从监管部门下发的反洗钱执法检查典型问题，可以看出部分金融机构反洗钱内控制度仍不健全，主要表现在：

• 制度条款明显不合理

• 内控制度规定过于原则、照搬照抄政策规定

• 未结合业务情况进行细化、制度与风险管理脱节

• 未根据风险管理结果及时对内控制度进行修正

• 业务条线管理制度、信息系统与反洗钱履职要求未有效衔接，缺乏指导性和可操作性

• 反洗钱内控制度未有效执行等。

由此可见，各义务机构应建立全方面、多层次、可执行的反洗钱内控制度体系并根据风险变化情况及时修订制度。本文提出一些制度建设方面的可行性建议，供从业同仁参考。

根据《中华人民共和国反洗钱法》、《金融机构反洗钱规定》、《法人金融机构洗钱和恐怖融资风险管理指引（试行）》等各层级法律法规的要求，反洗钱内控制度建设应至少考虑以下几点：

1、全面性：内控制度应完整覆盖监管要求的各项内容，并覆盖各项业务条线、产品种类、境内外分支机构及相关附属机构等。

2、合规性：内控制度内容应符合监管要求，不得违背法律法规的基本原则、规定等。

3、匹配性：内控制度的管控措施应与机构洗钱风险和经营规模相匹配，且对业务部门制度或操作规程具有可操作性的指导。

4、及时性：当出现法律法规或监管要求变更、监管走访发现相关问题、机构自身反洗钱工作流程、系统、业务等发生变更、出现较大洗钱风险等情形时，应及时修订内控制度。

根据FATF建议1的释义，金融机构以及特定非金融机构要制定策略、控制制度和程序，有效地管理和缓释已识别的风险。因此制度体系应考虑分层级、按模块进行建设。

（一）制定洗钱风险管理策略

《法人金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发〔2018〕19号）第二十六条规定“法人金融机构应当制定科学、清晰、可行的洗钱风险管理策略，完善相关制度和工作机制，合理配置、统筹安排人员、资金、系统等反洗钱资源，并定期评估其有效性。洗钱风险管理策略应当根据洗钱风险状况及市场变化及时进行调整。”因此，金融机构应制定《洗钱风险管理策略》，明确风险容忍度和风险接纳政策，并对不同等级的业务及客户采取灵活多样的风险控制和监测措施。

（二）纳入全面风险管理体系

《法人金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发〔2018〕19号）第二十七条规定“法人金融机构应当在建设全面风险管理文化、制定全面风险管理策略、制定全面风险管理政策和程序时统筹考虑洗钱风险管理，将洗钱风险纳入全面风险管理体系”。因此，金融机构应制定《全面风险管理制度》，并涵盖洗钱风险管理。大多数金融机构的全面风险管理责任部门与洗钱风险管理的责任部门不是同一个部门，还应注意由更高的管理层级进行统筹协调，有效纳入全面风险管理体系。

（三）建立洗钱风险管理总体制度

机构洗钱和恐怖融资风险管理的总制度的内容，应主要参照《法人金融机构洗钱和恐怖融资风险管理指引（试行）》（银反洗发〔2018〕19号），包含制度适用范围、制定原则、洗钱风险管理架构（明确董监高、反洗钱主管部门、其他相关部门反洗钱工作职责、反洗钱领导小组成员等要求）、洗钱风险管理政策和程序——方法（制度、方法等）、洗钱风险管理政策和程序——措施（各反洗钱义务的规定）、系统建设、反洗钱数据管理等总则性的要求。

（四）制定核心反洗钱义务的相关制度

根据《反洗钱法》，金融机构应“建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务”。因此，应对日常反洗钱工作中涉及到的内容进行制定，如客户接纳政策、客户尽职调查、客户洗钱风险等级分类管理、客户身份资料和交易记录保存、大额交易和可疑交易报告、反洗钱名单监控、洗钱风险自评估、涉恐资产冻结管理、新产品洗钱风险评估、司法协查、信息保密、内部检查、内部审计、反洗钱宣传培训、绩效考核等，其中部分制度可根据公司实际情况或风险管理策略进行整合，或不单独成文而在相关制度中进行表述。

（五）结合部分行业监管要求制定管理办法

《银行跨境业务反洗钱和反恐怖融资工作指引（试行）》（银发〔2021〕16号）第五条规定“银行应结合跨境业务流程及管理要求，建立健全反洗钱和反恐怖融资内部控制体系，明确跨境业务洗钱和恐怖融资风险识别、评估、监测和控制的职责分工”。因此对于银行业金融机构可以单独制定跨境业务反洗钱和反恐怖管理办法。

（六）针对具体的业务/条线制定详细的操作规程

为了有利于内控制度的落地执行和修订调整，建议将核心反洗钱工作（如客户尽职调查、客户洗钱风险评级、大额交易和可疑交易监测报告等）分管理办法和指引规程，两层建设。《管理办法》主要是根据法规和本机构情况制定的工作要求，《指引/规程》则偏重指导相关条线/部门人员进行实际操作、具体场景问题解析等。同时，对直接使用反洗钱相关系统的前线操作人员需提供系统《操作手册》。

重要/高风险业务条线也可以根据其业务要求及风险管理策略制定本条线/本部门的洗钱风险管理制度，例如银行跨境业务，以保证洗钱风险管理要求完全融入其业务管理和操作要求。

（一）各层级制度应由适当层级进行审议、审定

根据《反洗钱法》第十五条“金融机构应当依照本法规定建立健全反洗钱内部控制制度，金融机构的负责人应当对反洗钱内部控制制度的有效实施负责。”因此，负责人应及时得知制度的建立和健全过程。根据19号文“金融机构应当建立健全反洗钱内部控制制度，加强统一管理，规范制度制定和审批程序，明确发文种类、层级和对象”，如：

• 董事会审定《洗钱风险管理策略》、审批《洗钱风险管理的政策和程序》。

• 高级管理层制定、调整《洗钱风险管理策略》及其执行机制、审核《洗钱风险管理政策和程序》。

• 反洗钱管理部门制定起草《洗钱风险管理政策和程序》、建立健全《反洗钱内部控制制度》及《内部检查机制》。

• 业务部门建立《相应的工作机制》，将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作。

（二）关注制度执行情况，及时优化更新

金融机构应结合自身风险策略和业务将反洗钱监管规定转化为自身执行的制度规定。同时，应建立内部检查机制，验证内控制度的实际执行情况。

同时关注监管政策变化，公司内部治理结构变化等内外部因素，及时修正制度中的差异部分。对于内外部检查、审计、评估中发现的问题及缺项，及时优化制度。

【捷软反洗钱】根据多年反洗钱行业及政策法规研究，已搭建全面的反洗钱内控制度体系，结合各行业实际操作经验，可为银行、保险、证券、信托、支付、消金等各行业客户反洗钱内控制度体系建设及优化建议。

如需获取完整版《反洗钱内控制度体系脑图》，请关注公众号并回复“内控制度”。