2013年中国人民银行下发了《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》规定了客户风险评估指标体系，这是第一份对客户风险等级划分标准作出明确规定和指导性建议的规范性文件。保险公司是否能够按照指引要求制定符合本机构特点的客户风险等级划分标准、相关内控制度及操作流程，将直接影响今后保险公司反洗钱义务的履行。本文节选自杨帆律师关于《反洗钱客户风险等级划分工作的法律问题分析》实务培训中的部分内容。

一、反洗钱客户风险等级划分的概念及意义

反洗钱客户等级划分工作是指保险公司按照洗钱风险特征和等级划分标准，通过采取识别、分析、判断等手段，将客户划归不同的风险等级。从其在反洗钱工作体系中所处的位置来说，风险等级划分是反洗钱客户分类管理的核心和前提，并与客户身份识别工作相辅相成，而后者正是保险公司履行反洗钱义务的最基本、最核心的工作，也是中国人民银行对保险公司进行反洗钱工作检查的重点内容。

根据中国人民银行下发的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》（下称“《管理办法》”）第十八条规定，金融机构应按照客户的特点或者账户的属性，充分考虑地域、业务、行业、客户是否为外国政要等因素，划分风险等级，并在持续关注的基础上，适时调整风险等级。据此，客户风险等级划分工作是金融机构的一项法定反洗钱义务。但自2007《反洗钱法》颁布后至2013年之前，监管部门未提出具体的客户风险等级划分方法，也未作出指导性规定，各保险公司只能根据《管理办法》第十八条，自行制定本公司的划分标准。但基于保险业反洗钱工作开展时间较短，加之行业数据的缺失，缺乏统一、明确的监管标准也给保险公司反洗钱实际工作带来了一定的困难。同时，一些保险公司因为采取简单的定性划分方法，如大额保单客户被划分为高风险级别、其他客户被划分为低风险级别，且未根据联合国反洗钱制裁名单设立黑名单库，由此曾遭到中国人民银行的行政处罚。

2013年中国人民银行下发了《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》（以下称“《指引》”），规定了客户风险评估指标体系，是第一份对客户风险等级划分标准作出明确规定和指导性建议的规范性文件。该文件也是“风险为本”反洗钱理念的直接体现。根据人行要求，各金融机构原则上都要按照《指引》中的参考性规定和指标体系，在对本机构业务、客户进行合理风险评估的基础上，制定符合本机构特点的风险等级划分标准、操作流程。

2014年保险会下发了《保险机构洗钱和恐怖融资风险评估及客户分类管理指引（征求意见稿）》（以下称“《征求意见稿》”），是在人行《指引》的客户风险评估指标系统基础上出台的具有保险行业特点的客户风险管理指引，也具有重要意义。

可以说，《指引》和《征求意见稿》的下发对金融机构包括保险公司的客户风险等级划分工作都有十分巨大的影响，保险公司是否能够按照指引要求制定符合本机构特点的客户风险等级划分标准、相关内控制度及操作流程，将直接影响今后保险公司反洗钱义务的履行。

二、关于《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》解读

《管理指引》分六章，全面地规定了金融机构开展客户风险等级分类管理所需遵循的原则与具体要求。其中第二章规定了客户风险评估指标体系及客户风险等级划分标准，第三章规定了风险等级划分的时机及操作流程，这两章内容是《指引》的重点和核心，也是保险公司制定本机构风险等级划分标准及操作流程的依据。我们理解，《指引》一改金融机构原有通常使用的仅仅通过某一特定因素定性划分客户风险等级的方式，而改为采取建立客户风险等级指标体系，综合多因素权重定量评估客户风险等级的方式。简而言之，公司首先通过考察不同的风险因素对客户进行打分的方式，然后根据分数高低，将客户划分为不同的风险等级。这种定量评估划分客户风险等级的方式体现了“风险为本”的理念，也要求金融机构要对本行业、本机构的客户风险有很深入的研究和认识。下面我们就对《指引》者的第二、三章内容进行解读。

第二章规定了客户风险评估指标体系，这也是《指引》的核心内容，决定了保险公司制定自己的客户风险等级划分标准所要考量的指标。指标体系包括确定客户风险等级的四类基本要素，即客户特性、地域、业务（含金融产品、服务）、行业（职业）。每一基本要素项下均有若干风险子项，可以全面评估客户的风险情况。例如在客户特性这一基本要素项下，《指引》中规定包括但不限于1．客户信息的公开程度 2．金融机构与客户建立或维持业务关系的渠道。3．客户所持身份证件或身份证明文件的种类。4．反洗钱交易监测记录5．非自然人客户的股权或控制权结构。6．涉及客户的风险提示信息或权威媒体报道信息。7．自然人客户年龄。 8．非自然人客户的存续时间等八大风险子项。我们理解，上述客户风险子项是客户特性这一基本要素的逻辑内涵体现，是金融机构基础反洗钱工作，即客户身份识别工作中的“了解你的客户”这一原则在风险等级划分上的具体体现，同时也体现了客户风险等级划分与客户身份识别工作的相互联系，通过客户身份识别取得的数据进行风险等级划分，反之也通过风险等级划分更有效地识别客户。

除四大风险要素外，《指引》对每个基本风险要素均给出了相应的风险子项，同时要求金融机构应结合行业特点、业务类型、经营规模、客户范围等实际情况，分解出某一基本要素所蕴含的全部风险子项。金融机构可根据实际需要，合理增加新的风险评估指标。

《指引》还规定，在建立客户风险评估指标体系的基础上，保险公司应当对每一基本要素及其风险子项进行权重赋值，各项权重均大于 0，总和等于100。对于风险控制效果影响力越大的基本要素及其风险子项，赋值相应越高。对于经评估后决定不采纳的风险子项，金融机构无需赋值。因此，每个金融机构需结合自身情况，合理确定个性化的权重赋值。确定风险子项内容及其权重后，金融机构应当按照人行给出的计算公式计算客户风险等级总分，并建立客户风险等级总分（区间）与风险等级之间的映射规则，从而最终确定客户所述的客户风险等级。可以看出，在确定客户风险等级的计算方法上人行也要求金融机构根据“风险为本”，通过自主设定权重赋值的方式，实现对客户风险的自主评估。人行未对风险等级的分档做出强制规定，通常情况下公司采用三分法，即将客户分为高、中、第三档的情况为多。

第三章规定了客户风险等级划分的时机和操作流程。时机包括对新客户进行风险等级划分的期限和在保险存续期间对原有客户风险等级定期审核、重新审核的期限。上述三类不同的划分期限对应的是客户身份识别工作的三个不同的阶段和环节，即客户进行初次识别、持续识别、重新识别。此处需要注意的是新客户的风险等级划分期限是固定的，即建立业务关系后的10个工作日，而客户定期审核的期限随金融机构确定的客户风险等级而有相应变化。对于操作流程，《指引》规定的操作步骤包括收集信息、筛选分析信息、初评、复评等四大步骤。值得注意的是，《指引》特别提到金融机构可利用计算机系统等技术手段辅助完成部分初评工作。这也意味着在实际工作中人行将不再按照原先反洗钱检查中通常采取的要求全部人工进行客户风险等级初评、复评的标准要求金融机构，金融机构可以由反洗钱系统后台直接完成洗钱风险较小的客户的初评工作，从而能够极大幅度地减少金融机构反洗钱工作人员的人工工作量。