观点 I 金融机构洗钱与恐怖融资风险自评估思路和方法探析

本期作者：

刘丽洪

中国人民银行营业管理部

注：本文已获作者授权发布。本文只代表作者个人观点；文中案例虚构，如有雷同，纯属巧合。

《FATF四十项建议》的建议一规定，“各国应当要求金融机构和特定非金融行业与职业，识别、评估，并采取有效措施降低洗钱与恐怖融资风险”。为此，金融机构洗钱与恐怖融资风险自评估工作（以下简称：自评估）是金融机构做好反洗钱与反恐怖融资工作的基础。金融机构只有通过自评估，才能识别、评估和查找本机构固有风险、控制措施有效性、风险漏洞和薄弱环节，并采取有针对性的管理和控制措施缓释风险，进而使剩余风险达到本机构全面风险管理所定的目标。

本文结合反洗钱工作实践，指出了开展自评估应遵守的原则，给出了自评估的两种思路，提出了自评估的基本单位是“业务条线”，点出了自评估如何组织和有效应用，并以贸易融资业务中的信用证产品为例，说明如何开展自评估。

一. 自评估的监管要求

经梳理反洗钱监管部门颁布的监管文件，主要有以下三个文件对自评估提出了要求： 

一是《金融机构反洗钱监督管理办法（试行）》（银发﹝2014﹞344号印发）第三十七条规定，“法人金融机构应当建立风险自评估制度，按照风险为本原则，定期对本机构内外部洗钱风险进行分析研判，评估本机构风险防控机制的有效性，查找风险漏洞和薄弱环节，采取有针对性的风险应对措施。金融机构应当及时向中国人民银行或其分支机构报告风险自评估结果和资料。”

二是《法人金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发﹝2018﹞19号印发）第四章风险管理政策和程序--方法，要求金融机构建立风险评估制度，定期或不定期开展洗钱风险评估，采取定性和定量分析相结合的方法，从国家或地域、客户及业务等维度进行综合考虑，确定风险因素，设定风险评估指标等。

三是《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》（银反洗发﹝2018﹞21号印发）第十七条规定，“中国人民银行及分支机构应当督导法人金融机构加强洗钱和恐怖融资风险管理，建立和完善相关工作机制，定期或不定期开展全系统或特定领域的洗钱和恐怖融资风险自评估，采取针对性的风险控制措施。”

上述文件中，《金融机构反洗钱监督管理办法（试行）》只是对开展自评估提出了要求；《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》是从监管方角度提出的一种“风险为本”的监管方法；《法人金融机构洗钱和恐怖融资风险管理指引（试行）》对如何开展自评估做出了原则性规定。

二、自评估的遵循原则

1.

客观与有效性原则

客观与有效原则是自评估不能丢掉的“初心”。一方面，法人金融机构（以下简称金融机构）自评估结果应当是客观的、真实的，能够充分揭示本机构固有风险的高低，或本机构控制措施有效性的水平，以及本机构面临的洗钱和恐怖融资风险特征及分布；另一方面，自评估涉及较多的主观判断，在此过程中，遵循客观原则才能充分揭示实际存在的风险；最后，只有在真实而客观的自评估结果的基础上，才能为有效实施洗钱风险管理策略、政策和程序提供支持。即，金融机构根据真实的固有风险，才能采取与之对应的控制措施，以便把风险缓释到全面风险管理所定的目标。

2.

全面与相关性原则

金融机构开展自评估应贯彻既全面又相关的原则。一是自评估应当覆盖本机构全部客户、交易、业务、产品、服务和渠道，且上述客户、交易、业务、产品、服务和渠道应与本机构洗钱风险管理具有相关性，不具有相关性的不纳入自评估范围。例如，为客户办理信用卡提供的赠品不用纳入自评估的范围；二是自评估应当覆盖所有境内外与洗钱风险管理相关的分支机构或附属机构，否则不必纳入。例如，境外只是为总部搜集金融信息，不提供金融服务的分支机构不必纳入自评估范围。另外，如果金融机构不是附属公司（机构）的控制人，或附属公司（机构）不属于监管部门纳入反洗钱监管范围的行业，也不必将此类附属公司（机构）纳入自评估的范围；三是自评估应当覆盖各项与洗钱风险管理相关的业务活动和管理流程，贯穿决策、执行和监督的全过程。例如，金融机构采购自身的办公设备等业务活动，不必纳入自评估范围。

3.

统一与一致性原则

金融机构开展自评估过程中，应遵守统一与一致性原则。一是金融机构纳入自评估范围的各分支机构、业务部门、附属机构应有统一的风险偏好。即使某个别分支机构、业务条线、附属机构选择了高于金融机构的统一的风险偏好，那么金融机构应降低其他分支机构、业务条线、附属机构的风险偏好，在总体上仍旧要达到金融机构统一的风险偏好；二是金融机构同一金融产品或业务自评估指标应有统一性，或者不同附属机构的评估指标的核心“精神”有统一性；三是自评估组织管理工作应有统一性。例如，自评估组织和管理部门、自评估的周期节点、自评估的业务数据提取的时间段等。

金融机构虽然可以自由选择自评估的方法和确定权重的方法，但是前后年不应跳动很大，尽量保持一致性。除非金融机构有重大的经营调整或外部环境发生较大变化。另外对同一类客户、同一类金融产品或服务，主观打分判断也应有一致性。

4.

动态与科学性原则

自评估不是一劳永逸的工作，是一个持续的、动态管理的过程。另外，自评估方法和指标应当随着内外部风险环境的变化而及时调整。但此过程中，金融机构应确保评估方法和指标的科学性，即，金融机构改变评估方法和指标更能真实的揭示本机构的固有风险和控制措施有效性，否则是不科学的，不能为了“调整而调整”。另外，金融机构应当根据内外部风险事件，定期或不定期进行自评估。

三. 自评估的基本思路

自评估的基本思路是，通过评估本机构的固有风险和控制措施有效性，得到本机构的剩余风险。 

固有风险:

在不考虑控制措施的情况下，机构被利用进行洗钱和恐怖融资的可能性。

控制措施有效性：

金融机构所采取的控制措施对管理和缓释固有风险的有效程度。

剩余风险：

采取了控制措施后，机构被利用进行洗钱和恐怖融资的可能性。

固有风险和控制措施有效性的计算通常运用权重法，以定性分析与定量分析相结合的方式来计量风险或评估等级；剩余风险的确定通常使用矩阵法。需要注意的是，自评估过程必须以书面或电子方式清晰留痕，以便使自评估可逆、可追溯、可检查、可审计。

（1）固有风险评估：一般以定量评估为主，定性方法相结合。

用数据统计来定量分析固有风险因素，包括高风险客户数量、可疑交易量和交易金额、客户/交易活动的地理位置等。

部分固有风险因素应结合定性评估方法，例如产品或服务特点，需要定性分析后赋予其一定的分数。

（2）控制措施有效性评估：一般以定性评估为主，辅以定量分析。

（3）剩余风险评估：剩余风险=固有风险-控制措施有效性

剩余风险评估示例：

四. 自评估的两种方法

笔者结合反洗钱工作实践，推荐下面两种自评估方法。自评估方法是见仁见智，不必拘泥于一格，不同金融机构应根据本机构的实际情况斟酌选择，但是选用的方法应遵循客观、有效的原则，尽量选用能充分揭示本机构实际风险分布的方法。

1.

逐层分析法

逐层分析法是指按照“产品/服务→业务条线→金融机构”的逻辑，以最底层产品/服务为基础，微观层面评定固有风险、控制措施有效性，评估剩余风险，并按照相应权重，逐层向上加权，最终得到金融机构固有风险、控制措施有效性和剩余风险。具体来说：

（1）评估具体产品和服务的固有风险、控制措施有效性，得到剩余风险。

（2）根据产品和服务相应权重，计算某个业务条线的固有风险、控制措施有效性和剩余风险。

（3）根据各业务条线的权重，计算金融机构整体（此处暂不考虑附属机构）的固有风险、控制措施有效性和剩余风险。

在此金融机构需要注意的：

一是本机构所处地理位置，或在高风险国家（地区）设立境外分支机构等情况属于金融机构整体的固有风险因素，在评估具体产品和服务固有风险的时候，需要考虑这类因素对单个产品和服务固有风险的影响。

二是制度体系、组织架构和洗钱风险管理文化的建设情况、洗钱风险管理策略等方面属于金融机构整体层面的控制措施有效性的影响因素，在评估具体产品和服务控制措施有效性的时候，需要考虑该因素对单个产品/服务控制措施有效性的影响。

三是逐层分析法下，关注的是微观层面评估固有风险和控制措施有效性，也就是固有风险和控制措施有效性都下沉到具体产品和服务进行评估。最终判断金融机构整体的剩余风险时，不需要纠结应该将每一层级的剩余风险逐层加权最终得到整体剩余风险，还是逐层加权固有风险和控制措施有效性，最终整体评估有效风险。因为这两种方式得出的结果是一致的。

以简化的两层结构举例，推导如下：

整体固有风险 X=a1X1+a2X2+⋯⋯+anXn

整体控制措施有效性Y=a₁Y₁+a₂Y₂+……+a_nY_n

整体剩余风险R=a₁R₁+a₂R₂+……+a_nR_n=a₁（X₁ -Y₁）+a₂（X₂ -Y₂）+……+a_n（X_n -Y_n）=（a₁X₁+a₂X₂+……+a_nX_n）-（a₁Y₁+a₂Y₂+……+a_nY_n）=X-Y

2.

整体分析法

整体分析法和监管方的金融机构洗钱和恐怖融资风险评估有类似之处。固有风险评估可参照逐层分析法，或直接参照监管方的金融机构洗钱和恐怖融资固有风险评估方法。但是控制措施有效性评估并不逐层加权评估，而是在金融机构整体的宏观层面评估得出结果。整体层面的剩余风险由整体固有风险和整体控制措施有效性综合后评估得出。

如果逐层分析法控制措施有效性的评估满足以下条件：

（1）分项控制措施打分准确客观；

（2）权重赋予相对科学。

那么整体分析法和逐层分析法（Y=a1Y1+a2Y2+……+anYn）得出的整体控制措施有效性应当是基本一致，或没有多等级之间的跨越跳动，两种思路也就不会存在较大的差别。但实际工作中，控制措施有效性包含定性评估和定量评估，且很大程度上受到主观因素影响。因此，整体分析法和逐层分析法得出的控制措施有效性可能存在一定的偏差，进而影响剩余风险的等级。

3.

两种方法的比较

（1）逐层分析法从微观层面出发，综合考量微观风险状况，进而加权汇总得到金融机构整体固有风险。能够具体评估判断具体产品和业务的风险点，并针对性地采取控制措施；整体分析法从宏观层面出发，着眼于全局的控制措施有效性，可能会忽略具体产品和业务的管控效果。

（2）逐层分析法虽然貌似增加了金融机构的工作量，但这种思路将业务或产品洗钱风险评估和自评估有机衔接，一方面有助于风险评估工作的完整性和关联性，另一方面能够提高洗钱风险管理工作的质量和效率。整体分析法工作量相对小一些，从整体分析法的特点看，该方法适合客户相对少、业务或产品相对简单的中小金融机构。

五. 自评估的指标

从FATF发布的有关反洗钱实践或指引，以及我国有关反洗钱监管文件看，金融机构应从国家/地域、客户及业务（含产品、服务）等维度进行综合考虑，确立风险因素，设置固有风险指标；从制度体系、组织架构和洗钱风险管理文化的建设情况、洗钱风险管理策略、风险评估制度和风险控制措施的制定和执行情况等维度进行综合考虑，设置风险控制措施有效性的评估指标。

评估指标的具体内容、权重及分值设置由金融机构根据有效的洗钱风险管理需要自主确定。鉴于写作时间和精力，笔者无法在此就某行业或机构分享一套完整的指标。

需要注意的是：金融机构制定评估指标应结合本机构的经营规模、客户数量、金融产品或业务的复杂程度等实际情况，不必刻意追求“大、全、细”。评估指标的“颗粒度”越小，当然风险描述越清晰，但是也意味着自评估的工作量和成本随之增加，还有可能增加巨大，综合考虑下来，自评估的“性价比”并不“经济”，所以，金融机构制定的评估指标只要能客观揭示本机构的实际风险情况即可。不同行业间的金融机构，甚至同行业间的不同金融机构也应有一定的差异，甚至较大的差异。

六. 自评估的组织

自评估是金融机构在监管要求的框架下，按着“风险为本”的原则，自我识别风险、自我评估风险、自我控制风险的活动，其本质是自我管理风险、自我缓释风险的过程。金融机构各管理层级参与，众多部门协调才能完成好自评估。笔者建议自评估的组织分工如下：

▎（一）董事会应了解自评估结果，对洗钱风险管理负最终责任，并对以下工作负责：

1. 通过听取高管层报告、审阅自评估报告等方式，了解本机构自评估的结果；

2. 审定洗钱风险管理策略，审批洗钱风险管理的政策和程序，知悉自评估结果的应用（如调整经营战略等），并通过董事会决议等方式推动洗钱风险管理工作。

▎（二）高级管理层对自评估过程负责，并决定以下事项：

1. 充分、准确了解本机构面临的洗钱风险威胁，以及采取了控制措施后的剩余风险情况；

2. 自评估具体方案、评估周期、方法和指标、重要权重；

3. 自评估结果及应用。

▎（三）反洗钱管理部门牵头开展自评估，具体职责是：

1. 识别、评估、监测本机构的洗钱风险环境，及时向高级管理层报告；

2. 制定自评估方法和指标（自评估初期反洗钱牵头部门承担一定量的工作，自评估走上正轨后，此项工作由业务部门完成，牵头部门审核。）、具体方案，建立健全本机构风险自评估机制；

3. 组织或协调相关部门开展自评估，并负责整个自评估的质量审核；

4. 统筹自评估结果，并将评估结果上报高级管理层。

▎（四）业务条线是自评估的基本单位，充分发挥风险管理第一道防线的作用，具体职责如下：

1. 如果业务条线涉及多个部门，应当明确牵头部门，负责统筹本条线自评估；

2. 各条线（部门）应当厘清本条线（部门）全部客户、产品、业务、服务和渠道，识别、评估和控制本条线（部门）的业务风险，对本条线（部门）自评估结果负责；

   根据自评估结果，制定并执行本条线（部门）洗钱风险控制措施。

实务中，有些金融机构可能因为自身反洗钱专业能力或人力资源的不足，将自评估委托给第三方机构。笔者在此要提醒的是，金融机构可以委托第三方机构承担自评估，但金融机构不能仅做“甩手掌柜”，把自评估简单定位“劳务外包”，而应当积极参与自评估过程，了解自评估流程、具体内容，以及本机构存在的风险敞口等漏洞因素，逐步提升本机构洗钱风险评估和管理能力。特别要明确的是，金融机构对第三方机构的自评估结果负最终责任。

此外，金融机构委托第三方机构开展的“评估的评估”，也就是对本机构评估指标体系、流程、系统功能等进行评价，并提出改进建议，这也是帮助金融机构完善评估体系的一种方法，但最终实施和结果应由金融机构自行负责。

七. 自评估的周期管理

《金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发﹝2018﹞19号印发）第三十六条规定，“金融机构应当根据本机构实际和国家/区域洗钱风险评估需要合理确定定期开展全系统洗钱风险评估的时间、周期或频率”。从此条规定看，我国监管文件并没有直接规定洗钱风险评估的周期。

《沃尔斯堡集团关于洗钱、制裁以及贿赂与腐败风险评估的常见问题》：无论机构采用怎样的洗钱风险评估周期，都应当每年在年度报告或其他报告中，报告其洗钱风险环境。

《美国反洗钱检查手册》：即使银行风险状况未发生变化，银行也有必要定期（至少是每12-18个月一次）对其洗钱和恐怖融资风险进行再评估。

从以上国外的有关反洗钱工作实践，以及我国其他反洗钱监管文件要求的工作内容看，笔者建议我国金融机构开展全系统的自评估的周期定为1年比较符合实际情况。笔者在此要特别提醒的是：金融机构做全系统自评估是一项工作量繁重、专业性强的工作，涉及的业务面广，参与人员多，其难度和工作量甚至超过金融机构的年终决算，真正做好此项工作可能要消耗大量人力和其他资源。

不定期风险评估工作按着有关监管规定执行即可。

八. 自评估的运用

自评估是金融机构洗钱风险管理的基础。在此基础上，金融机构需有效的利用自评估结果，不能为了评估而评估，否则自评估失去其现实意义。

金融机构在完成自评估后，一方面，应当形成书面报告，报送高级管理层审批，提交董事会或其授权的专业委员会审阅，并抄送境内外分支机构、各业务条线/部门以及其他相关部门和人员。自评估报告中最好还包含风险趋势分析，即下个周期的风险对于现周期的风险评估可能出现的剩余风险的变化，通常分为降低、平稳、升高三种情况。

另一方面，应当根据洗钱风险评估结果，结合本机构的风险偏好，强化或减弱客户尽职调查、客户身份资料和交易记录保存、交易监测、大额交易和可疑交易报告、名单监控、资产冻结等风险控制措施的有效性，并融入相关业务操作流程，有效缓释或释放洗钱和恐怖融资风险，使本机构剩余风险达到全面风险管理所定的目标。

九. 自评估的基本单位及案例

▎（一）自评估的基本单位是业务条线

综合考虑自评估的工作实践，笔者建议自评估以“业务条线层面（业务部门）”为单位进行，对各业务条线及业务分支都进行风险评估。各个业务条线必须明确职责分工，充分了解本条线（部门）涉及哪些业务、产品、服务、渠道、客户和交易，并对这些要素进行全面、细致梳理，有效开展风险研判和评估。实务中，有些金融机构长期以来，各业务条线职责不明确，自己都不了解本业务条线有哪些客户和产品，这些客户和产品的月、季、年等时间节点数据量是多大，数据信息存在哪个业务系统，这些业务系统与反洗钱信息系统如何信息交换，以及数据质量如何校对等问题，导致自评估基础薄弱，影响自评估的质量和结果。

在梳理出本业务条线管理的所有业务、产品、服务、渠道、客户和交易后（跨部门的产品，指定某承担主要工作的业务条线管理），分别按着每一个产品或提供的服务，分别逐一或同质分类进行评估，得出评估结果后，可以按照不同产品、服务交易额占比赋予风险权重，也可以根据风险偏好，结合在此业务条线产生现实威胁和潜在威胁案例数量、性质、危害程度的基础上，采用专家打分法，调整不同产品和服务的风险权重，最终得出本业务条线的固有风险、控制措施有效性和剩余风险。

▎（二）以贸易融资业务条线风险评估为例（本案例均采用逐层分析法的思路）

• 采取不合理的转移定价（货物价格过高或过低）

• 伪造贸易凭证

• 使用同一套单据重复付款

• 虚构货物运输与商品数量

• 利用虚假的第三方机构付款等

如果银行对客户尽职调查仅停留在金融信息层面，而没能查明背后交易的真实背景，或对客户持续识别，有时候就可能容易被洗钱活动利用。

信用证洗钱案例：

以高报货物价值（虚报货物质量）为手法，利用信用证交易清洗非法资金。

（1）甲国X公司与乙国Y公司达成贸易协议，进口一批黄金，总价值200万美元，结算方式为90天远期信用证；

（2）X公司按照约定，向其开户行A银行申请开立信用证；

（3）开证行A银行向指定的乙国通知行B银行发出信用证；

（4）通知行B将信用证通知至Y公司；

（5）Y公司安排装运，实际装运一批黄铜，重量与信用证约定一致，但实际总价值仅为40万美元；

（6）Y公司将全套运输单据交至乙国通知行B；

（7）乙国通知行B审单后将单据发至甲国开证行A；

（8）甲国开证行A审单后将单据交接给X公司；

（9）甲国开证行A通过乙国通知行B发出承兑报文；

（10）Y公司向通知行B申请办理出口贴现200万美元。

结果：

Y公司将贴现所得资金以电汇形式转至其他关联公司，实现160万美元非法资金的转移。

案例启示：

银行仅审核了发票、运输单据、箱单、合同单等单证资料的真实性和存在性，未对交易内容作实质审核，没有发现单据凭证之间的矛盾，如报关单和发票上标的物的名称存在差异。或是仅孤立审核单张单据，未对整套单据作关联审查，没有发现单据之间的逻辑矛盾或异常。以本案为例，黄金的密度约为19.32克/立方厘米，黄铜的密度约为8.92克/立方厘米，等重量的黄金和黄铜体积相差一倍以上，但银行并未发现这一疑点。银行在做客户尽职调查时，仅关注客户金融信息，未能了解客户真实交易意图，也未深入关注贸易融资背后的真实交易情况，导致被洗钱活动利用。

开展信用证业务时，银行应当注重客户“全生命周期管理”。不仅关注当前交易情况和单据信息，还应当加强事前和事后的客户尽职调查工作，追踪客户后续经营情况，持续关注客户风险状况。就客户尽职调查而言，在某些情况下（如对贸易的真实性产生怀疑时），银行不仅应当对本行客户履行尽职调查义务，还应当了解“客户的客户（客户的交易对手）”，审慎判断业务的真实性、合规性。

2.在进行贸易融资业务条线风险评估时，至少应厘清以下情况：

①如果该业务条线下某一金融产品或业务涉及多部门，应明确由哪个部门负责评估该金融产品或业务；

②从产品维度进行细分，需要细致梳理进口押汇、出口押汇、福费廷、信用证、代收保付、汇出汇款融资等全部产品的情况；

③从客户和地区维度来看，需要统计和分析贸易融资条线下各金融产品或业务涉及多少客户，其中有多少高风险客户，多少客户被名单预警，多少客户命中黑名单，是否涉及外国政要，多少客户涉及可疑交易报告，客户及交易对手来自哪些国家/地区，客户从事哪些行业，客户的受益所有人情况（如同一受益所有人名下涉及多少公司，其中多少公司涉及本业务/产品）等等。

在贸易融资业务条线下，可能不但关注客户和交易对手这一基本关系外，还需要关注贸易背景中各参与方的情况，即出口商及其供应商、进口商及其客户之间的关系等。包括但不限于：

• 进口商和出口商、制造商、付款人、出票人、通知方、签署人；

• 航运公司、货运代理；服务商，如保险公司、代理商和经纪人；

• 金融机构，包括开证/通知/保兑/议付/索赔/收款/偿付/担保行。

以信用证产品为例，可能包括申请人、开证行、保兑银行、通知银行、受益人、议付银行、指定银行、承兑银行、贴现银行、偿付银行、付款银行等参与方。

④从交易维度来看，需要统计和分析贸易融资条线下各金融产品或业务涉及的交易量、交易金额、交易频率、交易币种，以及与交易相关的国家或地区，预警或上报的可疑交易情况等等。

在某些情况下，贸易融资业务还需要关注金融业务背后的真实贸易等背景，例如：

• 进出口货物情况；

• 船舶（包括国际海事组织IMO编号）；

• 地理位置（如：SWIFT第50字段和第59字段的内容；货物收管地、收货地、起运地、交货地、最终目的地；货物/服务的原产国、目的国和转运国；起运、目的地机场）。

开展风险评估时，可以采用同业比较分析法（与行业均值或是相同规模的同业机构平均水平进行比较）进行横向比较，采用趋势分析法（近年来本机构相关因素趋势变化）进行纵向比较。以下案例仅为介绍同业比较分析法和趋势分析法的应用而设计，内容纯属虚构。

信用证产品风险评估案例:

A银行位于境内，无分支机构。评估期间，信用证产品涉及100个客户，涉及的1000笔交易均为人民币交易，共10000万美元。其中，境内交易600笔、2000万美元；跨境交易400笔、8000万美元。该产品涉及10个高风险客户，其中3个客户发生交易200万美元。1个客户被名单预警，0个客户命中黑名单，7个客户涉及可疑交易报告。80个客户来自境内，12个客户的交易对手来自高风险国家/地区，涉及交易1000万美元；20个客户来自境外，其中10个来自高风险国家/地区，涉及交易500万美元；不涉及外国政要。A银行客户情况和行业平均情况如下表所示：

（注：以上仅列举了信用证产品的部分定量指标，还应考虑金融产品评估等定性指标（现金关联度、流动性、资金划转渠道、交易范围等等）评估结果，并赋予分数及权重。）

需要注意的是，由于客户、交易等信息可能不会被公开披露，金融机构很难获得准确的行业均值，也很难根据行业均值进行定量分析和评估每一项指标对应得分。但是金融机构应当对同业水平有一定的了解，定性了解本机构某一业务条线、某一金融产品或业务在同业中的大致排名情况，尽可能运用横向同业比较分析出大致结果，从而更好地认识自身风险。金融机构比较可行的做法是重点运用本机构纵向的趋势分析，进行自评估。

根据上表分析，A银行信用证产品客户维度总体风险高于行业均值，主要体现在高风险客户占比、可疑交易报告涉及客户占比、境外客户占比、高风险国家/地区涉及客户占比远高于行业均值。从近五年趋势变化判断，特别是高风险客户占比、境外客户占比和高风险国家/地区涉及客户占比呈现上升趋势，应当予以特别关注。

交易维度需要结合交易笔数、金额、频率、币种等多方面因素综合考虑，本案例旨在方法介绍，所以对于复杂因素有所简化。A银行信用证产品交易维度风险集中体现在跨境交易和高风险国家/地区交易。虽然该行高风险客户数量占比较高，但评估期限内发生交易的高风险客户数量和金额占比低于行业均值，说明高风险客户交易风险较低。但从近五年趋势变化来看，特别是发生交易的高风险客户占比有升高趋势，说明高风险客户交易风险仍然不容忽视。跨境交易笔数虽然低于行业均值，也有降低趋势，但结合交易金额来看，跨境交易金额占比远高于行业均值，具有较高风险。高风险国家/地区涉及交易金额占比较高，应当引起重视。

在这种情况下，考虑到信用证产品是洗钱高风险产品，并结合A银行信用证产品客户和地区维度、交易和地区维度的实际情况，根据风险升高评估指标的数量、核心评估指标升高的数量，或综合考虑两种情况确定的评估指标体系，评估A银行信用证产品固有风险为“较高风险”或“高风险”。

对A银行控制措施有效性进行评估。针对信用证产品的风险因素，逐一对应排查该产品在客户尽职调查、可疑交易报告、资料保存等方面控制措施的有效性（具体指标略），评价结果及风险产生的原因列示如下：

假设A银行风险容忍度是中等偏低，属于保守的风险承担者。为了缓释风险，可以考虑采取以下措施：

采取上述措施后，在季度、半年或年底等时间节点上，观察各风险指标的变化情况，再根据结果，动态适度调整控制措施的强度。

▎（三）各业务条线权重确定方法

各业务条线完成自评估后，金融机构可以按照不同业务条线交易额占比赋予风险权重。但在此提醒的是，金融机构不能“一刀切”的按着不同业务条线交易额占比赋予风险权重，要按着风险为本的原则，结合各业务条线风险状况，以及本机构的风险偏好，采用专家打分法，调整各业务条线风险权重，使风险权重具有科学性。

例如：某家银行交易额为10亿元，分为电子银行、个金、卡部、其他四个条线，各条线交易额分别为3亿元、2亿元、1亿元、4亿元。该银行固有风险设置为1-5分。则如下表所示，该银行整体固有风险为2.3。

如果该银行经评估现实威胁案例或潜在威胁案例后，电子银行业务条线产生大量威胁案例，在威胁案例中占比较高，相应的调高电子银行业务条线的权重，反之亦然。从产品到业务条线自评估的权重确定方法也可参考上述方法，只要把业务条线交易额换成某一产品或某类产品的交易额即可。

十. 写作后记

本文写作的动机来源于一次监管方内部的培训授课。反洗钱现场检查前，检查人员需要通过审核被查机构的自评估报告，或发起一次简化的风险评估，根据审核或评估的结果确定现场检查的重点范围，确定检查时间，选择检查程序等。检查人员想要高质量的完成这些检查准备工作，如何审核被查机构的自评估报告，或如何发起一次简化的风险评估成为“重中之重”。在此过程中，了解和掌握自评估的方法和过程是检查人员必备的知识，否则在审核或评估时会遇到一些BUG，从而影响现场检查准备工作。

同时笔者在监管中发现，很多金融机构反洗钱从业者，对如何开展自评估还有很多困惑或疑问，有些第三方机构做出的自评估也是“五花八门”。在此，笔者根据自己的监管实务和经验，写作了本文，本文定位在“抛砖引玉”，希望为自评估贡献一份微薄的力量。笔者在此强调的是，本文仅代表本人个人观点，与各方无关，请谨慎参考使用。

鉴于本人的专业能力和对贸易融资条线业务知识了解和掌握有限，文中不当之处欢迎各路大咖批评指正。

（本文得到同事高皓洁的大力帮助，在此表示感谢！）

本文编辑：Elise Jiang

（文章已获作者授权发布。本文只代表作者个人观点。）

更多阅读 

道琼斯公司(Dow Jones) 创建于1882年，旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, VentureSource, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险与合规服务品牌，由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系：Johnson.Ma@dowjones.com