金融機構治理指引

『壹』 銀行業金融機構應遵循什麼原則按規定管理消費者信息

銀行業金融機構抄應遵循真實、及時、完整、有效和安全原則按規定管理消費者信息。

銀行業金融機構數據治理應當遵循以下基本原則：

（一）全覆蓋原則。數據治理應當覆蓋數據的全生命周期，覆蓋業務經營、風險管理和內部控制流程中的全部數據，覆蓋內部數據和外部數據，覆蓋監管數據，覆蓋所有分支機構和附屬機構。

（二）匹配性原則。數據治理應當與管理模式、業務規模、風險狀況等相適應，並根據情況變化進行調整。

（三）持續性原則。數據治理應當持續開展，建立長效機制。

（四）有效性原則。數據治理應當推動數據真實准確客觀反映銀行業金融機構實際情況，並有效應用於經營管理。

(1)金融機構治理指引擴展閱讀

對數據治理不滿足《中華人民共和國銀行業監督管理法》等法律法規及國務院銀行業監督管理機構審慎經營規則要求的銀行業金融機構，銀行業監督管理機構可採取相應措施：

（一）要求其制定整改方案，責令限期改正；

（二）與公司治理評價結果或監管評級掛鉤；

（三）依法採取監管措施及實施行政處罰。

『貳』 銀行業金融機構外包風險管理指引

不是。
銀行業金融機構外包風險管理指引不是法律，是規范性文件。

銀行業金融機構外包風險管理指引，是為了規范銀行業金融機構的外包活動，保障銀行業金融機構業務持續經營，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規，制定的指引。

『叄』 金融機構執行《法人金融機構洗錢和恐怖融資風險管理指引(試行)》的工作方案該如何寫

中國人民銀行上海總部金融服務二部，各分行、營業管理部，各省會（首府）城市中心支行，各副省級城市中心支行反洗錢處；各政策性銀行、國有商業銀行、股份制商業銀行、中國郵政儲蓄銀行、中國銀聯、農信銀資金清算中心、城市商業銀行資金清算中心、中國人壽保險股份有限公司、中國人民財產保險股份有限公司、銀河證券股份有限公司、中信證券股份有限公司反洗錢部門：
一、金融機構工作安排（一）在2018年12月31日之前制定執行《指引》的工作方案，報中國人民銀行反洗錢局或中國人民銀行反洗錢局授權對該金融機構實施反洗錢監管的當地中國人民銀行分支機構反洗錢部門。（二）考慮到非銀行支付機構反洗錢工作起步較晚，適當給予其一定時限的制度執行過渡期，但不應晚於2019年7月1日前執行。

（二）中國人民銀行反洗錢局及分支機構反洗錢部門應當將金融機構執行《指引》要求的完善風險治理架構、制定洗錢風險管理策略等情況，作為反洗錢監管重點。<span color:#333333;"="" style="padding: 0px; margin: 0px; border: 0px none; word-break: break-all; outline: none 0px;">
請中國人民銀行上海總部，各分行、營業管理部，各省會（首府）城市中心支行，各副省級城市中心支行反洗錢處將本通知轉發至總部注冊地在轄區內的各城市商業銀行、農村商業銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、證券公司、期貨經紀公司、基金管理公司、保險公司、保險資產管理公司、保險專業代理公司、保險經紀公司、信託公司、金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司等金融機構和非銀行支付機構反洗錢部門。

『肆』 銀行業金融機構信息系統風險管理指引的主要要求是什麼

機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責：
（一）貫徹執行國家有關信息系統管理的法律、法規和技術標准，落實銀監會相關監管要求；
（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，並監督落實；
（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；
（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，並按有關預案快速響應；
（五）每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告；
（六）做好本機構信息系統審計工作；
（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，並按照監管意見進行整改；
（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；
（九）開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，並協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：
（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；
（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責許可權，建立制約機制，實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准，參照有關國際准則，積極推進信息安全標准化，實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准，省域數據中心至少應達到國家B類機房標准，省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟體，加強軟體版本管理，優先使用具有中國自主知識產權的軟、硬體產品；積極研發具有自主知識產權的信息系統和相關金融產品，並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設；網路設備應兼備技術先進性和產品成熟性；網路設備和線路應有冗餘備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網路設備，保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統採集加工、傳輸、存取數據；優化系統和資料庫安全設置，嚴格按授權使用系統和資料庫，採用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取許可權、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條 銀行業金融機構應制定信息系統應急預案，並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本並異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，並進行演練。

第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略，並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，並制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批准，並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

『伍』 股份制商業銀行公司治理指引的指引

股份制商業銀行公司治理指引 第一條為進一步完善股份制商業銀行(以下簡稱商業銀行)公司治理，促進商業銀行穩健經營和健康發展，保護存款人和股東的合法權益，根據《中華人民共和國公司法》、《中華人民共和國中國人民銀行法》、《中華人民共和國商業銀行法》和其他相關法律、法規的規定，制定本指引。
第二條本指引所稱商業銀行公司治理是指建立以股東大會、董事會、監事會、高級管理層等機構為主體的組織架構和保證各機構獨立運作、有效制衡的制度安排，以及建立科學、高效的決策、激勵和約束機制。
第三條商業銀行公司治理應當遵循以下基本准則：
(一)完善股東大會、董事會、監事會、高級管理層的議事制度和決策程序；
(二)明確股東、董事、監事和高級管理人員的權利、義務；
(三)建立、健全以監事會為核心的監督機制；
(四)建立完善的信息報告和信息披露制度；
(五)建立合理的薪酬制度，強化激勵約束機制。 第四條商業銀行的股東應當符合中國人民銀行規定的向金融機構投資入股的條件。
第五條商業銀行應當保護股東合法權益，公平對待所有股東。
股東在合法權益受到侵害時，有權依照法律、法規和商業銀行章程的規定要求停止侵害，賠償損失。
第六條商業銀行應當在其章程中規定，商業銀行資本充足率低於法定標准時，股東應支持董事會提出的提高資本充足率的措施。
第七條商業銀行應當在章程中規定，商業銀行可能出現流動性困難時，在商業銀行有借款的股東要立即歸還到期借款，未到期的借款應提前償還。
商業銀行應當根據中國人民銀行《防範和處置金融機構支付風險暫行辦法》，在章程中規定「流動性困難」的具體標准。
第八條商業銀行對股東貸款的條件不得優於其他借款人同類貸款的條件。
同一股東在商業銀行的借款余額不得超過商業銀行資本凈額的百分之十。股東的關聯企業的借款在計算比率時應與該股東在銀行的借款合並計算。
商業銀行應當在章程中規定，股東在商業銀行的借款逾期未還期間內，其表決權應當受到限制。
第九條商業銀行不得接受本行股票為質押權標的。
股東需以本行股票為自己或他人擔保的，應當事前告知董事會。
股東在本商業銀行的借款余額超過其持有的經審計的上一年度的股權凈值，且未提供銀行存單或國債質押擔保的，不得將本行股票再行質押。
第十條商業銀行不得為股東及其關聯單位的債務提供融資性擔保，但股東以銀行存單或國債提供反擔保的除外。
上款所稱融資性擔保是指商業銀行為股東及其關聯單位的融資行為提供的擔保。
第十一條同一股東不得向股東大會同時提名董事和監事的人選；同一股東提名的董事(監事)人選已擔任董事(監事)職務，在其任職期屆滿前，該股東不得再提名監事(董事)候選人。
第十二條商業銀行的董事會應當向股東大會及中國人民銀行及時報告持有商業銀行股份前十名的股東名單，以及一致行動時可以實際上控制商業銀行的關聯股東名單。
第十三條股東應當嚴格按照法律、法規、規章及商業銀行章程規定的程序提名董事、監事候選人。
第十四條控股股東對商業銀行和其他股東負有誠信義務。控股股東應當嚴格按照法律、法規、規章及商業銀行章程行使出資人的權利，不得利用其控股地位謀取不當利益，或損害商業銀行和其他股東的利益。
第十五條商業銀行股東大會包括年會和臨時會議。
商業銀行的董事會應當在每一會計年度結束後六個月內召開股東大會年會。因特殊情況需延期召開的，應當及時向中國人民銀行報告，並說明延期召開的事由。
商業銀行的董事會應當依照法律、法規和商業銀行章程的規定召開股東大會臨時會議。董事會不履行職責，致使出現商業銀行重大決策無法做出或者股東大會無法召集等情形時，單獨或者合並持有商業銀行有表決權股份總數百分之十以上的股東或商業銀行監事會，可以決定自行組織召開臨時股東大會，但應將召開會議的決定書面通知董事會並報中國人民銀行備案。
商業銀行的股東大會會議應當實行律師見證制度，並由律師出具法律意見書。法律意見書應當對股東大會召開程序、出席股東大會的股東資格、股東大會的決議內容等事項的合法性發表意見。
商業銀行可以自行確定召開股東大會的方式，但應確保股東有效行使其合法權利。
商業銀行的董事會應當將股東大會會議記錄、股東大會決議等文件報送中國人民銀行備案。
第十六條商業銀行章程應當規定，單獨或者合並持有商業銀行有表決權股份總數百分之五以上的股東，有權向股東大會提出審議事項，董事會應當將股東提出的審議事項提交股東大會審議。
商業銀行章程應當規定，單獨或者合並持有商業銀行有表決權股份總數百分之五以上的股東，有權向股東大會提出質詢案，董事會、監事會應當按照股東的要求指派董事會、監事會或者高級管理層相關成員出席股東大會接受質詢。
第十七條商業銀行董事會應當制定內容完備的股東大會議事規則，由股東大會審議通過後執行。
股東大會議事規則包括通知、文件准備、召開方式、表決形式、會議記錄及其簽署、關聯股東的迴避制度等。
第十八條股東大會年會除審議相關法律規定的事項外，還應當將下列事項列入股東大會審議范圍：
(一)通報中國人民銀行對商業銀行的監管意見及商業銀行執行整改情況；
(二)報告董事會對董事的評價及獨立董事的相互評價結果；
(三)報告監事會對監事的評價及外部監事的相互評價結果。
第十九條董事會應當公正、合理地安排會議議程和議題，確保股東大會能夠對每個議題進行充分的討論。
第二十條股東大會決議內容違反法律、法規和中國人民銀行及其他監管機關規定的，應當主動及時糾正或依照中國人民銀行的意見改正。 第二十一條董事會對股東大會負責，並依據《中華人民共和國公司法》和商業銀行章程行使職權。
第二十二條董事應當具備履行職責所必需的專業知識和工作經驗，並符合中國人民銀行規定的條件。董事的任職資格須經中國人民銀行審核。
除《中華人民共和國商業銀行法》以及《中華人民共和國公司法》規定的不得擔任董事的人員外，下列人員也不得擔任董事：
(一)因未履行誠信義務被其他商業銀行或組織罷免職務的人員；
(二)在本商業銀行的借款(不含以銀行存單或國債質押擔保的借款)超過其持有的經審計的上一年度股權凈值的股東或股東單位任職的人員；
(三)在商業銀行借款逾期未還的個人或企業任職的人員。
第二十三條董事會應當制定規范、公開的董事選舉程序，經股東大會批准後實施。
第二十四條董事會應當在股東大會召開前一個月向股東披露董事候選人的詳細資料，保證股東在投票時對候選人有足夠的了解。
第二十五條董事應當接受中國人民銀行的任職資格培訓。
第二十六條董事依法有權了解商業銀行的各項業務經營情況和財務狀況，有權對其他董事和高級管理層成員履行職責情況實施監督。
商業銀行內部稽核部門對內設職能部門及分支機構稽核的結果應當及時、全面報送董事會。
第二十七條董事對商業銀行及全體股東負有誠信與勤勉義務。董事應當按照相關法律、法規、規章及商業銀行章程的要求，認真履行職責，維護商業銀行和全體股東的利益。
第二十八條董事個人直接或者間接與商業銀行已有的或者計劃中的合同、交易、安排有關聯關系時，不論有關事項在一般情況下是否需要董事會批准同意，董事均應當及時告知董事會、監事會其關聯關系的性質和程度。
第二十九條董事會中由高級管理層成員擔任董事的人數應不少於董事會成員總數的四分之一，但不應超過董事會成員總數的三分之一。
第三十條商業銀行應當建立獨立董事制度。獨立董事與商業銀行及其主要股東之間不應存在可能影響其獨立判斷的關系。獨立董事履行職責時尤其要關注存款人和中小股東的利益。
獨立董事應當獲得適當報酬。
獨立董事的任職資格、產生程序、權利義務以及工作條件應當符合中國人民銀行的規定。
第三十一條獨立董事在履行職責過程中，發現董事會、董事、高級管理層成員及商業銀行機構和人員有違反法律、法規、規章及商業銀行章程規定情形的，應及時要求予以糾正並向中國人民銀行報告。
第三十二條商業銀行董事長和行長應當分設。
商業銀行董事長不得由控股股東的法定代表人或主要負責人兼任。
第三十三條董事、董事長應當在法律、法規、規章及商業銀行章程規定的范圍內行使職權，不得違反商業銀行的議事制度和決策程序越權干預高級管理層的經營管理活動。
第三十四條董事會例會每年至少應當召開四次。董事會臨時會議的召開程序由商業銀行章程規定。
董事會應當通知監事列席董事會會議。
董事會的決定、決議及會議記錄等應當在會議結束後10日內報中國人民銀行備案。
第三十五條董事會應當制定內容完備的董事會議事規則，包括通知、文件准備、召開方式、表決形式、會議記錄及其簽署、董事會的授權規則等。
第三十六條董事應當以董事會會議的形式行使職權，董事會會議表決實行一人一票。
商業銀行章程應當規定，利潤分配方案、重大投資、重大資產處置方案、聘任或解聘高級管理層成員等重大事項不應採取通訊表決方式，且應當由董事會三分之二以上董事通過。
第三十七條董事會在聘任期限內解除行長職務，應當及時告知監事會並向監事會做出書面說明。
第三十八條董事會根據行長提名聘任或解聘副行長、財務負責人及其他高級管理層成員，未經行長提名不得直接聘任或解聘副行長、財務負責人及其他高級管理層成員。
第三十九條董事會應當接受監事會的監督，不得阻撓、妨礙監事會依職權進行的檢查、審計等活動。
第四十條董事會應當設立關聯交易控制委員會、風險管理委員會、薪酬委員會和提名委員會，也可根據需要設立其他專門委員會。
各專門委員會的負責人應當由董事擔任，且委員會成員不得少於三人。
關聯交易控制委員會、提名委員會應當由獨立董事擔任負責人。
關聯交易控制委員會和提名委員會的成員不應包括控股股東提名的董事。
第四十一條關聯交易控制委員會負責商業銀行重大關聯交易的審批，其中特別重大的關聯交易還需經董事會批准後方可實施。特別重大的關聯交易應同時報告監事會。
董事對董事會擬決議事項有重大利害關系的，不得對該項決議行使表決權。該董事會會議應當由二分之一以上無重大利害關系的董事出席方可舉行。董事會會議做出的批准關聯交易的決議應當由無重大利害關系的董事過半數通過。
商業銀行章程應當對重大關聯交易和特別重大關聯交易的標准做出規定。董事會應當制定商業銀行關聯交易的具體審批制度。
第四十二條風險管理委員會負責對高級管理層在信貸、市場、操作等方面的風險控制情況進行監督，對商業銀行風險狀況進行定期評估，對內部稽核部門的工作程序和工作效果進行評價，提出完善銀行風險管理和內部控制的意見。
第四十三條薪酬委員會負責擬定董事、監事和高級管理層成員的薪酬方案，向董事會提出薪酬方案的建議，並監督方案的實施。
第四十四條提名委員會負責擬定董事和高級管理層成員的選任程序和標准，對董事和高級管理層成員的任職資格和條件進行初步審核，並向董事會提出建議。
第四十五條各委員會的議事規則和工作職責應當由董事會制定。各委員會應當制定年度工作計劃，並定期召開會議。
第四十六條商業銀行董事會應當按照人民銀行的有關規定製定信息披露的最低標准、方式、途徑等，逐步建立、健全商業銀行信息披露制度。
第四十七條董事會下設專門辦公室，負責股東大會、董事會、董事會各專門委員會會議的籌備、信息披露，以及董事會、董事會各專門委員會的其他日常事務。
商業銀行董事會秘書兼任董事會辦公室主任。董事會秘書由董事會提名委員會提名，董事會聘任。董事會秘書須經中國人民銀行任職資格審核。 第四十八條高級管理層由行長、副行長、財務負責人等組成。高級管理層成員的任職資格應當符合中國人民銀行的規定。
第四十九條高級管理層成員應當遵循誠信原則，謹慎、勤勉地在其職權范圍內行使職權，不得為自己或他人謀取屬於本商業銀行的商業機會，不得接受與本商業銀行交易有關的利益，不得在其他經濟組織兼職。
第五十條行長有權依照法律、法規、規章、商業銀行章程及董事會授權，組織開展銀行的經營管理活動。
行長應當行使下列職權：
(一)提請董事會聘任或者解聘副行長、財務負責人等高級管理層成員；
(二)聘任或者解聘除應由董事會聘任或者解聘以外的商業銀行內部各職能部門及分支機構負責人；
(三)代表高級管理層向董事會提交經營計劃和投資方案，經董事會批准後組織實施；
(四)授權高級管理層成員、內部各職能部門及分支機構負責人從事經營活動；
(五)在商業銀行發生擠兌等重大突發事件時，採取緊急措施，並立即向中國人民銀行和董事會、監事會報告；
(六)其他依據法律、法規、規章及商業銀行章程規定應由行長行使的職權。
第五十一條高級管理層應當根據商業銀行經營活動需要，建立、健全以內部規章制度、經營風險控制系統、信貸審批系統等為主要內容的內部控制機制。
商業銀行的內部稽核部門應當實行垂直管理並由行長直接領導。
商業銀行行長不得擔任審貸委員會成員，但對審貸委員會通過的授信決定擁有否決權。
第五十二條高級管理層應當建立向董事會定期報告的制度，及時、准確、完整地報告有關銀行經營業績、重要合同、財務狀況、風險狀況和經營前景等情況。
第五十三條高級管理層應當接受監事會的監督，定期向監事會提供有關商業銀行經營業績、重要合同、財務狀況、風險狀況和經營前景等情況的信息，不得阻撓、妨礙監事會依職權進行的檢查、審計等活動。
第五十四條高級管理層應當建立和完善各項會議制度，並制訂相應議事規則。高級管理層召開會議應當製作會議記錄，會議記錄應當報送監事會。
第五十五條高級管理層依法在職權范圍內的經營管理活動不受干預。
高級管理層對董事、董事長越權干預其經營管理的，有權請求監事會予以制止，並向中國人民銀行報告。
第五十六條高級管理層成員應當保持相對穩定，在任期內不應隨意調整。確需調整的，商業銀行應報中國人民銀行備案，並按有關規定報請中國人民銀行對新任高級管理層成員的任職資格進行審查。
高級管理層成員對董事會違反任免規定的行為，有權請求監事會提出異議，並向中國人民銀行報告。
第五十七條高級管理層提交的需由董事會批準的事項，董事會應當及時討論並做出決定。 第五十八條監事會是商業銀行的監督機構，對股東大會負責，行使下列職權：
(一)監督董事會、高級管理層履行職責的情況；
(二)監督董事、董事長及高級管理層成員的盡職情況；
(三)要求董事、董事長及高級管理層成員糾正其損害銀行利益的行為；
(四)對董事和高級管理層成員進行離任審計；
(五)檢查、監督商業銀行的財務活動；
(六)對商業銀行的經營決策、風險管理和內部控制等進行審計並指導商業銀行內部稽核部門的工作；
(七)對董事、董事長及高級管理層成員進行質詢；
(八)其他法律、法規、規章及商業銀行章程規定應當由監事會行使的職權。
第五十九條監事會應當由職工代表出任的監事、股東大會選舉的外部監事和其他監事組成，其中外部監事的人數不得少於兩名。
第六十條商業銀行應當建立外部監事制度。外部監事與商業銀行及其主要股東之間不應存在影響其獨立判斷的關系。外部監事在履行職責時尤其要關注存款人和商業銀行整體利益。
外部監事報酬應當比照獨立董事執行。
外部監事的任職資格、產生程序、權利義務以及工作條件應當符合中國人民銀行的規定。
第六十一條監事應當依照法律、法規、規章及商業銀行章程的規定，忠實履行監督職責。
監事的任職資格、產生程序、權利義務適用本指引第二十二條至第二十八條有關董事的規定。
第六十二條監事長應當由專職人員擔任。監事長至少應當具有財務、審計、金融、法律等某一方面的專業知識和工作經驗。
第六十三條監事會應當設立提名委員會,負責擬定監事的選任程序和標准，對監事的任職資格和條件進行初步審核，並向監事會提出建議。
提名委員會應當由外部監事擔任負責人。
第六十四條監事會應當設立審計委員會,負責擬定對本指引第五十七條第(一)、(二)、(四)、(五)、(六)項所列事項進行審計的方案。
審計委員會應當由外部監事擔任負責人。
第六十五條監事會應當委託經中國人民銀行認可的會計師事務所對商業銀行上一年度的經營結果進行審計。審計報告應於股東大會年會召開前，且不得遲於當年4月30日完成。審計報告完成後應當經監事會通過，由監事長簽名，報股東大會年會審議。在報送股東大會審議前，應當抄送董事會。
會計師事務所對商業銀行審計結果有失公允，監事會應當發現而沒有發現的，應當追究監事會有關人員的責任。
監事會履行職責所需的費用由商業銀行承擔。
第六十六條監事會下設辦公室，作為監事會的辦事機構。監事會辦公室聘用的工作人員應當具備相關專業知識，以充分保證監事會監督職責的履行。
第六十七條商業銀行應當保障監事會工作的正常開展，為監事會提供必要的工作條件和專門的辦公場所。監事會的年度財務預算由股東大會審議通過。
第六十八條監事會例會應當每年至少召開四次，監事會臨時會議的召開程序由商業銀行章程規定。
監事會的決定、決議及會議記錄應當報中國人民銀行備案。
第六十九條監事會應當制定內容完備的議事規則，包括通知、文件准備、召開方式、表決形式、會議記錄及其簽署等。
第七十條監事會發現董事會和高級管理層未執行審慎會計原則，存在未嚴格核算應收利息、未提足呆賬准備金等情形的，應當責令予以糾正。
監事會發現商業銀行業務出現異常波動的，應當向董事會或高級管理層提出質疑。
第七十一條商業銀行內部稽核部門對內設職能部門及分支機構稽核的結果應當及時、全面報送監事會。
監事會對銀行稽核部門報送的稽核結果有疑問時，有權要求行長或稽核部門做出解釋。
第七十二條監事會在履行職責時，有權向商業銀行相關人員和機構了解情況，相關人員和機構應給予配合。
第七十三條商業銀行按規定定期向中國人民銀行報送的報告應當附有監事會的意見。監事會應當就報告中有關信貸資產質量、資產負債比例、風險控制等事項逐項發表意見。監事會應當在收到高級管理層遞交的報告之日起5個工作日內發表意見，逾期未發表意見的，視為同意。
第七十四條董事會擬訂的分紅方案應當事先報送監事會，監事會應當對此發表意見。監事會應當在5個工作日內發表意見，逾期未發表意見的，視為同意。
第七十五條監事應當列席董事會會議，列席會議的監事有權發表意見，但不享有表決權。
列席董事會會議的監事應當將會議情況報告監事會。
監事會認為必要時，可以指派監事列席高級管理層會議。
第七十六條監事會發現董事會、高級管理層及其成員有違反法律、法規、規章及商業銀行章程規定等情形時，應當建議對有關責任人員進行處分，並及時發出限期整改通知；董事會或者高級管理層應當及時進行處分或整改並將結果書面報告監事會。
董事會和高級管理層拒絕或者拖延採取處分、整改措施的，監事會應當向中國人民銀行報告，並報告股東大會。 第七十七條商業銀行應當建立薪酬與商業銀行效益和個人業績相聯系的激勵機制。
第七十八條商業銀行應當建立公正、公開的董事、監事、高級管理層成員績效評價的標准和程序。
第七十九條獨立董事的評價應當採取相互評價的方式進行，其他董事的評價由董事會做出，並向股東大會報告。外部監事和其他監事的評價比照獨立董事和其他董事執行。
高級管理層成員的評價、薪酬與激勵方式由董事會下設的薪酬委員會確定，董事會應當將對高級管理層成員的績效評價作為對高級管理層成員的薪酬和其他激勵安排的依據。績效評價的標准和結果應當向股東大會說明。
任何董事、監事和高級管理層成員都不應參與本人薪酬及績效評價的決定過程。
第八十條董事、監事及高級管理層成員違反法律、法規、規章及商業銀行章程，給商業銀行和股東造成損失的，應當承擔賠償責任。
第八十一條商業銀行在條件具備時，經股東大會批准，可以建立董事、監事和高級管理層成員的職業責任保險制度。 第八十二條本指引適用於中國境內設立的股份制商業銀行。各商業銀行應當按照本指引和中國人民銀行有關規定的要求，結合本行的特點，完善商業銀行的治理結構。
第八十三條本指引由中國人民銀行負責解釋。
第八十四條本指引自公告之日起施行。

『陸』 你好！你有《金融機構洗錢和恐怖融資風險評估及客戶分類管理指引》工作方案 請共享一下，收費沒問題的

金融機構洗錢和恐怖融資風險評估及客戶分類管理指引

為深入實踐風險為本的反洗錢方法，指導金融機構評估洗錢和恐怖融資（以下統稱洗錢）風險，合理確定客戶洗錢風險等級，提升反洗錢和反恐怖融資（以下統稱反洗錢）工作有效性，根據 《 中華人民共和國反洗錢法 》 等法律制定本指引。
第一章總則
一、基本原則
（一）風險相當原則。
金融機構應依據風險評估結果科學配置反洗錢資源，在洗錢風險較高的領域採取強化的反洗錢措施，在洗錢風險較低的領域採取簡化的反洗錢措施。
（二）全面性原則。除本指引所列的例外情形外，金融機構應全面評估客戶及地域、業務、行業（職業）等方面的風險狀況，科學合理地為每一名客戶確定風險等級。
（三）同一性原則。金融機構應建立健全洗錢風險評估及客戶風險等級劃分流程，賦予同一客戶在本金融機構唯一的風險等級，但同一客戶可以被同一集團內的不同金融機構賦予不同的風險等級。
（四）動態管理原則。金融機構應根據客戶風險狀況的變化，及時調整其風險等級及所對應的風險控制措施。
（五）自主管理原則。金融機構經評估論證後認定，自行確定的風險評估標准或風險控制措施的實施效果不低於本指引或其中某項要求，即可決定不遵循本指引或其中某項要求，但應書面記錄評估論證的方法、過程及結論。
（六）保密原則。金融機構不得向客戶或其他與反洗錢工作無關的第三方泄露客戶風險等級信息。
二、功能
（一）本指引所列風險評估要素及其風險子項是金融機構全面科學評估洗錢風險的參考指標，為金融機構劃分客戶洗錢風險等級提供依據。
（二）本指引所確定的工作流程是金融機構科學整合內部各類資源，特別是發揮業務條線了解客戶的基礎性作用，有效評估、管理洗錢風險的必要管理措施。
（三）本指引有助於指導金融機構依據洗錢風險評估及客戶風險等級劃分結果，優化反洗錢資源配置。
三、適用范圍本指引適用於金融機構開展洗錢風險評估、客戶洗錢風險等級劃分及其他風險管理工作。支付機構及其他應履行反洗錢義務的特定非金融機構可參照本指引開展相關工作。
銀行業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於一次性交易客戶。
保險業金融機構可根據實際風險狀況，自主決定是否將本指引的要求運用於投保人以外的其他人員。
金融機構和特定非金融機構的行業自律組織可根據本指引進一步制定分行業的指引。
第二章風險評估指標體系
一、指標體系概述
洗錢風險評估指標體系包括客戶特性、地域、業務（含金融產品、金融服務）、行業（含職業）四類基本要素。金融機構應結合行業特點、業務類型、經營規模、客戶范圍等實際情況，分解出某一基本要素所蘊含的風險子項。金融機構可根據實際需要，合理增加新的風險評估指標。例如，金融機構可區分新客戶和既有客戶、自然人客戶和非自然人客戶等不同群體的風險狀況，設置差異化的風險評級標准。
二、風險子項
（一）客戶特性風險子項。金融機構應綜合考慮客戶背景、社會經濟活動特點、聲譽、權威媒體披露信．息以及非自然人客戶的組織架構等各方面情況，衡量本機構對其開展客戶盡職調查工作的難度，評估風險。風險子項包括但不限於：
1 ．客戶信息的公開程度。客戶信．息公開程度越高，金融機構客戶盡職調查成本越低，風險越可控。例如，對國家機關、事業單位、國有企業以及在規范證券市場上市的公司開展盡職調查的成本相對較低，風險評級可相應調低。
2 ．金融機構與客戶建立或維持業務關系的渠道。渠道會對金融機構盡職調查工作的便利性、可靠性和准確性產生影響。例如，在客戶直接與金融機構見面的情況下，金融機構更能全面了解客戶，其盡職調查成果比來源於間接渠道的成果更為有效。不同類的間接渠道風險也不盡相同，例如，金融機構通過關聯公司比通過中介機構更能便捷准確地取得客戶盡職調查結果。
3 ．客戶所持身份證件或身份證明文件的種類。身份證件或身份證明文件越難以查驗，客戶身份越難以核實，風險程度就越高。
4 ．反洗錢交易監測記錄。金融機構對可疑交易報告進行回溯性審查，有助於了解客戶的風險狀況。在成本允許的情況下，金融機構還可對客戶的大額交易進行回溯性審查。
5 ．非自然人客戶的股權或控制權結構。股權或控制權關系的復雜程度及其可辨識度，直接影響金融機構客戶盡職調查的有效性。例如，個人獨資企業、家族企業、合夥企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高於一般公司。
6 ．涉及客戶的風險提示信．息或權威媒體報道信．息。金融機構如發現，客戶曾被監管機構、執法機關或金融交易所提示予以關注，客戶存在犯罪、金融違規、金融欺詐等方面的歷史記錄，或者客戶涉及權威媒體的重要負面新聞報道評論的，可適當調高其風險評級。
7 ．自然人客戶年齡。年齡與民事行為能力有直接關聯，與客戶的財富狀況、社會經濟活動范圍、風險偏好等有較高關聯度。
8 ．非自然人客戶的存續時間。客戶存續時間越長，關於其社會經濟活動的記錄可能越完整，越便於金融機構開展客戶盡職調查。金融機構可將存續時間的長度作為衡量客戶風險程度的參考因素。
（二）地域風險子項。金融機構應衡量客戶及其實際受益人、實際控制人的國籍、注冊地、住所、經營所在地與洗錢及其他犯罪活動的關聯度，並適當考慮客戶主要交易對手方及境外參與交易金融機構的地域風險傳導問題。風險子項包括但不限於：
1 ．某國（地區）受反洗錢監控或制裁的情況。金融機構既要考慮我國的反洗錢監控要求，又要考慮其他國家（地區）和國際組織推行且得到我國承認的反洗錢監控或制裁要求。經營國際業務的金融機構還要考慮對該業務有管轄權的國家（地區）的反洗錢監控或制裁要求。
2 ．對某國（地區）進行反洗錢風險提示的情況。金融機構應遵循中國人民銀行和其他有權部門的風險提示，參考金融行動特別工作組（英文簡稱 FATF ）、亞太反洗錢組織（英文簡稱 APG ）、歐亞反洗錢及反恐怖融資組織（英文簡稱 EAG ）等權威組織對各國（地區）執行 FATF 反洗錢標準的互評估結果。
3 ．國家（地區）的上游犯罪狀況。金融機構可參考我國有關部門以及 FATF 等國際權威組織發布的信息，重點關注存在較嚴重恐怖活動、大規模殺傷性武器擴散、毒品、走私、跨境有組織犯罪、腐敗、金融詐騙、人口販運、海盜等犯罪活動的國家（地區） , 以及支持恐怖主義活動等嚴重犯罪的國家（地區）。對於我國境內或外國局部區域存在的嚴重犯罪，金融機構應參考有權部門的要求或風險提示，酌情提高涉及該區域的客戶風險評級。
4 ．特殊的金融監管風險。例如避稅型離岸金融中心。對於其住所、注冊地、經營所在地與本金融機構經營所在地相距很遠的客戶，金融機構應考慮酌情提高其風險評級。
（三）業務（含金融產品、金融服務）風險子項。金融機構應當對各項金融業務的洗錢風險進行評估，制定高風險業務列表，並對該列表進行定期評估、動態調整。金融機構進行風險評級時，不僅要考慮金融業務的固有風險，而且應結合當前市場的具體運行狀況，進行綜合分析。風險子項包括但不限於：
1 ．與現金的關聯程度。現金業務容易使交易鏈條斷裂，難於核實資金真實來源、去向及用途，因此現金交易或易於讓客戶取得現金的金融業務（以下簡稱關聯業務）具有較高風險。考慮到我國金融市場運行現狀和居民的現金交易偏好，現金及其關聯業務的普遍存在具有一定的合理性，金融機構可重點關注客戶在單位時間內累計發生的金額較大的現金交易情況或是具有某些異常特徵的大額現金交易情況。此項標准如能結合客戶行業或職業特性一並考慮將更為合理。
2 ．非面對面交易。非面對面交易方式（如網上交易）使客戶無需與工作人員直接接觸即可辦理業務，增加了金融機構開展客戶盡職調查的難度，洗錢風險相應上升。金融機構在關注此類交易方式固有風險的同時，需酌情考慮客戶選擇或偏好此類交易方式所具有的一些現實合理性，特別是在以互聯網為主要交易平台的細分金融領域（如證券市場的二級市場交易），要結合反洗錢資金監測和自身風險控制措施情況，靈活設定風險評級指標。例如，可重點審查以下交易：
( 1 ）由同一人或少數人操作不同客戶的金融賬戶進行網上交易；
( 2 ）網上金融交易頻繁且 IP 地址分布在非開戶地或境外；
( 3 ）使用同一 IP 地址進行多筆不同客戶賬戶的網銀交易；
( 4 ）金額特別巨大的網上金融交易；
( 5 ）公司賬戶與自然人賬戶之間發生的頻繁或大額交易；
( 6 ）關聯企業之間的大額異常交易。
3 ．跨境交易。跨境開展客戶盡職調查難度大，不同國家（地區）的監管差異又可能直接導致反洗錢監控漏洞產生。金融機構可重點結合地域風險，關注客戶是否存在單位時間內多次涉及跨境異常交易報告等情況。
4 ．代理交易。由他人（非職業性中介）代辦業務可能導致金融機構難以直接與客戶接觸，盡職調查有效性受到限制。鑒於代理交易在現實中的合理性，金融機構可將關注點集中於風險較高的特定情形，例如：
( 1 ）客戶的賬戶是由經常代理他人開戶人員或經常代理他人轉賬人員代為開立的；
( 2 ）客戶由他人代辦的業務多次涉及可疑交易報告；
( 3 ）同一代辦人同時或分多次代理多個賬戶開立；
( 4 ）客戶信．息顯示緊急聯系人為同一人或者多個客戶預留電話為同一號碼等異常情況。
5 ．特殊業務類型的交易頻率。對於頻繁進行異常交易的客戶，金融機構應考慮提高風險評級。
銀行業金融機構可關注開（銷）戶數量、非自然人與自然人大額轉賬匯款頻率、涉及自然人的跨境匯款頻率等。
證券業金融機構可關注交易所預警交易、大宗交易、轉託管和指定（撤指）、因第三方存款單客戶多銀行業務而形成的資金跨銀行或跨地區劃轉等。
期貨業金融機構可關注盜碼交易、自然人客戶違規持倉、對倒、對敲等異常行為。
保險業金融機構可關注投保頻率、退保頻率、團險投保人數明顯與企業人員規模不匹配、團險保全業務發生率、申請保單質押貸款（保單借款）金額或頻率、生存保險受益人變更頻率、萬能險追加保費金額或頻率等。
信託公司可關注客戶購買、轉讓信託產品的頻率或金額等。
在業務關系建立之初，金融機構可能無法准確預估出客戶使用的全部業務品種，但可在重新審核客戶風險等級時審查客戶曾選擇過的金融業務類別。
（四）行業（含職業）風險子項。
金融機構應評估行業、身份與洗錢、職務犯罪等的關聯性，合理預測某些行業客戶的經濟狀況、金融交易需求，酌情考慮某些職業技能被不法分子用於洗錢的可能性。本指引對此基本要素不再細分風險子項，金融機構可從以下角度進行評估：
1 ．公認具有較高風險的行業（職業）。原則上，按照我國反洗錢監管制度及 FATF 建議等反洗錢國際標准應納入反洗錢監管范圍的行業（職業），其洗錢風險通常較高。
2 ．與特定洗錢風險的關聯度。例如，客戶或其實際受益人、實際控制人、親屬、關系密切人等屬於外國政要。
3 ．行業現金密集程度。例如，客戶從事廢品收購、旅遊、餐飲、零售、藝術品收藏、拍賣、娛樂場所、博彩、影視娛樂等行業。
三、指標使用方法
本指引運用權重法，以定性分析與定量分析相結合的方式來計量風險、評估等級。中國人民銀行鼓勵金融機構研發其他風險計量工具或方法，金融機構自主研發的風險計量工具或方法應能全面覆蓋本指引所列風險子項，並有書面文件對其設計原理和使用方法進行說明。
（一）金融機構應對每一基本要素及其風險子項進行權重賦值，各項權重均大於 0 ，總和等於 100 。對於風險控制效果影響力越大的基本要素及其風險子項，賦值相應越高。對於經評估後決定不採納的風險子項，金融機構無需賦值。同一基本要素或風險子項所概括的風險事件，在不同的細分金融領域內有可能導致不同的危害性後果發生。即使是處於同一細分金融領域內的不同金融機構，也可能因為客戶來源、銷售渠道、經營規模、合規文化等方面的原因而面臨不同的風險狀況，從而對同一風險事件的風險程度作出不同的判斷。因此，每個金融機構需結合自身情況，合理確定個性化的權重賦值。
（二）金融機構應逐一對照每個風險子項進行評估。例如，金融機構採用五級分類法時，最高風險評分為 5 ，較高風險評分為 4 ，一般風險評分為 3 ，較低風險評分為 2 ，低風險評分為 1 。金融機構應根據各風險子項評分及權重賦值計算客戶風險等級總分，計算公式為 Pi：，其中 a 代表風險子項評分， p 代表權重， m 代表金融機構所選取的風險分級數（例如三級分類、五級分類等） , n 代表風險子項數量。客戶風險等級．得分最高 1 00 分。
（三）金融機構應建立客戶風險等級總分（區間）與風險等級之間的映射規則，以確定每個客戶具體的風險評級，引導資源配置。金融機構確定的風險評級不得少於三級。從有利於運用評級結果配置反洗錢資源角度考慮，金融機構可設置較多的風險評級等次，以增強反洗錢資源配置的靈活性。
四、例外情形
（一）對於風險程度顯著較低且預估能夠有效控制其風險的客戶，金融機構可自行決定不按上述風險要素及其子項評定風險，直接將其定級為低風險，但此類客戶不應具有以下任何一種情形：
1 ．在同一金融機構的金融資產凈值超過一定限額（原則上，自然人客戶限額為 20 萬元人民幣，非自然人客戶限額為 50 萬元人民幣），或壽險保單年繳保費超過 1 萬元人民幣或外幣等值超過 1000 美元，以及非現金夏交保費超過 20 萬元人民幣或外幣等值超過 2 萬美元；
2 ．與金融機構建立或開展了代理行、信託等高風險業務關系；
3 ．客戶為非居民，或者使用了境外發放的身份證件或身份證明文件；
4 ．涉及可疑交易報告；
5 ．由非職業性中介機構或無親屬關系的自然人代理客戶與金融機構建立業務關系；
6 ．拒絕配合金融機構客戶盡職調查工作。對於按照上述要求不能直接定級為低風險的客戶，金融機構逐一對照各項風險要素及其子項進行風險評估後，仍可能將其定級為低風險。
（二）對於具有下列情形之一的客戶，金融機構可直接將其風險等級確定為最高，而無需逐一對照上述風險要素及其子項進行評級：
1 ．客戶被列入我國發布或承認的應實施反洗錢監控措施的名單；
2 ．客戶為外國政要或其親屬、關系密切人；
3 ．客戶實際控制人或實際受益人屬前兩項所述人員；
4 ．客戶多次涉及可疑交易報告；
5 ．客戶拒絕金融機構依法開展的客戶盡職調查工作；
6 ．金融機構自定的其他可直接認定為高風險客戶的標准。不具有上述情形的客戶，金融機構逐一對照各項風險基本要素及其子項進行風險評估後，仍可能將其定級為高風險。
第三章風險評估及客戶等級劃分操作流程
一、時機
（一）對於新建立業務關系的客戶，金融機構應在建立業務關系後的 10 個工作日內劃分其風險等級。
（二）對於已確立過風險等級的客戶，金融機構應根據其風險程度設置相應的重新審核期限，實現對風險的動態追蹤。原則上，風險等級最高的客戶的審核期限不得超過半年，低一等級客戶的審核期限不得超出上一級客戶審核期限時長的兩倍。對於首次建立業務關系的客戶，無論其風險等級高低，金融機構在初次確定其風險等級後的三年內至少應進行一次復核。
（三）當客戶變更重要身份信息、司法機關調查本金融機構客戶、客戶涉及權威媒體的案件報道等可能導致風險狀況發生實質性變化的事件發生時，金融機構應考慮重新評定客戶風險等級。
二、操作步驟
（一）收集信息。金融機構應根據反洗錢風險評估需要，確定各類信息的來源及其採集方法。信息來源渠道通常有：
1 ．金融機構在與客戶建立業務關系時，客戶向金融機構披露的信息；
2 ．金融機構客戶經理或櫃面人員工作記錄；
3 ．金融機構保存的交易記錄；
4 ．金融機構委託其他金融機構或中介機構對客戶進行盡職調查工作所獲信息。
5 ．金融機構利用商業資料庫查詢信息；
6 ．金融機構利用互聯網等公共信息平台搜索信息。
金融機構在風險評估過程中應遵循勤勉盡責的原則，依據所掌握的事實材料，對部分難以直接取得或取得成本過高的風險要素信息進行合理評估。為統一風險評估尺度，金融機構應當事先確定本機構可預估信息列表及其預估原則，並定期審查和調整。
（二）篩選分析信息。評估人員應認真對照風險評估基本要素及其子項，對所收集的信．息進行歸類，逐項評分。如果同一基本要素或風險子項對應有多項相互重復或交叉的關聯性信息存在時，評估人員應進行甄別和合並。如果同一基本要素或風險子項對應有多項相互矛盾或抵觸的關聯性信息存在時，評估人員應在調查核實的基礎上，刪除不適用信息，並加以注釋。
金融機構工作人員整理完基礎信息後，應當整體性梳理各項風險評估要素及其子項。如發現要素項下有內容空缺或信息內容不充分的，可在兼顧風險評估需求與成本控制要求的前提下，確定是否需要進一步收集補充信息。
金融機構可將上述工作流程嵌入相應業務流程中，以減少執行成本。例如，從客戶經理或營銷人員開始尋找目標客戶或與客戶接觸起，即可在自身業務范圍採集信．息，並隨著業務關系的逐步確立，由處在業務鏈條上的各類人員在各自職責范圍內負責相應的資料收集工作。
（三）初評。除存在前述例外情形的客戶外，金融機構工作人員應逐一分析每個風險評估基本要素項及其子項所對應的信息，確定出相應的得分。對於材料不全或可靠性存疑的要素信息，評估人員應在相應的要素項下進行標注，並合理確定相應分值。在綜合分析要素信．急的基礎上，金融機構工作人員累計計算客戶評分結果，相應確定其初步評級。
金融機構可利用計算機系統等技術手段輔助完成部分初評工作。
（四）復評。初評結果均應由初評人以外的其他人員進行復評確認。初評結果與復評結果不一致的，可由反洗錢合規管理部門決定最終評級結果。
第四章風險分類控制措施
金融機構應在客戶風險等級劃分的基礎上，採取相應的客戶盡職調查及其他風險控制措施。
一、對風險較高客戶的控制措施金融機構應對高風險客戶採取強化的客戶盡職調查及其他風險控制措施，有效預防風險。可酌情採取的措施包括但不限於：
（一）進一步調查客戶及其實際控制人、實際受益人情況。
（二）進一步深入了解客戶經營活動狀況和財產來源。
（三）適度提高客戶及其實際控制人、實際受益人信息的收集或更新頻率。
（四）對交易及其背景情況做更為深入的調查，詢問客戶交易目的，核實客戶交易動機。
（五）適度提高交易監測的頻率及強度。
（六）經高級管理層批准或授權後，再為客戶辦理業務或建立新的業務關系。
（七）按照法律規定或與客戶的事先約定，對客戶的交易方式、交易規模、交易頻率等實施合理限制．
（八）合理限制客戶通過非面對面方式辦理業務的金額、次數和業務類型。
（九）對其交易對手及經辦業務的金融機構採取盡職調查措施。
二、對風險較低客戶的控制措施金融機構可對低風險客戶採取簡化的客戶盡職調查及其他風險控制措施，可酌情採取的措施包括但不限於：
（一）在建立業務關系後再核實客戶實際受益人或實際控制人的身份。
（二）適當延長客戶身份資料的更新周期。
（三）在合理的交易規模內，適當降低採用持續的客戶身份識別措施的頻率或強度。例如，逐步建立對低風險客戶異常交易的快速篩選判斷機制。對於經分析排查後決定不提交可疑交易報告的低風險客戶，金融機構僅發現該客戶重復性出現與之前已排除異常交易相同或類似的交易活動時，可運用技術性手段自動處理預警信息。對於風險等級較低客戶異常交易的對手方僅涉及各級黨的機關、國家權力機關、行政機關、司法機關、軍事機關、人民政協機關和人民解放軍、武警部隊等低風險客戶的，可直接利用技術手段予以篩除。
（四）在風險可控情況下，允許金融機構工作人員合理推測交易目的和交易性質，而無需收集相關證據材料。
第五章管理與保障措施
一、風險管理政策金融機構應在總部或集團層面建立統一的洗錢風險管理基本政策，並在各分支機構、各條線（部門）執行。
客戶風險管理政策應經金融機構董事會或其授權的組織審核通過，並由高級管理層中的指定專人負責實施。
金融機構．總部、集團可針對分支機構所在地區的反洗錢狀況，設定局部地區的風險系數，或授權分支機構根據所在地區情況，合理調整風險子項或評級標准。
金融機構應對自身金融業務及其營銷渠道，特別是在推出新金融業務、採用新營銷渠道、運用新技術前，進行系統全面的洗錢風險評估，按照風險可控原則建立相應的風險管理措施。
二、組織管理措施
金融機構應完善風險評估流程，指定適當的條線（部門）及人員整體負責風險評估工作流程的設置及監控工作，組織各相關條線（部門）充分參與風險評估工作。
金融機構應確保客戶風險評估工作流程具有可稽核性或可追溯性。
三、技術保障措施
金融機構應確保洗錢風險管理工作所需的必要技術條件，積極運用信．息系統提升工作有效性。系統設計應著眼於運用客戶風險等級管理工作成果，為各級分支機構查詢使用信息提供方便。
四、代理業務管理
金融機構委託其他機構開展客戶風險等級劃分等洗錢風險管理工作時，應與受託機構簽訂書面協議，並由高級管理層批准。受託機構應當積極協助委託機構開展洗錢風險管理。由委託機構對受託機構進行的洗錢風險管理工作承擔最終法律責任。
金融機構應建立專門機制，審核受託機構確定的客戶風險等級。

『柒』 銀行業金融機構信息系統風險管理指引的第五章　運行維護風險控制

第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。