发文单位:中国保险监督管理委员会
文 号:保监发〔2014〕110号
发布日期:2014-12-30
生效日期:2014-12-31
各保监局,各保险公司:
为指导保险机构评估洗钱和恐怖融资风险,合理确定客户洗钱风险等级,提升反洗钱和反恐怖融资工作有效性,根据《中华人民共和国反洗钱法》、《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》等规定,中国保监会制定了《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》(以下简称《指引》),现印发给你们,请遵照执行。
人身保险公司、财产保险公司应自发布之日起执行《指引》。立即执行有困难的,可于2015年3月1日前向中国保监会稽查局提交延期申请,说明理由,但不应晚于2015年12月31日前执行。
中国保监会
2014年12月30日
保险机构洗钱和恐怖融资风险评估及客户分类管理指引
第一章 总 则
第一条 为深入实践风险为本的反洗钱方法,指导保险机构评估洗钱和恐怖融资(以下统称洗钱)风险,合理确定客户洗钱风险等级,提升反洗钱和反恐怖融资(以下统称反洗钱)工作有效性,根据《中华人民共和国反洗钱法》、《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》等规定,制定本指引。
第二条 保险机构洗钱风险是指保险机构提供的产品或服务被用于洗钱进而导致保险机构遭受损失的不确定性。
第三条 保险机构开展洗钱风险管理和客户分类管理工作应当遵循以下原则:
(一)风险为本原则。保险机构应制定洗钱风险控制政策或洗钱风险控制目标,根据控制政策或控制目标,制定相应流程来应对洗钱风险,包括识别风险、开展风险评估、制定相关策略处置或降低已识别的风险。保险机构在洗钱风险较高的领域应采取强化的反洗钱措施,在洗钱风险较低的领域采取简化的反洗钱措施,从而实现反洗钱资源的有效配置。
(二)动态管理原则。保险机构应根据产品或服务、内部操作流程的洗钱风险水平变化和客户风险状况的变化,及时调整风险管理政策和风险控制措施。
(三)保密原则。保险机构不得向客户或其他与反洗钱工作无关的第三方泄露客户风险等级信息。
第四条 本指引适用于人身保险公司和财产保险公司开展洗钱风险评估和客户风险等级划分工作。保险资产管理公司、再保险公司可参照本指引开展相关工作。
本指引所确定的风险评估方法及指标体系同样可用于保险中介机构开展客户尽职调查工作。
第二章 风险评估指标体系及方法
第一节 概 述
第五条 按照风险来源,保险机构洗钱风险可分为内部风险和外部风险。内部风险是指保险机构产品或服务固有的风险,以及业务、财务、人员管理等方面的制度漏洞所形成的操作风险。外部风险是指客户自身属性所形成的风险。保险机构应全面识别和评估风险。
第二节 内部风险评估指标体系
第六条 洗钱内部风险评估重点考察产品风险以及与保险业务直接相关的操作风险,包括产品属性、业务流程、系统控制等要素。保险机构可结合自身情况,合理设定各风险要素的子项。
保险机构还可就本机构反洗钱内控机制的健全性、产品风险识别有效性、合规风险管理架构完整性以及损害自我修复能力做出整体评价。
第七条 产品属性要素主要考察产品本身被用于洗钱的可能性,保险机构应综合考察各子项的影响,考察范围包括但不限于:
(一)与投资的关联程度。保险产品特别是投资性理财产品,与投资的关联程度越高,越容易受到洗钱分子的关注,其相应的洗钱风险越高。
(二)每单平均保费金额。一般来说,保险产品每单平均保费金额越高,洗钱风险相对越大。
(三)现金价值大小。在相同保险期间内,保单现金价值比率越高,其洗钱风险相对越大,如高现金价值产品。
(四)保单质押变现能力。保单质押变现能力越高,其洗钱风险相对越大。
(五)保险责任满足难易程度。理赔或给付条件较难满足,或者退保损失较大的产品,洗钱风险相对较小;反之,被用于洗钱的风险相对较大。
(六)能否任意追加保费。在保险期间内,可任意超额追加保费、资金可在风险保障账户和投资账户间自由调配的产品,洗钱风险相对较大;相反,不可任意追加保费和跨账户调配资金的产品,洗钱风险相对较小。
(七)历史退保比例和退保金额。退保量较大、退保比例较高的保险产品,洗钱的风险相对较大。
(八)是否存在涉外交易。存在涉外交易的产品,跨境开展客户尽职调查难度大,不同国家(地区)的监管差异也可能导致反洗钱监控漏洞产生,易于被洗钱分子利用,存在较大的洗钱风险。
人身保险产品应考察上述全部风险因子,财产保险产品可选择部分风险因子进行考察。
第八条 业务流程要素主要考察承保、保全、理赔等环节设计是否合理,能否有效防范洗钱风险,考察范围包括但不限于:
(一)客户身份核实是否有效,尽职调查措施是否合理。
(二)财产保险承保前是否核验保险标的,人身保险是否有生存调查。
(三)人身保险是否有最高保额限制。
(四)保险费收取方式是否包括现金,是否有限额。
(五)是否限制第三方账户支付保费。
(六)是否核实投保人申请退保或是变更投保人、受益人、证件号码、银行账号的原因。
(七)是否限定保单质押贷款申请人为投保人本人,贷款账户为原投保账户。
(八)是否限制退保至第三方账户。
(九)是否限制现金支付退保金、保险金、保单贷款。
(十)赔偿或给付保险金前是否开展调查或查勘定损。
(十一)快速理赔或给付政策是否存在漏洞。
(十二)资金支付至境外是否有特别规定。
第九条 系统控制要素主要考察核心业务系统能否实现设定的反洗钱功能,考察范围包括但不限于:
(一)业务系统关于客户和保单的要素设置是否完善,客户身份信息留存是否符合监管要求。
(二)业务系统对资金来源与流向的管控措施是否完善,是否留存反映资金收付的银行账户信息。
(三)业务系统对资金支付人与接收人的管控措施是否完善。
(四)业务系统中的保单、批单信息是否可以全面展示交易过程。
(五)高风险客户或高风险国家或地区的风险预警提示是否健全。
(六)业务系统黑名单种类和管控措施是否完善。
(七)风险信息是否能够在业务部门和反洗钱部门之间有效传递、集中和共享。
第三节 外部风险评估指标体系
第十条 洗钱外部风险要素包括客户风险、地域风险、业务风险、行业(含职业)风险等项目,保险机构可结合自身情况,合理设定各风险要素的子项。
第十一条 保险机构应综合考虑客户背景、社会经济活动特点等各方面情况,衡量本机构对其开展客户尽职调查工作的难度,评估客户风险。客户风险子项包括但不限于:
(一)客户信息的公开程度。
(二)客户所持身份证件或身份证明文件的种类。
(三)自然人客户财务状况、资金来源、年龄。
(四)非自然人客户的股权或控制权结构、存续时间。
(五)反洗钱交易监测记录。
(六)涉及客户的风险提示信息或权威媒体报道信息。
第十二条 保险机构应当衡量客户的国籍、注册地、住所、经常居住地、经营所在地与洗钱、恐怖活动及其他犯罪活动的关联度,评估其地域风险。地域风险子项包括但不限于涉及中国人民银行和国家其他有权部门的反洗钱监控要求或风险提示,或是其他国家(地区)和国际组织推行且得到我国承认的反洗钱监控和制裁要求的国家或地区的风险状况:
(一)某国(地区)受反洗钱监控或制裁的情况。
(二)对某国(地区)进行洗钱风险提示的情况。
(三)某国(地区)的上游犯罪状况。
(四)国内特殊地域的金融监管风险。
第十三条 保险机构应当考虑业务方式所固有的洗钱风险并关注客户的异常交易行为,结合当前市场的具体运行状况,综合分析业务风险。业务风险子项包括但不限于:
(一)代理交易。代理交易是保险行业的突出特点。在人身险领域,保险机构获得的客户信息高度依赖代理人,某些情形下保险机构难以直接与客户接触,尽职调查有效性受到限制。在财产险领域,条款费率的确定依赖于保险标的的特性和风险状况,保险机构一般还会对保险标的做进一步核实,故渠道因素导致的洗钱风险相对较小。为追求收入,部分中介机构在明知客户可能洗钱的情况下并不报告甚至帮助掩饰,部分中介机构与客户还可能存在隐性关系。另外,客户还会委托他人代办保险业务。保险机构应根据自身代理渠道的特点,区分不同类型代理渠道的风险大小,重点关注风险较高的情形,例如:
1.同一家代理机构代理多家保险公司产品,对客户投保情况披露不充分。
2.代理机构拒绝在代理中写入反洗钱条款,或者代为履行客户身份识别义务不主动,提供的客户信息不真实、不完整。
3.多个不相关的个险客户预留电话为同一号码或紧急联系人为同一人,电话回访发现预留电话非客户本人且无法联系到客户本人等异常情况。
4.代刷卡行为。代理人为促使保险合同的早日达成,某些情况下会采用先行代投保人刷卡垫付保费,合同成立后由投保人支付保费至代理人的方式。这种行为使得保险机构无法掌握保费的真正来源及交易方式,蕴含一定的洗钱风险。
5.对客户委托他人代办保险业务的,重点关注该代理人是否经常代理他人办理保险业务、代办的业务是否多次涉及可疑交易报告等情形。
(二)非面对面交易。非面对面交易方式(如电销、网销)使客户无需与工作人员直接接触即可办理业务,增加了保险机构开展客户尽职调查的难度,洗钱风险相应上升。保险机构在设计该类保险产品时,可对保险金额进行累积限制,销售时重点关注投保人投保频率、退保频率过高,多个电销客户使用同一联系方式等情况,并对超过一定金额或存在可疑情形的客户采取强化的尽职调查方式。
(三)异常交易或行为。当客户出现某些异常交易或行为时,保险机构应当仔细核实客户身份,必要时提高其风险等级。例如:
1.短期内在一家或多家保险机构频繁投保、退保、拆单投保且不能合理解释。
2.趸缴大额保费或保费明显超过投保人的收入或资产状况。
3.购买的保险产品与其表述的需求明显不符,经金融机构及其工作人员解释后,仍坚持购买的。
4.异常关注保险公司的审计、核保、理赔、给付、退保规定,而不关注保险产品的保障功能和投资收益。
5.拒绝提供或者提供的有关投保人、被保险人和受益人的姓名(名称)、职业(行业)、住所、联系方式或者财务状况等信息不真实。
6.财产保险投保人虚构保险标的投保。
7.无合理原因,坚持要求以现金方式缴付较大金额的保费。
8.通过第三人支付保费,不能合理解释第三人与投保人、被保险人和受益人关系。
9.多交保费并随即要求返还超额部分。保险机构在下述情况下应特别提高警觉:(1)多交的保费金额较大;(2)多交的保费来源于第三方或要求把多交的保费退还给第三方;(3)客户身处或来自洗钱高风险国家或地区;(4)多交保费所涉及的金额或频密程度很可疑;(5)法人业务刚刚投保不久就办理减人或减额退保,且退保金转入非缴费账户;(6)客户多交保费的行为与其恶化的资产状况或经营状况不符。
10.投保后短期内申请退保,特别是要求将退保资金转入第三方账户或非缴费账户。
11.财产险重复投保后申请全额退保。
12.投保后频繁办理保单质押贷款,或以保险单为抵押品向其他机构借款。
13.没有合理原因,投保人坚持要求用现金赔偿、给付保险金、退还保险费和保单现金价值以及支付其他资金数额较大的保险业务。
14.客户要求将赔偿金、保险金和保单现金价值支付至被保险人、受益人以外的第三方。
15.客户要求将赔偿金、保险金、退还的保险费和保单现金价值支付到洗钱高风险国家和地区。
保险机构自建异常交易监测指标的,可按照自建指标执行。
第十四条 保险机构应评估行业、身份与洗钱、职务犯罪、税务犯罪等的关联性,合理预测某些行业客户的经济状况、金融交易需求,酌情考虑某些职业技能被不法分子用于洗钱的可能性。行业(含职业)风险要素可从以下角度进行评估:
(一)公认具有较高风险的行业(职业)。
(二)与特定洗钱风险的关联度,如客户属于政治公众人物及其亲属、身边工作人员。
(三)行业现金密集程度。
第四节 风险评估及客户等级划分流程
第十五条 保险机构应定期开展洗钱内部风险评估工作,间隔一般不超过三年。
当保险机构发布新产品、采用新营销手段,或者治理结构、产品服务、技术手段等发生重大变化,可能影响内部洗钱风险状况时,应及时开展内部风险评估,并调整洗钱风险管理政策。
第十六条 内部风险评估的方法为:由反洗钱专门机构或其他负责反洗钱工作的指定内设机构制定评估方案和相关指标评估体系,设计风险分析调查表,提取相关业务数据,组织与业务、财务等部门进行沟通和访谈,审慎确定洗钱内部风险水平。
确定某类或某项产品的风险等级时,除考虑每项风险要素的单独影响外,还应综合考虑各项风险要素的结合情况、内外部反洗钱检查情况、反洗钱案例、大额和可疑交易报告等事项,对分数予以合理调整,并确定最终的风险水平和等级。
第十七条 保险机构反洗钱工作领导小组负责审议、发布内部洗钱风险评估报告。
保险机构的分支机构,可以结合内部洗钱风险评估报告和区域业务特点开展分支机构的风险评估。
区域性保险产品,可由销售该产品的分支机构自行组织评估。
保险机构可以开展专门的洗钱风险评估,也可将洗钱风险评估纳入整体的风险评估和风险管理框架。
第十八条 保险机构应对与其建立业务关系的客户开展洗钱外部风险评估工作。方法为:设定外部风险要素及其子项,运用权重法,对每一基本要素及其子项进行权重赋值并计算总分。可根据风险要素或子项的结合情况对风险等级予以合理调整。
第十九条 评估人员应在内部风险评估基础上,将客户投保的保险产品的内部风险等级作为外部风险评分的参考因素,初步确定客户风险等级。
保险机构可利用计算机系统等技术手段辅助完成初评工作。
第二十条 对于初评结果为中等以上风险等级(含中等)的客户,应由初评人以外的其他人员进行复评确认。初评结果与复评结果不一致的,可由反洗钱管理部门决定最终评级结果。
第二十一条 对新建立业务关系的客户,保险机构应根据风险评估结果,在保险合同成立后的10个工作日内划分其风险等级。
对已确立过风险等级的客户,保险机构应根据其风险程度设置相应的重新审核期限,实现对风险的动态追踪。原则上,风险等级最高的客户的审核期限不得超过半年,低一等级客户的审核期限不得超出上一级客户审核期限时长的两倍。对于首次建立业务关系的客户,无论其风险等级高低,金融机构在初次确定其风险等级后的三年内至少应进行一次复核。
当客户变更重要身份信息、司法机关调查本保险机构客户、客户涉及权威媒体的案件报道、客户进行异常交易等可能导致风险状况发生实质性变化的事件发生时,保险机构应考虑重新评定客户风险等级。
第二十二条 同一客户因不同交易行为而被评定为不同风险等级的,应将该客户的最高风险等级确定为该客户的最终风险等级。
第二十三条 在开展内部风险和外部风险评估过程中,保险机构应根据风险评估需要,确定各类信息的来源及其采集方法。对部分难以直接取得或取得成本过高的风险要素信息,保险机构可进行合理评估。为统一风险评估尺度,保险机构应当事先确定本机构可预估信息列表及其预估原则,并定期审查和调整。
保险机构可将上述工作流程嵌入相应业务流程中,以减少执行成本。
第五节 例外情形
第二十四条 投保政策性或强制性保险产品,如政策性农业保险、政策性大病补充医疗保险、机动车交通事故责任强制保险、道路客运承运人责任保险等,这些产品具有财政补贴和强制性特点,平均保费金额较低,一般情况下不允许退保、变更受益人等操作,洗钱风险极低,可不开展洗钱风险评估和客户风险等级划分工作,但仍应开展客户资料和交易记录保存等其他反洗钱工作。
第二十五条 对于投保内部风险程度较低且预估能够有效控制洗钱风险的保险产品的客户,保险机构可自行决定不进行外部风险评估程序,直接定级为低风险。但对于投保以下产品的,必须开展外部风险评估程序:
(一)投资型保险产品,如分红险、万能险、投资连结险、投资型家庭财产险等。
(二)具有储蓄功能的保险产品,如终身寿险、生存保险、两全保险、年金保险等。
(三)保险机构经评估后认为洗钱风险较大的其他产品。
存在以下情形的客户,不能未经外部风险评估程序直接定级为低风险:
(一)在本保险机构的已缴纳保费金额超过一定限额(由保险公司自主设定,可根据内部风险评估结果对不同产品设定不同限额,原则上不能高于人民币20万元或等值外币,同一客户应累计计算其所购买的所有有效保单,同一保单涉及多人时,以累积额最高的人为评估标准)。
(二)客户为非居民,或者使用了境外发放的身份证件或身份证明文件。
(三)客户涉及可疑交易报告。
(四)客户委托非职业性中介机构或无亲属关系的自然人代理本人与保险机构建立业务关系。
对于按照上述规定不能直接定级为低风险的客户,保险机构逐一对照各项风险要素及其子项进行风险评估后,仍可将其定级为低风险。
第二十六条 对具有下列情形(包括但不限于)之一的客户,保险机构可直接将其定级为最高风险:
(一)客户被列入我国发布或承认的反洗钱监控名单及类似监控名单。
(二)客户利用虚假证件办理业务,或在代理他人办理业务时使用虚假证件。
(三)客户为政治公众人物或其亲属及关系密切人员。
(四)发现客户存在犯罪、金融违规、金融欺诈等方面的历史记录,或者曾被监管机构、执法机关或金融交易所提示予以关注,或者涉及权威媒体与洗钱相关的重要负面新闻报道或评论的。
(五)投保人、被保险人以及受益人,或者法定代表人、股东的国籍、注册地、住所、经常居住地、经营所在地涉及中国人民银行和国家相关部门的反洗钱监控要求或风险提示,或是其他国家(地区)和国际组织推行且得到我国承认的反洗钱监控要求。
(六)客户实际控制人或实际受益人属前五项所述人员。
(七)客户多次涉及可疑交易报告。
(八)客户拒绝保险机构或保险中介机构开展尽职调查工作。
(九)其他直接或经调查后认定的高风险客户。
第二十七条 保险机构应当遵守我国及得到我国承认的国际组织和国家发布的有关金融制裁要求,拒绝或限制与制裁名单上的国家、组织或人员交易。具有涉外机构、经营国际业务的保险机构还应特别关注相关国家和组织发布的制裁要求。
第三章 风险分类控制措施
第二十八条 保险机构应在洗钱风险评估和客户风险等级划分的基础上,酌情采取相应的风险控制措施。对风险水平较高的产品和风险较高的客户应采取强化的风险控制措施,包括但不限于:
(一)强化的和持续性的客户尽职调查。
1.进一步调查客户及其实际控制人、实际受益人情况。
2.进一步了解客户投保目的、收入状况及保险费资金来源。
3.进一步分析客户的交易行为,审核投保人保险费支付能力是否与其经济状况相符合,要求客户提供财务证明文件。
4.适度提高客户及其实际控制人、实际受益人信息的收集或更新频率。
(二)异常资金流向监测。保险机构应当在业务、财务系统中设定和完善资金流向异常预警指标,对于大额交易、支票给付、资金流向异常交易,保险机构应当留存完整的资金收付信息,包括但不限于账户名称、账号、开户行、支票背书等,对于系统无法自动留存的收付信息,保险机构应当采取人工录入措施,以实现对资金收付异常行为的过程监控。
(三)关键流程节点管控。保险机构应当根据高风险客户特征,酌情在承保、保全、理赔等环节采取强化的控制措施。
1.承保环节可采取的控制措施有:经相关负责人授权后,再为客户办理业务;对客户的投保金额、投保方式等实施合理限制。
2.保全环节可采取的控制措施有:完善保全管控制度,严格退保和给付资金支付对象管控;定期开展退保风险数据排查工作。
3.理赔环节可采取的控制措施有:强化调查与洗钱相混同的保险欺诈行为,如利用犯罪资金购买标的投保后实施的欺诈行为。
(四)可疑交易报告。保险机构应当设立可疑交易指标体系,明确人工识别可疑交易对象和流程,并通过持续性、强化的客户尽职调查手段予以识别分析。对客户采取尽职调查后,保险机构有合理理由怀疑资金为犯罪收益或与恐怖融资有关的,应按照法律规定,向中国反洗钱监测分析中心报送可疑交易报告。
(五)恐怖活动资产冻结。保险机构一旦发现客户为被公安部列入恐怖活动组织、恐怖活动人员名单或者保险资金为恐怖活动资产的,应按照法律规定立即对相关资产采取冻结措施,并报告当地公安机关、国家安全机关、人民银行和保险监管部门。
第二十九条 保险机构可对低风险产品和低风险客户采取简化的客户尽职调查及其他风险控制措施,包括但不限于:
(一)在退保、理赔或给付环节再核实被保险人、受益人与投保人的关系。
(二)适当延长客户身份资料的更新周期。
(三)在合理的交易规模内,适当降低客户身份识别措施的频率或强度。
第四章 管理与保障措施
第三十条 保险机构应在总部或集团层面制定统一的洗钱风险管理政策、制度和流程,开发统一的反洗钱信息系统,并在各分支机构、各部门执行和使用。
洗钱风险管理政策应经保险机构董事会或其授权的组织审核通过,并由高级管理层中的指定专人负责实施。
保险机构可针对分支机构所在地区的反洗钱状况,设定局部地区的风险系数,或授权分支机构根据所在地区情况,合理调整风险子项或评级标准。
第三十一条 保险机构应指定适当的部门及人员整体负责风险评估工作流程的设置及监控工作,组织各相关部门充分参与风险评估工作。
第三十二条 保险机构应确保客户风险评估工作流程具有可稽核性或可追溯性。
第三十三条 保险机构应确保洗钱风险管理工作所需的必要技术条件,积极运用信息系统提升工作有效性。系统设计应着眼于运用客户风险等级管理工作成果,为各级分支机构查询使用信息提供方便。
第三十四条 保险机构委托其他机构开展客户风险等级划分等洗钱风险管理工作时,应与受托机构签订书面,并由高级管理层批准。委托机构对受托机构进行的洗钱风险管理工作承担最终法律责任。
第五章 附 则
第三十五条 本指引中“客户”是指投保人,鼓励保险机构将本指引的要求运用于被保险人、受益人、实际控制人、实际受益人等其他人员。
第三十六条 本指引由中国保监会负责解释和修订。
第三十七条 本指引未尽事项适用《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》的有关规定。
第三十八条 本指引自发布之日起施行。