保險機構洗錢和恐怖融資風險評估及客戶分類管理指引

保監發〔2014〕110號

各保監局，各保險公司：

為指導保險機構評估洗錢和恐怖融資風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資工作有效性，根據《中華人民共和國反洗錢法》、《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》等規定，中國保監會制定了《保險機構洗錢和恐怖融資風險評估及客戶分類管理指引》（以下簡稱《指引》），現印發給你們，請遵照執行。

人身保險公司、財產保險公司應自發布之日起執行《指引》。立即執行有困難的，可於2015年3月1日前向中國保監會稽查局提交延期申請，說明理由，但不應晚於2015年12月31日前執行。

中國保監會

2014年12月30日

第一章 總 則

第一條 為深入實踐風險為本的反洗錢方法，指導保險機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資（以下統稱反洗錢）工作有效性，根據《中華人民共和國反洗錢法》、《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》等規定，制定本指引。

第二條 保險機構洗錢風險是指保險機構提供的產品或服務被用於洗錢進而導致保險機構遭受損失的不確定性。

第三條 保險機構開展洗錢風險管理和客戶分類管理工作應當遵循以下原則：

（一）風險為本原則。保險機構應制定洗錢風險控制政策或洗錢風險控制目標，根據控制政策或控制目標，制定相應流程來應對洗錢風險，包括識別風險、開展風險評估、制定相關策略處置或降低已識別的風險。保險機構在洗錢風險較高的領域應採取強化的反洗錢措施，在洗錢風險較低的領域採取簡化的反洗錢措施，從而實現反洗錢資源的有效配置。

（二）動態管理原則。保險機構應根據產品或服務、內部操作流程的洗錢風險水平變化和客戶風險狀況的變化，及時調整風險管理政策和風險控制措施。

（三）保密原則。保險機構不得向客戶或其他與反洗錢工作無關的第三方泄露客戶風險等級信息。

第四條 本指引適用於人身保險公司和財產保險公司開展洗錢風險評估和客戶風險等級劃分工作。保險資產管理公司、再保險公司可參照本指引開展相關工作。

本指引所確定的風險評估方法及指標體系同樣可用於保險中介機構開展客戶盡職調查工作。

第二章 風險評估指標體系及方法

第五條 按照風險來源，保險機構洗錢風險可分為內部風險和外部風險。內部風險是指保險機構產品或服務固有的風險，以及業務、財務、人員管理等方面的制度漏洞所形成的操作風險。外部風險是指客戶自身屬性所形成的風險。保險機構應全面識別和評估風險。

第六條 洗錢內部風險評估重點考察產品風險以及與保險業務直接相關的操作風險，包括產品屬性、業務流程、系統控制等要素。保險機構可結合自身情況，合理設定各風險要素的子項。

保險機構還可就本機構反洗錢內控機制的健全性、產品風險識別有效性、合規風險管理架構完整性以及損害自我修復能力做出整體評價。

第七條 產品屬性要素主要考察產品本身被用於洗錢的可能性，保險機構應綜合考察各子項的影響，考察範圍包括但不限於：

（一）與投資的關聯程度。保險產品特別是投資性理財產品，與投資的關聯程度越高，越容易受到洗錢分子的關注，其相應的洗錢風險越高。

（二）每單平均保費金額。一般來說，保險產品每單平均保費金額越高，洗錢風險相對越大。

（三）現金價值大小。在相同保險期間內，保單現金價值比率越高，其洗錢風險相對越大，如高現金價值產品。

（四）保單質押變現能力。保單質押變現能力越高，其洗錢風險相對越大。

（五）保險責任滿足難易程度。理賠或給付條件較難滿足，或者退保損失較大的產品，洗錢風險相對較小；反之，被用於洗錢的風險相對較大。

（六）能否任意追加保費。在保險期間內，可任意超額追加保費、資金可在風險保障賬戶和投資賬戶間自由調配的產品，洗錢風險相對較大；相反，不可任意追加保費和跨賬戶調配資金的產品，洗錢風險相對較小。

（七）歷史退保比例和退保金額。退保量較大、退保比例較高的保險產品，洗錢的風險相對較大。

（八）是否存在涉外交易。存在涉外交易的產品，跨境開展客戶盡職調查難度大，不同國家（地區）的監管差異也可能導致反洗錢監控漏洞產生，易於被洗錢分子利用，存在較大的洗錢風險。

人身保險產品應考察上述全部風險因子，財產保險產品可選擇部分風險因子進行考察。

第八條 業務流程要素主要考察承保、保全、理賠等環節設計是否合理，能否有效防範洗錢風險，考察範圍包括但不限於：

（一）客戶身份核實是否有效，盡職調查措施是否合理。

（二）財產保險承保前是否核驗保險標的，人身保險是否有生存調查。

（三）人身保險是否有最高保額限制。

（四）保險費收取方式是否包括現金，是否有限額。

（五）是否限制第三方賬戶支付保費。

（六）是否核實投保人申請退保或是變更投保人、受益人、證件號碼、銀行賬號的原因。

（七）是否限定保單質押貸款申請人為投保人本人，貸款賬戶為原投保賬戶。

（八）是否限制退保至第三方賬戶。

（九）是否限制現金支付退保金、保險金、保單貸款。

（十）賠償或給付保險金前是否開展調查或查勘定損。

（十一）快速理賠或給付政策是否存在漏洞。

（十二）資金支付至境外是否有特別規定。

第九條 系統控制要素主要考察核心業務系統能否實現設定的反洗錢功能，考察範圍包括但不限於：

（一）業務系統關於客戶和保單的要素設定是否完善，客戶身份信息留存是否符合監管要求。

（二）業務系統對資金來源與流向的管控措施是否完善，是否留存反映資金收付的銀行賬戶信息。

（三）業務系統對資金支付人與接收人的管控措施是否完善。

（四）業務系統中的保單、批單信息是否可以全面展示交易過程。

（五）高風險客戶或高風險國家或地區的風險預警提示是否健全。

（六）業務系統黑名單種類和管控措施是否完善。

（七）風險信息是否能夠在業務部門和反洗錢部門之間有效傳遞、集中和共享。

第十條 洗錢外部風險要素包括客戶風險、地域風險、業務風險、行業（含職業）風險等項目，保險機構可結合自身情況，合理設定各風險要素的子項。

第十一條 保險機構應綜合考慮客戶背景、社會經濟活動特點等各方面情況，衡量本機構對其開展客戶盡職調查工作的難度，評估客戶風險。客戶風險子項包括但不限於：

（一）客戶信息的公開程度。

（二）客戶所持身份證件或身份證明檔案的種類。

（三）自然人客戶財務狀況、資金來源、年齡。

（四）非自然人客戶的股權或控制權結構、存續時間。

（五）反洗錢交易監測記錄。

（六）涉及客戶的風險提示信息或權威媒體報導信息。

第十二條 保險機構應當衡量客戶的國籍、註冊地、住所、經常居住地、經營所在地與洗錢、恐怖活動及其他犯罪活動的關聯度，評估其地域風險。地域風險子項包括但不限於涉及中國人民銀行和國家其他有權部門的反洗錢監控要求或風險提示，或是其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控和制裁要求的國家或地區的風險狀況：

（一）某國（地區）受反洗錢監控或制裁的情況。

（二）對某國（地區）進行洗錢風險提示的情況。

（三）某國（地區）的上游犯罪狀況。

（四）國內特殊地域的金融監管風險。

第十三條 保險機構應當考慮業務方式所固有的洗錢風險並關注客戶的異常交易行為，結合當前市場的具體運行狀況，綜合分析業務風險。業務風險子項包括但不限於：

（一）代理交易。代理交易是保險行業的突出特點。在人身險領域，保險機構獲得的客戶信息高度依賴代理人，某些情形下保險機構難以直接與客戶接觸，盡職調查有效性受到限制。在財產險領域，條款費率的確定依賴於保險標的的特性和風險狀況，保險機構一般還會對保險標的做進一步核實，故渠道因素導致的洗錢風險相對較小。為追求收入，部分中介機構在明知客戶可能洗錢的情況下並不報告甚至幫助掩飾，部分中介機構與客戶還可能存在隱性關係。另外，客戶還會委託他人代辦保險業務。保險機構應根據自身代理渠道的特點，區分不同類型代理渠道的風險大小，重點關注風險較高的情形，例如：

1.同一家代理機構代理多家保險公司產品，對客戶投保情況披露不充分。

2.代理機構拒絕在代理協定中寫入反洗錢條款，或者代為履行客戶身份識別義務不主動，提供的客戶信息不真實、不完整。

3.多個不相關的個險客戶預留電話為同一號碼或緊急聯繫人為同一人，電話回訪發現預留電話非客戶本人且無法聯繫到客戶本人等異常情況。

4.代刷卡行為。代理人為促使保險契約的早日達成，某些情況下會採用先行代投保人刷卡墊付保費，契約成立後由投保人支付保費至代理人的方式。這種行為使得保險機構無法掌握保費的真正來源及交易方式，蘊含一定的洗錢風險。

5.對客戶委託他人代辦保險業務的，重點關注該代理人是否經常代理他人辦理保險業務、代辦的業務是否多次涉及可疑交易報告等情形。

（二）非面對面交易。非面對面交易方式（如電銷、網銷）使客戶無需與工作人員直接接觸即可辦理業務，增加了保險機構開展客戶盡職調查的難度，洗錢風險相應上升。保險機構在設計該類保險產品時，可對保險金額進行累積限制，銷售時重點關注投保人投保頻率、退保頻率過高，多個電銷客戶使用同一聯繫方式等情況，並對超過一定金額或存在可疑情形的客戶採取強化的盡職調查方式。

（三）異常交易或行為。當客戶出現某些異常交易或行為時，保險機構應當仔細核實客戶身份，必要時提高其風險等級。例如：

1.短期內在一家或多家保險機構頻繁投保、退保、拆單投保且不能合理解釋。

2.躉繳大額保費或保費明顯超過投保人的收入或資產狀況。

3.購買的保險產品與其表述的需求明顯不符，經金融機構及其工作人員解釋後，仍堅持購買的。

4.異常關注保險公司的審計、核保、理賠、給付、退保規定，而不關注保險產品的保障功能和投資收益。

5.拒絕提供或者提供的有關投保人、被保險人和受益人的姓名（名稱）、職業（行業）、住所、聯繫方式或者財務狀況等信息不真實。

6.財產保險投保人虛構保險標的投保。

7.無合理原因，堅持要求以現金方式繳付較大金額的保費。

8.通過第三人支付保費，不能合理解釋第三人與投保人、被保險人和受益人關係。

9.多交保費並隨即要求返還超額部分。保險機構在下述情況下應特別提高警覺：（1）多交的保費金額較大；（2）多交的保費來源於第三方或要求把多交的保費退還給第三方；（3）客戶身處或來自洗錢高風險國家或地區；（4）多交保費所涉及的金額或頻密程度很可疑；（5）法人業務剛剛投保不久就辦理減人或減額退保，且退保金轉入非繳費賬戶；（6）客戶多交保費的行為與其惡化的資產狀況或經營狀況不符。

10.投保後短期內申請退保，特別是要求將退保資金轉入第三方賬戶或非繳費賬戶。

11.財產險重複投保後申請全額退保。

12.投保後頻繁辦理保單質押貸款，或以保險單為抵押品向其他機構借款。

13.沒有合理原因，投保人堅持要求用現金賠償、給付保險金、退還保險費和保單現金價值以及支付其他資金數額較大的保險業務。

14.客戶要求將賠償金、保險金和保單現金價值支付至被保險人、受益人以外的第三方。

15.客戶要求將賠償金、保險金、退還的保險費和保單現金價值支付到洗錢高風險國家和地區。

保險機構自建異常交易監測指標的，可按照自建指標執行。

第十四條 保險機構應評估行業、身份與洗錢、職務犯罪、稅務犯罪等的關聯性，合理預測某些行業客戶的經濟狀況、金融交易需求，酌情考慮某些職業技能被不法分子用於洗錢的可能性。行業（含職業）風險要素可從以下角度進行評估：

（一）公認具有較高風險的行業（職業）。

（二）與特定洗錢風險的關聯度，如客戶屬於政治公眾人物及其親屬、身邊工作人員。

（三）行業現金密集程度。

第十五條 保險機構應定期開展洗錢內部風險評估工作，間隔一般不超過三年。

當保險機構發布新產品、採用新行銷手段，或者治理結構、產品服務、技術手段等發生重大變化，可能影響內部洗錢風險狀況時，應及時開展內部風險評估，並調整洗錢風險管理政策。

第十六條 內部風險評估的方法為：由反洗錢專門機構或其他負責反洗錢工作的指定內設機構制定評估方案和相關指標評估體系，設計風險分析調查表，提取相關業務數據，組織與業務、財務等部門進行溝通和訪談，審慎確定洗錢內部風險水平。

確定某類或某項產品的風險等級時，除考慮每項風險要素的單獨影響外，還應綜合考慮各項風險要素的結合情況、內外部反洗錢檢查情況、反洗錢案例、大額和可疑交易報告等事項，對分數予以合理調整，並確定最終的風險水平和等級。

第十七條 保險機構反洗錢工作領導小組負責審議、發布內部洗錢風險評估報告。

保險機構的分支機構，可以結合內部洗錢風險評估報告和區域業務特點開展分支機構的風險評估。

區域性保險產品，可由銷售該產品的分支機構自行組織評估。

保險機構可以開展專門的洗錢風險評估，也可將洗錢風險評估納入整體的風險評估和風險管理框架。

第十八條 保險機構應對與其建立業務關係的客戶開展洗錢外部風險評估工作。方法為：設定外部風險要素及其子項，運用權重法，對每一基本要素及其子項進行權重賦值並計算總分。可根據風險要素或子項的結合情況對風險等級予以合理調整。

第十九條 評估人員應在內部風險評估基礎上，將客戶投保的保險產品的內部風險等級作為外部風險評分的參考因素，初步確定客戶風險等級。

保險機構可利用計算機系統等技術手段輔助完成初評工作。

第二十條 對於初評結果為中等以上風險等級（含中等）的客戶，應由初評人以外的其他人員進行複評確認。初評結果與複評結果不一致的，可由反洗錢管理部門決定最終評級結果。

第二十一條 對新建立業務關係的客戶，保險機構應根據風險評估結果，在保險契約成立後的10個工作日內劃分其風險等級。

對已確立過風險等級的客戶，保險機構應根據其風險程度設定相應的重新審核期限，實現對風險的動態追蹤。原則上，風險等級最高的客戶的審核期限不得超過半年，低一等級客戶的審核期限不得超出上一級客戶審核期限時長的兩倍。對於首次建立業務關係的客戶，無論其風險等級高低，金融機構在初次確定其風險等級後的三年內至少應進行一次覆核。

當客戶變更重要身份信息、司法機關調查本保險機構客戶、客戶涉及權威媒體的案件報導、客戶進行異常交易等可能導致風險狀況發生實質性變化的事件發生時，保險機構應考慮重新評定客戶風險等級。

第二十二條 同一客戶因不同交易行為而被評定為不同風險等級的，應將該客戶的最高風險等級確定為該客戶的最終風險等級。

第二十三條 在開展內部風險和外部風險評估過程中，保險機構應根據風險評估需要，確定各類信息的來源及其採集方法。對部分難以直接取得或取得成本過高的風險要素信息，保險機構可進行合理評估。為統一風險評估尺度，保險機構應當事先確定本機構可預估信息列表及其預估原則，並定期審查和調整。

保險機構可將上述工作流程嵌入相應業務流程中，以減少執行成本。

第二十四條 投保政策性或強制性保險產品，如政策性農業保險、政策性大病補充醫療保險、機動車交通事故責任強制保險、道路客運承運人責任保險等，這些產品具有財政補貼和強制性特點，平均保費金額較低，一般情況下不允許退保、變更受益人等操作，洗錢風險極低，可不開展洗錢風險評估和客戶風險等級劃分工作，但仍應開展客戶資料和交易記錄保存等其他反洗錢工作。

第二十五條 對於投保內部風險程度較低且預估能夠有效控制洗錢風險的保險產品的客戶，保險機構可自行決定不進行外部風險評估程式，直接定級為低風險。但對於投保以下產品的，必須開展外部風險評估程式：

（一）投資型保險產品，如分紅險、萬能險、投資連結險、投資型家庭財產險等。

（二）具有儲蓄功能的保險產品，如終身壽險、生存保險、兩全保險、年金保險等。

（三）保險機構經評估後認為洗錢風險較大的其他產品。

存在以下情形的客戶，不能未經外部風險評估程式直接定級為低風險：

（一）在本保險機構的已繳納保費金額超過一定限額（由保險公司自主設定，可根據內部風險評估結果對不同產品設定不同限額，原則上不能高於人民幣20萬元或等值外幣，同一客戶應累計計算其所購買的所有有效保單，同一保單涉及多人時，以累積額最高的人為評估標準）。

（二）客戶為非居民，或者使用了境外發放的身份證件或身份證明檔案。

（三）客戶涉及可疑交易報告。

（四）客戶委託非職業性中介機構或無親屬關係的自然人代理本人與保險機構建立業務關係。

對於按照上述規定不能直接定級為低風險的客戶，保險機構逐一對照各項風險要素及其子項進行風險評估後，仍可將其定級為低風險。

第二十六條 對具有下列情形（包括但不限於）之一的客戶，保險機構可直接將其定級為最高風險：

（一）客戶被列入我國發布或承認的反洗錢監控名單及類似監控名單。

（二）客戶利用虛假證件辦理業務，或在代理他人辦理業務時使用虛假證件。

（三）客戶為政治公眾人物或其親屬及關係密切人員。

（四）發現客戶存在犯罪、金融違規、金融欺詐等方面的歷史記錄，或者曾被監管機構、執法機關或金融交易所提示予以關注，或者涉及權威媒體與洗錢相關的重要負面新聞報導或評論的。

（五）投保人、被保險人以及受益人，或者法定代表人、股東的國籍、註冊地、住所、經常居住地、經營所在地涉及中國人民銀行和國家相關部門的反洗錢監控要求或風險提示，或是其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控要求。

（六）客戶實際控制人或實際受益人屬前五項所述人員。

（七）客戶多次涉及可疑交易報告。

（八）客戶拒絕保險機構或保險中介機構開展盡職調查工作。

（九）其他直接或經調查後認定的高風險客戶。

第二十七條 保險機構應當遵守我國及得到我國承認的國際組織和國家發布的有關金融制裁要求，拒絕或限制與制裁名單上的國家、組織或人員交易。具有涉外機構、經營國際業務的保險機構還應特別關注相關國家和組織發布的制裁要求。

第三章 風險分類控制措施

第二十八條 保險機構應在洗錢風險評估和客戶風險等級劃分的基礎上，酌情採取相應的風險控制措施。對風險水平較高的產品和風險較高的客戶應採取強化的風險控制措施，包括但不限於：

（一）強化的和持續性的客戶盡職調查。

1.進一步調查客戶及其實際控制人、實際受益人情況。

2.進一步了解客戶投保目的、收入狀況及保險費資金來源。

3.進一步分析客戶的交易行為，審核投保人保險費支付能力是否與其經濟狀況相符合，要求客戶提供財務證明檔案。

4.適度提高客戶及其實際控制人、實際受益人信息的收集或更新頻率。

（二）異常資金流向監測。保險機構應當在業務、財務系統中設定和完善資金流向異常預警指標，對於大額交易、支票給付、資金流向異常交易，保險機構應當留存完整的資金收付信息，包括但不限於賬戶名稱、賬號、開戶行、支票背書等，對於系統無法自動留存的收付信息，保險機構應當採取人工錄入措施，以實現對資金收付異常行為的過程監控。

（三）關鍵流程節點管控。保險機構應當根據高風險客戶特徵，酌情在承保、保全、理賠等環節採取強化的控制措施。

1.承保環節可採取的控制措施有：經相關負責人授權後，再為客戶辦理業務；對客戶的投保金額、投保方式等實施合理限制。

2.保全環節可採取的控制措施有：完善保全管控制度，嚴格退保和給付資金支付對象管控；定期開展退保風險數據排查工作。

3.理賠環節可採取的控制措施有：強化調查與洗錢相混同的保險欺詐行為，如利用犯罪資金購買標的投保後實施的欺詐行為。

（四）可疑交易報告。保險機構應當設立可疑交易指標體系，明確人工識別可疑交易對象和流程，並通過持續性、強化的客戶盡職調查手段予以識別分析。對客戶採取盡職調查後，保險機構有合理理由懷疑資金為犯罪收益或與恐怖融資有關的，應按照法律規定，向中國反洗錢監測分析中心報送可疑交易報告。

（五）恐怖活動資產凍結。保險機構一旦發現客戶為被公安部列入恐怖活動組織、恐怖活動人員名單或者保險資金為恐怖活動資產的，應按照法律規定立即對相關資產採取凍結措施，並報告當地公安機關、國家安全機關、人民銀行和保險監管部門。

第二十九條 保險機構可對低風險產品和低風險客戶採取簡化的客戶盡職調查及其他風險控制措施，包括但不限於：

（一）在退保、理賠或給付環節再核實被保險人、受益人與投保人的關係。

（二）適當延長客戶身份資料的更新周期。

（三）在合理的交易規模內，適當降低客戶身份識別措施的頻率或強度。

第四章 管理與保障措施

第三十條 保險機構應在總部或集團層面制定統一的洗錢風險管理政策、制度和流程，開發統一的反洗錢信息系統，並在各分支機構、各部門執行和使用。

洗錢風險管理政策應經保險機構董事會或其授權的組織審核通過，並由高級管理層中的指定專人負責實施。

保險機構可針對分支機構所在地區的反洗錢狀況，設定局部地區的風險係數，或授權分支機構根據所在地區情況，合理調整風險子項或評級標準。

第三十一條 保險機構應指定適當的部門及人員整體負責風險評估工作流程的設定及監控工作，組織各相關部門充分參與風險評估工作。

第三十二條 保險機構應確保客戶風險評估工作流程具有可稽核性或可追溯性。

第三十三條 保險機構應確保洗錢風險管理工作所需的必要技術條件，積極運用信息系統提升工作有效性。系統設計應著眼於運用客戶風險等級管理工作成果，為各級分支機構查詢使用信息提供方便。

第三十四條 保險機構委託其他機構開展客戶風險等級劃分等洗錢風險管理工作時，應與受託機構簽訂書面協定，並由高級管理層批准。委託機構對受託機構進行的洗錢風險管理工作承擔最終法律責任。

第五章 附 則

第三十五條 本指引中“客戶”是指投保人，鼓勵保險機構將本指引的要求運用於被保險人、受益人、實際控制人、實際受益人等其他人員。

第三十六條 本指引由中國保監會負責解釋和修訂。

第三十七條 本指引未盡事項適用《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》的有關規定。

第三十八條 本指引自發布之日起施行。