《法人金融机构洗钱和恐怖融资风险自评估指引》（银反洗发〔2021〕1号，以下称“《1号文》”或“自评估新规”）出台后，金融机构为确保能按期向监管机构报告洗钱风险自评估成果，正自行或委托第三方专业机构（如律师事务所、咨询机构等）协助建立或修订洗钱风险自评估制度，组织开展基于《1号文》的洗钱风险自评估工作，洗钱风险自评估工作已位列各法人金融机构反洗钱工作计划的“重要且紧急”象限。

2021年6月1日，中国人民银行发布通知，就《中华人民共和国反洗钱法（修订草案公开征求意见稿）》（以下称：“《反洗钱法修订草案》”）公开征求意见。根据该《反洗钱法修订草案》的规定，金融机构应当评估其洗钱风险状况并制定相应的风险管理措施，未根据其经营规模和洗钱风险状况配备相应人力资源、未评估风险状况并制定相适应的风险管理措施的，将视具体情节承担责令限期改正、警告、处二十万元以上二百万元以下罚款、限制或禁止其开展相关业务等法律责任。根据前述规定，评估洗钱风险状况并制定相适应的风险管理措施将成为金融机构的反洗钱法定义务之一，这将填补我国反洗钱法律体系中关于洗钱风险自评估机制的空白。

反洗钱风险为本的方法强调：识别、评估洗钱和恐怖融资风险（以下称“洗钱风险”）是洗钱风险管理的基础，也是理解面临的洗钱威胁并评估采取针对性措施的重要前提条件；近年来，金融机构的洗钱风险管理工作日益受到监管部门的重视，根据中国人民银行于2021年4月修订并公布的《金融机构反洗钱和反恐怖融资监督管理办法》（中国人民银行令〔2021〕第3号），金融机构开展洗钱风险自评估的要求已被提至部门规章位阶。

借此《反洗钱法修订草案》发布的契机，本文拟结合《1号文》相关规定与笔者团队在实务中的相关实践经验，浅谈对金融机构洗钱风险自评估工作的几点思考与总结。

（一） 洗钱风险自评估的概念

洗钱风险自评估，指的是义务机构对本机构开展的洗钱风险评估；其内涵是义务机构采取适当步骤识别和评估其面临的洗钱和恐怖融资风险（关于客户、国家或地域，以及产品、服务、交易或交付渠道）[1]。正如上文前言部分所述，洗钱风险评估是有效的洗钱风险管理的基础，我国现阶段已形成了区域洗钱风险评估、中国人民银行对义务机构风险评估、义务机构风险自评估的洗钱风险评估机制。洗钱风险自评估工作的主要流程包括建立洗钱风险自评估制度，按照风险为本原则，定期和不定期对内外部洗钱风险进行分析研判，评估风险防控机制的有效性，查找风险漏洞和薄弱环节，并采取有针对性的风险应对措施。

金融机构应开展洗钱风险自评估工作，是一项源自反洗钱监管规范性文件的合规义务，也是反洗钱合规管理活动的一项重要内容。洗钱风险自评估作为风险为本方法的基础，其评估结果是采取或应用其他反洗钱合规管理措施的前提；随着“风险为本”的反洗钱工作的推进，洗钱风险自评估工作也愈发受到监管部门和金融机构的重视，根据现行的反洗钱监管规定，将洗钱风险自评估的评估结果运用于制定或持续调整、完善经高级管理层批准的洗钱风险管理政策、控制措施和程序，已被规定为金融机构的合规义务。此外，根据《反洗钱法修订草案》的规定，评估风险状况并制定相适应的风险管理措施将成为一项源自法律规定的合规义务，如违反则须承担法律责任。

（二）洗钱风险自评估相关政策发展概况

以中国人民银行2014年下发的《金融机构反洗钱监督管理办法（试行）》（银发〔2014〕344号）为标志，洗钱风险自评估首次被明确规定于国务院部门规范性文件层级的文件中。

但上述《金融机构反洗钱监督管理办法（试行）》及其后的《中国人民银行办公厅关于落实<金融机构反洗钱监督管理办法(试行)>有关事项的通知》（银办发〔2014〕263号）、《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》（以下称“《三反意见》”）》等规定中，均未就洗钱风险自评估作出体系化的规定，直至中国人民银行反洗钱局于2018年9月30日印发的《法人金融机构洗钱和恐怖融资风险管理指引》（银反洗发〔2018〕19号，以下称“《19号文》”），才首次在监管规范性文件层面规定洗钱风险评估的制度框架体系，为金融机构建立洗钱风险评估制度提供了较为原则性的指引。[2]根据该《19号文》的规定，金融机构应当建立洗钱风险评估制度，对本机构洗钱风险进行持续识别、审慎评估、有效控制及全程管理，有效防范洗钱风险；《19号文》还指出，法人金融机构设置风险评估指标应当从国家/地域、客户及业务（含产品、服务）等维度进行综合考虑，确立风险因素，设置风险评估指标，并给出了应当考虑的风险因素。

（三）法人金融机构自评估新规

2021年1月25日，中国人民银行在其官网发布《1号文》，旨在指导法人金融机构落实有关洗钱和恐怖融资风险自评估工作要求，加快反洗钱工作由“规则为本”转向“风险为本”，提升金融机构反洗钱工作的有效性。《1号文》对标国际标准[3]，从法人金融机构角度，围绕总体要求、评估内容、流程和方法、结果运用和管理等方面，为法人金融机构开展洗钱风险自评估提供一套体系化的指引；《1号文》还改变了《19号文》提出的应考虑的风险因素。

根据《1号文》的规定，洗钱风险自评估的评估内容包括固有风险评估、控制措施有效性评估和剩余风险评估；其评估步骤是先评估出固有风险等级和控制措施有效性等级，通过固有风险与控制措施有效性二维矩阵方式对照计量机构剩余风险等级，可将其归纳下文图所示。值得注意的是，虽然《1号文》对自评估新规提供了较为完整的评估方法论，但在落地实施评估指标体系和评分标准方面，金融机构仍面临巨大的挑战，因为《1号文》仅提供方向性内容，金融机构须结合自身实际情况制定自评估制度，并研究确定完整的指标体系和评分标准。此外，金融机构在落实自评估制度、评估指标体系和评估标准时，应注意落实自评估新规要求考虑的各因素，并留存好决定不适用某项指标的工作记录。

表1：洗钱风险评估方法论

表2：固有风险与控制措施有效性二维矩阵表

（四）《1号文》的实施要求及其出台原因简析

在落实《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》（以下称“《三反意见》”）战略安排和金融行动特别工作组(以下称“FATF”)第四轮互评估建议的双重背景下，如何落实洗钱风险自评估工作，有效运用风险评估结果，合理配置反洗钱资源，采取相适应的风险管理措施，已成为金融机构持续实践的重要议题。

根据《1号文》的规定，法人金融机构应于2021年内按照《1号文》要求制定或修改其洗钱风险自评估制度，在2022年底前完成符合《1号文》规范的首次自评估，笔者理解主要有两个方面的原因：

一是国际方面，FATF《互评估报告-中国-2019》认为：中国在技术合规性指标之“建议1 评估风险与适用风险为本的方法”指标，取得“大部分合规”的评级，但在11项直接结果指标中的“IO.4预防措施”的评级仅为“低效(LE)”；在相应关键发现部分，FATF认为：虽然中国的金融机构对其反洗钱及反恐怖融资义务的理解程度令人满意，但对洗钱风险缺乏充分的理解，普遍不能针对不同的风险情形采取相应的风险缓释措施。因此，FATF建议中国应加强金融机构风险评估的稳健性，以确保风险评估能真实地反映出金融机构的实际洗钱威胁和该机构面临的洗钱风险暴露状况。

二是国内反洗钱形势方面，2020年6月中国人民银行官网刊登中国人民银行反洗钱局局长刘宏华发表于《中国金融》2020年第11期的文章《全力推动反洗钱工作向纵深发展》指出：实践中，金融机构对洗钱风险认识不够深入，还不能有效按照“风险为本”的原则对不同风险情形采取相应的措施；并认为这些不足严重制约了反洗钱预防体系在打击犯罪、维护国家安全、推动社会治理、参与国际竞争等方面发挥应有的作用，同时也就人民银行的下一步工作安排定调为加强与金融监管部门的协调配合，继续保持强监管势头，督促金融机构切实提高反洗钱合规水平和风险管理能力。

（一）注意结合反洗钱工作实际，明确洗钱风险自评估的职责分工及工作流程

根据《1号文》的规定，洗钱风险自评估工作需要金融机构各部门人员协调配合，是一项涉及面广、工作内容细的系统工程；其相关工作内容涵盖成立自评估工作组、配置资源和人员、研究确定或更新评估指标和方法、信息收集与处理、开展评估工作的流程、管理和运用评估结果等多个方面，而且洗钱风险自评需要持续、动态地开展。因此，为使洗钱风险自评估工作机制有效地运作，需要一套职责分工明确、各部门人员职责清晰、工作内容和工作流程完善的洗钱风险自评估制度予以支撑。

近年来，监管机构不断出台新规完善我国的反洗钱制度体系，也为金融机构开展健全反洗钱内控制度等工作不断地带来新挑战。笔者注意到，反洗钱内控健全情况和内部审计发现缺陷情形已成为反洗钱监管的重点事项之一，如：部分中国人民银行分支机构在根据《法人金融机构反洗钱分类评级管理办法（试行）》（银发〔2017〕1号）组织开展的反洗钱分类评级工作的考评标准中，将反洗钱内部控制制度存在“照搬法律法规条文”、“职责分工不明确”、“流程不完善”等情形，规定为有关反洗钱分类评级指标的扣分事项。

根据《反洗钱法修订草案》的规定[4]，未建立健全反洗钱内部控制制度和未有效实施反洗钱内部控制制度规定将被规定为反洗钱的处罚事由；笔者理解，上述“照搬法律法规条文”、“职责分工不明确”、“流程不完善”的情形，一方面反映出金融机构未能结合反洗钱工作要求，健全反洗钱内部控制制度，另一方面亦暴露出金融机构的有关制度规定存在可操作性不强甚至无法操作的缺陷或问题，进而存在被认定构成处罚事由的风险。因此，金融机构尤其是负有责任的人员须注意提升对健全反洗钱内部控制制度要求的理解与认识。

总而言之，建议金融机构在落实洗钱风险自评估工作时，在符合《1号文》要求的基础上，关注洗钱风险自评估工作与其他反洗钱内部控制制度及反洗钱工作之间的联系，作出统一的安排并予以完善。

（二）自评估新规有利于促使业务部门强化反洗钱风险控制意识

根据《1号文》第21条第1款的规定，金融机构洗钱风险评估领导小组应当组织协调自评估整体工作，指导相关业务条线、部门、分支机构按照评估方案承担本部门、本机构的自评估职责，确保自评估的客观性与相对独立性。各条线、部门、分支机构应充分梳理和反映自身面临的洗钱风险和反洗钱工作存在的困难与脆弱性，提供自评估工作所必需的数据、信息和支持。

笔者认为，上述规定与《19号文》第15条关于业务部门应承担识别、评估、监测本业务条线洗钱风险的职责的要求相呼应，是反洗钱作为金融机构的全员性义务[5]的体现，即金融机构各条线、部门、分支机构均应承担相应的反洗钱职责。

因此，在实践中，如何有效提升业务部门的风险控制意识、推动业务部门主动履职，成为金融机构反洗钱牵头管理部门须解决的又一难题。《1号文》在监管要求层面订明业务部门应承担本部门、本机构自评估职责，相信该要求能引起金融机构业务部门对自身反洗钱职责的重视，切身参与洗钱风险自评估工作中，提升对洗钱风险的识别、评估和监测能力，另一方面，亦相信该要求能为金融机构反洗钱牵头管理部门有效推动各业务部门主动履职排除部分阻力。

（三）关于聘请第三方专业机构的规定

《1号文》第21条第2款规定，金融机构不得将自评估工作完全委托或外包至第三方专业机构完成，其聘请的第三方专业机构仅能进行评估方案、指标与方法的起草和内外部信息收集整理等辅助性工作，评估过程中对各类固有风险、控制措施有效性及剩余风险的讨论、分析和判断应由领导小组、反洗钱牵头部门及各条线、部门、分支机构主导完成。

笔者理解，自评估新规要求金融机构不得将洗钱风险自评估工作全部外包，其目的之一是促使金融机构各条线、部门、分支机构充分地参与洗钱风险自评估工作，提升其对各类固有风险、控制措施有效性及剩余风险的认识；对于第三方专业机构而言，则需要考虑如何在合规前提下，协助金融机构结合自身业务现状、反洗工作实际建立一套可持续、可落地的洗钱风险自评估机制。一言蔽之，如何充分地调动各部门资源、协调内外部人员通力配合协作，将是实际开展洗钱风险自评估工作过程中须应对解决的重要问题。

（四）制定全面的洗钱风险自评估指标和评估模型

1. 落实洗钱风险自评估的全面性要求

根据《1号文》的规定，开展洗钱风险自评估应当遵循全面性原则，即应当确保洗钱风险自评估覆盖本机构所有经营地域、客户群体、产品业务（含服务）、交易或交付渠道；覆盖境内外所有与洗钱风险管理相关的分支机构及总部有关部门；充分考虑各方面风险因素，贯穿决策、执行和监督的全部管理环节。根据前述规定，支撑金融机构开展洗钱风险自评估的评估指标和评估模型应当注意符合全面性原则，对此笔者建议，除非理由充分，原则上至少将自评估新规提出的考虑因素纳入评估指标体系的范围，将考虑因素细化为评估指标，通过定量和定性方式予以评估。

2.实施评估前将部分评估要求嵌入日常业务操作流程中

《1号文》从固有风险和控制措施有效性两个层面提供了多个维度的考虑因素，这些考虑因素将有助于金融机构多维度地识别和监测洗钱风险或者控制薄弱环节。对金融机构而言，有针对性地将该等考虑因素转化成日常作业要求或管控要求，将有助于收集和获取评估数据信息，且有利于提升对洗钱风险或薄弱环节的识别能力。

以评估客户群体固有风险的“非自然人客户的股权或控制权结构”为例，该项考虑因素与FATF《新40项建议》的“建议10 客户尽职调查”相关，其所蕴含（或代表）的洗钱威胁为：违法犯罪分子利用复杂的股权、控制权等关系掩饰、隐瞒真实身份、资金性质或者交易目的、性质；在衡量该项考虑因素时，可以细化出“股权架构的复杂程度”、“涉及境外股东的情形”等风险指标，最终可通过分析客户分布数量及比例情形，综合评估该因素的固有风险。但是，前述工作依赖有效数据的支撑，例如每个非自然人客户的“股权架构层数”，该数据一般不会登记在业务系统中，其需要在评估时对全部非自然人客户做出相应的梳理并记录股权架构层数[6]。因此，将评估要求嵌入到客户尽职调查工作环节和相关信息系统内，对于识别与评估洗钱风险的数据收集工作而言，将非常有益。

（五）尽快开展产品业务的梳理工作

笔者发现，在实践中，大部分金融机构在新产品业务/服务上线前能够基于监管规定的要求开展新产品业务/服务的评估工作，其中包含新产品业务/服务洗钱风险评估；但在针对现有产品业务/服务的洗钱风险评估机制方面，仍存在未建立制度和流程、未定期或不定期开展产品业务/服务洗钱风险评估的情况。笔者理解其主要原因是，并非所有金融机构均具备开展产品业务/服务洗钱风险评估方面的经验与能力，其次是因为监管指引层面暂无适用于全部反洗钱义务机构的、体系化的评估指引，在现行的反洗钱相关规定中，仅有《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》(银发〔2013〕2号)和《19号文》就业务洗钱风险评估作出了原则性的规定和安排。

笔者认为，开展产品业务的梳理工作将有助于金融机构（尤其是业务部门）识别本条线、业务的洗钱风险情况，且有助于后续开展洗钱风险评估工作。根据《1号文》的规定，开展洗钱风险自评估应当遵循全面性原则，而且强调要充分考虑各方面风险因素。金融机构开展洗钱风险自评估须确保全面覆盖各风险维度及风险因素，而以业务/业务条线作为最小评估单元，有利于实现全覆盖要求，并可以得出各产品业务的剩余风险情况和机构整体剩余风险情况。此外，从固有风险的内涵来看，固有风险指反映在不考虑控制措施的情况下，法人金融机构被利用于洗钱和恐怖融资的风险；笔者的理解是，对金融机构而言，“提供产品业务/服务”应是“被利用于洗钱和恐怖融资的风险”的充分必要条件，如果金融机构不提供产品业务/服务，则不存在“被利用”的情形。

自评估新规的出台，为金融机构识别、评估洗钱风险提供了较为丰富的、体系化的考虑因素，有助于金融机构提升识别、评估和监测洗钱风险的有效性，但也为金融机构反洗钱工作带来新挑战。洗钱风险的识别与评估工作是一个动态、持续的过程，金融机构应当动态、持续关注风险变化情况，及时更新完善自评估指标及方法，在监管要求的截止日期之前，持续调整和优化自评估指标及方法。

根据FATF第四轮互评程序，我国将在今年10月向FATF报告加强实施反洗钱及反恐怖融资措施的进展情况，期待我国能在指标评级上能取得新进展！

[1]《打击洗钱、恐怖融资与扩散融资的国际标准：FATF 建议》;

[2]注：需要说明的是，2018年中国人民银行反洗钱局发布的《法人金融机构洗钱和恐怖融资风险评估管理办法》（银反洗发[2018]21号）提出了一套较为完整的指标体系和评分标准，但遗憾的是该办法适用范围是中国人民银行及其分支机构对金融机构的洗钱风险评估，此处不另赘述;

[3]The Wolfsberg Frequently Asked Questions on Risk Assessments for Money Laundering, Sanctions and Bribery & Corruption;

[4]注：《反洗钱法修订草案》第三章第27条第3款后段规定了金融机构的负责人对反洗钱内部控制制度的有效实施负责的反洗钱义务；第六章第51条将未建立健全反洗钱内部控制制度和未有效实施反洗钱内部控制制度规定的情形规定为处罚事由;

[5]《中国人民银行关于加强金融从业人员反洗钱履职管理及相关反洗钱内控建设的通知》（银发〔2012〕173号）;

[6]受篇幅限制，本文暂不讨论应用抽样统计的方法。