客戶風險管理政策應經金融機構董事會

A. 《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》的全文是什麼

《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》是為了預防洗錢和恐怖融資活動，規範金融機構客戶身份識別、客戶身份資料和交易記錄保存行為，維護金融秩序，根據《中華人民共和國反洗錢法》等法律、行政法規的規定，由中國人民銀行、中國銀行業監督管理委員會、中國證券監督管理委員會和中國保險監督管理委員會制定，於2007年6月21日發布，自2007年8月1日起施行。

第一章 總則

第一條為了預防洗錢和恐怖融資活動，規範金融機構客戶身份識別、客戶身份資料和交易記錄保存行為，維護金融秩序，根據《中華人民共和國反洗錢法》等法律、行政法規的規定，制定本辦法。

第二條本辦法適用於在中華人民共和國境內依法設立的下列金融機構：

（一）政策性銀行、商業銀行、農村合作銀行、城市信用合作社、農村信用合作社。

（二）證券公司、期貨公司、基金管理公司。

（三）保險公司、保險資產管理公司。

（四）信託公司、金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司。

（五）中國人民銀行確定並公布的其他金融機構。

從事匯兌業務、支付清算業務和基金銷售業務的機構履行客戶身份識別、客戶身份資料和交易記錄保存義務適用本辦法。

第三條金融機構應當勤勉盡責，建立健全和執行客戶身份識別制度，遵循「了解你的客戶」的原則，針對具有不同洗錢或者恐怖融資風險特徵的客戶、業務關系或者交易，採取相應的措施，了解客戶及其交易目的和交易性質，了解實際控制客戶的自然人和交易的實際受益人。

金融機構應當按照安全、准確、完整、保密的原則，妥善保存客戶身份資料和交易記錄，確保能足以重現每項交易，以提供識別客戶身份、監測分析交易情況、調查可疑交易活動和查處洗錢案件所需的信息。

第四條金融機構應當根據反洗錢和反恐怖融資方面的法律規定，建立和健全客戶身份識別、客戶身份資料和交易記錄保存等方面的內部操作規程，指定專人負責反洗錢和反恐融資合規管理工作，合理設計業務流程和操作規范，並定期進行內部審計，評估內部操作規程是否健全、有效，及時修改和完善相關制度。

第五條金融機構應當對其分支機構執行客戶身份識別制度、客戶身份資料和交易記錄保存制度的情況進行監督管理。

金融機構總部、集團總部應對客戶身份識別、客戶身份資料和交易記錄保存工作作出統一要求。

金融機構應要求其境外分支機構和附屬機構在駐在國家（地區）法律規定允許的范圍內，執行本辦法的有關要求，駐在國家（地區）有更嚴格要求的，遵守其規定。如果本辦法的要求比駐在國家（地區）的相關規定更為嚴格，但駐在國家（地區）法律禁止或者限制境外分支機構和附屬機構實施本辦法，金融機構應向中國人民銀行報告。

第六條金融機構與境外金融機構建立代理行或者類似業務關系時，應當充分收集有關境外金融機構業務、聲譽、內部控制、接受監管等方面的信息，評估境外金融機構接受反洗錢監管的情況和反洗錢、反恐怖融資措施的健全性和有效性，以書面方式明確本金融機構與境外金融機構在客戶身份識別、客戶身份資料和交易記錄保存方面的職責。

金融機構與境外金融機構建立代理行或者類似業務關系應當經董事會或者其他高級管理層的批准。

第二章 客戶身份識別制度

第七條政策性銀行、商業銀行、農村合作銀行、城市信用合作社、農村信用合作社等金融機構和從事匯兌業務的機構，在以開立賬戶等方式與客戶建立業務關系，為不在本機構開立賬戶的客戶提供現金匯款、現鈔兌換、票據兌付等一次性金融服務且交易金額單筆人民幣1萬元以上或者外幣等值1000美元以上的，應當識別 客戶身份，了解實際 控制 客戶的自然人和交易的實際受益人，核對客戶的有效身份證件或者其他身份證明文件，影印件。

如客戶為外國政要，金融機構為其開立賬戶應當經高級管理層的批准。

第八條商業銀行、農村合作銀行、城市信用合作社、農村信用合作社等金融機構為自然人客戶辦理人民幣單筆5萬元以上或者外幣等值1萬美元以上現金存取業務的，應當核對客戶的有效身份證件或者其他身份證明文件。

第九條金融機構提供保管箱服務時，應了解保管箱的實際使用人。

第十條政策性銀行、商業銀行、農村合作銀行、城市信用合作社、農村信用合作社等金融機構和從事匯兌業務的機構為客戶向境外匯出資金時，應當登記匯款人的姓名或者名稱、賬號、住所和收款人的姓名、住所等信息，在匯兌憑證或者相關信息系統中留存上述信息，並向接收匯款的境外機構提供匯款人的姓名或者名稱、賬號、住所等信息。匯款人沒有在本金融機構開戶，金融機構無法登記匯款人賬號的，可登記並向接收匯款的境外機構提供其他相關信息，確保該筆交易的可跟蹤稽核。境外收款人住所不明確的，金融機構可登記接收匯款的境外機構所在地名稱。

接收境外匯入款的金融機構，發現匯款人姓名或者名稱、匯款人賬號和匯款人住所三項信息中任何一項缺失的，應要求境外機構補充。如匯款人沒有在辦理匯出業務的境外機構開立賬戶，接收匯款的境內金融機構無法登記匯款人賬號的，可登記其他相關信息，確保該筆交易的可跟蹤稽核。境外匯款人住所不明確的，境內金融機構可登記資金匯出地名稱。

第十一條證券公司、期貨公司、基金管理公司以及其他從事基金銷售業務的機構在辦理以下業務時，應當識別客戶身份，了解實際控制客戶的自然人和交易的實際受益人，核對客戶的有效身份證件或者其他身份證明文件，登記客戶身份 基本信息，並留存有效身份證件或者其他身份證明文件的復印件或者影印件：

（一）資金賬戶開戶、銷戶、變更，資金存取等。

（二）開立基金賬戶。

（三）代辦證券賬戶的開戶、掛失、銷戶或者期貨客戶交易編碼的申請、掛失、銷戶。

（四）與客戶簽訂期貨經紀合同。

（五）為客戶辦理代理授權或者取消代理授權。

（六）轉託管，指定交易、撤銷指定交易。

（七）代辦股份確認。

（八）交易密碼掛失。

（九）修改客戶身份基本信息等資料。

（十）開通網上交易、電話交易等非櫃面交易方式。

（十一）與客戶簽訂融資融券等信用交易合同。

（十二）辦理中國人民銀行和中國證券監督管理委員會確定的其他業務。

第十二條對於保險費金額人民幣1萬元以上或者外幣等值1000美元以上且以現金形式繳納的財產保險合同，單個被保險人保險費金額人民幣2萬元以上或者外幣等值2000美元以上且以現金形式繳納的人身保險合同，保險費金額人民幣20萬元以上或者外幣等值2萬美元以上且以轉賬形式繳納的保險合同，保險公司在訂立保險合同時，應確認投保人與被保險人的關系，核對投保人和人身保險被保險人、法定繼承人以外的指定受益人的有效身份證件或者其他身份證明文件，登記投保人、被保險人、法定繼承人以外的指定受益人的身份基本信息，並留存有效身份證件或者其他身份證明文件的復印件或者影印件。

第十三條在客戶申請解除保險合同時，如退還的保險費或者退還的保險單的現金價值金額為人民幣1萬元以上或者外幣等值1000美元以上的，保險公司應當要求退保申請人出示保險合同原件或者保險憑證原件，核對退保申請人的有效身份證件或者其他身份證明文件，確認申請人的身份。

第十四條在被保險人或者受益人請求保險公司賠償或者給付保險金時，如金額為人民幣1萬元以上或者外幣等值1000美元以上，保險公司應當核對被保險人或者受益人的有效身份證件或者其他身份證明文件，確認被保險人、受益人與投保人之間的關系，登記被保險人、受益人身份基本信息，並留存有效身份證件或者其他身份證明文件的復印件或者影印件。

第十五條信託公司在設立信託時，應當核對委託人的有效身份證件或者其他身份證明文件，了解信託財產的來源，登記委託人、受益人的身份基本信息，並留存委託人的有效身份證件或者其他身份證明文件的復印件或者影印件。

第十六條金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、保險資產管理公司以及中國人民銀行確定的其他金融機構在與客戶簽訂金融業務合同時，應當核對客戶的有效身份證件或者其他身份證明文件，登記客戶身份基本信息，並留存有效身份證件或者其他身份證明文件的復印件或者影印件。

第十七條金融機構利用電話、網路、自動櫃員機以及其他方式為客戶提供非櫃台方式的服務時，應實行嚴格的身份認證措施，採取相應的技術保障手段，強化內部管理程序，識別客戶身份。

第十八條金融機構應按照客戶的特點或者賬戶的屬性，並考慮地域、業務、行業、客戶是否為外國政要等因素，劃分風險等級，並在持續關注的基礎上，適時調整風險等級。在同等條件下，來自於反洗錢、反恐怖融資監管薄弱國家（地區）客戶的風險等級應高於來自於其他國家（地區）的客戶。

金融機構應當根據客戶或者賬戶的風險等級，定期審核本金融機構保存的客戶基本信息，對風險等級較高客戶或者賬戶的審核應嚴於對風險等級較低客戶或者賬戶的審核。對本金融機構風險等級最高的客戶或者賬戶，至少每半年進行1次審核。

金融機構的風險劃分標准應報送中國人民銀行。

第十九條在與客戶的業務關系存續期間，金融機構應當採取持續的客戶身份識別措施，關注客戶及其日常經營活動、金融交易情況，及時提示客戶更新資料信息。

對於高風險客戶或者高風險賬戶持有人，金融機構應當了解其資金來源、資金用途、經濟狀況或者經營狀況等信息，加強對其金融交易活動的監測分析。客戶為外國政要的，金融機構應採取合理措施了解其資金來源和用途。

客戶先前提交的身份證件或者身份證明文件已過有效期的，客戶沒有在合理期限內更新且沒有提出合理理由的，金融機構應中止為客戶辦理業務。

第二十條金融機構應採取合理方式確認代理關系的存在，在按照本辦法的有關要求對被代理人採取客戶身份識別措施時，應當核對代理人的有效身份證件或者身份證明文件，登記代理人的姓名或者名稱、聯系方式、身份證件或者身份證明文件的種類、號碼。

第二十一條除信託公司以外的金融機構了解或者應當了解客戶的資金或者財產屬於信託財產的，應當識別信託關系當事人的身份，登記信託委託人、受益人的姓名或者名稱、聯系方式。

第二十二條出現以下情況時，金融機構應當重新識別客戶：

（一）客戶要求變更姓名或者名稱、身份證件或者身份證明文件種類、身份證件號碼、注冊資本、經營范圍、法定代表人或者負責人的。

（二）客戶行為或者交易情況出現異常的。

（三）客戶姓名或者名稱與國務院有關部門、機構和司法機關依法要求金融機構協查或者關注的犯罪嫌疑人、洗錢和恐怖融資分子的姓名或者名稱相同的。

（四）客戶有洗錢、恐怖融資活動嫌疑的。

（五）金融機構獲得的客戶信息與先前已經掌握的相關信息存在不一致或者相互矛盾的。

（六）先前獲得的客戶身份資料的真實性、有效性、完整性存在疑點的。

（七）金融機構認為應重新識別客戶身份的其他情形。

第二十三條金融機構除核對有效身份證件或者其他身份證明文件外，可以採取以下的一種或者幾種措施，識別或者重新識別客戶身份：

（一）要求客戶補充其他身份資料或者身份證明文件。

（二）回訪客戶。

（三）實地查訪。

（四）向公安、工商行政管理等部門核實。

（五）其他可依法採取的措施。

銀行業金融機構履行客戶身份識別義務時，按照法律、行政法規或部門規章的規定需核對相關自然人的居民身份證的，應通過中國人民銀行建立的聯網核查公民身份信息系統進行核查。其他金融機構核實自然人的公民身份信息時，可以通過中國人民銀行建立的聯網核查公民身份信息系統進行核查。

第二十四條金融機構委託其他金融機構向客戶銷售金融產品時，應在委託協議中明確雙方在識別客戶身份方面的職責，相互間提供必要的協助，相應採取有效的客戶身份識別措施。

符合下列條件時，金融機構可信賴銷售金融產品的金融機構所提供的客戶身份識別結果，不再重復進行已完成的客戶身份識別程序，但仍應承擔未履行客戶身份識別義務的責任：

（一）銷售金融產品的金融機構採取的客戶身份識別措施符合反洗錢法律、行政法規和本辦法的要求。

（二）金融機構能夠有效獲得並保存客戶身份資料信息。

第二十五條金融機構委託金融機構以外的第三方識別客戶身份的，應當符合下列要求：

（一）能夠證明第三方按反洗錢法律、行政法規和本辦法的要求，採取了客戶身份識別和身份資料保存的必要措施。

（二）第三方為本金融機構提供客戶信息，不存在法律制度、技術等方面的障礙。

（三）本金融機構在辦理業務時，能立即獲得第三方提供的客戶信息，還可在必要時從第三方獲得客戶的有效身份證件、身份證明文件的原件、復印件或者影印件。

委託第三方代為履行識別客戶身份的，金融機構應當承擔未履行客戶身份識別義務的責任。

第二十六條金融機構在履行客戶身份識別義務時，應當向中國反洗錢監測分析中心和中國人民銀行當地分支機構報告以下可疑行為：

（一）客戶拒絕提供有效身份證件或者其他身份證明文件的。

（二）對向境內匯入資金的境外機構提出要求後，仍無法完整獲得匯款人姓名或者名稱、匯款人賬號和匯款人住所及其他相關替代性信息的。

（三）客戶無正當理由拒絕更新客戶基本信息的。

（四）採取必要措施後，仍懷疑先前獲得的客戶身份資料的真實性、有效性、完整性的。

（五）履行客戶身份識別義務時發現的其他可疑行為。

金融機構報告上述可疑行為參照《金融機構大額交易和可疑交易報告管理辦法》（中國人民銀行令〔2006〕第2號發布）及相關規定執行。

第三章 客戶身份資料和交易記錄保存

第四章 法律責任

第五章 附則

(1)客戶風險管理政策應經金融機構董事會擴展閱讀

《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法辦法》適用於在中華人民共和國境內依法設立的政策性銀行、商業銀行、農村合作銀行、城市信用合作社、農村信用合作社、證券公司、期貨公司、基金管理公司、保險公司、保險資產管理公司、信託公司、金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、中國人民銀行確定並公布的其他金融機構。

參考資料

中國政府網-國務院公報-2008年第6號

B. 論述題求大神幫忙，結合《銀行業金融機構內部審計指引》談談你行董事會、審計委員會以及內審部門在內部審

1、確定本行的經營發展戰略和重大政策並定期檢查、評價其執行情況；
2、聘任和解聘本行的高級管理層成員；
3、制訂本行的年度財務預算方案、決算方案、風險資本分配方案、利潤分配方案和彌補虧損方案；
4、決定本行的風險管理和內部控制政策， 負責保證本行建立並實施充分而有效的內部控制體系；
5、監督高級管理層的履職情況，確保高級管理層有效履行管理職責；
6、負責本行的信息披露，並對本行的會計和財務報告體系的完整性、准確性承擔最終責任；
7、定期評估並完善本行的公司治理狀況；
8、負責確保本行在法律和政策的框架內審慎經營，明確設定可接受的風險程度，確保高級管理層採取必要措施識別、計量、監測並控制風險；
9、負責審批組織機構；
10、負責保證高級管理層對內部控制體系的充分性與有效性進行監測和評估；
11、負責審議批准合規政策和合規風險管理報告，評價合規風險管理的有效性，並授權董事會下設的風險管理委員會或專門設立的合規管理委員會對本行合規風險管理進行日常監督；
12、負責信息系統的戰略規劃、重大項目和風險監督管理；
13、負責對信息科技風險管理的戰略規劃和工作目標、工作任務的方案審議、管理與監督；
14、負責制定金融創新發展戰略，並確保其與全行整體戰略相一致；

15、負責將金融創新活動的風險管理納入全行統一的風險管理體系，確保各類金融創新活動與本行的風險管理能力和專業水平相適應；
16、制定與本行戰略目標相一致且適用於全行的操作風險管理戰略和總體政策；
17、通過審批及檢查高級管理層有關操作風險的職責、許可權及報告制度，確保全行的操作風險管理決策體系的有效性，並盡可能地確保將本行從事的各項業務面臨的操作風險控制在可以承受的范圍內；
18、定期審閱高級管理層提交的操作風險報告，充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監控和評價日常操作風險管理的有效性；
19、確保高級管理層採取必要的措施有效地識別、評估、監測和控制/緩釋操作風險；
20、確保本行操作風險管理體系接受內審部門的有效審查與監督；
21、制定適當的獎懲制度，在全行范圍有效地推動操作風險管理體系的建設。
22、法律、法規和章程規定的其他職責

-------------------僅供參考-------------------------希望採納----------

C. 銀行業金融機構信息系統風險管理指引的主要要求是什麼

機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責：
（一）貫徹執行國家有關信息系統管理的法律、法規和技術標准，落實銀監會相關監管要求；
（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，並監督落實；
（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；
（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，並按有關預案快速響應；
（五）每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告；
（六）做好本機構信息系統審計工作；
（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，並按照監管意見進行整改；
（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；
（九）開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，並協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：
（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；
（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責許可權，建立制約機制，實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准，參照有關國際准則，積極推進信息安全標准化，實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准，省域數據中心至少應達到國家B類機房標准，省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟體，加強軟體版本管理，優先使用具有中國自主知識產權的軟、硬體產品；積極研發具有自主知識產權的信息系統和相關金融產品，並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設；網路設備應兼備技術先進性和產品成熟性；網路設備和線路應有冗餘備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網路設備，保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統採集加工、傳輸、存取數據；優化系統和資料庫安全設置，嚴格按授權使用系統和資料庫，採用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取許可權、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條 銀行業金融機構應制定信息系統應急預案，並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本並異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，並進行演練。

第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略，並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，並制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批准，並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

D. 金融機構風險管理體系有哪些基本要素

金融機構風險管理體系有三個基本要素，分別是以下3點：

1、董事會對總體風險管理理念和基本風險管戰略的確定

總體上說，董事會對金融機構承受的風險承擔最終責任和義務，因此應負起監控職能。公司整體的風險管理及控制政策應由董事會審批，為保證戰略和政策得到遵守並保持適應性，決策機構應通過獨立的風險管理部門和獨立的內部審計部門進行實施和評估。

2、確定風險管理的基本程序

董事會制定風險管理及控制戰略的第一步是，根據預定的風險管理原則，並根據風險對資本比例情況，對公司業務活動及其帶來的風險進行分析。在上述分析的基礎上，要規定每一種主要業務或產品的風險數量限額，批准業務的具體范圍，並應有充足的資本加以支持。此後，應對業務和風險不斷進行常規檢查，並根據業務和市場的變化對戰略進行定期重新評估，並將結論應直接報告決策層。轉貼於
看準網 http://www.kanzhun.com

在識別風險和確定了抵禦風險的總體戰略後，公司就可以制定用於日常和長期業務操作的詳細而具體的指引。為此，風險管理的政策和程序中應包括，風險管理及控制過程中的權力及遵守風險政策的責任，有效的內部會計控制，內部和外部審計等。如果公司較大較復雜，則需要建立集中、自主的風險管理部門。就風險管理和控制部門而言，最重要的是配備適當的專業人員、並獨立於產生風險的部門。

因為控制結構的有效性取決於運用它的人，因此，有效控制的前提是機構內所有員工都具有高度的責任。在確定風險管理及控制過程的權力和責任時，一個重要的因素應是將風險的衡量、監督和控制與產生風險的交易部門分開。高級管理層應保證職責適當分開，員工的責任不應互相沖突。

3、信用風險的管理策略

信用風險管理是金融機構整體風險管理構架中不可分割的組成部分，它由風險管理委員會下設的信用風險管理部門全面負責。信用風險管理部門直接向全球風險經理負責，全球風險經理再依次向執行總裁報告。信用風險管理部門通過專業化的評估、限額審批、監督等在全球范圍內實施信貸調節和管理。在考察信用風險時，信用風險管理部門要對風險和收益間的關系進行平衡，對實際和潛在的信貸暴露進行預測。

E. 銀監會對中資商業銀行分支機構高級管理人員任職資格是怎樣規定的

根據《中資銀行業金融機構及非銀行金融機構董事和高級管理人員任職資格核准事項服務指南》的標准：

1、中資商業銀行（政策性銀行參照中資商業銀行執行）、農村中小金融機構（農村商業銀行、農村合作銀行、農村信用社、村鎮銀行、貸款公司、農村資金互助社）及非銀行金融機構董事和高級管理人員任職資格核准。

2、具體范圍：

中資商業銀行董事長、副董事長、獨立董事、其他董事會成員以及董事會秘書，須經任職資格許可。中資商業銀行行長、副行長、行長助理、風險總監、合規總監、總審計師、總會計師、首席信息官以及同職級高級管理人員，內審部門、財務部門負責人；

總行營業部總經理（主任）、副總經理（副主任）、總經理助理，分行行長、副行長、行長助理，分行級專營機構總經理、副總經理、總經理助理，分行營業部負責人，管理型支行行長、專營機構分支機構負責人等高級管理人員，須經任職資格許可。

中資商業銀行從境內聘請的中資商業銀行境外機構董事長、副董事長、行長（總經理）、副行長（副總經理）、首席代表，須經任職資格許可。其他雖未擔任上述職務，但實際履行本條前三款所列董事和高級管理人員職責的人員，總行及分支機構管理層中對該機構經營管理、風險控制有決策權或重要影響力的人員，須經任職資格許可。

(5)客戶風險管理政策應經金融機構董事會擴展閱讀：

信託公司申請核准高級管理人員任職資格，應當向銀保監分局或所在城市銀保監局提交申請，由銀保監分局或銀保監局受理並初步審核、銀保監局審查並決定。銀保監局自受理之日或收到完整申請材料之日起30日內作出核准或不予核準的書面決定，並抄報銀保監會。

受理機構

1、國有商業銀行、郵政儲蓄銀行、股份制商業銀行一級分行（直屬分行）、分行級專營機構：擬任職機構所在地銀保監局

2、城市商業銀行分行、分行級專營機構：擬任職機構所在地銀保監分局或所在城市銀保監局

3、城市商業銀行從境內聘請的中資商業銀行境外機構董事長、副董事長、行長（總經理）、副行長（副總經理）：所在地銀保監局

F. 人民銀行重大決策風險評估制度

中國人民銀行關於印發《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》的通知

中國人民銀行上海總部,各分行、營業管理部,各省會（首府）城市中心支行,各副省級城市中心支行；國家開發銀行、各政策性銀行、國有商業銀行、股份制商業銀行，中國郵政儲蓄銀行；中國銀聯、農信銀資金清算中心、城市商業銀行資金清算中心：

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資工作有效性，根據《中華人民共和國反洗錢法》等法律規定，中國人民銀行制定了《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》(以下簡稱《指引》)，現印發給你們，並就執行《指引》中的有關事項通知如下，請遵照執行。

一、金融機構工作安排

金融機構可按照《指引》所確定的自主管理原則，決定是否執行《指引》。

（一）決定全部或部分執行《指引》規定的金融機構應按照以下要求開展工作：

1.在2013年3月15日前制定執行《指引》的工作方案，報中國人民銀行或中國人民銀行授權對該金融機構實施反洗錢監管的當地中國人民銀行分支機構（以下統稱當地中國人民銀行分支機構）。

2.在2013年12月31日前按照《指引》要求，制定或修改完善反洗錢內控制度及操作流程（以下統稱新內控制度），並向中國人民銀行或當地中國人民銀行分支機構報備。

3.在2015年1月1日前實施新內控制度，按照《指引》要求，啟動洗錢和恐怖融資風險評估以及客戶風險等級劃分等工作。

4.在2015年12月31日前，完成對新內控制度實施前已與本機構建立業務關系客戶的風險等級的重新確認工作。工作量特別大的金融機構可向中國人民銀行申請適當延長工作期限。

（二）決定不執行《指引》的金融機構應在2013年9月15日前完成評估論證工作，並向中國人民銀行或當地中國人民銀行分支機構書面報告評估論證的方法、過程及結論。金融機構在30個工作日內未收到中國人民銀行或當地中國人民銀行分支機構反饋異議的，可不再執行本通知要求。

二、中國人民銀行監管工作要求

中國人民銀行或其分支機構收到金融機構提交的工作方案及相關報告後，如有不同意見，應在30個工作日內向金融機構反饋。

中國人民銀行及其分支機構應將金融機構、金融機構分支機構執行符合《指引》要求的新內控制度以及按自主管理原則確立的其他反洗錢措施情況，作為反洗錢監管重點。

請中國人民銀行上海總部，各分行、營業管理部，各省會（首府）城市中心支行，大連、青島、寧波、廈門、深圳市中心支行將本通知轉發至總部注冊地在轄區內的各城市商業銀行、農村商業銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、外資銀行、證券公司、期貨經紀公司、基金管理公司、保險公司、保險資產管理公司、信託公司、金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等金融機構和支付機構。

G. 你好！你有《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》工作方案 請共享一下，收費沒問題的

金融機構洗錢和恐怖融資風險評估及客戶分類管理指引

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資（以下統稱反洗錢）工作有效性，根據 《 中華人民共和國反洗錢法 》 等法律制定本指引。
第一章總則
一、基本原則
（一）風險相當原則。
金融機構應依據風險評估結果科學配置反洗錢資源，在洗錢風險較高的領域採取強化的反洗錢措施，在洗錢風險較低的領域採取簡化的反洗錢措施。
（二）全面性原則。除本指引所列的例外情形外，金融機構應全面評估客戶及地域、業務、行業（職業）等方面的風險狀況，科學合理地為每一名客戶確定風險等級。
（三）同一性原則。金融機構應建立健全洗錢風險評估及客戶風險等級劃分流程，賦予同一客戶在本金融機構唯一的風險等級，但同一客戶可以被同一集團內的不同金融機構賦予不同的風險等級。
（四）動態管理原則。金融機構應根據客戶風險狀況的變化，及時調整其風險等級及所對應的風險控制措施。
（五）自主管理原則。金融機構經評估論證後認定，自行確定的風險評估標准或風險控制措施的實施效果不低於本指引或其中某項要求，即可決定不遵循本指引或其中某項要求，但應書面記錄評估論證的方法、過程及結論。
（六）保密原則。金融機構不得向客戶或其他與反洗錢工作無關的第三方泄露客戶風險等級信息。
二、功能
（一）本指引所列風險評估要素及其風險子項是金融機構全面科學評估洗錢風險的參考指標，為金融機構劃分客戶洗錢風險等級提供依據。
（二）本指引所確定的工作流程是金融機構科學整合內部各類資源，特別是發揮業務條線了解客戶的基礎性作用，有效評估、管理洗錢風險的必要管理措施。
（三）本指引有助於指導金融機構依據洗錢風險評估及客戶風險等級劃分結果，優化反洗錢資源配置。
三、適用范圍本指引適用於金融機構開展洗錢風險評估、客戶洗錢風險等級劃分及其他風險管理工作。支付機構及其他應履行反洗錢義務的特定非金融機構可參照本指引開展相關工作。
銀行業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於一次性交易客戶。
保險業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於投保人以外的其他人員。
金融機構和特定非金融機構的行業自律組織可根據本指引進一步制定分行業的指引。
第二章風險評估指標體系
一、指標體系概述
洗錢風險評估指標體系包括客戶特性、地域、業務（含金融產品、金融服務）、行業（含職業）四類基本要素。金融機構應結合行業特點、業務類型、經營規模、客戶范圍等實際情況，分解出某一基本要素所蘊含的風險子項。金融機構可根據實際需要，合理增加新的風險評估指標。例如，金融機構可區分新客戶和既有客戶、自然人客戶和非自然人客戶等不同群體的風險狀況，設置差異化的風險評級標准。
二、風險子項
（一）客戶特性風險子項。金融機構應綜合考慮客戶背景、社會經濟活動特點、聲譽、權威媒體披露信．息以及非自然人客戶的組織架構等各方面情況，衡量本機構對其開展客戶盡職調查工作的難度，評估風險。風險子項包括但不限於：
1 ．客戶信息的公開程度。客戶信．息公開程度越高，金融機構客戶盡職調查成本越低，風險越可控。例如，對國家機關、事業單位、國有企業以及在規范證券市場上市的公司開展盡職調查的成本相對較低，風險評級可相應調低。
2 ．金融機構與客戶建立或維持業務關系的渠道。渠道會對金融機構盡職調查工作的便利性、可靠性和准確性產生影響。例如，在客戶直接與金融機構見面的情況下，金融機構更能全面了解客戶，其盡職調查成果比來源於間接渠道的成果更為有效。不同類的間接渠道風險也不盡相同，例如，金融機構通過關聯公司比通過中介機構更能便捷准確地取得客戶盡職調查結果。
3 ．客戶所持身份證件或身份證明文件的種類。身份證件或身份證明文件越難以查驗，客戶身份越難以核實，風險程度就越高。
4 ．反洗錢交易監測記錄。金融機構對可疑交易報告進行回溯性審查，有助於了解客戶的風險狀況。在成本允許的情況下，金融機構還可對客戶的大額交易進行回溯性審查。
5 ．非自然人客戶的股權或控制權結構。股權或控制權關系的復雜程度及其可辨識度，直接影響金融機構客戶盡職調查的有效性。例如，個人獨資企業、家族企業、合夥企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高於一般公司。
6 ．涉及客戶的風險提示信．息或權威媒體報道信．息。金融機構如發現，客戶曾被監管機構、執法機關或金融交易所提示予以關注，客戶存在犯罪、金融違規、金融欺詐等方面的歷史記錄，或者客戶涉及權威媒體的重要負面新聞報道評論的，可適當調高其風險評級。
7 ．自然人客戶年齡。年齡與民事行為能力有直接關聯，與客戶的財富狀況、社會經濟活動范圍、風險偏好等有較高關聯度。
8 ．非自然人客戶的存續時間。客戶存續時間越長，關於其社會經濟活動的記錄可能越完整，越便於金融機構開展客戶盡職調查。金融機構可將存續時間的長度作為衡量客戶風險程度的參考因素。
（二）地域風險子項。金融機構應衡量客戶及其實際受益人、實際控制人的國籍、注冊地、住所、經營所在地與洗錢及其他犯罪活動的關聯度，並適當考慮客戶主要交易對手方及境外參與交易金融機構的地域風險傳導問題。風險子項包括但不限於：
1 ．某國（地區）受反洗錢監控或制裁的情況。金融機構既要考慮我國的反洗錢監控要求，又要考慮其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控或制裁要求。經營國際業務的金融機構還要考慮對該業務有管轄權的國家（地區）的反洗錢監控或制裁要求。
2 ．對某國（地區）進行反洗錢風險提示的情況。金融機構應遵循中國人民銀行和其他有權部門的風險提示，參考金融行動特別工作組（英文簡稱 FATF ）、亞太反洗錢組織（英文簡稱 APG ）、歐亞反洗錢及反恐怖融資組織（英文簡稱 EAG ）等權威組織對各國（地區）執行 FATF 反洗錢標準的互評估結果。
3 ．國家（地區）的上游犯罪狀況。金融機構可參考我國有關部門以及 FATF 等國際權威組織發布的信息，重點關注存在較嚴重恐怖活動、大規模殺傷性武器擴散、毒品、走私、跨境有組織犯罪、腐敗、金融詐騙、人口販運、海盜等犯罪活動的國家（地區） , 以及支持恐怖主義活動等嚴重犯罪的國家（地區）。對於我國境內或外國局部區域存在的嚴重犯罪，金融機構應參考有權部門的要求或風險提示，酌情提高涉及該區域的客戶風險評級。
4 ．特殊的金融監管風險。例如避稅型離岸金融中心。對於其住所、注冊地、經營所在地與本金融機構經營所在地相距很遠的客戶，金融機構應考慮酌情提高其風險評級。
（三）業務（含金融產品、金融服務）風險子項。金融機構應當對各項金融業務的洗錢風險進行評估，制定高風險業務列表，並對該列表進行定期評估、動態調整。金融機構進行風險評級時，不僅要考慮金融業務的固有風險，而且應結合當前市場的具體運行狀況，進行綜合分析。風險子項包括但不限於：
1 ．與現金的關聯程度。現金業務容易使交易鏈條斷裂，難於核實資金真實來源、去向及用途，因此現金交易或易於讓客戶取得現金的金融業務（以下簡稱關聯業務）具有較高風險。考慮到我國金融市場運行現狀和居民的現金交易偏好，現金及其關聯業務的普遍存在具有一定的合理性，金融機構可重點關注客戶在單位時間內累計發生的金額較大的現金交易情況或是具有某些異常特徵的大額現金交易情況。此項標准如能結合客戶行業或職業特性一並考慮將更為合理。
2 ．非面對面交易。非面對面交易方式（如網上交易）使客戶無需與工作人員直接接觸即可辦理業務，增加了金融機構開展客戶盡職調查的難度，洗錢風險相應上升。金融機構在關注此類交易方式固有風險的同時，需酌情考慮客戶選擇或偏好此類交易方式所具有的一些現實合理性，特別是在以互聯網為主要交易平台的細分金融領域（如證券市場的二級市場交易），要結合反洗錢資金監測和自身風險控制措施情況，靈活設定風險評級指標。例如，可重點審查以下交易：
( 1 ）由同一人或少數人操作不同客戶的金融賬戶進行網上交易；
( 2 ）網上金融交易頻繁且 IP 地址分布在非開戶地或境外；
( 3 ）使用同一 IP 地址進行多筆不同客戶賬戶的網銀交易；
( 4 ）金額特別巨大的網上金融交易；
( 5 ）公司賬戶與自然人賬戶之間發生的頻繁或大額交易；
( 6 ）關聯企業之間的大額異常交易。
3 ．跨境交易。跨境開展客戶盡職調查難度大，不同國家（地區）的監管差異又可能直接導致反洗錢監控漏洞產生。金融機構可重點結合地域風險，關注客戶是否存在單位時間內多次涉及跨境異常交易報告等情況。
4 ．代理交易。由他人（非職業性中介）代辦業務可能導致金融機構難以直接與客戶接觸，盡職調查有效性受到限制。鑒於代理交易在現實中的合理性，金融機構可將關注點集中於風險較高的特定情形，例如：
( 1 ）客戶的賬戶是由經常代理他人開戶人員或經常代理他人轉賬人員代為開立的；
( 2 ）客戶由他人代辦的業務多次涉及可疑交易報告；
( 3 ）同一代辦人同時或分多次代理多個賬戶開立；
( 4 ）客戶信．息顯示緊急聯系人為同一人或者多個客戶預留電話為同一號碼等異常情況。
5 ．特殊業務類型的交易頻率。對於頻繁進行異常交易的客戶，金融機構應考慮提高風險評級。
銀行業金融機構可關注開（銷）戶數量、非自然人與自然人大額轉賬匯款頻率、涉及自然人的跨境匯款頻率等。
證券業金融機構可關注交易所預警交易、大宗交易、轉託管和指定（撤指）、因第三方存款單客戶多銀行業務而形成的資金跨銀行或跨地區劃轉等。
期貨業金融機構可關注盜碼交易、自然人客戶違規持倉、對倒、對敲等異常行為。
保險業金融機構可關注投保頻率、退保頻率、團險投保人數明顯與企業人員規模不匹配、團險保全業務發生率、申請保單質押貸款（保單借款）金額或頻率、生存保險受益人變更頻率、萬能險追加保費金額或頻率等。
信託公司可關注客戶購買、轉讓信託產品的頻率或金額等。
在業務關系建立之初，金融機構可能無法准確預估出客戶使用的全部業務品種，但可在重新審核客戶風險等級時審查客戶曾選擇過的金融業務類別。
（四）行業（含職業）風險子項。
金融機構應評估行業、身份與洗錢、職務犯罪等的關聯性，合理預測某些行業客戶的經濟狀況、金融交易需求，酌情考慮某些職業技能被不法分子用於洗錢的可能性。本指引對此基本要素不再細分風險子項，金融機構可從以下角度進行評估：
1 ．公認具有較高風險的行業（職業）。原則上，按照我國反洗錢監管制度及 FATF 建議等反洗錢國際標准應納入反洗錢監管范圍的行業（職業），其洗錢風險通常較高。
2 ．與特定洗錢風險的關聯度。例如，客戶或其實際受益人、實際控制人、親屬、關系密切人等屬於外國政要。
3 ．行業現金密集程度。例如，客戶從事廢品收購、旅遊、餐飲、零售、藝術品收藏、拍賣、娛樂場所、博彩、影視娛樂等行業。
三、指標使用方法
本指引運用權重法，以定性分析與定量分析相結合的方式來計量風險、評估等級。中國人民銀行鼓勵金融機構研發其他風險計量工具或方法，金融機構自主研發的風險計量工具或方法應能全面覆蓋本指引所列風險子項，並有書面文件對其設計原理和使用方法進行說明。
（一）金融機構應對每一基本要素及其風險子項進行權重賦值，各項權重均大於 0 ，總和等於 100 。對於風險控制效果影響力越大的基本要素及其風險子項，賦值相應越高。對於經評估後決定不採納的風險子項，金融機構無需賦值。同一基本要素或風險子項所概括的風險事件，在不同的細分金融領域內有可能導致不同的危害性後果發生。即使是處於同一細分金融領域內的不同金融機構，也可能因為客戶來源、銷售渠道、經營規模、合規文化等方面的原因而面臨不同的風險狀況，從而對同一風險事件的風險程度作出不同的判斷。因此，每個金融機構需結合自身情況，合理確定個性化的權重賦值。
（二）金融機構應逐一對照每個風險子項進行評估。例如，金融機構採用五級分類法時，最高風險評分為 5 ，較高風險評分為 4 ，一般風險評分為 3 ，較低風險評分為 2 ，低風險評分為 1 。金融機構應根據各風險子項評分及權重賦值計算客戶風險等級總分，計算公式為 Pi：，其中 a 代表風險子項評分， p 代表權重， m 代表金融機構所選取的風險分級數（例如三級分類、五級分類等） , n 代表風險子項數量。客戶風險等級．得分最高 1 00 分。
（三）金融機構應建立客戶風險等級總分（區間）與風險等級之間的映射規則，以確定每個客戶具體的風險評級，引導資源配置。金融機構確定的風險評級不得少於三級。從有利於運用評級結果配置反洗錢資源角度考慮，金融機構可設置較多的風險評級等次，以增強反洗錢資源配置的靈活性。
四、例外情形
（一）對於風險程度顯著較低且預估能夠有效控制其風險的客戶，金融機構可自行決定不按上述風險要素及其子項評定風險，直接將其定級為低風險，但此類客戶不應具有以下任何一種情形：
1 ．在同一金融機構的金融資產凈值超過一定限額（原則上，自然人客戶限額為 20 萬元人民幣，非自然人客戶限額為 50 萬元人民幣），或壽險保單年繳保費超過 1 萬元人民幣或外幣等值超過 1000 美元，以及非現金夏交保費超過 20 萬元人民幣或外幣等值超過 2 萬美元；
2 ．與金融機構建立或開展了代理行、信託等高風險業務關系；
3 ．客戶為非居民，或者使用了境外發放的身份證件或身份證明文件；
4 ．涉及可疑交易報告；
5 ．由非職業性中介機構或無親屬關系的自然人代理客戶與金融機構建立業務關系；
6 ．拒絕配合金融機構客戶盡職調查工作。對於按照上述要求不能直接定級為低風險的客戶，金融機構逐一對照各項風險要素及其子項進行風險評估後，仍可能將其定級為低風險。
（二）對於具有下列情形之一的客戶，金融機構可直接將其風險等級確定為最高，而無需逐一對照上述風險要素及其子項進行評級：
1 ．客戶被列入我國發布或承認的應實施反洗錢監控措施的名單；
2 ．客戶為外國政要或其親屬、關系密切人；
3 ．客戶實際控制人或實際受益人屬前兩項所述人員；
4 ．客戶多次涉及可疑交易報告；
5 ．客戶拒絕金融機構依法開展的客戶盡職調查工作；
6 ．金融機構自定的其他可直接認定為高風險客戶的標准。不具有上述情形的客戶，金融機構逐一對照各項風險基本要素及其子項進行風險評估後，仍可能將其定級為高風險。
第三章風險評估及客戶等級劃分操作流程
一、時機
（一）對於新建立業務關系的客戶，金融機構應在建立業務關系後的 10 個工作日內劃分其風險等級。
（二）對於已確立過風險等級的客戶，金融機構應根據其風險程度設置相應的重新審核期限，實現對風險的動態追蹤。原則上，風險等級最高的客戶的審核期限不得超過半年，低一等級客戶的審核期限不得超出上一級客戶審核期限時長的兩倍。對於首次建立業務關系的客戶，無論其風險等級高低，金融機構在初次確定其風險等級後的三年內至少應進行一次復核。
（三）當客戶變更重要身份信息、司法機關調查本金融機構客戶、客戶涉及權威媒體的案件報道等可能導致風險狀況發生實質性變化的事件發生時，金融機構應考慮重新評定客戶風險等級。
二、操作步驟
（一）收集信息。金融機構應根據反洗錢風險評估需要，確定各類信息的來源及其採集方法。信息來源渠道通常有：
1 ．金融機構在與客戶建立業務關系時，客戶向金融機構披露的信息；
2 ．金融機構客戶經理或櫃面人員工作記錄；
3 ．金融機構保存的交易記錄；
4 ．金融機構委託其他金融機構或中介機構對客戶進行盡職調查工作所獲信息。
5 ．金融機構利用商業資料庫查詢信息；
6 ．金融機構利用互聯網等公共信息平台搜索信息。
金融機構在風險評估過程中應遵循勤勉盡責的原則，依據所掌握的事實材料，對部分難以直接取得或取得成本過高的風險要素信息進行合理評估。為統一風險評估尺度，金融機構應當事先確定本機構可預估信息列表及其預估原則，並定期審查和調整。
（二）篩選分析信息。評估人員應認真對照風險評估基本要素及其子項，對所收集的信．息進行歸類，逐項評分。如果同一基本要素或風險子項對應有多項相互重復或交叉的關聯性信息存在時，評估人員應進行甄別和合並。如果同一基本要素或風險子項對應有多項相互矛盾或抵觸的關聯性信息存在時，評估人員應在調查核實的基礎上，刪除不適用信息，並加以注釋。
金融機構工作人員整理完基礎信息後，應當整體性梳理各項風險評估要素及其子項。如發現要素項下有內容空缺或信息內容不充分的，可在兼顧風險評估需求與成本控制要求的前提下，確定是否需要進一步收集補充信息。
金融機構可將上述工作流程嵌入相應業務流程中，以減少執行成本。例如，從客戶經理或營銷人員開始尋找目標客戶或與客戶接觸起，即可在自身業務范圍採集信．息，並隨著業務關系的逐步確立，由處在業務鏈條上的各類人員在各自職責范圍內負責相應的資料收集工作。
（三）初評。除存在前述例外情形的客戶外，金融機構工作人員應逐一分析每個風險評估基本要素項及其子項所對應的信息，確定出相應的得分。對於材料不全或可靠性存疑的要素信息，評估人員應在相應的要素項下進行標注，並合理確定相應分值。在綜合分析要素信．急的基礎上，金融機構工作人員累計計算客戶評分結果，相應確定其初步評級。
金融機構可利用計算機系統等技術手段輔助完成部分初評工作。
（四）復評。初評結果均應由初評人以外的其他人員進行復評確認。初評結果與復評結果不一致的，可由反洗錢合規管理部門決定最終評級結果。
第四章風險分類控制措施
金融機構應在客戶風險等級劃分的基礎上，採取相應的客戶盡職調查及其他風險控制措施。
一、對風險較高客戶的控制措施金融機構應對高風險客戶採取強化的客戶盡職調查及其他風險控制措施，有效預防風險。可酌情採取的措施包括但不限於：
（一）進一步調查客戶及其實際控制人、實際受益人情況。
（二）進一步深入了解客戶經營活動狀況和財產來源。
（三）適度提高客戶及其實際控制人、實際受益人信息的收集或更新頻率。
（四）對交易及其背景情況做更為深入的調查，詢問客戶交易目的，核實客戶交易動機。
（五）適度提高交易監測的頻率及強度。
（六）經高級管理層批准或授權後，再為客戶辦理業務或建立新的業務關系。
（七）按照法律規定或與客戶的事先約定，對客戶的交易方式、交易規模、交易頻率等實施合理限制．
（八）合理限制客戶通過非面對面方式辦理業務的金額、次數和業務類型。
（九）對其交易對手及經辦業務的金融機構採取盡職調查措施。
二、對風險較低客戶的控制措施金融機構可對低風險客戶採取簡化的客戶盡職調查及其他風險控制措施，可酌情採取的措施包括但不限於：
（一）在建立業務關系後再核實客戶實際受益人或實際控制人的身份。
（二）適當延長客戶身份資料的更新周期。
（三）在合理的交易規模內，適當降低採用持續的客戶身份識別措施的頻率或強度。例如，逐步建立對低風險客戶異常交易的快速篩選判斷機制。對於經分析排查後決定不提交可疑交易報告的低風險客戶，金融機構僅發現該客戶重復性出現與之前已排除異常交易相同或類似的交易活動時，可運用技術性手段自動處理預警信息。對於風險等級較低客戶異常交易的對手方僅涉及各級黨的機關、國家權力機關、行政機關、司法機關、軍事機關、人民政協機關和人民解放軍、武警部隊等低風險客戶的，可直接利用技術手段予以篩除。
（四）在風險可控情況下，允許金融機構工作人員合理推測交易目的和交易性質，而無需收集相關證據材料。
第五章管理與保障措施
一、風險管理政策金融機構應在總部或集團層面建立統一的洗錢風險管理基本政策，並在各分支機構、各條線（部門）執行。
客戶風險管理政策應經金融機構董事會或其授權的組織審核通過，並由高級管理層中的指定專人負責實施。
金融機構．總部、集團可針對分支機構所在地區的反洗錢狀況，設定局部地區的風險系數，或授權分支機構根據所在地區情況，合理調整風險子項或評級標准。
金融機構應對自身金融業務及其營銷渠道，特別是在推出新金融業務、採用新營銷渠道、運用新技術前，進行系統全面的洗錢風險評估，按照風險可控原則建立相應的風險管理措施。
二、組織管理措施
金融機構應完善風險評估流程，指定適當的條線（部門）及人員整體負責風險評估工作流程的設置及監控工作，組織各相關條線（部門）充分參與風險評估工作。
金融機構應確保客戶風險評估工作流程具有可稽核性或可追溯性。
三、技術保障措施
金融機構應確保洗錢風險管理工作所需的必要技術條件，積極運用信．息系統提升工作有效性。系統設計應著眼於運用客戶風險等級管理工作成果，為各級分支機構查詢使用信息提供方便。
四、代理業務管理
金融機構委託其他機構開展客戶風險等級劃分等洗錢風險管理工作時，應與受託機構簽訂書面協議，並由高級管理層批准。受託機構應當積極協助委託機構開展洗錢風險管理。由委託機構對受託機構進行的洗錢風險管理工作承擔最終法律責任。
金融機構應建立專門機制，審核受託機構確定的客戶風險等級。