法律合规部

96

第二十条 中国人民银行及其分支机构开展反洗钱和反恐怖融资执法检查，

应当依据现行反洗钱和反恐怖融资规定，按照中国人民银行执法检查有关程序规

定组织实施。

第二十一条 中国人民银行及其分支机构应当根据执法检查有关程序规定，

规范有效地开展执法检查工作，重点加强对以下机构的监督管理：

（一）涉及洗钱和恐怖融资案件的机构；

（二）洗钱和恐怖融资风险较高的机构；

（三）通过日常监管、受理举报投诉等方式，发现存在重大违法违规线索的

机构；

（四）其他应当重点监管的机构。

第二十二条 中国人民银行及其分支机构进入金融机构现场开展反洗钱和

反恐怖融资检查的，按照规定可以询问金融机构工作人员，要求其对监管事项作

出说明；查阅、复制文件、资料，对可能被转移、隐匿或者销毁的文件、资料予

以封存；查验金融机构运用信息化、数字化管理业务数据和进行洗钱和恐怖融资

风险管理的系统。

第二十三条 中国人民银行及其分支机构应当根据金融机构报送的反洗钱

和反恐怖融资工作信息，结合日常监管中获得的其他信息，对金融机构反洗钱和

反恐怖融资制度的建立健全情况和执行情况进行评价。

第二十四条 为了有效实施风险为本监管，中国人民银行及其分支机构应当

结合国家、地区、行业的洗钱和恐怖融资风险评估情况，在采集金融机构反洗钱

和反恐怖融资信息的基础上，对金融机构开展风险评估，及时、准确掌握金融机

构洗钱和恐怖融资风险状况。

第二十五条 为了解金融机构洗钱和恐怖融资风险状况，中国人民银行及其

分支机构可以对金融机构开展洗钱和恐怖融资风险现场评估。

中国人民银行及其分支机构开展现场风险评估应当填制《反洗钱监管审批表》

（附 1）及《反洗钱监管通知书》（附 2），经本行（营业管理部）行长（主任）

或者分管副行长（副主任）批准后，至少提前 5 个工作日将《反洗钱监管通知书》

送达被评估的金融机构。

中国人民银行及其分支机构可以要求被评估的金融机构提供必要的资料数

法律合规部

97

据，也可以现场采集评估需要的信息。

在开展现场风险评估时，中国人民银行及其分支机构的反洗钱工作人员不得

少于 2 人，并出示合法证件。

现场风险评估结束后，中国人民银行及其分支机构应当制发《反洗钱监管意

见书》（附 3），将风险评估结论和发现的问题反馈被评估的金融机构。

第二十六条 根据金融机构合规情况和风险状况，中国人民银行及其分支机

构可以采取监管提示、约见谈话、监管走访等措施。在监管过程中，发现金融机

构存在较高洗钱和恐怖融资风险或者涉嫌违反反洗钱和反恐怖融资规定的，中国

人民银行及其分支机构应当及时开展执法检查。

第二十七条 金融机构存在洗钱和恐怖融资风险隐患，或者反洗钱和反恐怖

融资工作存在明显漏洞，需要提示金融机构关注的，经中国人民银行或其分支机

构反洗钱部门负责人批准，可以向该金融机构发出《反洗钱监管提示函》（附 4），

要求其采取必要的管控措施，督促其整改。

金融机构应当自收到《反洗钱监管提示函》之日起 20 个工作日内，经本机

构分管反洗钱和反恐怖融资工作负责人签批后作出书面答复；不能及时作出答复

的，经中国人民银行或者其所在地中国人民银行分支机构同意后，在延长时限内

作出答复。

第二十八条 根据履行反洗钱和反恐怖融资职责的需要，针对金融机构反洗

钱和反恐怖融义务履行不到位、突出风险事件等重要问题，中国人民银行及其分

支机构可以约见金融机构董事、监事、高级管理人员或者部门负责人进行谈话。

第二十九条 中国人民银行及其分支机构进行约见谈话前，应当填制《反洗

钱监管审批表》及《反洗钱监管通知书》。约见金融机构董事、监事、高级管理

人员，应当经本行（营业管理部）行长（主任）或者分管副行长（副主任）批准；

约见金融机构部门负责人的，应当经本行（营业管理部）反洗钱部门负责人批准。

《反洗钱监管通知书》应当至少提前 2 个工作日送达被谈话机构。情况特殊

需要立即进行约见谈话的，应当在约见谈话现场送达《反洗钱监管通知书》。

约见谈话时，中国人民银行及其分支机构反洗钱工作人员不得少于 2 人。谈

话结束后，应当填写《反洗钱约谈记录》（附 5）并经被谈话人签字确认。

第三十条 为了解、核实金融机构反洗钱和反恐怖融资政策执行情况以及监

法律合规部

98

管意见整改情况，中国人民银行及其分支机构可以对金融机构开展监管走访。

第三十一条 中国人民银行及其分支机构进行监管走访前，应当填制《反洗

钱监管审批表》及《反洗钱监管通知书》，由本行（营业管理部）行长（主任）

或者分管副行长（副主任）批准。

《反洗钱监管通知书》应当至少提前 5 个工作日送达金融机构。情况特殊需

要立即实施监管走访的，应当在进入金融机构现场时送达《反洗钱监管通知书》。

监管走访时，中国人民银行及其分支机构反洗钱工作人员不得少于 2 人，并

出示合法证件。

中国人民银行及其分支机构应当做好监管走访记录，必要时，可以制发《反

洗钱监管意见书》。

第三十二条 中国人民银行及其分支机构应当持续跟踪金融机构对监管发

现问题的整改情况，对于未合理制定整改计划或者未有效实施整改的，可以启动

执法检查或者进一步采取其他监管措施。

第三十三条 中国人民银行分支机构对金融机构分支机构依法实施行政处

罚，或者在监管过程中发现涉及金融机构总部的重大问题、系统性缺陷的，应当

及时将处罚决定或者监管意见抄送中国人民银行或者金融机构总部所在地中国

人民银行分支机构。

第三十四条 中国人民银行及其分支机构监管人员违反规定程序或者超越

职权规定实施监管的，金融机构有权拒绝或者提出异议。金融机构对中国人民银

行及其分支机构提出的违法违规问题有权提出申辩，有合理理由的，中国人民银

行及其分支机构应当采纳。

第四章 法律责任

第三十五条 中国人民银行及其分支机构从事反洗钱工作的人员，违反本办

法有关规定的，按照《中华人民共和国反洗钱法》第三十条的规定予以处分。

第三十六条 金融机构违反本办法有关规定的，由中国人民银行或者其地市

中心支行以上分支机构按照《中华人民共和国反洗钱法》第三十一条、第三十二

条的规定进行处理；区别不同情形，建议国务院金融监督管理机构依法予以处理。

中国人民银行县（市）支行发现金融机构违反本规定的，应报告其上一级分

支机构，由该分支机构按照前款规定进行处理或提出建议。

法律合规部

99

第五章 附 则

第三十七条 金融集团适用本办法第九条第四款、第十一条至第十三条的规

定。

第三十八条 本办法由中国人民银行负责解释。

第三十九条 本办法自 2021 年 8 月 1 日起施行。本办法施行前有关反洗钱

和反恐怖融资规定与本办法不一致的，按照本办法执行。《金融机构反洗钱监督

管理办法（试行）》（银发〔2014〕344 号文印发）同时废止。

附件：1.反洗钱监管审批表

2.反洗钱监管通知书

3.反洗钱监管意见书

4.反洗钱监管提示函

5.反洗钱约谈记录

法律合规部

100

附件 1：

中国人民银行 行（营业管理部）

反洗钱监管审批表

反洗钱 〔〕 号

反

洗

钱

监

管

立

项

申

请

内

容

项目名称

监管理由

监管依据

监管对象

监管内容

监管期限 年 月 日至 年 月 日

监管方式

（在对应项后打√）

约见谈话□ 现场风险评估□ 监管走访□

监管实施时间 年 月 日至 年 月 日

监管人员 监管组组长：

监管组成员：

备注

审

批

情

况

部门负责人

签字

行（营业管理部）领导

审批签字

法律合规部

101

附件 2：

中国人民银行 行（营业管理部）

反洗钱监管通知书

反洗钱 〔〕 号

=======================================================

（监管对象名称）：

依据《中华人民共和国反洗钱法》《中华人民共和国中国人民银行法》

等法律法规，我行（营业管理部）对你单位实施反洗钱监管，现将有关事项通知

如下：

监管方式：约见谈话□ 监管走访□ 现场风险评估□

（在对应项后打√）

监管内容：

监管期限：

监管实施时间： 年 月 日至 年 月 日

监管组组长：

监管组成员：

所需你单位提供的数据、资料：

请你单位配合监管工作，并提供必要的工作条件。

（公章）

年 月 日

备注：本通知书一式两份，监管机构一份，监管对象一份。

法律合规部

102

附件 3：

中国人民银行 行（营业管理部）

反洗钱监管意见书

反洗钱 〔〕 号

=======================================================

（监管对象名称）：

我行（营业管理部） 于 年 月 日至 年 月 日对你单

位实施了反洗钱监管（现场风险评估□ 监管走访□）活动，特此提出如下监管意

见：

（公章）

年 月 日

法律合规部

103

附件 4：

中国人民银行 行（营业管理部）

反洗钱监管提示函

反洗钱 〔〕 号

=======================================================

（监管对象名称）：

我行（营业管理部）在反洗钱监管中发现你单位存在以下问题，特此提示：

（公章）

年 月 日

法律合规部

104

附件 5：

中国人民银行 行（营业管理部）

反洗钱约谈记录

时 间 地点

谈话对象

机构名称：

被谈话人员及职务：

监管人员 记录人

谈话内容：

谈话人：（签字） 被谈话人：（签字）

法律合规部

105

中国人民银行反洗钱局关于印发《法人金融机构洗钱和恐怖融资风

险自评估指引》的通知（银反洗发〔2021〕1 号）

中国人民银行上海总部金融服务二部，各分行、营业管理部，各省会（首府）城

市中心支行，各副省级城市中心支行反洗钱处；国家开发银行，各政策性银行、

大型商业银行、股份制商业银行，中国银联股份有限公司，银联国际有限公司，

农信银资金清算中心，城市商业银行资金清算中心，中国人寿保险股份有限公司，

中国人民财产保险股份有限公司，银河证券股份有限公司，中信证券股份有限公

司反洗钱部门：

为指导法人金融机构落实有关洗钱和恐怖融资风险自评估工作要求，加快反

洗钱工作向风险为本转型，提升金融体系反洗钱工作有效性，中国人民银行反洗

钱局制定了《法人金融机构洗钱和恐怖融资风险自评估指引》（以下简称《指引》），

现印发给你们，并就《指引》中有关事项通知如下，请遵照执行。

一、金融机构工作安排

（一）法人金融机构应于 2021 年 12 月 31 日前制定或更新本机构洗钱和恐

怖融资风险自评估制度，以符合《指引》的总体要求，并于 2022 年 12 月 31 日

前完成基于新制度的首次自评估。

（二）认定《指引》部分内容不适用本机构，需对评估方法、指标、流程或

组织形式等作出重大调整的，应于 2021 年 6 月 30 日前向具有管辖权的人民银行

总行或分支机构报告。

（三）《法人金融机构洗钱和恐怖融资风险管理指引》有关机构洗钱风险自

评估内容与本《指引》不一致的，以本《指引》为准。

二、监管工作要求

（一）中国人民银行及分支机构反洗钱部门收到法人金融机构关于调整《指

引》适用的报告后，如有不同意见，应在 30 个工作日内向金融机构反馈。

（二）中国人民银行及分支机构反洗钱部门应当将法人金融机构洗钱和恐怖

融资自评估开展情况及结果运用情况作为反洗钱监管重点。

请中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心

支行，各副省级城市中心支行反洗钱处将本通知转发至总部注册于辖区内的各股

法律合规部

106

份制商业银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、村

镇银行、证券公司、期货经纪公司、基金管理公司、保险公司、保险资产管理公

司、信托公司、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金

融公司、消费金融公司、货币经纪公司等金融机构和非银行支付机构、保险专业

代理公司、保险经纪公司，以及汇兑、基金销售、网络小额贷款从业机构反洗钱

部门。

附件：1.法人金融机构洗钱和恐怖融资风险自评估指引

2.法人金融机构洗钱和恐怖融资风险自评估模板

中国人民银行反洗钱局

2021 年 1 月 15 日

法律合规部

107

附件 1：

法人金融机构洗钱和恐怖融资风险自评估指引

第一章 总体要求

第一条 为深入实践风险为本原则，指导法人金融机构落实《国务院办公厅

关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》，识别、评估洗钱

和恐怖融资（以下统称洗钱）风险，优化反洗钱和反恐怖融资（以下统称反洗钱）

资源配置，制定和实施与其风险相称的管理策略、政策和程序，提升反洗钱工作

有效性，根据《中华人民共和国反洗钱法》《中华人民共和国反恐怖主义法》等

法律法规，制定本指引。

第二条 本指引适用于在中国境内依法设立的法人金融机构和非银行支付

机构（以下统称法人金融机构）。

第三条 法人金融机构开展洗钱风险自评估应当遵循以下原则：

（一）全面性原则。覆盖本机构所有经营地域、客户群体、产品业务（含服

务）、交易或交付渠道；覆盖境内外所有与洗钱风险管理相关的分支机构及总部

有关部门；充分考虑各方面风险因素，贯穿决策、执行和监督的全部管理环节。

（二）客观性原则。以客观公正的态度收集有关数据和资料，以充分完整的

事实为依据，力求全面准确地揭示本机构面临的洗钱风险和管理漏洞。

（三）匹配性原则。洗钱风险自评估的性质与程度应当与法人金融机构自身

经营的性质和规模相匹配，国家洗钱风险评估或中国人民银行认可的行业风险评

估报告中认定为中等以下风险水平的行业机构，或经营规模较小、业务种类简单、

客户数量较少的机构可适当简化评估流程与内容。

（四）灵活性原则。机构应根据经营管理、外部环境、监管法规、洗钱风险

状况等因素的变化，及时调整自评估指标和方法。对于风险较高的领域，应当缩

短自评估周期，提高自评估频率。

第四条 法人金融机构应当在本指引的基础上制定具体的洗钱风险自评估

制度。

本指引所述部分内容不适用的，法人金融机构可以在充分考虑各项风险因素

法律合规部

108

及本机构实际情况的基础上进行调整，并向对法人金融机构具有管辖权的人民银

行总行或分支机构报告。有关调整及相应论证应有必要的书面记录。

第五条 洗钱风险自评估目的是为机构洗钱风险管理工作提供必要基础和

依据，法人金融机构应充分运用风险自评估结果，确保反洗钱资源配置、洗钱风

险管理策略、政策和程序与评估所识别的风险相适应。

第二章 评估内容

第六条 风险自评估包括固有风险评估、控制措施有效性评估、剩余风险评

估。

固有风险评估反映在不考虑控制措施的情况下，法人金融机构被利用于洗钱

和恐怖融资的可能性。控制措施有效性评估反映法人金融机构所采取的控制措施

对管理和缓释固有风险的有效程度，进而对尚未得到有效管理和缓释的剩余风险

进行评估。

法人金融机构应当建立与本机构经营规模与复杂程度相匹配的洗钱风险自

评估指标和模型，确保有效识别风险管理漏洞，提高自评估结论的准确性和针对

性。

第七条 法人金融机构固有风险评估应当考虑以下方面：

（一）地域环境；

（二）客户群体；

（三）产品业务（含服务）；

（四）渠道（含交易或交付渠道）。

法人金融机构应当设计科学、合理的固有风险指标，确保充分考虑各类风险

因素。

第八条 法人金融机构在评估地域环境的固有风险时，应当全面考虑经营场

所覆盖地域，分别评估境内各地区和境外各司法管辖区地域风险，境内地区划分

原则上按经营地域范围内的下一级行政区划划分，如全国性机构按省划分，或按

总部对分支机构管理结构划分。对于地理位置相近、经营情况类似的地域可合并

评估。

对各地域的固有风险评估可考虑以下因素：

（一）当地洗钱、恐怖融资与（广义）上游犯罪形势，是否毗邻洗钱、恐怖

法律合规部

109

融资或上游犯罪、恐怖主义活动活跃的境外国家和地区，或是否属于较高风险国

家和地区（至少包括金融行动特别工作组呼吁采取行动的高风险国家、地区和应

加强监控的国家、地区，也可参考国际组织有关避税天堂名单等，以下简称较高

风险和地区）；

（二）接受司法机关刑事查询、冻结、扣划和监察机关、公安机关查询、冻

结、扣划（以下简称刑事查冻扣）中涉及该地区的客户数量、交易金额、资产规

模等；

（三）本机构上报的涉及当地的一般可疑交易和重点可疑交易报告数量及客

户数量、交易金额；

（四）本机构在当地网点数量、客户数量、客户资产规模、交易金额及市场

占有率水平。

第九条 法人金融机构在评估客户群体的固有风险时，应当全面考虑本机构

服务客户群体范围和结构，分别评估各主要客户群体固有风险。客户群体划分可

结合本机构对客户管理的分类，如个人客户、公司客户、机构客户等，有条件的

机构可按照行业（职业）或主要办理业务、建立业务关系方式等角度进一步聚焦

洗钱风险突出的群体。同时，也应对具有高风险特征的客户群体进行评估，如政

治公众人物客户、非居民客户。

对各客户群体的固有风险评估可考虑以下因素：

（一）客户数量、资产规模、交易金额及相应占比；

（二）客户涉有权机关刑事查冻扣、涉人民银行调查的数量与比例；

（三）客户身份信息完整、丰富程度和对客户交易背景、目的了解程度；

（四）识别客户身份不同方式的分布，如当面核实身份、或采取可靠的技术

手段核实身份、通过第三方机构识别身份的比例；

（五）客户风险等级划分的分布结构；

（六）非自然人客户的股权或控制权结构，存在同一控制人风险的情况；

（七）客户来自较高风险国家或地区的情况；

（八）客户办理高风险业务（如现金、跨境、高额价值转移等）的种类和相

应的规模；

（九）客户涉可疑交易报告的数量及不同管控措施的比例；

法律合规部

110

（十）客户属于高风险行业或职业的数量、比例；

（十一）该类型客户是否属于洗钱或上游犯罪高风险群体；

（十二）客户群体涉联合国定向金融制裁名单及其他人民银行要求关注的反

洗钱和反恐怖融资监控名单，或其交易对手涉以上名单的比例。

第十条 法人金融机构在评估产品业务的固有风险时，应当全面考虑本机构

向客户提供的各类产品业务（或服务）。产品业务划分原则上应在本机构产品业

务管理结构的基础上进一步细化，如私人银行业务、国际金融业务、个人银行卡、

理财产品等。业务模式、性质相同且洗钱风险因素不存在重大差异的，可作为同

一类产品业务进行评估。

对各类产品业务的固有风险评估可考虑以下因素：

（一）产品业务规模，如账户数量、管理资产总额，年度交易量等；

（二）是否属于已知存在洗钱案例、洗钱类型手法的产品业务；

（三）产品业务面向的主要客户群体，以及高风险客户数量和相应资产规模、

交易金额和比例；

（四）产品业务销售、办理渠道及相应渠道的风险程度，是否允许他人代办

或难以识别是否本人办理；

（五）产品业务记录跟踪资金来源、去向的程度，与现金的关联程度，现金

交易金额和比例；

（六）产品业务是否可向他人转移价值，包括资产（合约）所有权、受益权

转移，以及转移的便利程度，是否有额度限制，是否可跨境转移；

（七）产品业务是否可作为客户的资产（如储蓄存款、理财产品等），是否

有额度限制，保值程度和流动性如何，是否可便利、快速转换为现金或活期存款；

（八）产品业务是否可作为收付款工具（如结算账户），使用范围、额度、

便利性如何，是否可跨境使用；

（九）产品业务是否可作为其他业务的办理通道或身份认证手段，身份识别

措施是否比原有通道和手段更为简化，是否有额度限制或使用范围限制；

（十）产品业务是否应用可能影响客户尽职调查和资金交易追踪的新技术。

第十一条 法人金融机构在评估渠道的固有风险时，应当全面考虑本机构自

有或通过第三方与客户建立关系、提供服务的渠道。渠道可划分为机构自有实体

法律合规部

111

经营场所、自有互联网渠道、自助设备与终端、第三方实体经营场所、第三方互

联网渠道，银行业机构还应考虑代理行渠道。

对各类渠道的固有风险评估可考虑以下因素：

（一）渠道覆盖范围（线下网点数量与分布区域，线上可及地域范围）及相

应地区（包括境外国家和地区）的风险程度；

（二）通过该渠道建立业务关系的客户数量和风险水平分布；

（三）通过该渠道办理业务的客户数量、交易笔数与金额，办理业务的主要

类型和风险水平。

第十二条 法人金融机构应在分别评估不同地域、不同客户群体、不同产品

业务、不同渠道固有风险的基础上，汇总得出机构地域、客户、产品业务、渠道

四个维度的固有风险评估结果，最终得出对机构整体固有风险的判断。各层次评

估应当包括对主要风险点的分析和总体风险的评价，并给出相应的风险评级，以

便进行地域、客户群体、产品业务、渠道之间的横向对比和不同年度评估结果的

纵向对比。

第十三条 法人金融机构在评估控制措施有效性时，既要从整体上评估机构

反洗钱内部控制的基础与环境、洗钱风险管理机制有效性，也要按照固有风险评

估环节的分类方法，分别对与各类地域、客户群体、产品业务、渠道相应的特殊

控制措施进行评价。

第十四条 对反洗钱内部控制基础与环境的评价可以考虑以下因素：

（一）董事会与高级管理层对洗钱风险管理的重视程度，包括决策、监督跨

部门反洗钱工作事项的情况；

（二）反洗钱管理层级与架构，管理机制运转情况；

（三）反洗钱管理部门的权限和资源，反洗钱工作主要负责人和工作团队的

能力与经验；

（四）机构信息系统建设和数据整合情况，特别是获取、整合客户和交易信

息的能力，以及对信息安全的保护措施；

（五）机构总部监督各部门、条线和各分支机构落实反洗钱政策的机制与力

度，特别是是否将反洗钱纳入内部审计和检查工作范围、发现问题并提出整改意

见；

法律合规部

112

（六）对董事会、高级管理层、总部和分支机构业务条线人员的培训机制。

第十五条 对法人金融机构整体洗钱风险管理机制有效性的评价，可以考虑

以下因素：

（一）高级管理层、反洗钱管理部门和主要业务部门、分支机构了解机构洗

钱风险（包括地域、客户、产品业务、渠道）和经营范围内国家或地区洗钱威胁

的情况；

（二）机构洗钱风险管理政策制定情况，以及政策与所识别风险的匹配程度，

如机构拓展业务范围，包括地域范围、业务范围、客户范围、渠道范围是否考虑

相应的洗钱风险，并经过董事会、高级管理层或适当层级的审议决策；

（三）机构反洗钱内控制度与监管要求的匹配程度，是否得到及时更新，各

条线业务操作规程和系统中内嵌洗钱风险管理措施的情况；

（四）集团层面洗钱风险管理的统一性及集团内信息共享情况（仅集团性机

构、跨国机构适用）；

（五）反洗钱管理部门与业务部门、客户管理部门、渠道部门和各分支机构

沟通机制和信息交流情况；

（六）客户尽职调查与客户风险等级划分和调整工作的覆盖面、及时性和质

量，客户身份资料获取、保存和更新的完整性、准确性、及时性，客户风险等级

划分指标的合理性（包括考虑地域、产品业务、渠道风险的情况），对风险较高

客户采取强化尽职调查和其他管控措施的机制；

（七）大额和可疑交易监测分析与上报机制、流程的合理性，监测分析系统

功能与对信息的获取，监测分析指标和模型设计合理性、修订及时性，监测分析

中考虑地域、客户、产品业务、渠道风险的情况；

（八）交易记录保存完整性和查询、调阅便利性；

（九）名单筛查工作机制健全性，覆盖业务与客户范围的全面性，以及系统

预警和回溯性筛查功能。

第十六条 对不同地域、客户群体、产品业务、渠道有特殊控制措施的，可

以在评估时分别考虑以下因素：

（一）针对地域风险

1、当地分支机构反洗钱合规管理部门设置与人员配备；

法律合规部

113

2、当地分支机构执行总部反洗钱政策情况，内审和检查发现问题及整改情

况；

3、所在国或地区反洗钱监管要求与我国是否存在重要差异，是否有未满足

当地监管要求或我国监管要求的情形；

4、当地分支机构接受反洗钱监管检查、走访情况和后续整改工作；

5、对涉当地线上客户、业务的管控措施；

6、是否因洗钱风险而控制客户、业务规模，减缓或减少经营网点、限制或

停止线上服务等。

（二）针对客户风险

对该客户群在建立业务管理、持续监测和退出环节的特殊管理措施，包括强

化身份识别，交易额度、频次与渠道限制，提高审批层级等。

（三）针对产品业务风险

1、在建立业务关系和后续使用过程中识别、核验客户身份的手段措施，可

获取的客户身份（包括代办人）信息，了解客户交易性质、目的的程度；

2、产品业务交易信息保存的全面性和透明度，可否便捷查询使用；

3、是否纳入可疑交易监测和名单监测范围，或有强化监测情形；

4、是否针对特定情形采取限制客户范围或交易金额、频率、渠道等措施。

（四）针对渠道风险

1、渠道识别与核验客户身份的手段措施及准确性；

2、渠道获取、保存和查询客户与交易信息的能力；

3、与第三方机构、代理行之间客户尽职调查和反洗钱相关工作职责划分与

监督情况；

4、是否针对特定情形采取限制客户范围、产品业务种类、交易金额或频率

等措施。

在评估过程中，可采取映射方式反映同一控制措施与不同固有风险之间的对

应关系，实现对不同维度控制措施有效性和剩余风险的差别化评估。

第十七条 法人金融机构应在综合考虑反洗钱内部控制基础与环境、洗钱风

险管理机制有效性和特殊控制措施基础上，得出对不同地域、客户群体、产品业

务、渠道的风险控制措施有效性评级，再汇总得出地域、客户、产品业务、渠道

法律合规部

114

四个维度的风险控制措施有效性评价和评级，最终得出对机构整体控制措施有效

性的判断。

第十八条 法人金融机构应在整体固有风险评级基础上，考虑整体控制措施

有效性，得出经反洗钱控制后的机构整体剩余风险评级。同时，对于地域、客户

群体、产品业务、渠道维度及细分类别，也应在考虑固有风险与包括特殊控制措

施在内的整体控制措施有效性的基础上，得出相应类别的剩余风险评级。

第十九条 法人金融机构应当合理划分固有风险、控制措施有效性以及剩余

风险的等级。风险等级原则上应分为五级或更高。机构规模较小、业务类型单一

的机构可简化至不少于三级。规模越大、结构越复杂的机构，其设定的风险等级

应当越详细。

第二十条 法人金融机构可以通过固有风险与控制措施有效性二维矩阵方

式（见下表，以固有风险和控制措施有效性均分为五级为例）对照计量机构整体

及不同维度的剩余风险等级，或根据自身的实际情况确定依据固有风险和控制措

施有效性情况计量剩余风险的方法。

第三章 流程和方法

第二十一条 法人金融机构应当指定一名高级管理人员全面负责洗钱风险

自评估工作，建立包括反洗钱牵头部门和业务部门、稽核与内审部门等在内的领

导小组。领导小组应当组织协调自评估整体工作，指导相关业务条线、部门、分

支机构按照评估方案承担本部门、本机构自评估职责，确保自评估的客观性与相

对独立性。各条线、部门、分支机构应充分梳理和反映自身面临的洗钱风险和反

洗钱工作存在的困难与脆弱性，提供自评估工作所必需的数据、信息和支持。

法律合规部

115

法人金融机构可聘请第三方专业机构协助进行评估方案、指标与方法的起草

和内外部信息收集整理等辅助性工作，但评估过程中对各类固有风险、控制措施

有效性及剩余风险的讨论、分析和判断应由领导小组、反洗钱牵头部门及各条线、

部门、分支机构主导完成。不得将自评估工作完全委托或外包至第三方专业机构

完成。

第二十二条 法人金融机构开展全面洗钱风险自评估，一般包括准备阶段、

实施阶段和报告阶段。

第二十三条 法人金融机构应当结合本机构实际情况，充分做好自评估前的

准备工作，包括成立评估工作组，配备相关评估人员和资源，制定评估工作方案，

研究确定或更新评估指标和方法，认真梳理本机构经营地域、客户群体、产品业

务、渠道种类，广泛收集自评估所需的各类信息等。

由于金融产品和业务种类繁多复杂，法人金融机构应当按照科学、合理的分

类标准，认真梳理现有产品业务和渠道的种类。

第二十四条 法人金融机构收集自评估所需的各类信息，应当充分考虑内外

部各方面来源，例如：

（一）金融行动特别工作组（FATF）、亚太反洗钱组织（APG）、欧亚反洗钱

与反恐融资组织（EAG）发布的呼吁采取行动的高风险国家和应加强监控的国家

名单、洗钱类型分析报告和相关行业指引，以及巴塞尔银行监管委员会（BCBS）、

国际证券监管委员会组织（IOSCO）、国际保险监督官协会（IAIS）等国际组织

发布的洗钱风险研究成果；

（二）国家相关部门通报的上游犯罪形势、破获的洗钱案例、洗钱类型分析

报告，以及机构境外经营所在国家或地区洗钱风险评估报告或其他洗钱威胁情况；

（三）中国人民银行、银保监会、证监会、外汇局等金融管理部门发布的洗

钱风险提示和业务风险提示，以及机构境外经营所在国家或地区监管部门风险提

示、指引等；

（四）本机构的客户群体规模信息、特征分析数据，各类金融产品业务和渠

道的发展规模状况、结构分析数据，客户洗钱和恐怖融资风险等级划分以及产品

业务洗钱风险评估结果等；

（五）本机构反洗钱和相关业务制度、工作机制，信息系统建设、运行情况，

法律合规部

116

内部审计情况，必要时查找和了解具体客户、业务、交易或反洗钱工作信息作为

例证；

（六）反洗钱系统记录的各类异常交易排查分析资料，可疑交易报告信息，

内部管理或业务操作中发现的各类风险事件信息；

（七）本机构依托开展客户尽职调查或有其他业务、客户合作的第三方机构

在客户尽职调查、客户身份资料和交易记录保存方面的情况，以及双方信息传递

权利义务划分与执行情况。

第二十五条 法人金融机构实施风险评估应当选取科学合理的评估方法，通

过恰当的书面问卷、现场座谈、抽样调查等形式，定性或定量开展评估。

第二十六条 法人金融机构应当形成书面的自评估报告，经高级管理层审定

后上报董事会或董事会下设的专业委员会审阅，并书面报告对法人机构具有管辖

权的人民银行总行或分支机构。自评估报告应当记录自评估的方法、流程等情况，

重点反映自评估发现的固有风险点、控制措施的薄弱环节和风险隐患，作出明确

评估结论，指明应当予以重点关注的风险领域和拟采取的管控措施，提出有针对

性的风险管理建议。同时，法人金融机构应当做好自评估的指标、方法和相关数

据记录和保存。

第四章 结果运用和管理

第二十七条 法人金融机构应当以自评估报告和结论为基础，制定或持续调

整、完善经高级管理层批准的洗钱风险管理政策、控制措施和程序，并关注控制

措施的执行情况。

针对自评估发现的高风险或较高风险情形，或原有控制措施有效性存在不足

时，应当采取以下一项或多项强化风险管理措施：

（一）根据洗钱风险自评估结论，确定反洗钱工作所需的资源配置和优先顺

序，必要时调整经营策略，确保与风险管理相适应；

（二）根据评估发现的控制措施薄弱环节，加强内控制度建设、工作流程优

化，完善工作机制，严格内部检查和审计；

（三）针对评估发现的高风险客户类型进行优先处理，采取从严的客户接纳

政策或强化的尽职调查，提高对其信息更新的频率，或加强对其的交易监测和限

制；

法律合规部

117

（四）针对评估发现的高风险业务类型采取强化控制措施，在业务准入、交

易频率、交易金额等方面设置限制；

（五）调整和优化交易监测指标与名单监控，对评估发现的高风险业务活动，

进行更频繁深入的审查；

（六）针对评估发现的问题，进行风险提示；

（七）强化信息系统功能建设，支持洗钱风险管理的需要；

（八）其他能够有效控制风险的措施。

法人金融机构制定的改进措施不改变当次洗钱风险自评估结论，其执行效果

应在后续评估中予以考虑。

第二十八条 法人金融机构应当建立洗钱风险自评估成果共享机制，明确共

享的内容、对象和方式，以及信息保密要求，确保相关条线、部门、分支机构知

晓、理解与之相关的洗钱风险特征及程度，以推动洗钱风险管理措施在全系统的

落地执行。

第二十九条 法人金融机构应当动态、持续关注风险变化情况，及时更新完

善本机构的自评估指标及方法，特别是在机构可疑交易监测分析结果或接受外部

协查情况与评估结果出现明显偏差时，应及时分析原因并调整风险评估方法或改

进可疑交易监测模型等措施。

第三十条 法人金融机构应当定期开展本机构洗钱风险自评估，原则上自评

估的周期应不超过 36 个月，机构固有风险或剩余风险处于较高及以上等级的，

自评估周期应不超过 24 个月。

法人金融机构出现以下情形时应及时开展自评估工作：

（一）经济金融和反洗钱法律制度、监管政策作出重大调整，使机构经营环

境或应当履行的反洗钱义务发生重大变化；

（二）公司实际控制人、受益所有人发生变化或公司治理结构发生重大调整；

（三）经营发展策略有重大调整；

（四）内外部风险状况发生显著变化，如出现重大洗钱风险事件；

（五）其他认为有必要评估风险的情形。

第三十一条 在两次自评估间期，法人金融机构应在拟作出以下调整或变化

时，参照本指引第二章相关内容，对相应的地域、客户群体、产品业务、渠道或

法律合规部

118

控制措施开展专项评估，并考虑其对机构整体风险的影响：

（一）在新的境外国家或地区开设分支机构或附属机构；

（二）面向新的客户群体提供产品业务或服务；

（三）开发新的产品业务类型，或在产品业务（包括已有产品业务和新产品

新业务）中应用可能对洗钱风险产生重大影响的新技术；

（四）采用新的渠道类型与客户建立业务关系或提供服务；

（五）对洗钱风险管理的流程、方式、内部控制制度或信息系统等作出重要

变更。

专项评估应由负责管理相应变化因素的部门与反洗钱工作牵头部门共同开

展，于调整或变化实现前完成评估，并根据结果完善或强化洗钱风险控制措施，

确保剩余风险水平处于机构洗钱风险接纳或管理能力范围内。法人金融机构应对

调整后可能的客户、业务、交易等情况作出合理估计，并在评估后持续监测以上

调整或变化实际发生后的风险状况，在 6 至 12 个月的期间内根据最新的客户、

业务、交易等情况更新专项评估结果。

法人金融机构对新产品、新业务和产品业务中应用新技术有更详细、更严格

评估机制的，可直接将该评估结果引用或映射至对新产品业务类型的专项评估当

中。

第三十二条 法人金融机构应当积极加强自评估相关系统建设，建立并定期

维护产品业务种类清单和客户类型清单，逐步实现通过系统准确提取自评估所需

的各类数据信息，提高自评估工作效能。

第三十三条 在法人金融机构洗钱风险自评估及相关工作符合本指引前述

要求的情况下，对于评估发现的低风险情形，可以采取适当的简化措施。但发现

涉嫌洗钱和恐怖融资活动时，不得采取简化措施。

第五章 附 则

第三十四条 境外金融机构在中国境内依法设立的最高层级分支机构（或被

指定为境内报告行的分支机构），应参照本指引开展评估。

若境外金融机构的洗钱风险自评估已覆盖在我国境内分公司，且已充分考虑

本指引要求的各项因素，特别是中国境内与跨境洗钱犯罪威胁形势和手法、中国

境内分支机构客户群体与产品业务、渠道特色，能够实现对中国境内地域、客户

法律合规部

119

群体、产品业务、渠道的洗钱风险评估和管理要求，境外金融机构在我国境内的

分支机构可直接援引其总公司或集团的洗钱风险自评估结论。

具有关联关系的农村信用社、农村商业银行及农村信用联社可根据本机构实

际情况，在确定的层级范围内开展统一的联合风险评估。

银行卡清算机构、资金清算中心等从事支付清算业务的机构，从事汇兑业务、

基金销售业务、保险专业代理和保险经纪业务的机构，以及网络小额贷款公司等

其他从事互联网金融业务的非金融机构开展洗钱风险自评估可参照本指引。

第三十五条 本指引由中国人民银行反洗钱局负责解释。

第三十六条 本指引自印发之日起实行。

法律合规部

120

附件 2：

法律合规部

121

法律合规部

122

中国人民银行反洗钱局关于进一步加强反洗钱信息安全保护工作的

通知（银反洗发〔2020〕12 号）

中国人民银行上海总部金融服务二部，各分行、营业管理部，各省会（首府）城

市中心支行，各副省级城市中心支行反洗钱处；国家开发银行，各政策性银行、

国有商业银行、股份制商业银行，中国邮政储蓄银行，中国银联，银联国际，中

国人寿保险股份有限公司，中国人民财产保险股份有限公司，银河证券股份有限

公司，中信证券股份有限公司，支付宝（中国）网络技术有限公司，财付通支付

科技有限公司反洗钱部门：

近期，全国多地发生义务机构反洗钱信息泄露事件，个别义务机构在履行反

洗钱义务过程中，非法泄露客户洗钱风险等级以及可疑交易、反洗钱调查等反洗

钱信息，甚至个别义务机构员工利用职务之便，登录反洗钱系统违规查询、下载

和出售客户信息。为强化义务机构反洗钱履职过程中的保密意识，进一步做好反

洗钱信息安全保护工作，现就有关事项通知如下：

一、全面落实反洗钱信息安全责任制

各义务机构要高度重视反洗钱信息安全保护工作，切实履行《中华人民共和

国反洗钱法》及相关法律法规明确规定的反洗钱信息安全法定义务，切实增强反

洗钱信息安全意识。义务机构的法定代表人或主要负责人是本机构反洗钱信息安

全的第一责任人，对反洗钱信息安全负全面领导责任。义务机构应将反洗钱信息

安全纳入本单位信息安全整体统一管理，指定工作部门具体承担反洗钱信息安全

工作职责，对反洗钱信息安全负直接管理责任；明确内部涉及反洗钱信息处理不

同岗位的安全职责，建立相应的内部制度，确保本机构各层级、各业务条线高效

履行反洗钱信息安全保护职责。

二、切实推进反洗钱信息安全源头治理

各义务机构要前移反洗钱信息安全保护关口，推进源头预防治理。义务机构

应将反洗钱信息安全要求纳入反洗钱相关系统开发、设计、测试、使用等各个阶

段，在系统建设时对信息保护措施同步规划、同步建设和同步使用。义务机构在

反洗钱法律和行政法规有新的要求并可能对信息安全带来重大影响时，或与反洗

钱信息安全相关的业务模式、信息系统、运行环境发生重大变更时，应组织开展

法律合规部

123

反洗钱信息安全影响评估，形成信息安全影响评估报告，并以此采取针对性措施，

将反洗钱信息安全风险降低到可接受的水平。

三、持续优化反洗钱信息安全内部控制措施

各义务机构要定期梳理排查本机构反洗钱内控制度，排查反洗钱信息安全风

险点，及时修订和完善内控制度，全面堵截内控制度漏洞。增强内部岗位制约，

对反洗钱信息安全管理人员、数据操作人员、审计人员等进行岗位角色分离设置。

强化流程控制和授权管理，完善反洗钱信息批量修改、拷贝、下载、对外传递等

重要操作内部审批流程；设置严格的场景限制，除司法查询、反洗钱行政调查、

执法检查以及其他必要的工作需要外，不得下载反洗钱信息。各义务机构要进一

步优化反洗钱相关系统设置，提高反洗钱信息安全技术防护能力。强化反洗钱信

息的去标识化脱敏处理，将可用于恢复识别个人身份的反洗钱信息与去标识化后

的脱敏信息分开存储并加强访问和使用的权限管理。加强通过界面（如显示屏幕、

纸面）展示反洗钱个人身份信息的管理，降低个人反洗钱身份信息在展示环节的

泄露风险。

四、严格控制反洗钱信息知悉范围

各义务机构要整合反洗钱相关系统的数据资源，鼓励义务机构逐步探索并实

现反洗钱信息统一保管。完善客户身份识别、可疑交易监测分析和线索移送的业

务流程和闭环管理机制，严格控制各部门、各层级人员使用反洗钱相关系统的权

限。义务机构应对依法履行客户身份识别、大额交易和可疑交易报告义务获得的

客户身份资料和交易信息，对依法监测、分析、报告可疑交易和开展名单监控的

有关情况，对配合人民银行反洗钱行政调查、采取临时冻结措施的有关情况予以

保密，非依法律规定不得向任何单位和个人透露和提供。义务机构应明确由反洗

钱牵头部门统一依法向中国反洗钱监测分析中心报送可疑交易报告，避免内部其

他部门或机构对外报送可疑交易报告或相关信息。

五、强化反洗钱从业人员管理

各义务机构应与从事反洗钱信息处理岗位上的相关人员签署保密协议或约

定保密条款，反洗钱信息处理岗位人员原则上应为义务机构正式员工，在调离岗

位或终止劳动合同时，应继续履行保密义务。义务机构应与接触反洗钱信息的外

部服务人员和机构签署保密协议或约定保密条款，并监督其严格遵守反洗钱信息

法律合规部

124

安全规定。

六、加强反洗钱信息安全培训教育

各义务机构应定期对反洗钱相关部门和岗位人员进行反洗钱合规培训和保

密教育。通过入职培训、集中宣传、警示教育及案例剖析等方式，不断强化员工

的反洗钱合规意识、风险意识、信息安全保护意识，培养员工的底线思维，确保

反洗钱岗位人员及相关业务操作人员熟悉反洗钱相关法律法规、业务系统操作流

程，引导其遵循合规性操作要求开展各项工作，逐步建立健全合规文化，为反洗

钱信息安全工作营造良好的企业文化氛围。

七、强化应急处置和报告

各义务机构要制定反洗钱信息安全事件应急预案，定期组织相关人员进行应

急响应培训和应急演练，熟练掌握应急处置策略和规程。义务机构发生反洗钱信

息安全事件后，应及时采取必要措施控制事态，消除隐患，评估事件影响，并按

规定报告反洗钱行政主管部门及其属地分支机构。反洗钱信息安全事件涉及个人

信息泄露的，应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知

客户，难以逐一告知的，应采取合理、有效的方式发布警示信息。

八、加大监督检查和问责考核力度

各义务机构要将反洗钱信息安全保护工作作为内部监督检查和审计的重要

内容。对于监督检查和审计发现的用户异常行为，要逐一核实，发现存在非法查

询、下载、出售反洗钱信息，或非法泄露客户洗钱风险等级、可疑交易、反洗钱

调查等反洗钱信息的，要立即采取相关处置措施，严肃追究相关人员的责任，并

向反洗钱行政主管部门及其属地分支机构报告；涉嫌犯罪的，依法移交司法机关

处理。要进一步完善内部奖惩机制，将反洗钱信息安全的履职情况有机嵌入内部

奖惩考核。

请人民银行上海总部，各分行、营业管理部，各省会（首府）中心支行，各

副省级城市中心支行反洗钱处将本通知转发至辖内法人义务机构，加强对义务机

构反洗钱信息安全工作的监督和管理，充分运用各种现场和非现场监管手段，指

导和督促辖内法人义务机构做好反洗钱信息安全保护工作，对存在违法违规行为

的义务机构要依法依规严肃处理。

法律合规部

125

中国人民银行反洗钱局关于印发《法人金融机构洗钱和恐怖融资风

险管理指引（试行）》的通知（银反洗发〔2018〕19 号）

中国人民银行上海总部金融服务二部，各分行、营业管理部，各省会（首府）城

市中心支行，各副省级城市中心支行反洗钱处；各政策性银行、国有商业银行、

股份制商业银行、中国邮政储蓄银行、中国银联、农信银资金清算中心、城市商

业银行资金清算中心、中国人寿保险股份有限公司、中国人民财产保险股份有限

公司、银河证券股份有限公司、中信证券股份有限公司反洗钱部门：

为引导法人金融机构深入实践风险为本方法，落实《国务院办公厅关于完善

反洗钱、反恐怖融资、反逃税监管体制机制的意见》，加强法人金融机构反洗钱

和反恐怖融资工作，有效预防洗钱及相关违法犯罪活动，根据《中华人民共和国

反洗钱法》、《中华人民共和国反恐怖主义法》《中华人民共和国中国人民银行法》

等法律法规，中国人民银行反洗钱局制定了《法人金融机构洗钱和恐怖融资风险

管理指引（试行）》（以下简称《指引》），现印发给你们，并就《指引》中有关事

项通知如下，请遵照执行。

一、金融机构工作安排

（一）在 2018 年 12 月 31 日之前制定执行《指引》的工作方案，报中国人

民银行反洗钱局或中国人民银行反洗钱局授权对该金融机构实施反洗钱监管的

当地中国人民银行分支机构反洗钱部门。

（二）考虑到非银行支付机构反洗钱工作起步较晚，适当给予其一定时限的

制度执行过渡期，但不应晚于 2019 年 7 月 1 日前执行。

二、监管工作要求

（一）中国人民银行反洗钱局及分支机构反洗钱部门收到金融机构提交的工

作方案及相关报告后，如有不同意见，应在 30 个工作日内向金融机构反馈。

（二）中国人民银行反洗钱局及分支机构反洗钱部门应当将金融机构执行

《指引》要求的完善风险治理架构、制定洗钱风险管理策略等情况，作为反洗钱

监管重点。

请中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心

支行，各副省级城市中心支行反洗钱处将本通知转发至总部注册地在辖区内的各

法律合规部

126

城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、村镇

银行、证券公司、期货经纪公司、基金管理公司、保险公司、保险资产管理公司、

保险专业代理公司、保险经纪公司、信托公司、金融资产管理公司、企业集团财

务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等金融机

构和非银行支付机构反洗钱部门。

附件：法人金融机构洗钱和恐怖融资风险管理指引（试行）

中国人民银行反洗钱局

2018 年 9 月 29 日

法律合规部

127

附件：

法人金融机构洗钱和恐怖融资风险管理指引（试行）

第一章 总 则

第一条 为引导法人金融机构深入实践风险为本方法，落实《关于完善反洗

钱、反恐怖融资、反逃税监管体制机制的意见》，加强法人金融机构反洗钱和反

恐怖融资工作，有效预防洗钱及相关违法犯罪活动，根据《中华人民共和国反洗

钱法》、《中华人民共和国反恐怖主义法》、《中华人民共和国中国人民银行法》等

法律法规，制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的法人金融机构。

第三条 法人金融机构应当高度重视洗钱、恐怖融资和扩散融资风险（以下

统称洗钱风险）管理，充分认识在开展业务和经营管理过程中可能被违法犯罪活

动利用而面临的洗钱风险。任何洗钱风险事件或案件的发生都可能带来严重的声

誉风险和法律风险，并导致客户流失、业务损失和财务损失。

第四条 有效的洗钱风险管理是法人金融机构安全、稳健运行的基础，法人

金融机构及其全体员工应当勤勉尽责，牢固树立合规意识和风险意识，建立健全

洗钱风险管理体系，按照风险为本方法，合理配置资源，对本机构洗钱风险进行

持续识别、审慎评估、有效控制及全程管理，有效防范洗钱风险。

法人金融机构应当考虑洗钱风险与声誉、法律、流动性等风险之间的关联性

和传导性，审慎评估洗钱风险对声誉、运营、财务等方面的影响，防范洗钱风险

传导与扩散。

第五条 法人金融机构洗钱风险管理应当遵循以下主要原则：

（一）全面性原则。洗钱风险管理应当贯穿决策、执行和监督的全过程；覆

盖各项业务活动和管理流程；覆盖所有境内外分支机构及相关附属机构，以及相

关部门、岗位和人员。

（二）独立性原则。洗钱风险管理应当在组织架构、制度、流程、人员安排、

报告路线等方面保持独立性，对业务经营和管理决策保持合理制衡。

（三）匹配性原则。洗钱风险管理资源投入应当与所处行业风险特征、管理

模式、业务规模、产品复杂程度等因素相适应，并根据情况变化及时调整。

法律合规部

128

（四）有效性原则。洗钱风险管理应当融入日常业务和经营管理，根据实际

风险情况采取有针对性的控制措施，将洗钱风险控制在自身风险管理能力范围内。

第六条 洗钱风险管理体系应当包括但不限于以下要素：

（一）风险管理架构；

（二）风险管理策略；

（三）风险管理政策和程序；

（四）信息系统、数据治理；

（五）内部检查、审计、绩效考核和奖惩机制。

第七条 法人金融机构应当积极建设洗钱风险管理文化，促进全体员工树立

洗钱风险管理意识、坚持价值准则、恪守职业操守，营造主动管理、合规经营的

良好文化氛围。

第八条 中国人民银行及其分支机构依法对法人金融机构洗钱风险管理工

作实施监督管理。

第二章 风险管理架构

第九条 法人金融机构应当建立组织健全、结构完整、职责明确的洗钱风险

管理架构，规范董事会、监事会、高级管理层、业务部门、反洗钱管理部门、内

部审计部门、人力资源部门、信息科技部门、境内外分支机构和相关附属机构在

洗钱风险管理中的职责分工，建立层次清晰、相互协调、有效配合的运行机制。

第十条 法人金融机构董事会承担洗钱风险管理的最终责任，主要履行以下

职责：

（一）确立洗钱风险管理文化建设目标；

（二）审定洗钱风险管理策略；

（三）审批洗钱风险管理的政策和程序；

（四）授权高级管理人员牵头负责洗钱风险管理；

（五）定期审阅反洗钱工作报告，及时了解重大洗钱风险事件及处理情况；

（六）其他相关职责。

董事会可以授权下设的专业委员会履行其洗钱风险管理的部分职责。专业委

员会负责向董事会提供洗钱风险管理专业意见。

第十一条 法人金融机构监事会承担洗钱风险管理的监督责任，负责监督董

法律合规部

129

事会和高级管理层在洗钱风险管理方面的履职尽责情况并督促整改，对法人金融

机构的洗钱风险管理提出建议和意见。

第十二条 法人金融机构高级管理层承担洗钱风险管理的实施责任，执行董

事会决议，主要履行以下职责：

（一）推动洗钱风险管理文化建设；

（二）建立并及时调整洗钱风险管理组织架构，明确反洗钱管理部门、业务

部门及其他部门在洗钱风险管理中的职责分工和协调机制；

（三）制定、调整洗钱风险管理策略及其执行机制；

（四）审核洗钱风险管理政策和程序；

（五）定期向董事会报告反洗钱工作情况，及时向董事会和监事会报告重大

洗钱风险事件；

（六）组织落实反洗钱信息系统和数据治理；

（七）组织落实反洗钱绩效考核和奖惩机制；

（八）根据董事会授权对违反洗钱风险管理政策和程序的情况进行处理；

（九）其他相关职责。

第十三条 法人金融机构应当任命或授权一名高级管理人员牵头负责洗钱

风险管理工作，其有权独立开展工作，直接向董事会报告洗钱风险管理情况。法

人金融机构应当确保其能够充分获取履职所需的权限和资源，避免可能影响其有

效履职的利益冲突。

牵头负责洗钱风险管理工作的高级管理人员应当具备较强的履职能力和职

业操守，同时具有五年以上合规或风险管理工作经历，或者具有所在行业十年以

上工作经历。法人金融机构任命上述高级管理人员，应当按照规定向中国人民银

行或当地人民银行备案。

第十四条 反洗钱管理部门牵头开展洗钱风险管理工作，推动落实各项反洗

钱工作，主要履行以下职责：

（一）制定起草洗钱风险管理政策和程序；

（二）贯彻落实反洗钱法律法规和监管要求，建立健全反洗钱内部控制制度

及内部检查机制；

（三）识别、评估、监测本机构的洗钱风险，提出控制洗钱风险的措施和建

法律合规部

130

议，及时向高级管理层报告；

（四）持续检查洗钱风险管理策略及洗钱风险管理政策和程序的执行情况，

对违反风险管理政策和程序的情况及时预警、报告并提出处理建议；

（五）建立反洗钱工作协调机制，指导业务部门开展洗钱风险管理工作；

（六）组织或协调各相关部门开展客户洗钱风险分类管理；

（七）组织落实交易监测和名单监控的相关要求，按照规定报告大额交易和

可疑交易；

（八）牵头配合反洗钱监管，协调配合反洗钱行政调查；

（九）组织或协调相关部门开展反洗钱宣传和培训、建立健全反洗钱绩效考

核和奖惩机制、建设完善反洗钱信息系统。

第十五条 业务部门承担洗钱风险管理的直接责任，主要履行以下职责：

（一）识别、评估、监测本业务条线的洗钱风险，及时向反洗钱管理部门报

告；

（二）建立相应的工作机制，将洗钱风险管理要求嵌入产品研发、流程设计、

业务管理和具体操作；

（三）开展或配合开展客户身份识别和客户洗钱风险分类管理，采取针对性

的风险应对措施；

（四）以业务（含产品、服务）的洗钱风险评估为基础，完善各项业务操作

流程；

（五）完整并妥善保存客户身份资料及交易记录；

（六）开展或配合开展交易监测和名单监控，确保名单监控有效性，按照规

定对相关资产和账户采取管控措施；

（七）配合反洗钱监管和反洗钱行政调查工作；

（八）开展本业务条线反洗钱工作检查；

（九）开展本业务条线反洗钱宣传和培训；

（十）配合反洗钱管理部门开展其他反洗钱工作。

第十六条 第十四条、第十五条所述反洗钱工作职责、事项，涉及运营管理、

风险管理、法律事务、财务会计、安全保卫等其他部门的，法人金融机构应当就

上述部门对相关工作的职责分工进行明确规定。

法律合规部

131

第十七条 内部审计部门负责对反洗钱法律法规和监管要求的执行情况、内

部控制制度的有效性和执行情况、洗钱风险管理情况进行独立、客观的审计评价。

未设立审计部门的法人金融机构，应当明确相关工作由承担审计职能的其他

部门承担，并保证相关工作的独立性。

第十八条 人力资源部门负责洗钱风险管理的人力资源保障，结合洗钱风险

管理需求，合理配置洗钱风险管理职位、职级和职数，选用符合标准的人员，建

立反洗钱绩效考核和奖惩机制，为反洗钱宣导和培训提供支持。

第十九条 信息科技部门负责反洗钱信息系统及相关系统的开发、日常维护

及升级等工作，为洗钱风险管理提供必要的硬件设备和技术支持，根据相关数据

安全和保密管理等监管要求，对客户、账户、交易信息及其他相关电子化信息进

行保管和处理。

第二十条 法人金融机构应当加强对境内外分支机构和相关附属机构的管

理指导和监督，采取必要措施保证洗钱风险管理

政策和程序在境内外分支机构和相关附属机构得到充分理解与有效执行，保

持洗钱风险管理的一致性和有效性。

对于在境外设有分支机构或相关附属机构的法人金融机构，如果本指引的要

求比所驻国家或地区的相关规定更为严格，但所驻国家或地区法律禁止或限制境

外分支机构和相关附属机构实施本指引，法人金融机构应当采取适当的其他措施

应对洗钱风险，并向中国人民银行报告。如果其他措施无法有效控制风险，法人

金融机构应当考虑在适当情况下关闭境外分支机构或相关附属机构。

第二十一条 金融控股公司（集团）应当在集团层面实施统一的洗钱风险管

理政策和程序，结合各专业公司的业务和产品特点，以客户为单位，建立适用于

集团层面的可疑交易监测体系有效识别和应对跨市场、跨行业和跨机构的洗钱风

险，防范洗钱风险在不同专业公司间的传导。

第二十二条 法人金融机构反洗钱资源配置应当与其业务发展相匹配，配备

充足的洗钱风险管理人员，其中：反洗钱管理部门应当配备专职洗钱风险管理岗

位（反洗钱岗位）人员，业务部门、境内外分支机构及相关附属机构应当根据业

务实际和洗钱风险状况配备专职或兼职洗钱风险管理岗位（反洗钱岗位）人员。

法人金融机构应当从制度建设、业务审核、风险评估、系统建设、监测分析、合

法律合规部

132

规制裁、案件管理等角度细分洗钱风险管理岗位（反洗钱岗位）。洗钱风险管理

岗位（反洗钱岗位）职级不得低于法人金融机构其他风险管理岗位职级，不得将

洗钱风险管理岗位（反洗钱岗位）简单设置为操作类岗位或外包。从事监测分析

工作的人员配备应当与本机构的可疑交易甄别分析工作量相匹配。专职人员应当

具有三年以上金融行业从业经历，专职人员和兼职人员均应当具备必要的履职能

力和职业操守。

法人金融机构有条件配备专职人员的，不得以兼职人员替代专职人员。兼职

人员占全部洗钱风险管理人员的比例不得高于 80％

第二十三条 法人金融机构在聘用员工、任命或授权高级管理人员、选用洗

钱风险管理人员、引入战略投资者或在主要股东和控股股东入股之前，应当对其

是否涉及刑事犯罪、是否存在其他犯罪记录及过往履职经历等情况进行充分的背

景调查，评估可能存在的洗钱风险。

第二十四条 法人金融机构应当赋予反洗钱管理部门、业务部门、审计部门

等部门及洗钱风险管理人员充足的资源和授权，在组织架构、管理流程等方面确

保其工作履职的独立性，保证其能够及时获得洗钱风险管理所需的数据和信息，

满足履行洗钱风险管理职责的需要。

第二十五条 法人金融机构应当持续开展各类反洗钱宣传和培训，促进洗钱

风险管理文化得到充分传导，全面提高全体员工的反洗钱知识、技能和意识，确

保全体员工能够适应所在岗位的反洗钱履职需要。

第三章 风险管理策略

第二十六条 法人金融机构应当制定科学、清晰、可行的洗钱风险管理策略，

完善相关制度和工作机制，合理配置、统筹安排人员、资金、系统等反洗钱资源，

并定期评估其有效性。洗钱风险管理策略应当根据洗钱风险状况及市场变化及时

进行调整。

第二十七条 法人金融机构应当在建设全面风险管理文化、制定全面风险管

理策略、制定全面风险管理政策和程序时统筹考虑洗钱风险管理，将洗钱风险纳

入全面风险管理体系。洗钱风险管理策略应当与其全面风险管理策略相适应。

第二十八条 法人金融机构应当按照风险为本方法制定洗钱风险管理策略，

在识别和评估洗钱风险的基础上，针对风险较低的情形，采取简化的风险控制措

法律合规部

133

施；针对风险较高的情形，采取强化的风险控制措施；超出机构风险控制能力的，

不得与客户建立业务关系或进行交易，已经建立业务关系的，应当中止交易并考

虑提交可疑交易报告，必要时终止业务关系。

第二十九条 法人金融机构应当积极开展普惠金融工作，根据本机构业务实

际、客户的群体属性、洗钱风险评估结果和监管部门的要求，在有效管理洗钱风

险的基础上，采取合理的客户身份识别措施，为社会不同群体提供差异化、有针

对性的金融服务。

第四章 风险管理政策和程序——方法

第三十条 法人金融机构应当制定洗钱风险管理政策和程序，包括但不限于

反洗钱内部控制制度（含流程、操作指引）；洗钱风险管理的方法；应急计划；

反洗钱措施；信息保密和信息共享。

第三十一条 法人金融机构应当建立健全反洗钱内部控制制度，加强统一管

理，规范制度制定和审批程序，明确发文种类、层级和对象。

反洗钱内部控制制度应当全面覆盖反洗钱法律法规和监管要求，并与本机构

业务实际相适应。在反洗钱法律法规、监管要求或业务发展情况发生变化时，法

人金融机构应当及时更新反洗钱内部控制制度。

第三十二条 洗钱风险识别与评估是有效的洗钱风险管理的基础。法人金融

机构应当建立洗钱风险评估制度，对本机构内外部洗钱风险进行分析研判，评估

本机构风险控制机制的有效性，查找风险漏洞和薄弱环节，有效运用评估结果，

合理配置反洗钱资源，采取有针对性的风险控制措施。

评估结果的运用包括但不限于以下方面：调整经营策略、发布风险提示、完

善制度流程、增强资源投入、加强账户管理和交易监测、强化名单监控、严格内

部检查和审计等。

法人金融机构应当确保洗钱风险评估的流程具有可稽核性或可追溯性，并对

洗钱风险评估的流程和方法进行定期审查和调整。

法人金融机构可以在充分论证可行性的基础上委托独立第三方开展风险评

估。

第三十三条 法人金融机构在广泛收集信息的基础上，采取定性与定量分析

相结合的方法，建立洗钱风险评估指标体系和模型对洗钱风险进行识别和评估。

法律合规部

134

第三十四条 法人金融机构应当根据风险评估需要，统筹确定各类信息的来

源及其采集方法。信息来源应当考虑国家、行业、客户、地域、机构等方面，包

括但不限于以下来源：

（一）金融行动特别工作组（FATF）、亚太反洗钱组织（APG）、欧亚反洗钱

与反恐融资组织（EAG）、巴塞尔银行监管委员会（BIS）、国际证券监管委员会

组织（IOSCO）、国际保险监督官协会（IAIS）等国际组织、国家和行业的风险评

估报告、研究成果、形势分析、工作数据等

（二）国家相关部门通报的上游犯罪形势、案例或监管信息；

（三）中国人民银行、银保监会、证监会、外汇局等金融监管部门发布的洗

钱风险提示和业务风险提示；

（四）在与客户建立业务关系时和业务关系存续期间，客户披露的信息、客

户经理或柜面人员工作记录、保存的交易记录、委托其他金融机构或第三方对客

户进行尽职调查工作所获取的合法信息；

（五）内部管理或业务流程中获取的信息，包括内部审计结果。

法人金融机构应当将信息采集嵌入相应业务流程，由各业务条线工作人员依

据岗位职责、权限设置等开展信息采集。必要时通过问卷调查等方式，开展针对

性的信息采集

第三十五条 法人金融机构应当从国家/地域、客户及业务（含产品、服务）

等维度进行综合考虑，确立风险因素，设置风险评估指标。

国家/地域风险因素应当考虑：1.在高风险国家（地区）设立境外分支机构情

况；2.交易对手或对方金融机构涉及高风险国家（地区）情况；3.境外分支机构

数量及地域分布情况；4.高风险国家（地区）经营收入占比等。

客户风险因素应当考虑：1.非居民客户数量占比；2.离岸客户数量占比；3.政

治公众人物客户数量占比；4.使用不可核查证件开户客户数量占比；5.职业不明

确客户数量占比；6.高风险职业（行业）客户数量占比；7.由第三方代理建立业

务关系客户数量占比；8.来自高风险国家（地区）的客户情况；9.被国家机关调

查的客户情况等。

业务（含产品、服务）风险因素应当考虑：1.现金交易情况；2.非面对面交

易情况；3.跨境交易情况；4.代理交易情况；5.公转私交易情况；6.私人银行业务

法律合规部

135

情况；7.特约商户业务情况；8.一次性交易情况；9.通道类资产管理业务情况；10.

场外交易情况：11.大宗交易情况；12.新三板协议转让业务；13.场外衍生品业务；

14.保单贷款业务等。

法人金融机构应从制度体系、组织架构和洗钱风险管理文化的建设情况、洗

钱风险管理策略、风险评估制度和风险控制措施的制定和执行情况等维度进行综

合考虑，设置风险控制措施有效性的评估指标。

评估指标的具体比重及分值设置由法人金融机构根据有效的洗钱风险管理

需要自主确定。

第三十六条 洗钱风险评估包括定期评估和不定期评估。法人金融机构应当

根据本机构实际和国家/区域洗钱风险评估需要，合理确定定期开展全系统洗钱

风险评估的时间、周期或频率。

不定期评估包括对单项业务（含产品、服务）或特定客户的评估，以及在内

部控制制度有重大调整、反洗钱监管政策发生重大变化、拓展新的销售或展业渠

道、开发新产品或对现有产品使用新技术、拓展新的业务领域、设立新的境外机

构、开展重大收购和投资等情况下对全系统或特定领域开展评估。

为有效开展洗钱风险评估工作，法人金融机构应当建立并维护业务（含产品、

服务）类型清单和客户种类清单。

第三十七条 法人金融机构应当根据洗钱风险评估结果，结合客户身份识别、

客户身份资料和交易记录保存、交易监测、大额交易和可疑交易报告、名单监控、

资产冻结等反洗钱义务制定风险控制措施，并融入相关业务操作流程，有效控制

洗钱风险。

第三十八条 法人金融机构应当建立内部不同层次的洗钱风险报告制度。境

内外分支机构、相关附属机构应当及时向总部反洗钱管理部门报告洗钱风险情况；

各业务条线、业务部门应当及时向反洗钱管理部门报告洗钱风险情况，包括风险

调整变动情况、风险评估结果等；反洗钱管理部门应当及时向董事会和高级管理

层报告洗钱风险情况，包括洗钱风险管理策略、政策、程序、风险评估制度、风

险控制措施的制定和执行情况以及洗钱风险事件等。

第三十九条 法人金融机构应当制定应急计划，确保能够及时应对和处理重

大洗钱风险享件、境内外有关反洗钱监管措施、重大洗钱负面新闻报道等紧急、

法律合规部

136

危机情况，做好舆情监测，避免引发声誉风险。应急计划应当说明可能出现的重

大风险情况及应当采取的措施。法人金融机构的应急计划应当涵盖对境内外分支

机构和相关附属机构的应急安排。

第四十条 法人金融机构应当通过妥善方式记录开展洗钱风险管理的工作

过程，采取必要的管理措施和技术手段保存工作资料，保存方式应当保证洗钱风

险管理人员获取相关信息的便捷性。

第四十一条 法人金融机构应当健全内部控制机制，按照《中华人民共和国

反洗钱法》、《中华人民共和国国家安全法》《中华人民共和国网络安全法》和有

关保密规定，严格保护反洗钱工作中获得的信息，非依法律规定，不得向任何单

位和个人提供。

法人金融机构应当建立跨境信息保密保障措施，对于在开展跨境业务、应对

跨境监管等过程中所涉的客户、账户和交易信息、可疑交易报告等信息，应当严

格控制跨境信息知悉范围和程度，建立完善的内部跨境信息传递体系、风险控制

流程和授权审批机制。

境外有关部门因反洗钱和反恐怖融资需要要求其提供客户、账户、交易信息

及其他相关信息的，法人金融机构应当告知对方通过外交途径、司法协助途径或

金融监管合作途径等提出请求不得擅自提供。有关国内司法冻结、司法查询、可

疑交易报告、行政机构反洗钱调查等信息不得对外提供。

境外清算代理行因反洗钱和反恐怖融资需要要求提供除汇款信息、单位客户

注册信息等以外的客户身份信息、交易背景信息的，法人金融机构应当在获得客

户授权同意后提供；客户不同意或未获得客户授权同意的，法人金融机构不得提

供。

第四十二条 出于洗钱风险管理需要，法人金融机构应当建立内部信息共享

制度和程序，根据信息敏感度及其与洗钱风险管理的相关性确定信息共享的范围

和程度，制定适当的信息共享机制，明确信息安全和保密要求，建立健全信息共

享保障措施，确保信息的及时、准确、完整传递。

法人金融机构反洗钱管理部门、审计部门等部门为履行反洗钱工作职责，有

权要求境内外分支机构和相关附属机构提供客户、账户、交易信息及其他与洗钱

风险管理相关的信息。

法律合规部

137

第五章 风险管理政策和程序——措施

第四十三条 法人金融机构按照反洗钱法律法规和监管要求所采取的客户

身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告等措施是满

足反洗钱合规性要求的最低标准，情节严重的违法行为将受到处罚。为有效管理

洗钱风险，法人金融机构应当在此基础上，采取更有针对性、更严格、更有效的

措施。

第四十四条 法人金融机构应当按照规定建立健全和执行客户身份识别制

度，遵循“了解你的客户”的原则，针对具有不同洗钱风险的客户、业务关系或交

易，采取相应的控制措施，通，过可靠和来源独立的证明文件、数据信息和资料

核实客户身份了解客户建立、维持业务关系的目的及性质，了解实际控制客户的

自然人和交易的实际受益人。

客户身份识别措施包括但不限于以下方面：在建立业务关系时的客户身份识

别措施、在业务关系存续期间的持续识别和重新识别措施、非自然人客户受益所

有人的识别措施、对特定自然人和特定类别业务的客户身份识别措施以及客户洗

钱风险分类管理措施等。

在建立业务关系时，法人金融机构为不影响正常交易，可以在建立业务关系

后完成对客户的身份核实，但应当建立相应的风险管理机制和程序，确保客户洗

钱和恐怖融资风险可控。在业务关系存续期间，法人金融机构应详细审查保存的

客户资料和交易，及时更新客户身份信息，确保当前进行的交易与客户身份背景

相匹配。

第四十五条 法人金融机构应当按照规定建立客户身份资料和交易记录保

存制度，强化内部管理措施，更新技术手段，逐步完善相关信息系统，统筹考虑

保存范围、方式和期限，确保客户身份信息和交易记录完整准确。法人金融机构

应当建立适当的授权机制，明确工作程序，按照规定将客户身份信息和交易记录

迅速、便捷、准确地提供给监管机构、执法机构等部门。

第四十六条 法人金融机构应当构建以客户为基本单位的交易监测体系，交

易监测范围应当覆盖全部客户和业务领域，包括客户的交易、企图进行的交易及

客户身份识别的整个过程。法人金融机构应当根据本行业、本机构反洗钱工作实

践和真实数据，重点参考本行业发生的洗钱案件及风险信息，结合客户的身份特

法律合规部

138

征、交易特征或行为特征，建立与其面临的洗钱风险相匹配的监测标准，并根据

客户、业务（含产品、服务）和洗钱风险变化情况及时调整。

第四十七条 法人金融机构应当建立健全大额交易和可疑交易报告制度，按

照规定及时、准确、完整向中国反洗钱监测分析中心或中国人民银行及其分支机

构提交大额交易和可疑交易报告。

法人金融机构应当结合实际探索符合本机构特点的可疑交易报告分析处理

模式，运用信息系统与人工分析相结合的方式，完整记录可疑交易分析排除或上

报的全过程，完善可疑交易报告流程，提高可疑交易报告质量。

法人金融机构在报送可疑交易报告后，应当根据中国人民银行的相关规定采

取相应的后续风险控制措施，包括对可疑交易所涉客户及交易开展持续监控、提

升客户风险等级、限制客户交易、拒绝提供服务、终止业务关系、向相关金融监

管部门报告、向相关侦查机关报案等。

第四十八条 法人金融机构应当建立反洗钱和反恐怖融资监控名单库，并及

时进行更新和维护。监控名单包括但不限于以下内容：

（一）公安部等我国有权部门发布的恐怖活动组织及恐怖活动人员名单；

（二）联合国发布的且得到我国承认的制裁决议名单；

（三）其他国际组织、其他国家（地区）发布的且得到我国承认的反洗钱和

反恐怖融资监控名单；

（四）中国人民银行要求关注的其他反洗钱和反恐怖融资监控名单；

（五）洗钱风险管理工作中发现的其他需要监测关注的组织或人员名单。

第四十九条 法人金融机构应当对监控名单开展实时监测涉及资金交易的

应当在资金交易完成前开展监测，不涉及资金交易的应当在办理相关业务后尽快

开展监测。在名单调整时，法人金融机构应当立即对存量客户以及上溯三年内的

交易开展回溯性调查，并按规定提交可疑交易报告。

法人金融机构在洗钱风险管理工作中发现的其他需要监测关注的组织或人

员名单，可以根据洗钱风险管理需要自主决定是否开展实时监测和回溯性调查。

实时监测和回溯性调查应当运用信息系统与人工分析相结合的方式，通过信

息系统实现监控名单精准匹配的自动识别工作，或先通过信息系统实现监控名单

模糊匹配的初步筛查，再通过人工分析完成监控名单模糊匹配的最终识别工作。

法律合规部

139

交易的回溯性调查可以采取信息系统实时筛查与后台数据库检索查询相结合的

方式开展。

第五十条 有合理理由怀疑客户或其交易对手、资金或其他资产与监控名单

相关的，应当按照规定立即提交可疑交易报告。客户与监控名单匹配的，应当立

即采取相应措施并于当日将有关情况报告中国人民银行和其他相关部门。具体措

施包括但不限于停止金融账户的开立、变更、撤销和使用，暂停金融交易，拒绝

转移、转换金融资产，停止提供出口信贷、担保、保险等金融服务，依法冻结账

户资产。暂时无法准确判断客户与监控名单是否相匹配的，法人金融机构应当按

照风险管理原则，采取相应的风险控制措施并进行持续交易监控。

第五十一条 法人金融机构应当有效识别高风险业务（含产品、服务），并

对其进行定期评估、动态调整。

对于高风险业务（含产品、服务），如建立账户代理行关系、提供资金或价

值转移服务、办理电汇业务等，法人金融机构应按照相关法律法规的要求，开展

进一步的强化尽职调查措施，并结合高风险业务（含产品、服务）典型风险特征

及时发布风险提示。

第五十二条 法人金融机构应当制定并执行清晰的客户接纳政策和程序，明

确禁止建立业务关系的客户范围，有效识别高风险客户或高风险账户，并对其进

行定期评估、动态调整。对于高风险客户或高风险账户持有人，包括客户属于政

治公众人物、国际组织高级管理人员及其特定关系人或来自高风险国家（地区）

的，法人金融机构应当在客户身份识别要求的基础上采取强化措施，包括但不限

于进一步获取客户及其受益所有人身份信息，适当提高信息的收集或更新频率，

深入了解客户经营活动状况、财产或资金来源，询问与核实交易的目的和动机，

适度提高交易监测的频率及强度，提高审批层级等，并加强对其金融交易活动的

跟踪监测和分析排查。

第六章 信息系统和反洗钱数据、信息

第五十三条 法人金融机构应当建立完善以客户为单位，覆盖所有业务（含

产品、服务）和客户的反洗钱信息系统，及时、准确、完整采集和记录洗钱风险

管理所需信息，对洗钱风险进行识别、评估、监测和报告，并根据洗钱风险管理

需要持续优化升级系统。

法律合规部

140

第五十四条 反洗钱信息系统及相关系统应当包括但不限于以下主要功能，

以支持洗钱风险管理的需要。

（一）支持洗钱风险评估，包括业务洗钱风险评估和客户洗钱风险分类管理；

（二）支持客户身份识别、客户身份资料及交易记录等反洗钱信息的登记、

保存、查询和使用；

（三）支持反洗钱交易监测和分析；

（四）支持大额交易和可疑交易报告；

（五）支持名单实时监控和回溯性调查；

（六）支持反洗钱监管和反洗钱调查。

第五十五条 在保密原则基础上，法人金融机构应当根据工作职责合理配置

本机构各业务条线、各境内外分支机构和相关附属机构、各岗位的信息系统使用

权限，确保各级人员有效获取洗钱风险管理所需信息，满足实际工作需要。

第五十六条 法人金融机构应当加强数据治理，建立健全数据质量控制机制，

积累真实、准确、连续、完整的内外部数据，用于洗钱风险识别、评估、监测和

报告。反洗钱数据的存储和使用应当符合数据安全标准、满足保密管理要求。

法人金融机构不得违反规定设置信息壁垒，阻止或影响其他法人金融机构正

常获取开展反洗钱工作所必需的信息和数据。

第七章 内部检查、审计、绩效考核和奖惩机制

第五十七条 法人金融机构应当对业务部门、境内外分支机构、相关附属机

构开展定期或不定期的反洗钱工作检查，对检查结果进行分析，对发现的问题进

行积极整改。检查结果与业务部门、境内外分支机构、相关附属机构绩效考核和

管理授权挂钩。

第五十八条 法人金融机构应当通过内部审计开展洗钱风险管理的审计评

价，检查和评价洗钱风险管理的合规性和有效性，确保各项业务自身管理与其洗

钱风险管理工作相匹配，反洗钱内部控制有效。审计范围、方法和频率应当与洗

钱风险状况相适应。反洗钱内部审计可以是专项审计或与其他审计项目结合进行。

法人金融机构应当确保反洗钱内部审计活动独立于业务经营、风险管理和合

规管理，遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操

守。

法律合规部

141

反洗钱内部审计报告应当提交董事会或其授权的专门委员会。董事会或其授

权的专门委员会应当针对内部审计发现的问题，督促高级管理层及时采取整改措

施。内部审计部门应当跟踪检查整改措施的实施情况，涉及重大问题的整改情况，

应及时向董事会或其授权的专门委员会提交有关报告。

第五十九条 法人金融机构委托外部审计机构对洗钱风险管理工作开展评

价的，外部审计必须确保审计范围和方法科学合理，审计人员具有必要的专业知

识和经验，审计工作应当满足反洗钱保密要求。

第六十条 法人金融机构应当将反洗钱工作评价纳入绩效考核体系，将董事、

监事、高级管理人员、洗钱风险管理人员的洗钱风险管理履职情况和业务部门、

境内外分支机构和相关附属机构的洗钱风险管理履职情况纳入绩效考核范围。

法人金融机构应当建立反洗钱奖惩机制，对于发现重大可疑交易线索或防范、

遏止相关犯罪行为的员工给予适当的奖励或表扬；对于未有效履行反洗钱职责、

受到反洗钱监管处罚、涉及洗钱犯罪的员工追究相关责任。

第八章 附 则

第六十一条 未设立董事会和监事会的法人金融机构，由其高级管理层承担

洗钱风险管理的最终责任，履行相应职责，并指定一个独立于反洗钱管理部门的

内设部门承担洗钱风险管理的监督职责。

法人金融机构根据本机构业务实际对反洗钱信息系统及其他相关系统的开

发、日常维护及升级等工作作出其他安排的，应当确保相关安排满足洗钱风险管

理需要。

第六十二条 非银行支付机构、从事汇兑业务和基金销售业务的机构，以及

银行卡清算机构、资金清算中心等从事清算业务的机构参照本指引开展洗钱风险

管理。

第六十三条 本指引由中国人民银行负责解释。

第六十四条 本指引自 2019 年 1 月 1 日起施行。

法律合规部

142

中国人民银行关于印发《法人金融机构反洗钱分类评级管理办法

（试行）》的通知》（银发〔2017〕1 号）

中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，

各副省级城市中心支行：

为落实法人监管原则，有效实施法人金融机构反洗钱监管，合理配置资源，

提高监管效率，根据《中华人民共和国反洗钱法》、《中华人民共和国反恐怖主义

法》等法律法规及反洗钱监管规定，中国人民银行制定了《法人金融机构反洗钱

分类评级管理办法（试行）》，现印发给你们，并就有关事项通知如下，请遵照执

行。

一、中国人民银行分支机构开展法人金融机构反洗钱分类评级，原则上由地

市中心支行及以上分支机构组织。副省级城市中心支行及以上分支机构可以根据

反洗钱工作需要，指导县（市）支行对其辖区内法人金融机构开展反洗钱分类评

级。

二、中国人民银行分支机构应当按年度对辖区内全部法人金融机构开展反洗

钱分类评级。辖区内法人金融机构数量较多的，可以根据当地实际，分批次开展

反洗钱分类评级，但最迟应当于 2018 年底前完成全部法人金融机构的首次评级

工作。

三、中国人民银行分支机构对规模较小的地方性法人金融机构（包括村镇银

行、农村信用合作社等）开展反洗钱分类评级工作，可根据当地具体情况，适当

调整评级指标和标准、简化评级流程。

中国人民银行分支机构根据有关规定对非银行支付机构开展分类评级、《支

付业务许可证》续展审核等工作，涉及反洗钱内容的，可以适当援引或参考对非

银行支付机构的反洗钱分类评级结果。

附件：法人金融机构反洗钱分类评级管理办法（试行）

中国人民银行

2017 年 1 月 3 日

法律合规部

143

附件：

法人金融机构反洗钱分类评级管理办法（试行）

第一章 总 则

第一条 为有效实施法人金融机构反洗钱监管，合理配置监管资源，提高监

管效率，根据《中华人民共和国反洗钱法》、《中华人民共和国反恐怖主义法》等

法律法规及反洗钱监管规定，制定本办法。

第二条 本办法适用于在中华人民共和国境内依法设立的法人金融机构。

第三条 反洗钱分类评级是指中国人民银行及其分支机构以反洗钱监管档

案为依托，结合日常监管情况，按本办法对法人金融机构反洗钱工作的合规性与

有效性进行评价，确定相应等级。

中国人民银行及其分支机构按照监管分工对法人金融机构开展反洗钱分类

评级。

第四条 中国人民银行及其分支机构根据法人金融机构的分类评级结果采

取差异化、针对性的监管措施。

第五条 法人金融机构应当对报送的分类评级工作信息资料及证明材料的

真实性、完整性、准确性负责。

第二章 评级指标及方法

第六条 评级指标包括设计指标、执行指标和检验指标。

（一）设计指标：主要评价法人金融机构洗钱风险控制体系建设、工作机制

运作等情况，包括制度完善程度、机制合理性、技术保障能力、人员配备与资质

情况等内容。

（二）执行指标：主要评价法人金融机构反洗钱义务履行、对高风险客户和

高风险业务管理措施、自主风险管控能力等情况，包括客户身份识别、客户资料

和交易记录保存、大额交易和可疑交易报告、对高风险客户的特别措施、对高风

险业务的针对性措施、宣传培训、自主管理与审计等内容。

（三）检验指标：主要评价法人金融机构洗钱风险防控效果、接受及配合中

国人民银行及其分支机构监管等情况，包括配合行政调查、接受现场检查及被处

罚情况、配合监管工作情况、洗钱风险防控成果、有无重大违规事项、基层行评

法律合规部

144

价、专业监管部门评价等内容。

第七条 中国人民银行及其分支机构按照《法人金融机构反洗钱分类评级标

准》（附 1），在 100 分基准分基础上，对评级指标逐项评价计分，确定法人金融

机构的评级分数。

第八条 中国人民银行按照风险为本的方法和法人监管的原则，根据反洗钱、

反恐怖融资工作需要，结合年度监管重点，适时调整评级标准和指标。

第三章 评级结果及运用

第九条 根据法人金融机构的评分及本办法规定的特定情形，中国人民银行

及其分支机构对法人金融机构实施分类管理，分为 A（AAA、AA、A）、B（BBB、

BB、B）、C（CCC、CC、C）、D、E 共 5 类 11 级。

A 类分数区间：95≤AAA≤100，90≤AA﹤95，85≤A﹤90。

B 类分数区间：80≤BBB﹤85，75≤BB﹤80，70≤B﹤75。

C 类分数区间：65≤CCC﹤70，60≤CC﹤65，55≤C﹤60。

D 类分数区间：50≤D﹤55。

E 类分数区间：E﹤50。

第十条 法人金融机构在评级期间违反反洗钱法律法规情节严重，且未积极

整改致使反洗钱合规状况持续恶化的，直接评定为 D 类机构。

第十一条 法人金融机构在评级期间存在下列任一情形，直接评定为 E 类

机构：

（一）发生重大风险事件、违规事件或存在重大风险隐患，造成恶劣社会影

响的。

（二）违反保密规定，出现失密、泄密情况，导致严重后果的。

（三）不配合中国人民银行及其分支机构反洗钱监管、调查工作，拒绝提供

信息资料的。

（四）提供信息资料存在重大事项隐瞒、重大信息遗漏、虚假陈述或误导性

陈述，情节严重的。

（五）存在其他重大问题，严重影响反洗钱监管和调查工作的。

第十二条 中国人民银行及其分支机构根据法人金融机构评级结果，可以采

取质询、约见谈话、监管走访、现场检查等有针对性的监管措施。原则上对评级

法律合规部

145

等级较低的机构实施监管措施的频率和强度应当高于评级等级较高的机构。

（一）质询。A 类、B 类机构可以采取电话或书面质询方式，C 类及以下机

构应当采取书面质询方式。

（二）约见谈话。A 类、B 类机构可以仅约谈单位反洗钱主管部门负责人，

C 类及以下机构应当约谈单位主要负责人或主管反洗钱工作高级管理人员。

（三）监管走访。A 类、B 类机构可以仅访问单位反洗钱主管部门负责人，

C 类及以下机构应当访问单位主要负责人或主管反洗钱工作高级管理人员。

（四）现场检查。对 A 类机构随机抽查的比例应当低于 B 类及以下机构，

对 B 类机构随机抽查的比例应当低于 C 类及以下机构，依此类推。在评级中发

现法人金融机构涉嫌违反反洗钱规定且情节严重的，应当及时开展现场检查。

第十三条 法人金融机构评级结果只能用于中国人民银行及其分支机构开

展反洗钱监管，不得用于其他目的，法律法规另有规定的除外。

法人金融机构不得擅自将评级结果对外披露或用于广告、宣传、营销等商业

目的。

第十四条 中国人民银行及其分支机构将评级结果和整改落实情况纳入反

洗钱监管档案管理，作为下一年度评级参考依据。

第四章 组织实施

第十五条 反洗钱分类评级按年度实施，原则上每年第一季度完成对上一年

度的分类评级工作。评级结果反映截至评级年度末法人金融机构的反洗钱工作情

况。

评级期间为上一年度 1 月 1 日至 12 月 31 日。

第十六条 评级包括法人金融机构自评、中国人民银行或其分支机构初评、

初评结果反馈与意见征求、中国人民银行或其分支机构复评、复评结果告知五个

阶段。

第十七条 法人金融机构应当对照《法人金融机构反洗钱分类评级自评表》

（附 2），严格按照填表说明，逐项自评计分，填写自评理由，提供相关证明材

料。

每年 1 月 20 日前，法人金融机构应当将单位负责人或主管反洗钱工作高级

管理人员签字确认的自评表及相关证明材料报送中国人民银行或其分支机构。