一、背景

根据中国人民银行反洗钱局印发《金融机构洗钱和恐怖融资风险自评估指引》（银反洗发〔2021〕1号，以下简称《自评估指引》）的总体要求，金融机构应于2021年底前制定或更新本机构洗钱和恐怖融资风险自评估制度，并于2022年底前完成基于新制度的首次自评估。持续2年时间的金融机构洗钱风险自评估工作即将进入尾声，很多金融机构开始进入自评估报告编写的阶段。

根据《自评估指引》要求，法人金融机构应当形成书面的自评估报告，经高级管理层审定后上报董事会或董事会下设的专业委员会审阅，并书面报告对法人机构具有管辖权的人民银行总行或分支机构。《自评估指引》要求，自评估报告应当记录自评估的方法、流程等情况，重点反映自评估发现的固有风险点、控制措施的薄弱环节和风险隐患，作出明确评估结论，指明应当予以重点关注的风险领域和拟采取的管控措施，提出有针对性的风险管理建议。

关于洗钱风险自评估的方法论、评估过程、评估指标体系建设以及评估执行，已有很多资料可供参考，本文不再涉及。本文仅就自评估工作完成后，如何撰写自评估报告的问题与自评估战线上的同仁分享、探讨。

二、当前自评估报告中发现的问题

自评估对于绝大多数金融机构来讲，是一项全新的工作。一部分金融机构启动较早，在2021年已完成首次自评估工作，并向监管部门提交了自评估报告。笔者通过不同渠道了解，已完成的自评估报告内容存在一些共同的问题。

1自评估报告体裁走偏

有的自评估报告像工作总结，如“……现将有关自评估情况汇报如下：一、成立洗钱风险自评估工作小组。二、认真落实客户身份识别工作。三、认真开展反洗钱宣传活动。四、认真开展洗钱风险培训。五、严格保守，严格遵守保密制度，确保反洗钱信息安全。六、积极配合协助监管及相关部门调查反洗钱活动……”

有的像反洗钱审计报告，如“……我行认真开展本单位的反洗钱风险自评估工作。在自评过程中，本着客观、公平、公正的原则，对我行反洗钱组织机构设立情况、反洗钱内控建设和执行情况、客户身份识别情况、大额交易和可疑交易报告情况、反洗钱宣传培训工作情况等方面的反洗钱工作进行综合自评……（而且把“洗钱风险自评估”误称为“反洗钱风险自评估”）”

有的像洗钱类型分析报告，如“……根据疑似地下钱庄的识别点，对我行账户进行分析，情况如下……”“根据根据疑似诈骗的识别点，对我行账户进行分析，情况如下……”“根据疑似集资的识别点，对我行账户进行分析，情况如下……”“根据一次腐败的识别点，对我行账户进行分析，情况如下……”等等。

2自评估报告结构混乱

对固有风险评估、控制措施有效性评估、剩余风险评估逻辑不清。描述固有风险评估时混杂控制措施有效性评估；描述控制措施有效性评估时又掺杂对固有风险存在合理性的描述；评估固有风险时，使用评估周期内未经实施的控制措施进行勾兑，通过此种方法降低剩余风险；对剩余风险的得出过程和结果无法做到清晰描述，仅能用高中低风险描述，无法起到让本机构相关部门、人员充分认识剩余风险的作用，对后续改进措施无指导作用，隔靴搔痒。

3自评估报告中对方法论描述过多，分析内容过少

自评估方法论描述过多，分析过少，头重脚轻。未结合案例进行分析，如风险的具体表现是什么？有的评估指标中存在可疑交易报告和查冻扣案例的数据，但未结合该现象进行具体分析，轻描淡写，不能透过现象分析和描述本质。

4对权重赋值的逻辑依赖主观或专家经验

自评估涉及的各类风险维度之间（地域、客户群体、产品业务、渠道）、不同评估单元之间（不同地域、不同客户群体、不同产品种类、不同渠道）的权重赋值仅依赖主观或专家经验，权重赋值均为整数，如10%，20%，50%，30%等，无法描述权重赋值的科学合理性，未体现自评估客观性原则。

5评估尺度颗粒度过粗

对不同风险指标的评估尺度全部采用相同的比例尺衡量，如10%，30%，50%，70%，90%，并据此得出风险值。如外国政要指标，与全部客户数量对比计算时，未采用更精确的比例尺衡量结果（如0.0001%），导致指标结果无意义。

6控制措施有效性评估篇幅过小

对“反洗钱内部控制基础与环境评价”和“洗钱风险管理机制有效性的评价”一笔带过，没有针对各评分指标描述对应的工作机制、流程管控、系统功能、工作开展情况的客观评级，没有具体的机制、措施、数据的描述。

7评估结果运用不够具体和有针对性

因为对剩余风险的根源研判不到位，导致评估结果不能触及灵魂，不能触发本机构洗钱风险管理策略、政策、程序的整改。针对自评估结果仅能提出浅层次的改进建议，如针对产品风险评估结果的运用，仅建议以后重视洗钱风险管控，未具体说明应该在哪些环节、针对哪些产品，需要做哪些工作，采取什么样的控制措施。

三、自评估报告编写要点

根据《自评估指引》要求，自评估报告应当记录自评估的方法、流程等情况，重点反映自评估发现的固有风险点、控制措施的薄弱环节和风险隐患，作出明确评估结论，指明应当予以重点关注的风险领域和拟采取的管控措施，提出有针对性的风险管理建议。分别建议如下：

1自评估方法

根据《自评估指引》的要求，描述清楚对不同的评估单元逐层评估，汇总得出风险维度评估结果，最终得出机构整体评估结果的自评估框架。在此评估框架基础上，解释说明指标、权重等赋值的方法和逻辑，评估数据的来源等，如定性定量结合方法、层次分析法、权重赋值方法、矩阵对照计量方法等。

2自评估流程

自评估报告描述的工作流程至少应包括：

1. 成立自评估小组，覆盖本机构所有的业务部门、大多数的管理支撑部门

2. 评估小组调研访谈

3. 确定分类清单：确定各风险维度之下的评估单元，不同地域、不同客户群体、不同产品种类、不同渠道

4. 评估模型设计：包括评估指标、数据获取、评估比例尺的选用逻辑等

3固有风险点描述及分析

应分别描述每个评估单元的固有风险点，比如，描述某高风险金融产品或金融服务的固有风险评估结果主要的依据是什么，影响评估结果的关键风险指标是什么，采用哪种评估尺度、制定离散尺度的合理依据是什么；应结合风险维度的横向对比、评估单元的横向对比、不同年度数据的纵向对比，全面、准确地描述固有风险分布情况。

4控制措施评价及薄弱环节描述

整体描述反洗钱内部控制基础与环境评价和洗钱风险管理机制有效性的评价，分别描述各风险维度特殊控制措施的评价。对评估周期内采取的控制措施应完整描述，对控制措施的亮点和成效可重点介绍。

针对剩余风险为中高级别的评估单元进行分析，描述控制措施现状，着重描述控制措施不足的部分。

5剩余风险描述

剩余风险评估结果以高风险、中高风险、中风险、中低风险、低风险示意，但相同的风险级别对应的具体剩余风险各有不同，自评估报告中需要对剩余风险的实质进行描述。整体的剩余风险可从对本机构声誉、运营、财务等方面带来的影响进行描述，对于风险维度和评估单元的剩余风险描述则需要更具体。

一个风险维度的剩余风险大概体现在哪个评估单元，如，一个证券公司的产品业务维度中，剩余风险主要是来自于大宗经纪等评估单元，客户群体维度中，剩余风险主要是来自于居民个人等评估单元。

对于一个评估单元剩余风险的描述，应描述原有的固有风险是什么样，可能会带来什么影响，因为已有的控制措施减少了多少风险，尚未采取控制措施的可能会产生什么样的结果，影响的程度有多大等。

6评估结论及评估结果运用

在自评估过程扎实工作的基础上、简要描述机构整体的固有风险、控制措施有效性、剩余风险情况的整体结论。更多篇幅应根据评估结果，提出运用建议。运用建议应有足够深度，应能达到影响本机构洗钱风险管理策略、政策、程序的高度，阐述哪些需要加强以控制中高风险，哪些可以简化以降本增效。注意避免堆砌大量浅层次的、过于细节的工作改进建议。

7自评估工作成效

除《自评估指引》要求之外，在报告中可加入自评估工作成效的描述。一次自评估工作完成后，必然会给本机构带来洗钱风险管理意识的提升、反洗钱组织工作的加强、风险评估体系的建成、数据治理工作、反洗钱科技能力建设的推动等等。

四、自评估报告参考提纲

(一) 整体情况

介绍开展自评估的目的及意义，机构目前反洗钱工作的简介，本次自评估的整体结果等内容

(二) 评估方法与评估过程

介绍自评估使用的模型、指标体系、权重计算逻辑；介绍本次自评估开展的形式、信息收集整理的方式、评估过程等内容

(三) 评估内容

介绍地域环境、产品业务、客户群体、渠道各维度的评估范围、固有风险评估结果、控制措施有效性评估结果

(四) 评估结果分析

介绍地域环境、产品业务、客户群体、渠道各维度的评估结果分析

(五) 评估结果运用建议

介绍地域环境、产品业务、客户群体、渠道各维度剩余风险的风险缓释措施建议

(六) 自评估工作成效

(七) 评估附件