前期对自评估制度和评估的规则进行了重新梳理和调整，因为没有外部的参考（抄不到别家的），也不想放弃指引的内容另起炉灶（《指引》提出，认定《指引》部分内容不适用本机构，需对评估方法、指标、流程或组织形式等作出重大调整的，应于2021年6月30日前向人民银行报告），加之学习完《指引》后确实感觉有很多亮点，而且领导也给予了充分的支持，所以索性“闭门造车”一把，重新对自评估指标体系和评估方法、规则进行了设计，从结果上来看，也算是基本达到了自己预期，特整理如下，希望对大家有所帮助。

 

人行很早即对自评估工作进行了要求（参见《关注产品业务洗钱风险评估工作（一）》），也发布了系列文件进行明确，其中最有分量的当属“三反意见”。在此背景下，人行发布《指引》并给出了明确的时限要求（法人金融机构应于2021年12月31日前制定或更新本机构洗钱和恐怖融资风险自评估制度，以符合《指引》的总体要求，并于2022年12月31日前完成基于新制度的首次自评估”）。可以说，洗钱风险自评估工作是金融机构实践风险为本原则（有限资源有效利用），主动发现风险并防控风险的有力武器，通过自评估达成“为之于未有，治之于未乱”的目的。

 

小白在自评估的整个设计过程中，主要面临三个问题：指标的梳理；指标数值向分值的转化；计算规则的确定。解决了这三个问题，自评估的设计工作基本也就不存在大的问题。在说具体问题前，有必要先把整体的思路进行一下明确。

 

首先，根据《指引》内容仍然采用二维矩阵法（与《法人金融机构洗钱和恐怖融资风险评估管理办法（试行）》相同），将剩余风险划分为五级并通过计算固有风险和控制措施有效性两个大的维度的得分情况来确定剩余风险的等级（如下图所示）。

 

其次，要确定剩余风险的等级，就需要将后续设计的固有风险和控制措施有效性两个维度的所有指标全部转化为分值来进行统计。同时，考虑指标数量、维度总得分等情况划定不同等级的取值区间。比如，按照指标数量的20%划分出5个档次，或者按照不同维度总分的20%划分出5个档次。

 

同时，设计固有风险指标以客观数据为依据，设计控制措施有效性指标以主观评判为依据。固有风险和控制措施有效性的评判均按照加分方式计算，即分值越高，风险越大，分值越低，风险越小。

 

再次，在对不同维度的地域环境、客户群体、产品业务、渠道风险细化指标时，每个指标没有权重之说，因为在小白看来，任何指标对机构洗钱风险评估的判定均产生同等的影响，所以，在对不同风险细化后的指标设置总分值时，尽可能保持相同（均为5分）。比如，被调查客户情况与客户基本信息的完整程度这两个细化指标满分均为5分。

 

最后，在整体结构上尽可能与监管保持一致，但在细节上不会完全照搬照抄。大方向趋同，小地方存异，即大同小异。

 

一、指标的梳理

 

《指引》出台前，各家机构基本都有自己的自评估指标体系和计算方法和规则，但对比《指引》的内容可能还是有些许区别。以小白为例，之前制定指标体系时主要参考了《法人金融机构反洗钱分类评级管理办法（试行）》和《关于印发法人金融机构洗钱和恐怖融资风险评估指标（2019版）的通知》的有关指标要素，对洗钱风险指标进行了细化，按照固有风险和控制措施有效性两个维度进行了设计。具体结构如下图所示：

 

在对固有风险指标梳理时，主要将其设计成行内（或系统）能够提取的相关数值（如证件过期情况、监控名单客户数量、高风险客户情况等），而在控制措施有效性指标设计时则主要通过设计相关问题（如为有效开展反洗钱工作建设的相关系统有哪些、现有系统能否满足监管要求和我行反洗钱工作实际需要、系统现存缺陷是否会对监管要求或反洗钱工作的落实产生实质性影响等等）并通过打分的方式来实现。

 

根据《指引》的表述，固有指标可拆分出地域、客户、产品业务、渠道四个子维度，而控制措施有效性指标则包括反洗钱内部控制基础与环境评价和洗钱风险管理机制有效性评价两个整体维度和地域、客户、产品业务、渠道四个对应子维度。整个指标架构如下图所示：

 

《指引》的指标结构与小白之前设计的思路最明显的差别就是控制措施有效性指标的细分。因为之前并没有整体控制措施有效性指标的概念，所以在设计时可以说是将这两个整体维度指标拆分到四个子维度（地域风险、客户风险、产品业务风险、渠道风险）指标之中。而根据《指引》的表述，反洗钱内部控制基础与环境评价指标和洗钱风险管理机制有效性评价指标虽然与不同维度（地域风险、客户风险、产品业务风险、渠道风险）指标一样同属控制措施有效性指标的内容，但在结构上，两个整体维度指标是作为控制措施有效性指标的整体评价部分，而不同维度指标则是属于控制措施有效性指标的局部评价部分，三者并非属于并列的关系，而是整体与部分的关系（这一点一定要明确）。

 

而且，《指引》提到的固有风险的子维度和控制措施有效性的子维度暗含对应的关系（参看一下附件中人行提供的模板），即文件提到的“在评估过程中，可采取映射方式反映同一控制措施与不同固有风险之间的对应关系，实现对不同维度控制措施有效性和剩余风险的差别化评估”。简言之，设计出的具体维度的固有风险指标应该能对应上该维度的控制措施有效性指标，可以是在指标上的对应（如一个地域固有风险指标对应该一个地域控制措施有效性指标），也可以是在维度上的对应（如该维度的部分固有风险指标对应该维度的部分控制措施有效性指标）。

 

大家可以再读一下《指引》第13条以加深一下印象：“在评估控制措施有效性时，既要从整体上评估机构反洗钱内部控制的基础与环境，洗钱风险管理机制有效性，也要按照固有风险评估环节的分类方法，分别对与各类地域、客户群体、产品业务、渠道相应的特殊控制措施进行评价”。

 

这里需要说明一点，也是小白所在地监管重点强调的，供大家参考。《指引》为金融机构开展自评估工作提供了有效的参考指导，但《指引》针对的是各类金融机构，其指标具有一定的普适性，而要保证普适性，其针对性就难免存在不足。因此，金融机构一定要结合自身的实际情况加以落实，而不是机械地照搬照抄。重在理解文件精神并活学活用，不能说文件里有这个指标，那我也一定要设计出这个指标，比如客户群体固有风险指标可考虑“客户数量、资产规模、交易金额及相应占比”，那么我设计时就一定要设计出“客户数量”“账户余额”“交易金额”“不同类型客户的数量占比”“不同类型客户的账户余额占比”“不同类型客户的交易金额占比”，这种设计思路不能说错，但估计科技的同事比较崩溃，而且取出来的数据是否准确、是否能够通过这些指标得到你想要的结果都是一个问号。所以，本着以发现风险为目的，基于可落地为条件来进行设计，不适合自己的指标、行内获取不到的指标、或获取的时间成本过大的指标，该舍就舍。

 

基于上述内容和监管指导，小白在设计时尽可能做到指标的对应，完成了固有指标和风险控制措施有效性指标（包括整体指标和不同维度指标）的设计工作（见下图所示）：

 

 

额外说一下，之前小白在写《关注产品业务洗钱风险评估工作（二）》时主张同样采用二维矩阵法，当时提到考虑的是能够与机构洗钱风险自评估产生关联，节省机构洗钱风险自评估的时间耗费。而在机构评估指标设计时，这种关联关系实际上就是通过将产品业务评估指标作为产品业务维度中的一个二级指标被设置其中来实现（见下图所示）：

 

具体做法是，将产品业务评估表中的所有固有风险指标和控制措施有效性指标分别作为一个二级指标放入评估表中的产品业务维度下（该维度下还有其他指标，产品评估表中的指标只是其中的一部分），该指标的满分同样为5分，因为产品业务评估表中已经对各个指标匹配了分值，这就需要将产品业务评估表中的分值转化为5分制。比如，某项业务在产品业务评估表中的固有风险指标总得分为50分，满分是100分，控制措施有效性指标总得分为40分，满分是100分，那么转化为5分制的话固有风险指标的得分为50÷100×5=2.5分，而控制措施有效性指标的得分为40÷100×5=2分。

 

同时，由于行里肯定涉及多个产品业务，每个产品业务的细项得分肯定也不相同，这就涉及到如何从众多产品业务评估表中取数的问题，一般的做法是取一下每个指标的平均值填入机构洗钱风险评估表中，这样算是中规中矩。如果你希望充分暴露风险（往高了评），那么也可以取每个指标的最高分值，比如，10项业务的第一个指标分值大部分都是3分，但有一个是5分，那就把5分算作机构洗钱风险评估表中该指标的分值。具体哪种方式大家自行选择即可。

 

二、数值向分值的转化

 

就像我们做客户洗钱风险等级划分、产品业务洗钱风险评估一样，机构洗钱风险评估也会涉及数值向分值转化的问题，但两者也存在一定的区别。大家看一下客户洗钱风险等级划分和产品业务洗钱风险评估的指标就会发现，基本是通过匹配分值的方式来实现。比如，客户洗钱风险等级划分模型中的客户信息完整性指标，不存在信息缺失的，我们会匹配成1分，存在1项信息缺失的，我们匹配成2分，以此类推，直至5分（最高分）。

 

但纵观《指引》提到的固有风险指标，很多指标并不能马上就给出一个对应的分值，如客户数量、账户数量，这些数量该如何匹配出分值来计量风险？有些同行倾向于监管能给出一个平均值，好在平均值的基础上进行判断，但在小白想来，一是不太现实，二是即使监管真给出来很多指标的平均数值，恐怕能起到的作用也是有限（体量小的机构可能与平均数值差距巨大，但面临的风险却并不少）。所以，在缺少所谓的行业平均值做参考的情况下，不妨尝试通过以下方式来实现：

 

（一）百分比判定

 

例如，在对“客户数量”这一指标匹配分值时，可以按渠道划分为“通过柜面渠道建立业务关系的客户数量”，“通过自有互联网渠道建立业务关系的客户数量”、“通过三方存款平台开户的客户数量”、“通过三方贷款平台建立业务关系的客户数量”等等，然后再按照占比计算，比如小白认为柜面渠道尽职调查工作较为完善，那么通过柜面渠道建立业务关系的客户数量如果占比最高，则匹配1分，自有互联网渠道次之，则客户数量如果占比最高，则匹配3分，三方平台客户数量如果占比最高，则匹配5分。

 

此外，还有一种是直接通过百分比算作分值，如“客户属于高风险行业或职业的数量”指标，同样先拆分出不同渠道为高风险职业的个人客户数量和不同渠道为高风险行业的单位客户数量，然后将每一个数值比上该渠道的客户总数，得出的百分比数即为分值。如柜面渠道为高风险职业的存量个人客户数量比上柜面渠道的存量客户数量，结果如果为3%，则该指标得分就是0.03，把所有渠道的占比得分加总即得到客户属于高风险行业或职业的数量指标的总得分。

 

（二）趋势比较判定

 

小白对自行设计的“各渠道客户变化情况”进行赋值时，分别设置了评估期内通过不同渠道建立业务关系的新增客户数量，当某一渠道同比客户数量增长大于20%时，均得1分，由于“各渠道客户变化情况”的满分为5分，所以，如果所有渠道增长均大于20%，则“各渠道客户变化情况”的总体得分恰好为5分。

 

（三）数量即分值

 

小白对自行设计的“高风险国家或地区情况”进行赋值时，将FATF名单拆分为监管发布的FATF等国际洗钱高风险国家（地区）数量、本年度新增的FATF等国际洗钱高风险国家（地区）数量、本年度减少的FATF等国际洗钱高风险国家（地区）数量，通过查看行内系统的名单与监管名单是否一致，一致的不加分，不一致的存在一处即加1分。

 

（四）一票否决判定

 

在为“当地洗钱、恐怖融资与上游犯罪”指标赋值时，评分理由为本部门是否对其进行了关注分析（需提供相关资料），如果判定没有进行过分析，那么直接赋值5分。如果进行过分析，再根据资料的质量赋值1-4分。

 

（五）匹配系数判定

 

在设置“客户涉有权机关刑事查冻扣、涉人民银行调查的数量与比例”指标时，先获取评估期内公安、人行、其他机构调查的个人客户和对公客户数量，然后将每个指标乘以一个固定系数（如0.01）计算最后得分。

 

在“客户涉可疑交易报告的数量”指标中，按照报送方向拆分出向不同接收方报送可疑交易报告的个人客户和对公客户数量，然后再分别乘以不同系数计算，比如，报送中心的，系数为0.01，报送中心和人行的，系数为0.02，报送中心和公安的，系数为0.03，报送中心、人行和公安的，系数为0.04。

 

（六）赋值判定

 

这种方式基本与客户洗钱风险等级划分、产品业务洗钱风险评估的判定方式无异，即描述一个问题，并对问题的结果逐一赋值。如“本行制定的相关协议、合同（模板）中是否涵盖了反洗钱条款”，评分标准是存在一个缺失即得1分，最高加5分。

 

除第六种是针对控制措施有效性指标的设计外，其他五种判定规则均应用在固有风险指标的设计中。

 

看完上边罗列的这些，相信有不少人会质疑，你这样在一个表中使用各式各样、五花八门的计算方法，最后能得出客观的结果吗？为什么你要把系数定为0.01，而不是0.1，有什么依据吗？为什么某个指标就要用百分比来计算，而有些却又用数量计算？小白给出的理由是：

 

甭管黑猫白猫，抓到老鼠就是好猫！大家其实不用纠结具体哪种计算规则，因为这本身就没一个标准，只能说我们在反复试错中不断接近一个合理的标准（关键是能发现问题所在）。每个人的理解都不相同，所以转化的方式千差万别也属正常，真要是千篇一律反而不是一件好事（想想可疑交易模型）。谁能说自己行里的客户风险等级划分模型匹配的分值就是正确的呢？你要说我们这是专家评定的结果，我就只能呵呵了。所以，做自评估的设计，你也许不能保证这个评出的结果一定就是正确的，但是，主动权在自己手里，这个结果一定是自己最想要的，你细品。

 

三、计算规则的确定

 

在计算规则上，各维度固有风险指标的得分通过每项指标得分加总即可，但小白遇到的最大的难题就是控制措施有效性指标的计算规则问题，如何将反洗钱内部控制基础与环境评价指标和洗钱风险管理机制有效性评价指标（整体评价部分）与不同维度（地域、客户群体、产品业务、渠道）的控制措施有效性指标（局部评价部分）的关系体现在计算规则中。

 

这段有点废话，但还是要再次强调一下，前边已经说到，控制措施有效性指标分三部分，反洗钱内部控制基础与环境评价指标、洗钱风险管理机制有效性评价指标、不同维度的控制措施有效性指标，虽然三部分最后都拆分出了具体的指标，但这三部分并不是一个并列关系，你不能单纯将三部分的指标加总算作机构控制措施有效性的总得分，这在逻辑上不应成立。于是，小白想到了跳水比赛。

 

大家看跳水比赛时都知道，比赛最终的分数是根据“难度系数×裁判评分”得出，如果动作简单则难度系数相对较低，反之则较高。而假如难度系数较低，那么最后裁判评分即使最高，那么最终的得分也不一定就高。相反，假如难度系数很高，那如果最后裁判的评分即使较低，那么最终的得分也不一定就低，而如果最后裁判的评分很高，那最终的得分一定很高（参见下图），这里的难度系数就相当于是整个评判结果的一个基础分值。

 

再结合文件对控制措施有效性指标的描述，是否同样可以将两个整体指标像难度系数一样考虑？将其设置为整个控制措施有效性的基础指标，如果不同维度的固有风险和控制措施有效性指标均以分值表示的话，那两个整体指标则可以用百分比的方式表示，即得到以下公式：

 

1.不同维度控制措施有效性最终得分= (1+a%)×各维度控制措施有效性得分

 

2.整体控制措施有效性得分=不同维度控制措施有效性最终得分的合计=(1+a%)×各维度控制措施有效性得分合计数

 

3.如果你想的话，甚至可以细化到，每一条控制措施有效性指标的最终得分=(1+a%)×该条控制措施有效性指标得分

 

其中，a%是“反洗钱内部控制基础与环境评价”和“洗钱风险管理机制有效性评价”两个控制措施有效性得分占两个控制措施有效性指标满分的比例（两者在小白看来同样重要）。

 

例如，“反洗钱内部控制基础与环境评价”和“洗钱风险管理机制有效性评价”两个控制措施有效性满分合计均为100分，“反洗钱内部控制基础与环境评价”得分为10分，“洗钱风险管理机制有效性评价”得分为5分，则a=15%，如果客户维度的控制措施有效性得分为30，则客户维度的控制措施有效性最终得分为（1+15%）×30=34.4。如果各维度控制措施有效性得分为60分，则机构整体的控制措施有效性最终得分为（（1+15%）×60=68.8。

 

通过这种赋予百分比的形式，既能与《指引》的内容保持一致，同时，也能将整体与部分区分开来，如果基础分值高（基础太差），即使各维度控制措施有效性得分很低，最后的得分结果也是趋向于高得分，充分说明控制措施有效性的低下。而如果基础得分很低（最低为0），那不同维度控制措施有效性最终得分也是等于各维度控制措施有效性得分。

 

简单而言，将反洗钱内部控制基础与环境评价指标、洗钱风险管理机制有效性评价指标看做控制措施有效性评价的基础，相当于地基，地基打得好，控制措施有效性得分能正常得到反映，如果地基打得不好，那控制措施有效性得分将放大反映。所以基础指标的重要性也相应凸显了出来。

 

目前有很多厂商也已经开始将机构洗钱风险自评估纳入到系统中来实现，但据了解跟小白所说的上述方式还有差别，小白在这里主要解释一下采取上述方式的出发点：

 

《指引》第17条“法人金融机构应在综合考虑反洗钱内部控制基础与环境、洗钱风险管理机制有效性和特殊控制措施基础上，得出对不同地域、客户群体、产品业务、渠道的风险控制措施有效性评级，再汇总得出地域、客户、产品业务、渠道四个维度的风险控制措施有效性评价和评级，最终得出对机构整体控制措施有效性的判断”。

 

《指引》第18条“法人金融机构应在整体固有风险评级基础上，考虑整体控制措施有效性，得出经反洗钱控制后的机构整体剩余风险评级。同时，对于地域、客户群体、产品业务、渠道维度及细分类别，也应在考虑固有风险与包括特殊控制措施在内的整体控制措施有效性的基础上，得出相应类别的剩余风险评级”。

 

上述两条规定建议大家一定要多研读几遍。基本的意思就是，大家做自评估不是说得出一个整体评估结果就完事了，这叫完任务，跟文件提出的主动发现并控制风险的初衷相去甚远。而要发现风险，就一定不是一个大杂烩、一锅粥，什么整体上风险可控、防控措施基本有效之类的表述尽可能少出现，而是应该能够一条一条罗列清楚，所以，通过评估，整体的风险结果是通过由底层至顶层的层层计算汇总得出，最终能够实现的效果应该是：整体看可知道本行的机构洗钱风险结果（即剩余风险处于何种级别），而从部分看也能清楚知道客户维度、地域维度、产品业务维度、渠道维度的风险结果情况。而在这一评价过程中，既然将“反洗钱内部控制基础与环境评价”和“洗钱风险管理机制有效性评价”指标作为整体计算，根据上面提到的公式，这两个整体评价部分起到的作用就不只是对机构洗钱风险评估结果产生影响（公式2），同时也要对各个维度的控制措施有效性得分产生影响（公式1），甚至对各个维度的每一条控制措施有效性指标得分产生影响（公式3），这，才是基础指标的作用。