随着金融机构的数字化转型升级，数据已经成为金融机构的核心资产和驱动发展的引擎，金融机构面临的反洗钱风险也越来越大。近年来，金融领域发生多起数据泄露事件。根据Verizon发布的《2020年数据泄露调查报告》显示，2020年全球数据泄露总成本平均为386万美元，其中金融机构反洗钱的重要数据——客户个人身份信息(PII)是最昂贵的记录信息，客户PII记录每条丢失或被盗的平均成本为150美元。一系列数据安全事件都在提醒理财子公司作为金融机构要针对反洗钱制度开展体系化的安全治理，将安全策略转向以体系化建设为中心，以满足维护金融稳定的客观需要。

近年来，我国反洗钱监管力度及监管措施不断深化与加强，理财子公司反洗钱合规工作的需求日益凸显，理财子公司反洗钱体系的建设、完善及执行势在必行。本报告对反洗钱体系的监管规定、反洗钱制度的实操展示、反洗钱监管的新趋势进行分析，并提出反洗钱合规的相关建议，以期对理财子公司构建反洗钱合规制度提供拙见。

一、反洗钱体系之监管规定

近年来，我国出台了一系列法律、司法解释、行政文件、部门规章、规范性文件等，初步建立起既与国际标准接轨又具有中国特色的反洗钱法律制度体系。

在法律层面，反洗钱法明确了反洗钱监管部门应履行的职责、金融机构应尽的各项义务、反洗钱调查、国际合作及罚则。刑法归纳了洗钱罪的7类上游犯罪类型，首次从法律层面对洗钱罪定义和构成要件等进行了明确。反恐怖主义法主要对恐怖主义行为认定、公检法、监管部门和金融机构协同预防和处置、所从事恐怖活动需付出的法律责任予以了规制。

在司法解释层面，最高人民法院发布《关于审理洗钱等刑事案件具体应用法律若干问题的解释》，对刑法规定的犯罪行为及构成要件进行细化，针对案件情形不同适用的裁判标准予以补充解释。

在行政文件层面，国务院办公厅出台《关于完善反洗钱、反恐怖融资、反逃税监管体制机制的意见》，从健全工作机制、完善法律制度、健全预防措施、严惩违法犯罪活动等方面提出了具体措施。

在部门规章层面，中国人民银行单独或会同有关部门陆续颁布或修订了《金融机构反洗钱规定》《金融机构大额交易和可疑交易报告管理办法》《涉及恐怖活动资产冻结管理办法》《证券期货业反洗钱工作实施办法》《金融机构反洗钱和反恐怖融资监督管理办法》等规章。

在规范性文件层面，中国人民银行单独或会同有关部门印发了《中国人民银行反洗钱调查实施细则（试行）》《中国人民银行执法检查程序规定》《关于加强反洗钱客户身份识别有关工作的通知》《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》《关于进一步做好受益所有人身份识别工作有关问题的通知》等。

（一）法律规范体系

（二）规范制度总结

根据上述法律法规，目前反洗钱重点工作主要集中于以下几方面：

一是建立和实施客户身份识别制度，对要求建立业务关系或者办理规定金额以上的一次性金融业务的客户（含境外客户）身份进行识别，收集、获取客户的真实身份信息进行核对并登记，实行动态管理。了解客户的交易目的和交易性质，有效识别交易的受益人。妥善保存客户身份资料和能够反映每笔交易的数据信息、业务凭证、账簿等相关资料。

二是开展大额交易和可疑交易报告，按照规定向中国反洗钱监测分析中心及时报告。其中，对于客户的以下信息：包括但不限于身份、行为，交易的资金来源、金额、频率、流向、性质等存在异常的情形，以及发现或有合理理由怀疑客户、客户的资金或者其他资产、客户的交易或者试图进行的交易与洗钱、恐怖融资等犯罪活动相关的，不论所涉资金金额或者资产价值大小，金融机构应当提交可疑交易报告。

三是金融机构应当对恐怖活动组织及恐怖活动人员名单开展实时监测，对有合理理由怀疑客户或者其交易对手、资金或者其他资产与名单相关的，向中国反洗钱监测分析中心和本机构属地中国人民银行及其分支机构双线报告。

四是金融机构应当依法协助、配合司法机关和行政执法机关打击洗钱活动，依照法律、行政法规等有关规定协助司法机关、海关、税务等部门查询、冻结、扣划客户存款。

二、反洗钱制度之相关实操展示

反洗钱制度是理财子公司合规体系必不可少的组成部分，反洗钱制度的首要目标是保护理财子公司不受洗钱及其他金融犯罪的滥用，确保理财子公司反洗钱体系完全符合相关法律法规的要求。设计、构建并实施反洗钱制度是理财子公司的当务之急。对此，通过检索银行、证券公司等金融机构公开披露的反洗钱制度及反洗钱体系的相关内容，梳理如下：

（一）关于反洗钱制度体系的内容建设

反洗钱制度体系应当包括客户身份识别、客户风险等级划分和分类管理、大额交易和可疑交易报告、客户身份资料和交易记录保存、反恐怖融资、涉恐资产冻结、洗钱风险自评估、分支机构反洗钱工作管理、反洗钱保密、内部审计、宣传培训、绩效考核、责任追究以及协助反洗钱调查等主要内容。

（二）关于反洗钱制度体系的管理制度

洗钱风险管理是反洗钱义务机构全面风险管理的重要内容，也是反洗钱体系发挥预防作用的重要手段。与传统的交易记录保存、可疑交易报告等事后风险防范措施相比，洗钱风险管理制度更加侧重反洗钱义务机构对洗钱风险的主动识别和事前、事中管控。反洗钱义务机构应当建立较为完善的反洗钱内控管理体系，针对不同业务制定相应的反洗钱管理办法。

反洗钱义务机构持续性强化对自然人客户、非自然人客户、特定自然人客户等的身份识别工作，并由法律合规部负责督促实施。反洗钱义务机构严格按照人民银行要求做好客户风险等级管理、大额交易和可疑交易监测与报告工作。反洗钱义务机构已开展客户身份信息数据治理工作，通过优化业务系统、增加交易系统弹窗提示功能深入开展客户身份信息的完善工作。反洗钱义务机构通过风险监控管理平台开展反洗钱工作，并严格按照相关法律法规等要求完成反洗钱制度建设、客户身份识别、大额交易与可疑交易报告、名单监测、客户资料保存、宣传与培训等工作。反洗钱义务机构聘请外部咨询机构提供反洗钱工作咨询建议，积极提升整体反洗钱工作水平及能力。

同时，反洗钱义务机构应通过反洗钱异常交易监控系统实现对客户资金交易和证券交易活动的监控，通过监控系统对前一日交易数据进行筛选，并自动生成一条工作流程推送至可疑交易反洗钱岗。各部门反洗钱岗组织本部门相关人员进行可疑交易分析甄别，重点关注客户的账户基本信息、客户的历史交易（历史资金存取）情况、客户的资产与职业（年龄）匹配情况、客户的异常交易行为分析等信息，甄别客户交易行为是否存在异常。经人工分析甄别后由营业部反洗钱岗进行审核并及时反馈给合规管理部进行识别结果的复核、确认。对确认为可疑交易的异常行为会及时通过专门的报送平台向中国反洗钱监测分析中心报告，属于重点可疑交易的，还同时向中国人民银行当地分支机构报告。

反洗钱义务机构应制定《客户洗钱风险等级划分及分类管理实施办法》，在“了解你的客户”的基础上，按照风险为本、审慎均衡的原则开展客户洗钱风险等级划分工作，落实客户分类管理工作。反洗钱义务机构客户洗钱风险等级分为特高风险、高风险、中风险、低风险等风险等级，建立有洗钱风险等级划分系统，通过“系统初评+人工复评”的方式对客户的洗钱风险等级进行评级和划分。系统根据客户的风险指标分值确定客户对应的洗钱风险等级，覆盖与反洗钱义务机构建立了业务关系的所有客户。

（三）关于反洗钱制度体系的组织建设

反洗钱义务机构应建立包括四个层级的洗钱和恐怖融资风险管理体系。第一层级：董事会、监事会；第二层级：高级管理层（反洗钱义务机构反洗钱领导小组）；第三层级：合规管理部（反洗钱义务机构反洗钱领导小组常设机构）、风险管理部、审计稽核部、法律事务部等洗钱风险管理内控部门以及总裁办、人力资源部、信息技术部；第四层级：各业务部门及分支机构。反洗钱义务机构董事会承担洗钱风险管理的最终责任，确定洗钱风险管理文化建设目标，审定反洗钱义务机构洗钱风险管理策略，审批反洗钱义务机构洗钱风险管理的政策和程序；反洗钱义务机构高级管理层（反洗钱领导小组）承担洗钱风险管理的实施责任，执行董事会决议，推动、部署洗钱风险管理的各项具体工作；合规管理部是反洗钱义务机构反洗钱领导小组常设机构，在反洗钱领导小组指导下具体开展各项反洗钱工作，风险管理部将洗钱风险管理纳入反洗钱义务机构全面风险管理体系，审计稽核部对反洗钱义务机构洗钱风险管理履行独立的审计稽核职责；反洗钱义务机构各分支机构成立反洗钱工作小组，各业务部门设立反洗钱岗负责本部门反洗钱具体工作。

（四）关于反洗钱制度体系的岗位建设

反洗钱制度建设应当针对不同岗位开展反洗钱培训，内容包含但不限于反洗钱实操、反洗钱修订制度解读、反洗钱系统等；反洗钱义务机构各部开展日常反洗钱宣传活动应成为常规工作，同时，反洗钱义务机构组织各部开展以“提高履职意识防范洗钱风险”为主题的宣传活动和以“禁绝吸贩毒反洗钱同行”为主题的反洗钱专项宣传活动。反洗钱义务机构应按照反洗钱义务机构反洗钱相关制度的要求认真落实反洗钱宣传和培训工作。各分支机构每年组织开展一次主题宣传月活动，由合规管理部统一安排部署；同时各分支机构每年自行安排的反洗钱培训不少于两次，且每年至少安排一次本机构全员的反洗钱知识测试。

（五）关于反洗钱制度体系的审计职能

反洗钱义务机构应通过审计稽核部组织内部各业务部门、分支机构应开展本机构的年度反洗钱内部审计工作，并结合洗钱风险管理政策及监管导向在内部审计工作开展前进行重点的风险提示。各分支机构反洗钱工作小组及反洗钱岗全面负责本机构反洗钱内部审计工作，负责制定工作计划、方案并组织实施。各分支机构应对本部门内部审计中发现的问题自行开展整改，合规管理部负责对反洗钱义务机构总部反洗钱专项审计中发现的问题进行整改，并向审计稽核部提交整改报告。

三、反洗钱监管之趋势分析

（一）2021年中国人民银行反洗钱监管情况介绍

根据中国人民银行于2022年6月发布的2021年反洗钱监督管理工作总体情况介绍，在反洗钱执法检查方面，2021年人民银行全系统共开展了159项反洗钱专项执法检查、476项含反洗钱内容的综合执法检查和3项涉案机构的行政处罚调查。检查涉及银行业机构600家、非银行支付机构18家、保险机构11家、证券业机构9家。

（图片来源于徵悠咨询）

（1）在反洗钱行政处罚方面，2021年人民银行全系统完成对401家违规机构的处罚，罚款金额共3.21亿元，对759名违规个人罚款1936万元，两项罚款合计3.41亿元。处罚共涉及银行业机构365家，罚款2.61亿元，处罚个人697人，罚款1611万元，两项罚款合计2.77亿元；涉及非银行支付机构12家，罚款4481万元，处罚个人17人，罚款137万元，两项罚款合计4618万元；涉及的保险业机构和证券业机构则分别为16家、8家，罚款合计金额分别为991万元、774万元。

按照移动支付网发布的《中国金融机构反洗钱合规实践白皮书2021》的统计数据，在统计期内（2019年-2021年10月）银行反洗钱相关的行政处罚记录超过2500条，近千家责任单位及1500多名相关责任人牵涉其中。从数量上来看，绝大部分银行反洗钱行政处罚，来自国有大行、股份行、城商行、农村类银行等四类机构。

（图片来源于徵悠咨询）

（2）从处罚数额来看，其中罚没总额超过百万的就有6家，而罚没数额最多的是一家支付机构：快捷通支付服务有限公司，其因未按照规定履行客户身份识别义务；未按照规定保存客户身份资料和交易记录等被中国人民银行杭州中心支行没收违法所得43.25万元，并处罚款808万元，共计罚没851.25万元。

（3）从违规事来看，主要集中于以下三个方面：

①客户身份识别方面——未按照规定履行客户身份识别义务；未按规定重新识别客户身份；未按规定开展持续的客户身份识别；未按规定划分客户风险等级；与客户建立业务关系或办理一次性金融业务，未按规定识别客户身份；未按规定开展客户风险等级评估、调整和审核工作；与身份不明的客户进行交易或者为客户开立匿名账户、假名账户。

②客户资料和交易保存方面——未按规定保存客户身份资料和交易记录；未按规定保存可疑交易分析和内部处理记录。

③大额和可疑交易报告方面——未按照规定报送大额交易报告或者可疑交易报告；未按规定开展可疑交易甄别分析；未按规定要素、格式和填报要求报告大额交易报告；违反大额交易和可疑交易报告制度；未监测发现可疑交易等方面。

（图片来源于徵悠咨询）

（二）监管趋势分析

从处罚金额来看，近5年来，反洗钱年度处罚金额、处罚力度呈上升趋势，2017年-2021年反洗钱处罚金额如下[1]：

从义务机构看，义务机构呈现多部门、多职位因反洗钱相关工作被处罚的现象。2021年被处罚的部门涉及到法律合规部、运营管理部、风险管理部、风险合规部、公司银行部、反洗钱中心、信息技术部、信息科技部、电子银行部等多个部门。

从处罚岗位看，2021年反洗钱处罚的个人涉及到的职位包括运营管理部副总经理、法律合规部总经理、行长助理、董事长、副行长、合规与内审部总经理、合规专员、信息科技部总经理、客户经理等多个职位。

综上所述，我们可以看出，近年来，中国人民银行对反洗钱监管力度不断加强，对于金融机构反洗钱违规问题开出的罚单明显增多，反洗钱处罚总额连年上升，“双罚”占比不断提高。因此，强化反洗钱合规意识、建立反洗钱管理制度逐渐成为理财子公司业务拓展的必经环节。

目前虽未通过公开检索到对理财子公司反洗钱事由的处罚案例，理财子公司仍需要从自身出发，内部整改，对各项事务审慎经营，建立健全反洗钱内控制度、客户身份识别制度、客户身份资料和交易记录制度及大额交易和可疑交易报告制度等，守好反洗钱的第一线。同时应按照规定结合现代化技术手段，建立健全并不断完善反洗钱内部控制制度，评估洗钱风险，建立与风险状况和经营规模相适应的风险管理机制，与时俱进的匹配监管要求，才能最大限度的避免被罚。

四、反洗钱体系之建设意见

随着《金融机构反洗钱和反恐怖融资监督管理办法》将银行理财子公司纳入适用主体范围，《理财公司理财产品销售管理暂行办法》将反洗钱内部控制制度列为销售机构应当具备的条件之一。监管机构对理财子公司应建立健全反洗钱合规内控管理体系提出了更高的要求，市场变化对理财子公司有效识别、管理和控制洗钱风险提出了更为迫切的需求。

基于目前尚未有针对理财子公司反洗钱制度体系建设的法律规范体系，故其反洗钱体系及制度建设可参考市场金融机构（如商业银行、证券公司、基金公司等）较为成熟、科学的方法及模式。

（一）落实反洗钱数据治理制度

对于数据的重视程度及工作方法的正确与否将最终决定理财子公司反洗钱工作开展的有效性水平。目前理财子公司反洗钱工作面临资金账户信息不齐全、客户数据不清晰、各业务部系统繁复且数据接口分布混乱等现实问题，对此，在制定数据治理解决方案时，首先应当理顺各业务部、各系统、各环节涉及的人员（岗位），明确其工作角色和职能分工，并确定明晰的工作机制和流程。具体到数据治理实务，理财子公司既要在微观层面做好问题记录，全面把握数据治理的各类问题（数据“缺”、数据“杂”、数据“乱”），做到“不放过”“不遗漏”；同时也要从宏观视角跳出全盘，找到问题的核心和主要矛盾，即：厘清各业务部、各系统、各流程涉及的人员角色、职能分工，明确工作机制，如此方能成为数据治理工作的“执牛耳者”，理顺关系，贴合机构实际情况制定数据治理方案。

（二）建立反洗钱内部控制体系

理财子公司应当严格依照监管的法规要求，通过明确指定反洗钱合规工作人员职责、完善内控体系、开展独立测试、加强系统性培训及以风险为本的客户尽职调查工作，识别、评估和理解所面临的洗钱风险，并采取与这些风险相称的反洗钱的措施，以便有效地缓释风险。业务部门应建立相应的工作机制，将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作；以业务（含产品、服务）的洗钱风险评估为基础，完善各项业务操作流程。理财子公司应对既有业务/产品进行洗钱风险评估，制定高风险业务/产品清单，对高风险业务/产品发布风险提示，并定期依据业务开展情况进行动态调整。

（三）保障反洗钱客户身份识别、洗钱风险等级划分和差异化管理

理财子公司应建立健全的客户身份识别机制，完善客户的初次身份识别、持续身份识别以及重新身份识别工作内容。合理、有效、合规地对全范围客户进行洗钱风险等级划分，并依据结果采取不同程度的尽职调查以及强化型尽职调查，落实针对不同洗钱风险等级客户的差异化管理工作。尤其是其业务部门应承担相应职责，包括但不限于完整并妥善保存客户身份资料及交易记录；开展或配合开展交易监测和名单监控，确保名单监控有效性，按照规定对相关资产和账户采取管控措施；识别、评估、监测本业务条线的洗钱风险，根据评估结果调整洗钱风险等级并就中高风险业务风险进行研判，及时向反洗钱管理部门报告；开展本业务条线反洗钱工作检查；开展本业务条线反洗钱宣传和培训；配合反洗钱监管和反洗钱行政调查工作，配合反洗钱管理部门开展其他反洗钱工作。

（四）构建反洗钱技术系统体系

理财子公司应根据自身业务实际，构建覆盖全业务范围的技术系统体系，结合人工审核判定与系统技术支持，切实做好客户身份识别、风险等级划分和差异化管理、大额及可疑交易监测报送、反洗钱黑名单筛查等工作。同时，电子化管理及保存客户的身份信息资料和交易凭证资料，并定期做好维护更新工作，强化系统技术支持。如理财子公司的信息科技部门应当负责反洗钱信息系统及相关系统的开发、日常维护及升级等工作，为洗钱风险管理提供必要的硬件设备和技术支持，根据相关数据安全和保密管理等监管要求，对客户、账户、交易信息及其他相关电子化信息进行保管和处理。

目前国内外金融业界已经开始对客户文件要素智能提取、名单模糊匹配、可疑交易智能监测、可疑交易智能分析等反洗钱技术应用进行探索。但反洗钱技术应用尚未形成成熟体系，需要进一步树立反洗钱合规的内在逻辑，进一步搭建理论模型并利用实证研究数据不断促进模型完善。

（五）开展洗钱风险管控评估、内部审计工作

针对反洗钱审计，理财子公司应对反洗钱法律法规和监管要求的执行情况、内部控制制度的有效性和执行情况、洗钱风险管理情况进行独立、客观的审计评价；反洗钱审计应覆盖总部、分支机构及各业务条线，合理分配审计资源。审计部门应具有充分的独立性，并有权获得本单位所有经营信息和管理信息。理财子同公司应当建立内部信息共享制度和程序，明确信息安全和保密要求。在反洗钱监测系统要具备必要的反洗钱稽核审计功能。确保审计部门可以获取分支机构和附属机构的客户、账户、交易信息及其他相关信息；如有境外分支机构，理财子公司应定期对其反洗钱工作情况进行审计，发现问题要及时纠正。董事会及高级管理层应依据内部审计结果提升反洗钱工作水平；审计结果应能识别和揭示各种实质性洗钱风险。

同时，理财子公司应当定期对自身洗钱风险管控效率进行评估，并通过具有专业反洗钱资质的内部审计人员，或具有专业资质的外部机构，对本机构进行反洗钱专项审计。同时，针对审计中的发现点，及时监督业务部门整改，并做好追踪、回访。此外，理财子公司应积极开展反洗钱培训和宣传工作，结合绩效考核、奖惩等机制，强化岗位人员的反洗钱工作能力。

（六）完善反洗钱内部工作流程建设

首先，理财子公司应当设立常设反洗钱机构，在反洗钱实务工作中，除要求该专门机构或指定内设部门负责反洗钱工作外，对一些专项性工作，也需要指定其他部门负责。其次，应成立反洗钱工作领导小组，协调统一开展反洗钱工作。反洗钱工作领导小组应围绕反洗钱工作的专业性和针对性，有效组织相关专业条线和各部门，整合内部资源开展反洗钱工作。同时，强化董事、监事、高级管理层的反洗钱履职责任，是强化反洗钱法人监管的重要要求。就加强董监高的反洗钱履职责任而言，要进一步增强反洗钱履职意识，认真研判当前国际金融市场发生的重大反洗钱合规事件及监管趋势变化，协调好风险防控与经营发展两项目标。要按照全面风险管理的要求有效管控洗钱风险，不应把从技术层面提升反洗钱合规程度、应付外部检查作为反洗钱合规管理的优先目标或重点。理财子公司要建立起实质性的报告机制，确保董事会、监事会和高管层能及时获得洗钱风险信息和反洗钱合规管理信息，及时掌握反洗钱重大事项、反洗钱合规管理情况。

此外，理财公司应当注重反洗钱合规检查与评价建设，反洗钱合规管理部门负责对业务操作等相关部门及下属分支机构的反洗钱工作开展情况进行监督、检查，评价各业务条线反洗钱内控制度的有效性和健全性、反洗钱内控制度执行效果与合规风险。反洗钱合规管理部门应根据检查发现的问题提出处理建议并直接向本机构负责人进行报告；各业务操作部门负责对本业务条线的反洗钱工作进行指导和检查，督促下级机构对应部门落实各项反洗钱要求。各业务操作部门应将检查中发现的合规风险及时向反洗钱合规管理部门报告。内部审计或稽核部门负责对本单位及下属分支机构的反洗钱工作整体情况进行内部审计，评估总体合规风险，并将审计中与反洗钱有关的情况通报反洗钱合规管理部门。

[1]注：数据来源于中国人民银行官网各年度反洗钱报告，为依据中国人民银行官网各分支机构公布的信息统计，仅供参考。

特别声明：

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。