后，需要解决如何适用管控措施的问题，也即如何融入其日常业务中，这也是当前金融机构面临的最大挑战。金融机构按照反洗钱法律法规和监管要求所采取的客户身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告等措施是满足反洗钱合规性要求的最低标准。为落实风险为本工作方法，金融机构应在此基础上，采取更有针对性、更严格、更有效的措施。

囿于篇幅有限，以客户身份识别中的管控措施适用为例展开讨论。落实客户身份识别义务包括新客户准入身份识别和存量客户持续性的身份识别两大块。新客户准入时的身份识别在实务中包括客户身份识别、客户风险等级划分、加强客户身份识别以及客户准入审批，存量客户持续身份识别在实务中包括客户身份信息识别、持续交易监控以及客户风险等级调整和客户关系终止。在深入风险为本工作方法的要求下，针对不同风险类型的客户，要求在识别新客户身份时所收集客户信息深度、广度有所差异，准入新客户审批的管理层层级也加以区分；对存量客户进行持续身份信息识别的深度、交易跟踪监测的频率也会根据客户风险等级的不同而予以明显区别对待，从而实现对洗钱风险管理的有效性。以定期审核客户基本信息为例，《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》要求金融机构根据客户风险等级，定期审核客户基本信息。风险等级最高的客户至少每半年进行一次审核，低一层级客户的审核期限不得超出上一级客户审核期限时长的两倍。各金融机构在制定本机构内部的客户风险识别操作规范时，则需要根据客户风险等级设置情况，依次细化定期审核时长，比如在设置为高、中、低风险时，高风险客户半年一次审核，中、低风险一年一次审核（或者中风险客户一年一次审核，低风险客户两年一次审核）。

参考文献

[1] 王延伟.国际“风险为本”反洗钱监管体系评估研究[D].西南交通大学,2018.

[2] 薛永明.基于风险为本的商业银行客户身份识别工作初探[J].国际金融,2017(12):20-24.

[3] 严立新,汤俊.从合规为本到风险为本:第三方支付行业反洗钱监管原则的必然要求[J].上海金融,2011(06):45-48.

[1] 反洗钱金融行动特别工作组 (Financial Action Task Force on Money Laundering) 是西方七国为专门研究洗钱的危害、预防洗钱并协调反洗钱国际行动而于1989年在巴黎成立的政府间国际组织，是目前世界上最具影响力的国际反洗钱和反恐融资领域最具权威性的国际组织之一，FATF 的主要任务是制定国际标准，促进有关法律、监管、行政措施的有效实施，以打击洗钱、恐怖融资、大规模杀伤性武器扩散融资（扩散融资）等危害国际金融体系的活动。FATF 还与其他国际利益相关方密切合作，识别国家层面的薄弱环节，保护国际金融体系免遭滥用。

我国于2005年1月被授予观察员资格，2007年6月在接受了FATF第三轮互评估后，正式成为FATF成员国。此后的五年中，我国不断完善反洗钱与反恐怖融资体系和制度，先后向FATF提交了8份改进情况报告，最终于2012年获得FATF全会认可，顺利结束第三轮互评估程序，成为第13个全面达到FATF第三轮互评估标准的成员国。

[2] 《FATF新40项建议》A.反洗钱与反恐怖融资的政策和协调1.评估风险与适用风险为本的方法。http://www.fatfgafi.org/publications/fatfrecommendations/?hf=10&b=0&s=desc(fatf_releasedate)

[3] 《关于印发<法人金融机构洗钱和恐怖融资风险管理指引（试行）>的通知》（银反洗发〔2018〕19号）第三十二条。