核保險風險評估工作指引

❶ 你好！你有《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》工作方案 請共享一下，收費沒問題的

金融機構洗錢和恐怖融資風險評估及客戶分類管理指引

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資（以下統稱反洗錢）工作有效性，根據 《 中華人民共和國反洗錢法 》 等法律制定本指引。
第一章總則
一、基本原則
（一）風險相當原則。
金融機構應依據風險評估結果科學配置反洗錢資源，在洗錢風險較高的領域採取強化的反洗錢措施，在洗錢風險較低的領域採取簡化的反洗錢措施。
（二）全面性原則。除本指引所列的例外情形外，金融機構應全面評估客戶及地域、業務、行業（職業）等方面的風險狀況，科學合理地為每一名客戶確定風險等級。
（三）同一性原則。金融機構應建立健全洗錢風險評估及客戶風險等級劃分流程，賦予同一客戶在本金融機構唯一的風險等級，但同一客戶可以被同一集團內的不同金融機構賦予不同的風險等級。
（四）動態管理原則。金融機構應根據客戶風險狀況的變化，及時調整其風險等級及所對應的風險控制措施。
（五）自主管理原則。金融機構經評估論證後認定，自行確定的風險評估標准或風險控制措施的實施效果不低於本指引或其中某項要求，即可決定不遵循本指引或其中某項要求，但應書面記錄評估論證的方法、過程及結論。
（六）保密原則。金融機構不得向客戶或其他與反洗錢工作無關的第三方泄露客戶風險等級信息。
二、功能
（一）本指引所列風險評估要素及其風險子項是金融機構全面科學評估洗錢風險的參考指標，為金融機構劃分客戶洗錢風險等級提供依據。
（二）本指引所確定的工作流程是金融機構科學整合內部各類資源，特別是發揮業務條線了解客戶的基礎性作用，有效評估、管理洗錢風險的必要管理措施。
（三）本指引有助於指導金融機構依據洗錢風險評估及客戶風險等級劃分結果，優化反洗錢資源配置。
三、適用范圍本指引適用於金融機構開展洗錢風險評估、客戶洗錢風險等級劃分及其他風險管理工作。支付機構及其他應履行反洗錢義務的特定非金融機構可參照本指引開展相關工作。
銀行業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於一次性交易客戶。
保險業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於投保人以外的其他人員。
金融機構和特定非金融機構的行業自律組織可根據本指引進一步制定分行業的指引。
第二章風險評估指標體系
一、指標體系概述
洗錢風險評估指標體系包括客戶特性、地域、業務（含金融產品、金融服務）、行業（含職業）四類基本要素。金融機構應結合行業特點、業務類型、經營規模、客戶范圍等實際情況，分解出某一基本要素所蘊含的風險子項。金融機構可根據實際需要，合理增加新的風險評估指標。例如，金融機構可區分新客戶和既有客戶、自然人客戶和非自然人客戶等不同群體的風險狀況，設置差異化的風險評級標准。
二、風險子項
（一）客戶特性風險子項。金融機構應綜合考慮客戶背景、社會經濟活動特點、聲譽、權威媒體披露信．息以及非自然人客戶的組織架構等各方面情況，衡量本機構對其開展客戶盡職調查工作的難度，評估風險。風險子項包括但不限於：
1 ．客戶信息的公開程度。客戶信．息公開程度越高，金融機構客戶盡職調查成本越低，風險越可控。例如，對國家機關、事業單位、國有企業以及在規范證券市場上市的公司開展盡職調查的成本相對較低，風險評級可相應調低。
2 ．金融機構與客戶建立或維持業務關系的渠道。渠道會對金融機構盡職調查工作的便利性、可靠性和准確性產生影響。例如，在客戶直接與金融機構見面的情況下，金融機構更能全面了解客戶，其盡職調查成果比來源於間接渠道的成果更為有效。不同類的間接渠道風險也不盡相同，例如，金融機構通過關聯公司比通過中介機構更能便捷准確地取得客戶盡職調查結果。
3 ．客戶所持身份證件或身份證明文件的種類。身份證件或身份證明文件越難以查驗，客戶身份越難以核實，風險程度就越高。
4 ．反洗錢交易監測記錄。金融機構對可疑交易報告進行回溯性審查，有助於了解客戶的風險狀況。在成本允許的情況下，金融機構還可對客戶的大額交易進行回溯性審查。
5 ．非自然人客戶的股權或控制權結構。股權或控制權關系的復雜程度及其可辨識度，直接影響金融機構客戶盡職調查的有效性。例如，個人獨資企業、家族企業、合夥企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高於一般公司。
6 ．涉及客戶的風險提示信．息或權威媒體報道信．息。金融機構如發現，客戶曾被監管機構、執法機關或金融交易所提示予以關注，客戶存在犯罪、金融違規、金融欺詐等方面的歷史記錄，或者客戶涉及權威媒體的重要負面新聞報道評論的，可適當調高其風險評級。
7 ．自然人客戶年齡。年齡與民事行為能力有直接關聯，與客戶的財富狀況、社會經濟活動范圍、風險偏好等有較高關聯度。
8 ．非自然人客戶的存續時間。客戶存續時間越長，關於其社會經濟活動的記錄可能越完整，越便於金融機構開展客戶盡職調查。金融機構可將存續時間的長度作為衡量客戶風險程度的參考因素。
（二）地域風險子項。金融機構應衡量客戶及其實際受益人、實際控制人的國籍、注冊地、住所、經營所在地與洗錢及其他犯罪活動的關聯度，並適當考慮客戶主要交易對手方及境外參與交易金融機構的地域風險傳導問題。風險子項包括但不限於：
1 ．某國（地區）受反洗錢監控或制裁的情況。金融機構既要考慮我國的反洗錢監控要求，又要考慮其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控或制裁要求。經營國際業務的金融機構還要考慮對該業務有管轄權的國家（地區）的反洗錢監控或制裁要求。
2 ．對某國（地區）進行反洗錢風險提示的情況。金融機構應遵循中國人民銀行和其他有權部門的風險提示，參考金融行動特別工作組（英文簡稱 FATF ）、亞太反洗錢組織（英文簡稱 APG ）、歐亞反洗錢及反恐怖融資組織（英文簡稱 EAG ）等權威組織對各國（地區）執行 FATF 反洗錢標準的互評估結果。
3 ．國家（地區）的上游犯罪狀況。金融機構可參考我國有關部門以及 FATF 等國際權威組織發布的信息，重點關注存在較嚴重恐怖活動、大規模殺傷性武器擴散、毒品、走私、跨境有組織犯罪、腐敗、金融詐騙、人口販運、海盜等犯罪活動的國家（地區） , 以及支持恐怖主義活動等嚴重犯罪的國家（地區）。對於我國境內或外國局部區域存在的嚴重犯罪，金融機構應參考有權部門的要求或風險提示，酌情提高涉及該區域的客戶風險評級。
4 ．特殊的金融監管風險。例如避稅型離岸金融中心。對於其住所、注冊地、經營所在地與本金融機構經營所在地相距很遠的客戶，金融機構應考慮酌情提高其風險評級。
（三）業務（含金融產品、金融服務）風險子項。金融機構應當對各項金融業務的洗錢風險進行評估，制定高風險業務列表，並對該列表進行定期評估、動態調整。金融機構進行風險評級時，不僅要考慮金融業務的固有風險，而且應結合當前市場的具體運行狀況，進行綜合分析。風險子項包括但不限於：
1 ．與現金的關聯程度。現金業務容易使交易鏈條斷裂，難於核實資金真實來源、去向及用途，因此現金交易或易於讓客戶取得現金的金融業務（以下簡稱關聯業務）具有較高風險。考慮到我國金融市場運行現狀和居民的現金交易偏好，現金及其關聯業務的普遍存在具有一定的合理性，金融機構可重點關注客戶在單位時間內累計發生的金額較大的現金交易情況或是具有某些異常特徵的大額現金交易情況。此項標准如能結合客戶行業或職業特性一並考慮將更為合理。
2 ．非面對面交易。非面對面交易方式（如網上交易）使客戶無需與工作人員直接接觸即可辦理業務，增加了金融機構開展客戶盡職調查的難度，洗錢風險相應上升。金融機構在關注此類交易方式固有風險的同時，需酌情考慮客戶選擇或偏好此類交易方式所具有的一些現實合理性，特別是在以互聯網為主要交易平台的細分金融領域（如證券市場的二級市場交易），要結合反洗錢資金監測和自身風險控制措施情況，靈活設定風險評級指標。例如，可重點審查以下交易：
( 1 ）由同一人或少數人操作不同客戶的金融賬戶進行網上交易；
( 2 ）網上金融交易頻繁且 IP 地址分布在非開戶地或境外；
( 3 ）使用同一 IP 地址進行多筆不同客戶賬戶的網銀交易；
( 4 ）金額特別巨大的網上金融交易；
( 5 ）公司賬戶與自然人賬戶之間發生的頻繁或大額交易；
( 6 ）關聯企業之間的大額異常交易。
3 ．跨境交易。跨境開展客戶盡職調查難度大，不同國家（地區）的監管差異又可能直接導致反洗錢監控漏洞產生。金融機構可重點結合地域風險，關注客戶是否存在單位時間內多次涉及跨境異常交易報告等情況。
4 ．代理交易。由他人（非職業性中介）代辦業務可能導致金融機構難以直接與客戶接觸，盡職調查有效性受到限制。鑒於代理交易在現實中的合理性，金融機構可將關注點集中於風險較高的特定情形，例如：
( 1 ）客戶的賬戶是由經常代理他人開戶人員或經常代理他人轉賬人員代為開立的；
( 2 ）客戶由他人代辦的業務多次涉及可疑交易報告；
( 3 ）同一代辦人同時或分多次代理多個賬戶開立；
( 4 ）客戶信．息顯示緊急聯系人為同一人或者多個客戶預留電話為同一號碼等異常情況。
5 ．特殊業務類型的交易頻率。對於頻繁進行異常交易的客戶，金融機構應考慮提高風險評級。
銀行業金融機構可關注開（銷）戶數量、非自然人與自然人大額轉賬匯款頻率、涉及自然人的跨境匯款頻率等。
證券業金融機構可關注交易所預警交易、大宗交易、轉託管和指定（撤指）、因第三方存款單客戶多銀行業務而形成的資金跨銀行或跨地區劃轉等。
期貨業金融機構可關注盜碼交易、自然人客戶違規持倉、對倒、對敲等異常行為。
保險業金融機構可關注投保頻率、退保頻率、團險投保人數明顯與企業人員規模不匹配、團險保全業務發生率、申請保單質押貸款（保單借款）金額或頻率、生存保險受益人變更頻率、萬能險追加保費金額或頻率等。
信託公司可關注客戶購買、轉讓信託產品的頻率或金額等。
在業務關系建立之初，金融機構可能無法准確預估出客戶使用的全部業務品種，但可在重新審核客戶風險等級時審查客戶曾選擇過的金融業務類別。
（四）行業（含職業）風險子項。
金融機構應評估行業、身份與洗錢、職務犯罪等的關聯性，合理預測某些行業客戶的經濟狀況、金融交易需求，酌情考慮某些職業技能被不法分子用於洗錢的可能性。本指引對此基本要素不再細分風險子項，金融機構可從以下角度進行評估：
1 ．公認具有較高風險的行業（職業）。原則上，按照我國反洗錢監管制度及 FATF 建議等反洗錢國際標准應納入反洗錢監管范圍的行業（職業），其洗錢風險通常較高。
2 ．與特定洗錢風險的關聯度。例如，客戶或其實際受益人、實際控制人、親屬、關系密切人等屬於外國政要。
3 ．行業現金密集程度。例如，客戶從事廢品收購、旅遊、餐飲、零售、藝術品收藏、拍賣、娛樂場所、博彩、影視娛樂等行業。
三、指標使用方法
本指引運用權重法，以定性分析與定量分析相結合的方式來計量風險、評估等級。中國人民銀行鼓勵金融機構研發其他風險計量工具或方法，金融機構自主研發的風險計量工具或方法應能全面覆蓋本指引所列風險子項，並有書面文件對其設計原理和使用方法進行說明。
（一）金融機構應對每一基本要素及其風險子項進行權重賦值，各項權重均大於 0 ，總和等於 100 。對於風險控制效果影響力越大的基本要素及其風險子項，賦值相應越高。對於經評估後決定不採納的風險子項，金融機構無需賦值。同一基本要素或風險子項所概括的風險事件，在不同的細分金融領域內有可能導致不同的危害性後果發生。即使是處於同一細分金融領域內的不同金融機構，也可能因為客戶來源、銷售渠道、經營規模、合規文化等方面的原因而面臨不同的風險狀況，從而對同一風險事件的風險程度作出不同的判斷。因此，每個金融機構需結合自身情況，合理確定個性化的權重賦值。
（二）金融機構應逐一對照每個風險子項進行評估。例如，金融機構採用五級分類法時，最高風險評分為 5 ，較高風險評分為 4 ，一般風險評分為 3 ，較低風險評分為 2 ，低風險評分為 1 。金融機構應根據各風險子項評分及權重賦值計算客戶風險等級總分，計算公式為 Pi：，其中 a 代表風險子項評分， p 代表權重， m 代表金融機構所選取的風險分級數（例如三級分類、五級分類等） , n 代表風險子項數量。客戶風險等級．得分最高 1 00 分。
（三）金融機構應建立客戶風險等級總分（區間）與風險等級之間的映射規則，以確定每個客戶具體的風險評級，引導資源配置。金融機構確定的風險評級不得少於三級。從有利於運用評級結果配置反洗錢資源角度考慮，金融機構可設置較多的風險評級等次，以增強反洗錢資源配置的靈活性。
四、例外情形
（一）對於風險程度顯著較低且預估能夠有效控制其風險的客戶，金融機構可自行決定不按上述風險要素及其子項評定風險，直接將其定級為低風險，但此類客戶不應具有以下任何一種情形：
1 ．在同一金融機構的金融資產凈值超過一定限額（原則上，自然人客戶限額為 20 萬元人民幣，非自然人客戶限額為 50 萬元人民幣），或壽險保單年繳保費超過 1 萬元人民幣或外幣等值超過 1000 美元，以及非現金夏交保費超過 20 萬元人民幣或外幣等值超過 2 萬美元；
2 ．與金融機構建立或開展了代理行、信託等高風險業務關系；
3 ．客戶為非居民，或者使用了境外發放的身份證件或身份證明文件；
4 ．涉及可疑交易報告；
5 ．由非職業性中介機構或無親屬關系的自然人代理客戶與金融機構建立業務關系；
6 ．拒絕配合金融機構客戶盡職調查工作。對於按照上述要求不能直接定級為低風險的客戶，金融機構逐一對照各項風險要素及其子項進行風險評估後，仍可能將其定級為低風險。
（二）對於具有下列情形之一的客戶，金融機構可直接將其風險等級確定為最高，而無需逐一對照上述風險要素及其子項進行評級：
1 ．客戶被列入我國發布或承認的應實施反洗錢監控措施的名單；
2 ．客戶為外國政要或其親屬、關系密切人；
3 ．客戶實際控制人或實際受益人屬前兩項所述人員；
4 ．客戶多次涉及可疑交易報告；
5 ．客戶拒絕金融機構依法開展的客戶盡職調查工作；
6 ．金融機構自定的其他可直接認定為高風險客戶的標准。不具有上述情形的客戶，金融機構逐一對照各項風險基本要素及其子項進行風險評估後，仍可能將其定級為高風險。
第三章風險評估及客戶等級劃分操作流程
一、時機
（一）對於新建立業務關系的客戶，金融機構應在建立業務關系後的 10 個工作日內劃分其風險等級。
（二）對於已確立過風險等級的客戶，金融機構應根據其風險程度設置相應的重新審核期限，實現對風險的動態追蹤。原則上，風險等級最高的客戶的審核期限不得超過半年，低一等級客戶的審核期限不得超出上一級客戶審核期限時長的兩倍。對於首次建立業務關系的客戶，無論其風險等級高低，金融機構在初次確定其風險等級後的三年內至少應進行一次復核。
（三）當客戶變更重要身份信息、司法機關調查本金融機構客戶、客戶涉及權威媒體的案件報道等可能導致風險狀況發生實質性變化的事件發生時，金融機構應考慮重新評定客戶風險等級。
二、操作步驟
（一）收集信息。金融機構應根據反洗錢風險評估需要，確定各類信息的來源及其採集方法。信息來源渠道通常有：
1 ．金融機構在與客戶建立業務關系時，客戶向金融機構披露的信息；
2 ．金融機構客戶經理或櫃面人員工作記錄；
3 ．金融機構保存的交易記錄；
4 ．金融機構委託其他金融機構或中介機構對客戶進行盡職調查工作所獲信息。
5 ．金融機構利用商業資料庫查詢信息；
6 ．金融機構利用互聯網等公共信息平台搜索信息。
金融機構在風險評估過程中應遵循勤勉盡責的原則，依據所掌握的事實材料，對部分難以直接取得或取得成本過高的風險要素信息進行合理評估。為統一風險評估尺度，金融機構應當事先確定本機構可預估信息列表及其預估原則，並定期審查和調整。
（二）篩選分析信息。評估人員應認真對照風險評估基本要素及其子項，對所收集的信．息進行歸類，逐項評分。如果同一基本要素或風險子項對應有多項相互重復或交叉的關聯性信息存在時，評估人員應進行甄別和合並。如果同一基本要素或風險子項對應有多項相互矛盾或抵觸的關聯性信息存在時，評估人員應在調查核實的基礎上，刪除不適用信息，並加以注釋。
金融機構工作人員整理完基礎信息後，應當整體性梳理各項風險評估要素及其子項。如發現要素項下有內容空缺或信息內容不充分的，可在兼顧風險評估需求與成本控制要求的前提下，確定是否需要進一步收集補充信息。
金融機構可將上述工作流程嵌入相應業務流程中，以減少執行成本。例如，從客戶經理或營銷人員開始尋找目標客戶或與客戶接觸起，即可在自身業務范圍採集信．息，並隨著業務關系的逐步確立，由處在業務鏈條上的各類人員在各自職責范圍內負責相應的資料收集工作。
（三）初評。除存在前述例外情形的客戶外，金融機構工作人員應逐一分析每個風險評估基本要素項及其子項所對應的信息，確定出相應的得分。對於材料不全或可靠性存疑的要素信息，評估人員應在相應的要素項下進行標注，並合理確定相應分值。在綜合分析要素信．急的基礎上，金融機構工作人員累計計算客戶評分結果，相應確定其初步評級。
金融機構可利用計算機系統等技術手段輔助完成部分初評工作。
（四）復評。初評結果均應由初評人以外的其他人員進行復評確認。初評結果與復評結果不一致的，可由反洗錢合規管理部門決定最終評級結果。
第四章風險分類控制措施
金融機構應在客戶風險等級劃分的基礎上，採取相應的客戶盡職調查及其他風險控制措施。
一、對風險較高客戶的控制措施金融機構應對高風險客戶採取強化的客戶盡職調查及其他風險控制措施，有效預防風險。可酌情採取的措施包括但不限於：
（一）進一步調查客戶及其實際控制人、實際受益人情況。
（二）進一步深入了解客戶經營活動狀況和財產來源。
（三）適度提高客戶及其實際控制人、實際受益人信息的收集或更新頻率。
（四）對交易及其背景情況做更為深入的調查，詢問客戶交易目的，核實客戶交易動機。
（五）適度提高交易監測的頻率及強度。
（六）經高級管理層批准或授權後，再為客戶辦理業務或建立新的業務關系。
（七）按照法律規定或與客戶的事先約定，對客戶的交易方式、交易規模、交易頻率等實施合理限制．
（八）合理限制客戶通過非面對面方式辦理業務的金額、次數和業務類型。
（九）對其交易對手及經辦業務的金融機構採取盡職調查措施。
二、對風險較低客戶的控制措施金融機構可對低風險客戶採取簡化的客戶盡職調查及其他風險控制措施，可酌情採取的措施包括但不限於：
（一）在建立業務關系後再核實客戶實際受益人或實際控制人的身份。
（二）適當延長客戶身份資料的更新周期。
（三）在合理的交易規模內，適當降低採用持續的客戶身份識別措施的頻率或強度。例如，逐步建立對低風險客戶異常交易的快速篩選判斷機制。對於經分析排查後決定不提交可疑交易報告的低風險客戶，金融機構僅發現該客戶重復性出現與之前已排除異常交易相同或類似的交易活動時，可運用技術性手段自動處理預警信息。對於風險等級較低客戶異常交易的對手方僅涉及各級黨的機關、國家權力機關、行政機關、司法機關、軍事機關、人民政協機關和人民解放軍、武警部隊等低風險客戶的，可直接利用技術手段予以篩除。
（四）在風險可控情況下，允許金融機構工作人員合理推測交易目的和交易性質，而無需收集相關證據材料。
第五章管理與保障措施
一、風險管理政策金融機構應在總部或集團層面建立統一的洗錢風險管理基本政策，並在各分支機構、各條線（部門）執行。
客戶風險管理政策應經金融機構董事會或其授權的組織審核通過，並由高級管理層中的指定專人負責實施。
金融機構．總部、集團可針對分支機構所在地區的反洗錢狀況，設定局部地區的風險系數，或授權分支機構根據所在地區情況，合理調整風險子項或評級標准。
金融機構應對自身金融業務及其營銷渠道，特別是在推出新金融業務、採用新營銷渠道、運用新技術前，進行系統全面的洗錢風險評估，按照風險可控原則建立相應的風險管理措施。
二、組織管理措施
金融機構應完善風險評估流程，指定適當的條線（部門）及人員整體負責風險評估工作流程的設置及監控工作，組織各相關條線（部門）充分參與風險評估工作。
金融機構應確保客戶風險評估工作流程具有可稽核性或可追溯性。
三、技術保障措施
金融機構應確保洗錢風險管理工作所需的必要技術條件，積極運用信．息系統提升工作有效性。系統設計應著眼於運用客戶風險等級管理工作成果，為各級分支機構查詢使用信息提供方便。
四、代理業務管理
金融機構委託其他機構開展客戶風險等級劃分等洗錢風險管理工作時，應與受託機構簽訂書面協議，並由高級管理層批准。受託機構應當積極協助委託機構開展洗錢風險管理。由委託機構對受託機構進行的洗錢風險管理工作承擔最終法律責任。
金融機構應建立專門機制，審核受託機構確定的客戶風險等級。

❷ 跨境委託貸款對於美元委託貸款，在用途上有沒有限制，可否結匯、還貸 或者說，是否可以將美元結匯後作人

金融機構洗錢和恐怖融資風險評估及客戶分類管理指引

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資（以下統稱反洗錢）工作有效性，根據 《 中華人民共和國反洗錢法 》 等法律制定本指引。
第一章總則
一、基本原則
（一）風險相當原則。
金融機構應依據風險評估結果科學配置反洗錢資源，在洗錢風險較高的領域採取強化的反洗錢措施，在洗錢風險較低的領域採取簡化的反洗錢措施。
（二）全面性原則。除本指引所列的例外情形外，金融機構應全面評估客戶及地域、業務、行業（職業）等方面的風險狀況，科學合理地為每一名客戶確定風險等級。
（三）同一性原則。金融機構應建立健全洗錢風險評估及客戶風險等級劃分流程，賦予同一客戶在本金融機構唯一的風險等級，但同一客戶可以被同一集團內的不同金融機構賦予不同的風險等級。
（四）動態管理原則。金融機構應根據客戶風險狀況的變化，及時調整其風險等級及所對應的風險控制措施。
（五）自主管理原則。金融機構經評估論證後認定，自行確定的風險評估標准或風險控制措施的實施效果不低於本指引或其中某項要求，即可決定不遵循本指引或其中某項要求，但應書面記錄評估論證的方法、過程及結論。
（六）保密原則。金融機構不得向客戶或其他與反洗錢工作無關的第三方泄露客戶風險等級信息。
二、功能
（一）本指引所列風險評估要素及其風險子項是金融機構全面科學評估洗錢風險的參考指標，為金融機構劃分客戶洗錢風險等級提供依據。
（二）本指引所確定的工作流程是金融機構科學整合內部各類資源，特別是發揮業務條線了解客戶的基礎性作用，有效評估、管理洗錢風險的必要管理措施。
（三）本指引有助於指導金融機構依據洗錢風險評估及客戶風險等級劃分結果，優化反洗錢資源配置。
三、適用范圍本指引適用於金融機構開展洗錢風險評估、客戶洗錢風險等級劃分及其他風險管理工作。支付機構及其他應履行反洗錢義務的特定非金融機構可參照本指引開展相關工作。
銀行業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於一次性交易客戶。
保險業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於投保人以外的其他人員。
金融機構和特定非金融機構的行業自律組織可根據本指引進一步制定分行業的指引。
第二章風險評估指標體系
一、指標體系概述
洗錢風險評估指標體系包括客戶特性、地域、業務（含金融產品、金融服務）、行業（含職業）四類基本要素。金融機構應結合行業特點、業務類型、經營規模、客戶范圍等實際情況，分解出某一基本要素所蘊含的風險子項。金融機構可根據實際需要，合理增加新的風險評估指標。例如，金融機構可區分新客戶和既有客戶、自然人客戶和非自然人客戶等不同群體的風險狀況，設置差異化的風險評級標准。
二、風險子項
（一）客戶特性風險子項。金融機構應綜合考慮客戶背景、社會經濟活動特點、聲譽、權威媒體披露信．息以及非自然人客戶的組織架構等各方面情況，衡量本機構對其開展客戶盡職調查工作的難度，評估風險。風險子項包括但不限於：
1 ．客戶信息的公開程度。客戶信．息公開程度越高，金融機構客戶盡職調查成本越低，風險越可控。例如，對國家機關、事業單位、國有企業以及在規范證券市場上市的公司開展盡職調查的成本相對較低，風險評級可相應調低。
2 ．金融機構與客戶建立或維持業務關系的渠道。渠道會對金融機構盡職調查工作的便利性、可靠性和准確性產生影響。例如，在客戶直接與金融機構見面的情況下，金融機構更能全面了解客戶，其盡職調查成果比來源於間接渠道的成果更為有效。不同類的間接渠道風險也不盡相同，例如，金融機構通過關聯公司比通過中介機構更能便捷准確地取得客戶盡職調查結果。
3 ．客戶所持身份證件或身份證明文件的種類。身份證件或身份證明文件越難以查驗，客戶身份越難以核實，風險程度就越高。
4 ．反洗錢交易監測記錄。金融機構對可疑交易報告進行回溯性審查，有助於了解客戶的風險狀況。在成本允許的情況下，金融機構還可對客戶的大額交易進行回溯性審查。
5 ．非自然人客戶的股權或控制權結構。股權或控制權關系的復雜程度及其可辨識度，直接影響金融機構客戶盡職調查的有效性。例如，個人獨資企業、家族企業、合夥企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高於一般公司。
6 ．涉及客戶的風險提示信．息或權威媒體報道信．息。金融機構如發現，客戶曾被監管機構、執法機關或金融交易所提示予以關注，客戶存在犯罪、金融違規、金融欺詐等方面的歷史記錄，或者客戶涉及權威媒體的重要負面新聞報道評論的，可適當調高其風險評級。
7 ．自然人客戶年齡。年齡與民事行為能力有直接關聯，與客戶的財富狀況、社會經濟活動范圍、風險偏好等有較高關聯度。
8 ．非自然人客戶的存續時間。客戶存續時間越長，關於其社會經濟活動的記錄可能越完整，越便於金融機構開展客戶盡職調查。金融機構可將存續時間的長度作為衡量客戶風險程度的參考因素。
（二）地域風險子項。金融機構應衡量客戶及其實際受益人、實際控制人的國籍、注冊地、住所、經營所在地與洗錢及其他犯罪活動的關聯度，並適當考慮客戶主要交易對手方及境外參與交易金融機構的地域風險傳導問題。風險子項包括但不限於：
1 ．某國（地區）受反洗錢監控或制裁的情況。金融機構既要考慮我國的反洗錢監控要求，又要考慮其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控或制裁要求。經營國際業務的金融機構還要考慮對該業務有管轄權的國家（地區）的反洗錢監控或制裁要求。
2 ．對某國（地區）進行反洗錢風險提示的情況。金融機構應遵循中國人民銀行和其他有權部門的風險提示，參考金融行動特別工作組（英文簡稱 FATF ）、亞太反洗錢組織（英文簡稱 APG ）、歐亞反洗錢及反恐怖融資組織（英文簡稱 EAG ）等權威組織對各國（地區）執行 FATF 反洗錢標準的互評估結果。
3 ．國家（地區）的上游犯罪狀況。金融機構可參考我國有關部門以及 FATF 等國際權威組織發布的信息，重點關注存在較嚴重恐怖活動、大規模殺傷性武器擴散、毒品、走私、跨境有組織犯罪、腐敗、金融詐騙、人口販運、海盜等犯罪活動的國家（地區） , 以及支持恐怖主義活動等嚴重犯罪的國家（地區）。對於我國境內或外國局部區域存在的嚴重犯罪，金融機構應參考有權部門的要求或風險提示，酌情提高涉及該區域的客戶風險評級。
4 ．特殊的金融監管風險。例如避稅型離岸金融中心。對於其住所、注冊地、經營所在地與本金融機構經營所在地相距很遠的客戶，金融機構應考慮酌情提高其風險評級。
（三）業務（含金融產品、金融服務）風險子項。金融機構應當對各項金融業務的洗錢風險進行評估，制定高風險業務列表，並對該列表進行定期評估、動態調整。金融機構進行風險評級時，不僅要考慮金融業務的固有風險，而且應結合當前市場的具體運行狀況，進行綜合分析。風險子項包括但不限於：
1 ．與現金的關聯程度。現金業務容易使交易鏈條斷裂，難於核實資金真實來源、去向及用途，因此現金交易或易於讓客戶取得現金的金融業務（以下簡稱關聯業務）具有較高風險。考慮到我國金融市場運行現狀和居民的現金交易偏好，現金及其關聯業務的普遍存在具有一定的合理性，金融機構可重點關注客戶在單位時間內累計發生的金額較大的現金交易情況或是具有某些異常特徵的大額現金交易情況。此項標准如能結合客戶行業或職業特性一並考慮將更為合理。
2 ．非面對面交易。非面對面交易方式（如網上交易）使客戶無需與工作人員直接接觸即可辦理業務，增加了金融機構開展客戶盡職調查的難度，洗錢風險相應上升。金融機構在關注此類交易方式固有風險的同時，需酌情考慮客戶選擇或偏好此類交易方式所具有的一些現實合理性，特別是在以互聯網為主要交易平台的細分金融領域（如證券市場的二級市場交易），要結合反洗錢資金監測和自身風險控制措施情況，靈活設定風險評級指標。例如，可重點審查以下交易：
( 1 ）由同一人或少數人操作不同客戶的金融賬戶進行網上交易；
( 2 ）網上金融交易頻繁且 IP 地址分布在非開戶地或境外；
( 3 ）使用同一 IP 地址進行多筆不同客戶賬戶的網銀交易；
( 4 ）金額特別巨大的網上金融交易；
( 5 ）公司賬戶與自然人賬戶之間發生的頻繁或大額交易；
( 6 ）關聯企業之間的大額異常交易。
3 ．跨境交易。跨境開展客戶盡職調查難度大，不同國家（地區）的監管差異又可能直接導致反洗錢監控漏洞產生。金融機構可重點結合地域風險，關注客戶是否存在單位時間內多次涉及跨境異常交易報告等情況。
4 ．代理交易。由他人（非職業性中介）代辦業務可能導致金融機構難以直接與客戶接觸，盡職調查有效性受到限制。鑒於代理交易在現實中的合理性，金融機構可將關注點集中於風險較高的特定情形，例如：
( 1 ）客戶的賬戶是由經常代理他人開戶人員或經常代理他人轉賬人員代為開立的；
( 2 ）客戶由他人代辦的業務多次涉及可疑交易報告；
( 3 ）同一代辦人同時或分多次代理多個賬戶開立；
( 4 ）客戶信．息顯示緊急聯系人為同一人或者多個客戶預留電話為同一號碼等異常情況。
5 ．特殊業務類型的交易頻率。對於頻繁進行異常交易的客戶，金融機構應考慮提高風險評級。
銀行業金融機構可關注開（銷）戶數量、非自然人與自然人大額轉賬匯款頻率、涉及自然人的跨境匯款頻率等。
證券業金融機構可關注交易所預警交易、大宗交易、轉託管和指定（撤指）、因第三方存款單客戶多銀行業務而形成的資金跨銀行或跨地區劃轉等。
期貨業金融機構可關注盜碼交易、自然人客戶違規持倉、對倒、對敲等異常行為。
保險業金融機構可關注投保頻率、退保頻率、團險投保人數明顯與企業人員規模不匹配、團險保全業務發生率、申請保單質押貸款（保單借款）金額或頻率、生存保險受益人變更頻率、萬能險追加保費金額或頻率等。
信託公司可關注客戶購買、轉讓信託產品的頻率或金額等。
在業務關系建立之初，金融機構可能無法准確預估出客戶使用的全部業務品種，但可在重新審核客戶風險等級時審查客戶曾選擇過的金融業務類別。
（四）行業（含職業）風險子項。
金融機構應評估行業、身份與洗錢、職務犯罪等的關聯性，合理預測某些行業客戶的經濟狀況、金融交易需求，酌情考慮某些職業技能被不法分子用於洗錢的可能性。本指引對此基本要素不再細分風險子項，金融機構可從以下角度進行評估：
1 ．公認具有較高風險的行業（職業）。原則上，按照我國反洗錢監管制度及 FATF 建議等反洗錢國際標准應納入反洗錢監管范圍的行業（職業），其洗錢風險通常較高。
2 ．與特定洗錢風險的關聯度。例如，客戶或其實際受益人、實際控制人、親屬、關系密切人等屬於外國政要。
3 ．行業現金密集程度。例如，客戶從事廢品收購、旅遊、餐飲、零售、藝術品收藏、拍賣、娛樂場所、博彩、影視娛樂等行業。
三、指標使用方法
本指引運用權重法，以定性分析與定量分析相結合的方式來計量風險、評估等級。中國人民銀行鼓勵金融機構研發其他風險計量工具或方法，金融機構自主研發的風險計量工具或方法應能全面覆蓋本指引所列風險子項，並有書面文件對其設計原理和使用方法進行說明。
（一）金融機構應對每一基本要素及其風險子項進行權重賦值，各項權重均大於 0 ，總和等於 100 。對於風險控制效果影響力越大的基本要素及其風險子項，賦值相應越高。對於經評估後決定不採納的風險子項，金融機構無需賦值。同一基本要素或風險子項所概括的風險事件，在不同的細分金融領域內有可能導致不同的危害性後果發生。即使是處於同一細分金融領域內的不同金融機構，也可能因為客戶來源、銷售渠道、經營規模、合規文化等方面的原因而面臨不同的風險狀況，從而對同一風險事件的風險程度作出不同的判斷。因此，每個金融機構需結合自身情況，合理確定個性化的權重賦值。
（二）金融機構應逐一對照每個風險子項進行評估。例如，金融機構採用五級分類法時，最高風險評分為 5 ，較高風險評分為 4 ，一般風險評分為 3 ，較低風險評分為 2 ，低風險評分為 1 。金融機構應根據各風險子項評分及權重賦值計算客戶風險等級總分，計算公式為 Pi：，其中 a 代表風險子項評分， p 代表權重， m 代表金融機構所選取的風險分級數（例如三級分類、五級分類等） , n 代表風險子項數量。客戶風險等級．得分最高 1 00 分。
（三）金融機構應建立客戶風險等級總分（區間）與風險等級之間的映射規則，以確定每個客戶具體的風險評級，引導資源配置。金融機構確定的風險評級不得少於三級。從有利於運用評級結果配置反洗錢資源角度考慮，金融機構可設置較多的風險評級等次，以增強反洗錢資源配置的靈活性。
四、例外情形
（一）對於風險程度顯著較低且預估能夠有效控制其風險的客戶，金融機構可自行決定不按上述風險要素及其子項評定風險，直接將其定級為低風險，但此類客戶不應具有以下任何一種情形：
1 ．在同一金融機構的金融資產凈值超過一定限額（原則上，自然人客戶限額為 20 萬元人民幣，非自然人客戶限額為 50 萬元人民幣），或壽險保單年繳保費超過 1 萬元人民幣或外幣等值超過 1000 美元，以及非現金夏交保費超過 20 萬元人民幣或外幣等值超過 2 萬美元；
2 ．與金融機構建立或開展了代理行、信託等高風險業務關系；
3 ．客戶為非居民，或者使用了境外發放的身份證件或身份證明文件；
4 ．涉及可疑交易報告；
5 ．由非職業性中介機構或無親屬關系的自然人代理客戶與金融機構建立業務關系；
6 ．拒絕配合金融機構客戶盡職調查工作。對於按照上述要求不能直接定級為低風險的客戶，金融機構逐一對照各項風險要素及其子項進行風險評估後，仍可能將其定級為低風險。
（二）對於具有下列情形之一的客戶，金融機構可直接將其風險等級確定為最高，而無需逐一對照上述風險要素及其子項進行評級：
1 ．客戶被列入我國發布或承認的應實施反洗錢監控措施的名單；
2 ．客戶為外國政要或其親屬、關系密切人；
3 ．客戶實際控制人或實際受益人屬前兩項所述人員；
4 ．客戶多次涉及可疑交易報告；
5 ．客戶拒絕金融機構依法開展的客戶盡職調查工作；
6 ．金融機構自定的其他可直接認定為高風險客戶的標准。不具有上述情形的客戶，金融機構逐一對照各項風險基本要素及其子項進行風險評估後，仍可能將其定級為高風險。
第三章風險評估及客戶等級劃分操作流程
一、時機
（一）對於新建立業務關系的客戶，金融機構應在建立業務關系後的 10 個工作日內劃分其風險等級。
（二）對於已確立過風險等級的客戶，金融機構應根據其風險程度設置相應的重新審核期限，實現對風險的動態追蹤。原則上，風險等級最高的客戶的審核期限不得超過半年，低一等級客戶的審核期限不得超出上一級客戶審核期限時長的兩倍。對於首次建立業務關系的客戶，無論其風險等級高低，金融機構在初次確定其風險等級後的三年內至少應進行一次復核。
（三）當客戶變更重要身份信息、司法機關調查本金融機構客戶、客戶涉及權威媒體的案件報道等可能導致風險狀況發生實質性變化的事件發生時，金融機構應考慮重新評定客戶風險等級。
二、操作步驟
（一）收集信息。金融機構應根據反洗錢風險評估需要，確定各類信息的來源及其採集方法。信息來源渠道通常有：
1 ．金融機構在與客戶建立業務關系時，客戶向金融機構披露的信息；
2 ．金融機構客戶經理或櫃面人員工作記錄；
3 ．金融機構保存的交易記錄；
4 ．金融機構委託其他金融機構或中介機構對客戶進行盡職調查工作所獲信息。
5 ．金融機構利用商業資料庫查詢信息；
6 ．金融機構利用互聯網等公共信息平台搜索信息。
金融機構在風險評估過程中應遵循勤勉盡責的原則，依據所掌握的事實材料，對部分難以直接取得或取得成本過高的風險要素信息進行合理評估。為統一風險評估尺度，金融機構應當事先確定本機構可預估信息列表及其預估原則，並定期審查和調整。
（二）篩選分析信息。評估人員應認真對照風險評估基本要素及其子項，對所收集的信．息進行歸類，逐項評分。如果同一基本要素或風險子項對應有多項相互重復或交叉的關聯性信息存在時，評估人員應進行甄別和合並。如果同一基本要素或風險子項對應有多項相互矛盾或抵觸的關聯性信息存在時，評估人員應在調查核實的基礎上，刪除不適用信息，並加以注釋。
金融機構工作人員整理完基礎信息後，應當整體性梳理各項風險評估要素及其子項。如發現要素項下有內容空缺或信息內容不充分的，可在兼顧風險評估需求與成本控制要求的前提下，確定是否需要進一步收集補充信息。
金融機構可將上述工作流程嵌入相應業務流程中，以減少執行成本。例如，從客戶經理或營銷人員開始尋找目標客戶或與客戶接觸起，即可在自身業務范圍採集信．息，並隨著業務關系的逐步確立，由處在業務鏈條上的各類人員在各自職責范圍內負責相應的資料收集工作。
（三）初評。除存在前述例外情形的客戶外，金融機構工作人員應逐一分析每個風險評估基本要素項及其子項所對應的信息，確定出相應的得分。對於材料不全或可靠性存疑的要素信息，評估人員應在相應的要素項下進行標注，並合理確定相應分值。在綜合分析要素信．急的基礎上，金融機構工作人員累計計算客戶評分結果，相應確定其初步評級。
金融機構可利用計算機系統等技術手段輔助完成部分初評工作。
（四）復評。初評結果均應由初評人以外的其他人員進行復評確認。初評結果與復評結果不一致的，可由反洗錢合規管理部門決定最終評級結果。
第四章風險分類控制措施
金融機構應在客戶風險等級劃分的基礎上，採取相應的客戶盡職調查及其他風險控制措施。
一、對風險較高客戶的控制措施金融機構應對高風險客戶採取強化的客戶盡職調查及其他風險控制措施，有效預防風險。可酌情採取的措施包括但不限於：
（一）進一步調查客戶及其實際控制人、實際受益人情況。
（二）進一步深入了解客戶經營活動狀況和財產來源。
（三）適度提高客戶及其實際控制人、實際受益人信息的收集或更新頻率。
（四）對交易及其背景情況做更為深入的調查，詢問客戶交易目的，核實客戶交易動機。
（五）適度提高交易監測的頻率及強度。
（六）經高級管理層批准或授權後，再為客戶辦理業務或建立新的業務關系。
（七）按照法律規定或與客戶的事先約定，對客戶的交易方式、交易規模、交易頻率等實施合理限制．
（八）合理限制客戶通過非面對面方式辦理業務的金額、次數和業務類型。
（九）對其交易對手及經辦業務的金融機構採取盡職調查措施。
二、對風險較低客戶的控制措施金融機構可對低風險客戶採取簡化的客戶盡職調查及其他風險控制措施，可酌情採取的措施包括但不限於：
（一）在建立業務關系後再核實客戶實際受益人或實際控制人的身份。
（二）適當延長客戶身份資料的更新周期。
（三）在合理的交易規模內，適當降低採用持續的客戶身份識別措施的頻率或強度。例如，逐步建立對低風險客戶異常交易的快速篩選判斷機制。對於經分析排查後決定不提交可疑交易報告的低風險客戶，金融機構僅發現該客戶重復性出現與之前已排除異常交易相同或類似的交易活動時，可運用技術性手段自動處理預警信息。對於風險等級較低客戶異常交易的對手方僅涉及各級黨的機關、國家權力機關、行政機關、司法機關、軍事機關、人民政協機關和人民解放軍、武警部隊等低風險客戶的，可直接利用技術手段予以篩除。
（四）在風險可控情況下，允許金融機構工作人員合理推測交易目的和交易性質，而無需收集相關證據材料。
第五章管理與保障措施
一、風險管理政策金融機構應在總部或集團層面建立統一的洗錢風險管理基本政策，並在各分支機構、各條線（部門）執行。
客戶風險管理政策應經金融機構董事會或其授權的組織審核通過，並由高級管理層中的指定專人負責實施。
金融機構．總部、集團可針對分支機構所在地區的反洗錢狀況，設定局部地區的風險系數，或授權分支機構根據所在地區情況，合理調整風險子項或評級標准。
金融機構應對自身金融業務及其營銷渠道，特別是在推出新金融業務、採用新營銷渠道、運用新技術前，進行系統全面的洗錢風險評估，按照風險可控原則建立相應的風險管理措施。
二、組織管理措施
金融機構應完善風險評估流程，指定適當的條線（部門）及人員整體負責風險評估工作流程的設置及監控工作，組織各相關條線（部門）充分參與風險評估工作。
金融機構應確保客戶風險評估工作流程具有可稽核性或可追溯性。
三、技術保障措施
金融機構應確保洗錢風險管理工作所需的必要技術條件，積極運用信．息系統提升工作有效性。系統設計應著眼於運用客戶風險等級管理工作成果，為各級分支機構查詢使用信息提供方便。
四、代理業務管理
金融機構委託其他機構開展客戶風險等級劃分等洗錢風險管理工作時，應與受託機構簽訂書面協議，並由高級管理層批准。受託機構應當積極協助委託機構開展洗錢風險管理。由委託機構對受託機構進行的洗錢風險管理工作承擔最終法律責任。
金融機構應建立專門機制，審核受託機構確定的客戶風險等級。

❸ 環境污染責任保險投保需要先辦理環評報告嗎

第一：《關於環境污染責任保險工作的指導意見》（環發〔2007〕189號）

提高環境污染事故預防能力。保險公司要指導投保企業開展環境事故預防管理，提高企業環境事故預防能力。承保前，保險公司應對投保企業進行風險評估，根據企業生產性質、規模、管理水平及危險等級等要素合理釐定費率水平。承保後，要主動定期對投保企業環境事故預防工作進行檢查，及時指出隱患與不足，並提出書面整改意見，督促投保企業加強事故預防能力建設，並將有關情況報送當地環保部門。具備條件的環保部門可以根據國家的要求或地方的規定，把部分行業或企業是否投保與項目環境影響評價、「三同時」等制度結合起來。

第二：《環境保護部保監會關於開展環境污染強制責任保險試點工作的指導意見》（環發〔2013〕10號）

四、健全環境風險評估和投保程序

企業投保或者續簽保險合同前，保險公司可以委託或者自行對投保企業開展環境風險評估。

鼓勵保險經紀機構提供環境風險評估和其他有關保險的技術支持和服務。

投保企業環境風險評估可以按照下列規定開展：

（一）對已有環境風險評估技術指南的氯鹼、硫酸等行業，按照技術指南開展評估。

（二）對尚未頒布環境風險評估技術指南的行業，可以參照氯鹼、硫酸等行業環境風險評估技術指南規定的基本評估方法，綜合考慮生產因素、廠址環境敏感性、環境風險防控、事故應急管理等指標開展評估。

本意見規定的涉重金屬企業、按地方有關規定已被納入投保范圍的企業，以及其他高環境風險企業，經過環境風險評估後，應當及時與保險公司簽訂保險合同，並將投保信息報告當地環保部門和保險監管部門。

保險監管部門應當引導和監督保險公司做好承保相關服務。

七、完善促進企業投保的保障措施

（一）強化約束手段

對應當投保而未及時投保的企業，環保部門可以採取下列措施：

1.將企業是否投保與建設項目環境影響評價文件審批、建設項目竣工環保驗收、排污許可證核發、清潔生產審核，以及上市環保核查等制度的執行，緊密結合。

2.暫停受理企業的環境保護專項資金、重金屬污染防治專項資金等相關專項資金的申請。

3.將該企業未按規定投保的信息及時提供銀行業金融機構，為其客戶評級、信貸准入退出和管理提供重要依據。

第三：2015年9月，黨中央、國務院印發的《生態文明體制改革總體方案》明確提出：「在環境高風險領域建立環境污染強制責任保險制度。」

在當前形勢政策和聯動形勢下，保險單位有權利對投保單位進行環境風險評估。但是生態環境部門也可以將投保與環境評價文件審批、竣工環保驗收、排污許可核發、清潔生產審核，以及上市環保核查等制度的執行，緊密結合在一起。

注意的是：保險公司在接受企業投保時，是保險公司對企業進行環境風險評估的，這個環境風險評估不是指的環境評價，當你投保了環境污染強制責任險時，對環境評價文件審批、竣工環保驗收、排污許可核發、清潔生產審核，以及上市環保核查等有促進作用。

❹ 中央企業全面風險管理指引的指引內容

第一條為指導國務院國有資產監督管理委員會（以下簡稱國資委）履行出資人職責的企業（以下簡稱中央企業）開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展，根據《中華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規，制定本指引。
第二條中央企業根據自身實際情況貫徹執行本指引。中央企業中的國有獨資公司董事會負責督導本指引的實施；國有控股企業由國資委和國資委提名的董事通過股東（大）會和董事會按照法定程序負責督導本指引的實施。
第三條本指引所稱企業風險，指未來的不確定性對企業實現其經營目標的影響。企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業帶來盈利等機會為標志，將風險分為純粹風險（只有帶來損失一種可能性）和機會風險（帶來損失和盈利的可能性並存）。
第四條本指引所稱全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。
第五條本指引所稱風險管理基本流程包括以下主要工作：
（一）收集風險管理初始信息；
（二）進行風險評估；
（三）制定風險管理策略；
（四）提出和實施風險管理解決方案；
（五）風險管理的監督與改進。
第六條本指引所稱內部控制系統，指圍繞風險管理策略目標，針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工製造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定並執行的規章制度、程序和措施。
第七條企業開展全面風險管理要努力實現以下風險管理總體目標：
（一）確保將風險控制在與總體目標相適應並可承受的范圍內；
（二）確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；
（三）確保遵守有關法律法規；
（四）確保企業有關規章制度和為實現經營目標而採取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；
（五）確保企業建立針對各項重大風險發生後的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。
第八條企業開展全面風險管理工作，應注重防範和控制風險可能給企業造成損失和危害，也應把機會風險視為企業的特殊資源，通過對其管理，為企業創造價值，促進經營目標的實現。
第九條企業應本著從實際出發，務求實效的原則，以對重大風險、重大事件（指重大風險發生後的事實）的管理和重要流程的內部控制為重點，積極開展全面風險管理工作。具備條件的企業應全面推進，盡快建立全面風險管理體系；其他企業應制定開展全面風險管理的總體規劃，分步實施，可先選擇發展戰略、投資收購、財務報告、內部審計、衍生產品交易、法律事務、安全生產、應收賬款管理等一項或多項業務開展風險管理工作，建立單項或多項內部控制子系統。通過積累經驗，培養人才，逐步建立健全全面風險管理體系。
第十條企業開展全面風險管理工作應與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中。具備條件的企業可建立風險管理三道防線，即各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線。 第十一條實施全面風險管理，企業應廣泛、持續不斷地收集與該企業風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測。應把收集初始信息的職責分工落實到各有關職能部門和業務單位。
第十二條在戰略風險方面，企業應廣泛收集國內外企業戰略風險失控導致企業蒙受損失的案例，並至少收集與該企業相關的以下重要信息：
（一）國內外宏觀經濟政策以及經濟運行情況、本行業狀況、國家產業政策；
（二）科技進步、技術創新的有關內容；
（三）市場對該企業產品或服務的需求；
（四）與企業戰略合作夥伴的關系，未來尋求戰略合作夥伴的可能性；
（五）該企業主要客戶、供應商及競爭對手的有關情況；
（六）與主要競爭對手相比，該企業實力與差距；
（七）本企業發展戰略和規劃、投融資計劃、年度經營目標、經營戰略，以及編制這些戰略、規劃、計劃、目標的有關依據；
（八）該企業對外投融資流程中曾發生或易發生錯誤的業務流程或環節。
第十三條在財務風險方面，企業應廣泛收集國內外企業財務風險失控導致危機的案例，並至少收集該企業的以下重要信息（其中有行業平均指標或先進指標的，也應盡可能收集）：
（一）負債、或有負債、負債率、償債能力；
（二）現金流、應收賬款及其占銷售收入的比重、資金周轉率；
（三）產品存貨及其占銷售成本的比重、應付賬款及其占購貨額的比重；
（四）製造成本和管理費用、財務費用、營業費用；
（五）盈利能力；
（六）成本核算、資金結算和現金管理業務中曾發生或易發生錯誤的業務流程或環節；
(七)與該企業相關的行業會計政策、會計估算、與國際會計制度的差異與調節（如退休金、遞延稅項等）等信息。
第十四條在市場風險方面，企業應廣泛收集國內外企業忽視市場風險、缺乏應對措施導致企業蒙受損失的案例，並至少收集與該企業相關的以下重要信息：
（一）產品或服務的價格及供需變化；
（二）能源、原材料、配件等物資供應的充足性、穩定性和價格變化；
（三）主要客戶、主要供應商的信用情況；
（四）稅收政策和利率、匯率、股票價格指數的變化；
（五）潛在競爭者、競爭者及其主要產品、替代品情況。
第十五條在運營風險方面，企業應至少收集與該企業、本行業相關的以下信息：
（一）產品結構、新產品研發；
（二）新市場開發，市場營銷策略，包括產品或服務定價與銷售渠道，市場營銷環境狀況等；
（三）企業組織效能、管理現狀、企業文化，高、中層管理人員和重要業務流程中專業人員的知識結構、專業經驗；
（四）期貨等衍生產品業務中曾發生或易發生失誤的流程和環節；
（五）質量、安全、環保、信息安全等管理中曾發生或易發生失誤的業務流程或環節；
（六）因企業內、外部人員的道德風險致使企業遭受損失或業務控制系統失靈；
（七）給企業造成損失的自然災害以及除上述有關情形之外的其他純粹風險；
（八）對現有業務流程和信息系統操作運行情況的監管、運行評價及持續改進能力；
（九）企業風險管理的現狀和能力。
第十六條在法律風險方面，企業應廣泛收集國內外企業忽視法律法規風險、缺乏應對措施導致企業蒙受損失的案例，並至少收集與該企業相關的以下信息：
（一）國內外與該企業相關的政治、法律環境；
（二）影響企業的新法律法規和政策；
（三）員工道德操守的遵從性；
（四）該企業簽訂的重大協議和有關貿易合同；
（五）該企業發生重大法律糾紛案件的情況；
（六）企業和競爭對手的知識產權情況。
第十七條企業對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合，以便進行風險評估。 第十八條企業應對收集的風險管理初始信息和企業各項業務管理及其重要業務流程進行風險評估。風險評估包括風險辨識、風險分析、風險評價三個步驟。
第十九條風險評估應由企業組織有關職能部門和業務單位實施，也可聘請有資質、信譽好、風險管理專業能力強的中介機構協助實施。
第二十條風險辨識是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。風險分析是對辨識出的風險及其特徵進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。風險評價是評估風險對企業實現目標的影響程度、風險的價值等。
第二十一條進行風險辨識、分析、評價，應將定性與定量方法相結合。定性方法可採用問卷調查、集體討論、專家咨詢、情景分析、政策分析、行業標桿比較、管理層訪談、由專人主持的工作訪談和調查研究等。定量方法可採用統計推論（如集中趨勢法）、計算機模擬（如蒙特卡羅分析法）、失效模式與影響分析、事件樹分析等。
第二十二條進行風險定量評估時，應統一制定各風險的度量單位和風險度量模型，並通過測試等方法，確保評估系統的假設前提、參數、數據來源和定量評估程序的合理性和准確性。要根據環境的變化，定期對假設前提和參數進行復核和修改，並將定量評估系統的估算結果與實際效果對比，據此對有關參數進行調整和改進。
第二十三條風險分析應包括風險之間的關系分析，以便發現各風險之間的自然對沖、風險事件發生的正負相關性等組合效應，從風險策略上對風險進行統一集中管理。
第二十四條企業在評估多項風險時，應根據對風險發生可能性的高低和對目標的影響程度的評估，繪制風險坐標圖，對各項風險進行比較，初步確定對各項風險的管理優先順序和策略。
第二十五條企業應對風險管理信息實行動態管理，定期或不定期實施風險辨識、分析、評價，以便對新的風險和原有風險的變化重新評估。 第二十六條本指引所稱風險管理策略，指企業根據自身條件和外部環境，圍繞企業發展戰略，確定風險偏好、風險承受度、風險管理有效性標准，選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略，並確定風險管理所需人力和財力資源的配置原則。
第二十七條一般情況下，對戰略、財務、運營和法律風險，可採取風險承擔、風險規避、風險轉換、風險控制等方法。對能夠通過保險、期貨、對沖等金融手段進行理財的風險，可以採用風險轉移、風險對沖、風險補償等方法。
第二十八條企業應根據不同業務特點統一確定風險偏好和風險承受度，即企業願意承擔哪些風險，明確風險的最低限度和不能超過的最高限度，並據此確定風險的預警線及相應採取的對策。確定風險偏好和風險承受度，要正確認識和把握風險與收益的平衡，防止和糾正忽視風險，片面追求收益而不講條件、范圍，認為風險越大、收益越高的觀念和做法；同時，也要防止單純為規避風險而放棄發展機遇。
第二十九條企業應根據風險與收益相平衡的原則以及各風險在風險坐標圖上的位置，進一步確定風險管理的優選順序，明確風險管理成本的資金預算和控制風險的組織體系、人力資源、應對措施等總體安排。
第三十條企業應定期總結和分析已制定的風險管理策略的有效性和合理性，結合實際不斷修訂和完善。其中，應重點檢查依據風險偏好、風險承受度和風險控制預警線實施的結果是否有效，並提出定性或定量的有效性標准。 第三十一條企業應根據風險管理策略，針對各類風險或每一項重大風險制定風險管理解決方案。方案一般應包括風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、後所採取的具體應對措施以及風險管理工具（如：關鍵風險指標管理、損失事件管理等）。
第三十二條企業制定風險管理解決的外包方案，應注重成本與收益的平衡、外包工作的質量、自身商業秘密的保護以及防止自身對風險解決外包產生依賴性風險等，並制定相應的預防和控制措施。
第三十三條企業制定風險解決的內控方案，應滿足合規的要求，堅持經營戰略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業務流程，制定涵蓋各個環節的全流程式控制制措施；對其他風險所涉及的業務流程，要把關鍵環節作為控制點，採取相應的控制措施。
第三十四條企業制定內控措施，一般至少包括以下內容：
（一）建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定；
（二）建立內控報告制度。明確規定報告人與接受報告人，報告的時間、內容、頻率、傳遞路線、負責處理報告的部門和人員等；
（三）建立內控批准制度。對內控所涉及的重要事項，明確規定批準的程序、條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；
（四）建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各有關部門和業務單位、崗位、人員應負的責任和獎懲制度；
（五）建立內控審計檢查制度。結合內控的有關要求、方法、標准與流程，明確規定審計檢查的對象、內容、方式和負責審計檢查的部門等；
（六）建立內控考核評價制度。具備條件的企業應把各業務單位風險管理執行情況與績效薪酬掛鉤；
（七）建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發布預警信息，制定應急預案，並根據情況變化調整控制措施；
(八)建立健全以總法律顧問制度為核心的企業法律顧問制度。大力加強企業法律風險防範機制建設，形成由企業決策層主導、企業總法律顧問牽頭、企業法律顧問提供業務保障、全體員工共同參與的法律風險責任體系。完善企業重大法律糾紛案件的備案管理制度；
（九）建立重要崗位權力制衡制度，明確規定不相容職責的分離。主要包括：授權批准、業務經辦、會計記錄、財產保管和稽核檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人員對其應採取的監督措施和應負的監督責任；將該崗位作為內部審計的重點等。
第三十五條企業應當按照各有關部門和業務單位的職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。 第三十六條企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，採用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進。
第三十七條企業應建立貫穿於整個風險管理基本流程，連接各上下級、各部門和業務單位的風險管理信息溝通渠道，確保信息溝通的及時、准確、完整，為風險管理監督與改進奠定基礎。
第三十八條企業各有關部門和業務單位應定期對風險管理工作進行自查和檢驗，及時發現缺陷並改進，其檢查、檢驗報告應及時報送企業風險管理職能部門。
第三十九條企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗，要根據本指引第三十條要求對風險管理策略進行評估，對跨部門和業務單位的風險管理解決方案進行評價，提出調整或改進建議，出具評價和建議報告，及時報送企業總經理或其委託分管風險管理工作的高級管理人員。
第四十條企業內部審計部門應至少每年一次對包括風險管理職能部門在內的各有關部門和業務單位能否按照有關規定開展風險管理工作及其工作效果進行監督評價，監督評價報告應直接報送董事會或董事會下設的風險管理委員會和審計委員會。此項工作也可結合年度審計、任期審計或專項審計工作一並開展。
第四十一條企業可聘請有資質、信譽好、風險管理專業能力強的中介機構對企業全面風險管理工作進行評價，出具風險管理評估和建議專項報告。報告一般應包括以下幾方面的實施情況、存在缺陷和改進建議：
（一）風險管理基本流程與風險管理策略；
（二）企業重大風險、重大事件和重要管理及業務流程的風險管理及內部控制系統的建設；
（三）風險管理組織體系與信息系統；
（四）全面風險管理總體目標。 第四十二條企業應建立健全風險管理組織體系，主要包括規范的公司法人治理結構，風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。
第四十三條企業應建立健全規范的公司法人治理結構，股東（大）會（對於國有獨資公司或國有獨資企業，即指國資委，下同）、董事會、監事會、經理層依法履行職責，形成高效運轉、有效制衡的監督約束機制。
第四十四條國有獨資公司和國有控股公司應建立外部董事、獨立董事制度，外部董事、獨立董事人數應超過董事會全部成員的半數，以保證董事會能夠在重大決策、重大風險管理等方面作出獨立於經理層的判斷和選擇。
第四十五條董事會就全面風險管理工作的有效性對股東（大）會負責。董事會在全面風險管理方面主要履行以下職責：
（一）審議並向股東（大）會提交企業全面風險管理年度工作報告；
（二）確定企業風險管理總體目標、風險偏好、風險承受度，批准風險管理策略和重大風險管理解決方案；
（三）了解和掌握企業面臨的各項重大風險及其風險管理現狀，做出有效控制風險的決策；
（四）批准重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制；
（五）批准重大決策的風險評估報告；
（六）批准內部審計部門提交的風險管理監督評價審計報告；
（七）批准風險管理組織機構設置及其職責方案；
（八）批准風險管理措施，糾正和處理任何組織或個人超越風險管理制度做出的風險性決定的行為；
（九）督導企業風險管理文化的培育；
（十）全面風險管理其他重大事項。
第四十六條具備條件的企業，董事會可下設風險管理委員會。該委員會的召集人應由不兼任總經理的董事長擔任；董事長兼任總經理的，召集人應由外部董事或獨立董事擔任。該委員會成員中需有熟悉企業重要管理及業務流程的董事，以及具備風險管理監管知識或經驗、具有一定法律知識的董事。
第四十七條風險管理委員會對董事會負責，主要履行以下職責：
（一）提交全面風險管理年度報告；
（二）審議風險管理策略和重大風險管理解決方案；
（三）審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制，以及重大決策的風險評估報告；
（四）審議內部審計部門提交的風險管理監督評價審計綜合報告；
（五）審議風險管理組織機構設置及其職責方案；
（六）辦理董事會授權的有關全面風險管理的其他事項。
第四十八條企業總經理對全面風險管理工作的有效性向董事會負責。總經理或總經理委託的高級管理人員，負責主持全面風險管理的日常工作，負責組織擬訂企業風險管理組織機構設置及其職責方案。
第四十九條企業應設立專職部門或確定相關職能部門履行全面風險管理的職責。該部門對總經理或其委託的高級管理人員負責，主要履行以下職責：
（一）研究提出全面風險管理工作報告；
（二）研究提出跨職能部門的重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制；
（三）研究提出跨職能部門的重大決策風險評估報告；
（四）研究提出風險管理策略和跨職能部門的重大風險管理解決方案，並負責該方案的組織實施和對該風險的日常監控；
（五）負責對全面風險管理有效性評估，研究提出全面風險管理的改進方案；
（六）負責組織建立風險管理信息系統；
（七）負責組織協調全面風險管理日常工作；
（八）負責指導、監督有關職能部門、各業務單位以及全資、控股子企業開展全面風險管理工作；
（九）辦理風險管理其他有關工作。
第五十條企業應在董事會下設立審計委員會，企業內部審計部門對審計委員會負責。審計委員會和內部審計部門的職責應符合《中央企業內部審計管理暫行辦法》（國資委令第8號）的有關規定。內部審計部門在風險管理方面，主要負責研究提出全面風險管理監督評價體系，制定監督評價相關制度，開展監督與評價，出具監督評價審計報告。
第五十一條企業其他職能部門及各業務單位在全面風險管理工作中，應接受風險管理職能部門和內部審計部門的組織、協調、指導和監督，主要履行以下職責：
（一）執行風險管理基本流程；
（二）研究提出本職能部門或業務單位重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制；
（三）研究提出本職能部門或業務單位的重大決策風險評估報告；
（四）做好本職能部門或業務單位建立風險管理信息系統的工作；
（五）做好培育風險管理文化的有關工作；
（六）建立健全本職能部門或業務單位的風險管理內部控制子系統；
（七）辦理風險管理其他有關工作。
第五十二條企業應通過法定程序，指導和監督其全資、控股子企業建立與企業相適應或符合全資、控股子企業自身特點、能有效發揮作用的風險管理組織體系。 第五十三條企業應將信息技術應用於風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的採集、存儲、加工、分析、測試、傳遞、報告、披露等。
第五十四條企業應採取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、准確性、及時性、可用性和完整性。對輸入信息系統的數據，未經批准，不得更改。
第五十五條風險管理信息系統應能夠進行對各種風險的計量和定量分析、定量測試；能夠實時反映風險矩陣和排序頻譜、重大風險和重要業務流程的監控狀態；能夠對超過風險預警上限的重大風險實施信息報警；能夠滿足風險管理內部信息報告制度和企業對外信息披露管理制度的要求。
第五十六條風險管理信息系統應實現信息在各職能部門、業務單位之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足企業整體和跨職能部門、業務單位的風險管理綜合要求。
第五十七條企業應確保風險管理信息系統的穩定運行和安全，並根據實際需要不斷進行改進、完善或更新。
第五十八條已建立或基本建立企業管理信息系統的企業，應補充、調整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應將風險管理與企業各項管理業務流程、管理軟體統一規劃、統一設計、統一實施、同步運行。 第五十九條企業應注重建立具有風險意識的企業文化，促進企業風險管理水平、員工風險管理素質的提升，保障企業風險管理目標的實現。
第六十條風險管理文化建設應融入企業文化建設全過程。大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業建立系統、規范、高效的風險管理機制。
第六十一條企業應在內部各個層面營造風險管理文化氛圍。董事會應高度重視風險管理文化的培育，總經理負責培育風險管理文化的日常工作。董事和高級管理人員應在培育風險管理文化中起表率作用。重要管理及業務流程和風險控制點的管理人員和業務操作人員應成為培育風險管理文化的骨幹。
第六十二條企業應大力加強員工法律素質教育，制定員工道德誠信准則，形成人人講道德誠信、合法合規經營的風險管理文化。對於不遵守國家法律法規和企業規章制度、弄虛作假、徇私舞弊等違法及違反道德誠信准則的行為，企業應嚴肅查處。
第六十三條企業全體員工尤其是各級管理人員和業務操作人員應通過多種形式，努力傳播企業風險管理文化，牢固樹立風險無處不在、風險無時不在、嚴格防控純粹風險、審慎處置機會風險、崗位風險管理責任重大等意識和理念。
第六十四條風險管理文化建設應與薪酬制度和人事制度相結合，有利於增強各級管理人員特別是高級管理人員風險意識，防止盲目擴張、片面追求業績、忽視風險等行為的發生。
第六十五條企業應建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。採取多種途經和形式，加強對風險管理理念、知識、流程、管控核心內容的培訓，培養風險管理人才，培育風險管理文化。 第六十六條中央企業中未設立董事會的國有獨資企業，由經理辦公會議代行本指引中有關董事會的職責，總經理對本指引的貫徹執行負責。
第六十七條本指引在中央企業投資、財務報告、衍生產品交易等方面的風險管理配套文件另行下發。
第六十八條本指引的《附錄》對本指引所涉及的有關技術方法和專業術語進行了說明。
第六十九條本指引由國務院國有資產監督管理委員會負責解釋。
第七十條本指引自印發之日起施行。

❺ 人民銀行重大決策風險評估制度

中國人民銀行關於印發《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》的通知

中國人民銀行上海總部,各分行、營業管理部,各省會（首府）城市中心支行,各副省級城市中心支行；國家開發銀行、各政策性銀行、國有商業銀行、股份制商業銀行，中國郵政儲蓄銀行；中國銀聯、農信銀資金清算中心、城市商業銀行資金清算中心：

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資工作有效性，根據《中華人民共和國反洗錢法》等法律規定，中國人民銀行制定了《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》(以下簡稱《指引》)，現印發給你們，並就執行《指引》中的有關事項通知如下，請遵照執行。

一、金融機構工作安排

金融機構可按照《指引》所確定的自主管理原則，決定是否執行《指引》。

（一）決定全部或部分執行《指引》規定的金融機構應按照以下要求開展工作：

1.在2013年3月15日前制定執行《指引》的工作方案，報中國人民銀行或中國人民銀行授權對該金融機構實施反洗錢監管的當地中國人民銀行分支機構（以下統稱當地中國人民銀行分支機構）。

2.在2013年12月31日前按照《指引》要求，制定或修改完善反洗錢內控制度及操作流程（以下統稱新內控制度），並向中國人民銀行或當地中國人民銀行分支機構報備。

3.在2015年1月1日前實施新內控制度，按照《指引》要求，啟動洗錢和恐怖融資風險評估以及客戶風險等級劃分等工作。

4.在2015年12月31日前，完成對新內控制度實施前已與本機構建立業務關系客戶的風險等級的重新確認工作。工作量特別大的金融機構可向中國人民銀行申請適當延長工作期限。

（二）決定不執行《指引》的金融機構應在2013年9月15日前完成評估論證工作，並向中國人民銀行或當地中國人民銀行分支機構書面報告評估論證的方法、過程及結論。金融機構在30個工作日內未收到中國人民銀行或當地中國人民銀行分支機構反饋異議的，可不再執行本通知要求。

二、中國人民銀行監管工作要求

中國人民銀行或其分支機構收到金融機構提交的工作方案及相關報告後，如有不同意見，應在30個工作日內向金融機構反饋。

中國人民銀行及其分支機構應將金融機構、金融機構分支機構執行符合《指引》要求的新內控制度以及按自主管理原則確立的其他反洗錢措施情況，作為反洗錢監管重點。

請中國人民銀行上海總部，各分行、營業管理部，各省會（首府）城市中心支行，大連、青島、寧波、廈門、深圳市中心支行將本通知轉發至總部注冊地在轄區內的各城市商業銀行、農村商業銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、外資銀行、證券公司、期貨經紀公司、基金管理公司、保險公司、保險資產管理公司、信託公司、金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等金融機構和支付機構。

❻ 能夠用於P2P的風險評估模型有哪些呀

1、陽光寶利推出的實用個人P2P理財風險評估模型」
2、Kernel-Based Model
3、R2BTM模型（reputation and risk evaluation based trust model）
我知道的有這三種。

❼ 保險公估流程

這些就是干這行最基本的東西 你現在必須要找資料學習一下 因為東西太多 沒法說啊 說明白一句話 就是你必須對你估損的要了解換或修的價格 要給的基本公平 然後用書面形式表現出來

❽ 求信息安全風險評估管理軟體

Info-Riskmanager with ITBPM

Info-Riskmanager with ITBPM是基於區域網運行的信息安全風險評估和管理工具軟體，用戶可以利用該工具軟體方便、快速、全面、持續地識別和管理信息安全風險，可用於ISO27001、ISO20000所要求的風險評估和風險管理過程。該工具軟體還包含ITBPM（德國IT基線保護手冊）的全部「資產-威脅-控制措施」模型，方便用戶根據ITBPM建立適用的IT保護機制。
Info-Riskmanager with ITBPM將復雜、繁瑣、耗時、多變的風險評估和管理過程轉變為簡單、直觀、快速和易於管理。其評估過程嚴謹統一，全面細致，結果直觀可靠，科學合理，能夠大幅度提高風險評估和風險管理的效率和效果。

❾ 為什麼要加強風險評估

我國網路銀行面臨的風險與對策 論文
[摘 要] 文章從技術上、操作上、社會環境等方面闡述了網路銀行的風險及其相應的防範措施。
[關鍵詞] 網路銀行;風險;防範
我國網路銀行除了具有傳統銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網路環境下的新風險。

一、 我國網路銀行面臨的風險

1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬體打交道並為用戶提供介面,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是一個開放的系統,源代碼已公開。根據美、荷、法、德、英、加共同制定的通用安全評價標准《Common Criteria for IT Security Evaluation(簡稱CC標准)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網路銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網路業務系統設計存在漏洞。目前,網路應用軟體存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網路及應用軟體伺服器錯誤配置。
在設計過程中,只重視「計算機如何完成任務」方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下介面,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬碟損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。

2.操作風險
網路銀行操作風險是指由於網路銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網路銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網路銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網路銀行稽核審計部門。

3.信用風險
網路銀行的信用風險主要表現為客戶在網路上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。

4.信息不對稱風險
信息不對稱表現在兩個方面,一方面是由於網路銀行無法得到足夠客戶信息,另一方面是由於客戶無法得到有關網路銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網路銀行不利的行為,也使得客戶不能正確評價網路銀行的優劣。

5.法律風險
我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。

二、 我國網路銀行風險防範對策

1.系統風險的防範
(1)物理安全。主要指對計算機設備場地、計算機系統、網路設備、密鑰等關鍵設備的安全防衛措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。
(2)應用安全操作系統技術。安全操作系統不僅可以防範黑客利用操作系統平台本身的漏洞來攻擊網路銀行交易系統,而且它還可以在一定程度上屏蔽掉應用軟體系統的某些安全漏洞。美國先後開發了各種級別的安全操作系統,其中作為商用的有Data General公司的DG UX B1/B2安全操作系統,HP公司的HPUX CMW B1級安全操作系統等。國內各大科研機構及公司也研製出高安全級別的操作系統,如:中科院信息安全工程研究中心研製的SECLINUX安全操作系統、中軟總公司研製的COSIX LINUX系統。目前,中國建設銀行的網路銀行系統建立在安全操作系統平台之上,該系統基於HP9000硬體平台,採用HP公司的B1級安全操作系統。
(3)數據通信加密技術的應用。對傳輸中的數據流進行加密,按實現加密的通信層次可分為鏈路加密、節點加密、端到端加密。在鏈路數較多以及對流量分析要求不高的情況下,適合採用「端到端加密」方式。在對流量分析要求較高的情況下,可採用「鏈路加密」與「端到端加密」相結合的方式:用「鏈路加密」對報文的報頭進行加密,防止進行流量分析,再用「端到端加密」對傳送的報文進行加密保護。
對數據進行加密的演算法主要有DES和RSA兩種。DES屬於私鑰加密體制(又稱對稱加密體制),它的優點是加、解密速度快,演算法容易實現,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密體制(又稱非對稱加密體制),它的優點是安全性好,網路中容易實現密鑰管理。因此可以採用將DES和RSA相結合的綜合加密體制:用DES演算法對數據進行加密,用RSA演算法對密鑰進行加密。
(4)應用系統安全。應用系統安全主要包括對交易雙方的身份確認和對交易的確認。在網路銀行系統中,用戶的身份認證依靠數字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統進行身份認證。數字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(Public Key Infrastructure)是解決大規模網路環境中信任和加密問題的很好的解決方案。同時採用安全電子交易協議,目前主要的協議標准有:安全超文本傳輸協議(S-HTTP)、安全套接層協議(SSL)、安全交易技術協議(STT)、安全電子交易協議(SET),其中SET涵蓋了信用卡的交易協定、信息保密、資料完整及數據認證、數字簽名等,已經成為事實上的工業標准。

加強應用系統開發過程的審計,應用系統運行過程中的實時審計。
(5)應用資料庫安全技術。應用存取控制技術、數據加密技術、硬碟分區防護技術、資料庫的安全審計技術、故障恢復技術等。
(6)應用防火牆安全技術。建立綜合計算機病毒檢測技術、代理服務技術和包過濾技術的第四代防火牆,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置放火牆時要截止所有從135到142的TCP和UDP連接,改變默認配置埠,拒絕PING 信息包,通過設置ACCESS LIST 的過濾規則來實現包過濾功能。採用防火牆雙機冷備份策略。進行入侵檢測和定期漏洞掃描。

2.操作風險的防範
操作風險主要來自銀行內部,應完善網路銀行的內部控制制度,建立科學的操作規范,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、製作者與執行者分離,對主管和操作員實行IC卡身份鑒別,並同時加口令,任何進入系統的操作必須有日誌記載。
建立操作風險管理中心,對員工進行防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,對網路銀行的操作風險進行評估,並採取相應措施。建立操作風險應急反應中心,對業務的影響因素進行研究,識別出可能導致業務中止的情況,系統的備份及定期測試公司的災難應急計劃,對出現的安全問題提供技術支援和解決方案。使用保險來抵補那些「低頻率、高危害」的操作風險。建立操作風險審計中心,對全部的網路銀行業務實時監控、網路掃描,並利用審計記錄,對業務操作人員和計算機系統管理人員進行稽核。
來自外部的操作風險,尤其是網路銀行金融欺詐方面,不但要對個人服務的零售業務進行監控,還要加強對登錄網路銀行的企業加強監控,通過數據挖掘軟體對可疑資金交易進行分析,防範利用網路進行非法資金交易。

3.信用風險的防範
建立全國性的用戶信用管理信息系統,將用戶劃分為不同的信用等級,針對不同等級的用戶採取不同的管理措施。應共享客戶資料信息庫,與其他商業銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。

4.信息不對稱風險的防範
建立信息披露制度,強化信息披露的質量。應定期發布經注冊會計師審計的關於網路銀行經營活動和財務狀況的公允信息,披露有關網路銀行風險的大小和網路銀行為了規避風險而採取的措施以及消費者權益保護的信息。建立社會監管體系,網路銀行之間進行相互監督。

5.法律風險的防範
應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。 幫