国元证券股份有限公司
防控洗钱和恐怖融资风险管理办法
(经2024年10月25日第十届董事会第十八次会议审议通过)
第一章总则
第一条为深入实践风险为本的工作方法,履行反洗钱和反恐怖融资义务,维护国家金融安全和公司正常经营秩序,根据《中华人民共和国反洗钱法》《金融机构反洗钱规定》《金融机构反洗钱和反恐怖融资监督管理办法》《证券期货业反洗钱工作实施办法》《法人金融机构洗钱和恐怖融资风险管理指引(试行)》
《证券公司反洗钱工作指引》等规定,以及中国人民银行、中国证券监督管理委员会、中国证券业协会等相关规范性文件要求,制定本办法。
第二条本办法所称防控洗钱和恐怖融资风险(以下统称“洗钱风险”),即洗钱风险管理,是落实反洗钱和反恐怖融资“风险为本”工作方法的深入实践,其覆盖公司经营管理中可能被利用为洗钱和恐怖融资途径的所有业务环节。
本办法所指子公司,指按照反洗钱相关规定应履行反洗钱义务的公司控股子公司。子公司名单由公司反洗钱管理部门根据监管要求确定并适时调整。
第三条公司洗钱风险管理应当遵循以下主要原则:
(一)全面性原则。洗钱风险管理应当贯穿决策、执行和监督的全过程;覆
盖各项业务活动和管理流程;覆盖所有境内外分支机构及相关附属机构,以及相关部门、岗位和人员。
(二)独立性原则。洗钱风险管理应当在组织架构、制度、流程、人员安排、报告路线等方面保持独立性,对业务经营和管理决策保持合理制衡。
(三)匹配性原则。洗钱风险管理资源投入应当与证券行业风险特征、管理
模式、业务规模、产品复杂程度等因素相适应,并根据情况变化及时调整。
(四)有效性原则。洗钱风险管理应当融入日常业务和经营管理,根据实际
风险情况采取有针对性的控制措施,将洗钱风险控制在自身风险管理能力范围内。
第四条公司应积极推动洗钱风险管理文化建设,促进全体员工树立洗钱风
险管理意识、坚持价值准则、恪守职业操守,营造主动管理、合规经营的良好文
1化氛围;让公司各部门、分支机构和子公司及全体员工勤勉尽责,牢固树立合规
意识和风险意识,践行风险为本方法,合理配置资源,对本单位洗钱风险进行持续识别、审慎评估、有效控制及全程管理,有效防范洗钱风险。
公司反洗钱文化理念为:诚实守信,守正创新;稳健审慎,以义取利;风险为本,共筑反洗钱防线。
第五条公司洗钱风险管理体系包括但不限于风险管理架构、风险管理策略、风险管理政策和程序、信息系统和数据治理、内部检查、审计、绩效考核和奖惩机制等要素。公司构建以“洗钱风险自评估”为基础、“内控管理”和“义务履行”一体两翼的反洗钱工作体系,作为公司洗钱风险管理的基本策略。
公司将洗钱风险管理纳入全面风险管理体系。
第二章洗钱风险自评估
第六条有效的洗钱风险自评估是公司采取不同措施以有效管控洗钱和恐
怖融资风险、做好反洗钱与反恐怖融资工作的基础。公司按照风险为本方法,对洗钱风险进行持续识别、评估,采取有效控制及全程管理,缓释风险,进而有效防范洗钱风险,并通过充分运用风险自评估结果,确保反洗钱资源配置、洗钱风险管理策略、政策和程序与评估所识别的风险相适应。
第七条公司应根据法规规定及监管要求适时开展全面及专项的洗钱风险
自评估工作,公司涉及部门与人员应根据反洗钱履职要求,规范开展职责范围内的评估工作。
第八条公司定期开展洗钱风险自评估,原则上为全面洗钱风险自评估,自
评估的周期为36个月,当固有风险或剩余风险处于较高及以上等级的,自评估周期缩短为24个月。在两次自评估期间,公司在拟作出以下调整或变化时,应对相应的地域、客户群体、产品业务、渠道或控制措施开展专项评估,并考虑其对公司整体风险的影响:
(一)在新的境外国家或地区开设分支机构或附属机构;
(二)面向新的客户群体提供产品业务或服务;
(三)开发新的产品业务类型,或在产品业务(包括已有产品业务和新产品新业务)中应用可能对洗钱风险产生重大影响的新技术;
2(四)采用新的渠道类型与客户建立业务关系或提供服务;
(五)对洗钱风险管理的流程、方式、内部控制制度或信息系统等作出重要变更。
第九条公司以自评估报告和结论为基础,制定或持续调整、完善经高级管
理层批准的洗钱风险管理政策、控制措施和程序,并关注控制措施的执行情况。
第三章内控管理
第十条公司反洗钱内控管理包括制度建设、组织架构、岗位履职、技术支
持、人员培训、检查审计、考核奖惩等方面。
第十一条公司洗钱风险管理制度分为公司和部门两个层级。
公司层级洗钱风险管理制度包含基本制度、专项制度和配套关联制度。本办法即公司洗钱风险管理的基本制度;专项制度是公司根据监管规定和要求制定的专项洗钱风险管理办法;关联配套制度是公司制定的与洗钱风险管理工作密切相关或部分涉及洗钱风险管理工作的制度流程。
部门层级洗钱风险管理制度包含业务条线工作指引和分支机构工作流程。业务条线工作指引是公司业务部门根据本部门业务特点制定的专项指引内容,用于指导本业务条线的洗钱风险管理工作;分支机构工作流程是公司各分公司、证券
营业部根据属地监管要求,在公司洗钱风险管理制度的基本内容框架内,结合本单位业务特点制定的洗钱风险管理工作流程,旨在规范分支机构履行洗钱风险管理义务。
第十二条董事会和监事会依据公司章程及相应议事规则履行对应的洗钱风险管理职责。
第十三条执行委员会是公司的反洗钱领导小组,对重大洗钱风险管理事项
进行决策,执行董事会决议,集中履行高级管理层反洗钱工作职责:
(一)推动洗钱风险管理文化建设;
(二)建立并及时调整洗钱风险管理组织架构,明确反洗钱管理部门、业务部门及其他部门在洗钱风险管理中的职责分工和协调机制;
(三)制定、调整洗钱风险管理策略及其执行机制;
(四)审核洗钱风险管理政策和程序;
3(五)定期向董事会报告反洗钱工作情况,及时向董事会和监事会报告重大
洗钱风险事件;
(六)组织落实反洗钱信息系统和数据治理;
(七)组织落实反洗钱绩效考核和奖惩机制;
(八)根据董事会授权对违反洗钱风险管理政策和程序的情况进行处理;
(九)其他相关职责。
第十四条公司在经营管理层设立风控与合规委员会,对洗钱风险管理事项
进行决策,协调洗钱风险管理工作的落实推进。风控与合规委员会成员包含公司反洗钱工作牵头高管。
第十五条公司指定合规总监为反洗钱工作牵头高管,牵头负责洗钱风险管理工作。合规总监有权独立开展工作,直接向董事会报告洗钱风险管理情况。公司确保其能够充分获取履职所需的权限和资源,避免可能影响其有效履职的利益冲突,并按规定向监管机构备案。
第十六条公司各分支机构应按照属地监管机构要求,建立反洗钱工作小组,履行相应反洗钱职责。
第十七条公司应根据监管规定和内控管理需要,建立“业务条线、合规和内部控制职能部门以及内部审计”的反洗钱三道防线,规范各岗位人员反洗钱履职,确保公司反洗钱义务切实履行。
第十八条合规法务部是公司反洗钱管理部门,牵头开展洗钱风险管理工作,推动落实各项反洗钱工作,主要履行以下职责:
(一)制定起草洗钱风险管理政策和程序;
(二)贯彻落实反洗钱法律法规和监管要求,建立健全反洗钱内部控制制度及内部检查机制;
(三)识别、评估、监测公司的洗钱风险,提出控制洗钱风险的措施和建议,及时向高级管理层报告;
(四)持续检查洗钱风险管理策略及洗钱风险管理政策和程序的执行情况,对违反风险管理政策和程序的情况及时预警、报告并提出处理建议;
(五)建立反洗钱工作协调机制,指导业务部门和分支机构开展洗钱风险管理工作;
4(六)组织或协调各相关部门开展客户洗钱风险分类管理;
(七)组织落实交易监测和名单监控的相关要求,按照规定报告大额交易和可疑交易;
(八)牵头配合反洗钱监管,协调配合反洗钱行政调查;
(九)组织或协调相关部门开展反洗钱宣传和培训、建立健全反洗钱绩效考
核和奖惩机制、建设完善反洗钱信息系统。
第十九条业务部门承担公司洗钱风险管理的直接责任,主要履行以下职责:
(一)识别、评估、监测本业务条线的洗钱风险,及时向反洗钱管理部门报告;
(二)建立相应的工作机制,将洗钱风险管理要求嵌入产品研发、流程设计、业务管理和具体操作;
(三)开展客户尽职调查和客户洗钱风险分类管理,采取针对性的风险应对措施;
(四)以业务(含产品、服务)的洗钱风险评估为基础,完善各项业务操作流程;
(五)完整并妥善保存客户身份资料及交易记录;
(六)开展或配合开展交易监测和名单监控,确保名单监控有效性,按照规定对相关资产和账户采取管控措施;
(七)配合反洗钱监管和反洗钱行政调查工作;
(八)开展本业务条线反洗钱工作检查;
(九)开展本业务条线反洗钱宣传和培训;
(十)配合反洗钱管理部门开展其他反洗钱工作。
公司履行洗钱风险管理职责的业务部门包括但不限于:财富管理业务总部、
运营总部、证券金融部、金融产品部、固定收益部、创新金融部、资金计划部、
客户资产管理总部、投资银行总部、债券业务总部、研究所。业务部门名单根据监管要求适时调整。各业务部门应明确自身在本业务条线洗钱风险管理工作中的职责分工。
第二十条风险监管部负责将洗钱风险纳入公司全面风险管理,配合研判公
司各项业务(含产品、服务)的洗钱风险等工作;内核办公室协助履行投行类业
5务相关洗钱风险研判等工作。
第二十一条稽核审计部负责对反洗钱法律法规和监管要求的执行情况、内
部控制制度的有效性和执行情况、洗钱风险管理情况进行独立、客观的审计评价。
第二十二条人力资源部负责洗钱风险管理的人力资源保障,结合洗钱风险
管理需求,合理配置洗钱风险管理职位、职级和职数,选用符合标准的人员,建立健全公司反洗钱绩效考核和奖惩机制;培训学院为反洗钱宣导和培训提供支持。
第二十三条信息技术部门负责反洗钱信息系统及相关系统的开发、日常维
护及升级等工作,为洗钱风险管理提供必要的硬件设备和技术支持,根据相关数据安全和保密管理等监管要求,对客户、账户、交易信息及其他相关电子化信息进行保管和处理。
本办法所指“信息技术部门”是为公司信息系统运营维护、升级开发、数据
治理与分析等工作提供技术支持的部门,包括但不限于公司信息技术部、金融科技部。
第二十四条董事会办公室负责推动公司董事会和监事会按规定履行洗钱
风险管理职责,协助做好与洗钱风险管理有关的公司舆情监测与应急计划等风险防范的相关工作。
第二十五条营业部负责按规定落实本部门的洗钱风险管理职责,履行公司
一线反洗钱义务。分公司除负责按规定落实本单位的洗钱风险管理职责外,还应履行对辖内营业部反洗钱工作的督导义务。
第二十六条子公司负责独立履行本单位的洗钱风险管理职责,按规定向公司落实反洗钱报告义务。
第二十七条公司各部门及分支机构均应按规定设立洗钱风险管理岗位,配
备充足人员,满足公司从制度建设、业务审核、风险评估、系统建设、监测分析、合规制裁、案件管理等角度细分的洗钱风险管理需要。其中:反洗钱管理部门应配备专职洗钱风险管理岗位人员,业务部门及分支机构参考公司合规风控管理人员配备原则,结合业务实际和洗钱风险状况指定人员履行专职或兼职洗钱风险管理岗位职责。兼职人员占公司全部洗钱风险管理人员的比例不高于80%。
第二十八条从事监测分析工作的人员配备与公司的可疑交易甄别分析工作量相匹配。公司洗钱风险管理岗位专职人员应当具有三年以上金融行业从业经
6历,专职人员和兼职人员均应当具备必要的履职能力和职业操守,其职级不低于
公司其他风险管理岗位职级。
第二十九条公司应根据洗钱风险管理工作需要,在其他部门及子公司设立
反洗钱联络人,协调和推动本部门落实公司洗钱风险管理的有关职责,并可灵活调整为专、兼职洗钱风险管理岗。相关部门名单由公司反洗钱管理部门根据监管要求确定并适时调整。
第三十条人力资源部或董事会办公室在聘用员工、任命或授权高级管理人
员、选用洗钱风险管理人员、引入战略投资者或在主要股东和控股股东入股之前,应当对其是否涉及刑事犯罪、是否存在其他犯罪记录及过往履职经历等情况进行
充分的背景调查,评估可能存在的洗钱风险。
第三十一条信息技术部门应当牵头建立完善以客户为单位,覆盖所有业务(含产品、服务)和客户的公司反洗钱信息系统,并根据洗钱风险管理需要持续优化升级。系统应及时、准确、完整采集和记录洗钱风险管理所需信息,对洗钱风险进行识别、评估、监测和报告。
第三十二条公司反洗钱相关信息系统包括但不限于以下主要功能,以支持洗钱风险管理的需要。
(一)支持洗钱风险评估,包括业务洗钱风险评估和客户洗钱风险分类管理;
(二)支持客户尽职调查、客户身份资料及交易记录等反洗钱信息的登记、保存、查询和使用;
(三)支持反洗钱交易监测和分析;
(四)支持大额交易和可疑交易报告;
(五)支持名单实时监控和回溯性调查;
(六)支持反洗钱监管和反洗钱调查。
第三十三条信息技术部门应当牵头加强公司数据治理,建立健全数据质量
控制机制,积累真实、准确、连续、完整的内外部数据,用于洗钱风险识别、评估、监测和报告,保障反洗钱数据的存储和使用符合数据安全标准、满足保密管理要求。
公司相关部门不得违反规定设置信息壁垒,阻止或影响有权机关或与公司有合法业务往来的金融机构正常获取开展反洗钱工作所必需的信息和数据。
7第三十四条公司应组织开展各类反洗钱宣传和培训,促进洗钱风险管理文
化得到充分传导,全面提高全体员工的反洗钱知识、技能和意识,确保全体员工能够适应所在岗位的反洗钱履职需要。公司制定专项制度规范反洗钱宣传和培训工作。
公司各部门及分支机构应按要求组织员工参加公司反洗钱培训,组织部门内部反洗钱培训,并配合公司安排进行反洗钱宣传。
第三十五条公司应把业务部门、境内外分支机构反洗钱工作开展情况纳入
审计和合规检查范围,被检查机构应对检查发现的问题积极整改。检查结果与业务部门、境内外分支机构绩效考核等管理内容挂钩。各业务部门应对本业务条线进行反洗钱工作检查。
第三十六条公司应当通过内部审计开展洗钱风险管理的审计评价,检查和
评价洗钱风险管理的合规性和有效性,确保各项业务自身管理与其洗钱风险管理工作相匹配,反洗钱内部控制有效。审计范围、方法和频率应当与洗钱风险状况相适应,可以与公司合规管理有效性评估工作同步开展。
公司反洗钱内部审计活动独立于业务经营、风险管理和合规管理,并遵循独立性、客观性原则。反洗钱内部审计报告应当提交董事会或其授权的专门委员会。
董事会或其授权的专门委员会应当针对内部审计发现的问题,督促公司反洗钱领导小组及时采取整改措施。稽核审计部应当跟踪检查整改措施的实施情况,涉及重大问题的整改情况,及时向董事会或其授权的专门委员会提交有关报告。
第三十七条公司可以委托外部审计机构对洗钱风险管理工作开展评价,但
应对外部审计机构进行资质筛查,确保其审计范围和方法科学合理,审计人员具有必要的专业知识和经验,审计工作满足反洗钱保密要求。
第三十八条公司将反洗钱工作评价纳入风控合规绩效考核体系,统一开展年度考核。公司董事、监事、高级管理人员、洗钱风险管理人员的洗钱风险管理履职情况和业务部门、境内外分支机构和相关子公司的洗钱风险管理履职情况均纳入绩效考核范围。
第三十九条公司建立反洗钱奖惩机制,对于发现重大可疑交易线索或防范、遏制相关犯罪行为、为公司反洗钱工作取得突出贡献的单位或员工给予适当奖励
或表扬;对于未有效履行反洗钱职责、受到反洗钱监管处罚、涉及洗钱犯罪的单
8位或员工追究相关责任。
第四章义务履行
第四十条公司反洗钱义务履行包括客户尽职调查、客户身份资料及交易记
录保存、大额可疑报告、信息保密、报告报备、公众宣传、各部门协助配合等方面。
第四十一条公司应当勤勉尽责,遵循“了解你的客户”的原则,识别并核
实客户及其受益所有人身份,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取相应的尽职调查措施。
第四十二条公司应参考行业监管要求,在规定期限内妥善保存客户身份资
料和能够反映每笔交易的数据信息、业务凭证、账簿等相关资料。
第四十三条公司应按规定开展客户大额和可疑交易分析甄别,最终确认洗
钱嫌疑的,由公司反洗钱管理部门统一向中国反洗钱监测分析中心报告。
第四十四条公司在业务开展中发现恐怖活动组织及恐怖活动人员拥有或
者控制的资产时,应按照规定立即采取冻结措施。
第四十五条公司应参照监管规定与行业标准设置公司统一客户洗钱风险
评估指标,相关业务部门和分支机构应充分利用信息技术系统辅助开展风险等级的初评和人工复评,并针对不同洗钱风险等级的客户制定和执行分类管理的风险管控措施。
第四十六条公司各部门、分支机构及其工作人员对依法履行反洗钱义务获
得的客户身份资料和交易信息应当予以保密,不得违规向任何单位和个人提供;
应当对报告可疑交易、配合中国人民银行调查可疑交易活动等有关反洗钱工作信
息予以保密,不得违反规定向客户和其他人员提供。
第四十七条公司应根据信息敏感度及其与洗钱风险管理的相关性确定信
息共享的范围和程度,制定专项信息保密与共享制度,明确信息安全和保密要求,建立健全信息共享保障措施,确保信息的及时、准确、完整传递。
第四十八条公司按照公司反洗钱组织架构和岗位职责为各业务条线、各分
支机构和各岗位配置信息系统使用权限,公司相关信息系统包括但不限于业务系统、数据中台、监控预警平台、办公自动化系统。相关系统权限配置遵循“最小
9知情权”原则,确保各级人员有效获取洗钱风险管理所需信息,满足实际工作需要。
第四十九条公司各部门及分支机构均应依法协助、配合司法机关和行政执
法机关打击洗钱活动,依照法律、行政法规等有关规定协助监管机关和司法机关查询、冻结、扣划涉嫌洗钱犯罪的账户和资产。
第五十条公司各分支机构出现以下情形时,应及时向所属分公司洗钱风险
管理岗位人员报告,同时以书面或其他指定形式抄送公司反洗钱管理部门:
(一)反洗钱工作小组人员调整变动;
(二)分支机构接到属地监管反洗钱走访、调研、检查等事项;
(三)分支机构收到属地监管反洗钱分类评级结果或本条第(二)项活动反馈;
(四)发现重大洗钱可疑线索或与洗钱有关的内部违规行为举报;
(五)分支机构或从业人员接受属地监管反洗钱表彰或处罚;
(六)其他反洗钱管理部门认为应当报送的情形。
第五十一条子公司应遵照相关监管要求履行反洗钱义务,并在发生下列情况时,及时(发生后10个工作日内)向公司报告:
(一)主要反洗钱内控制度修订;
(二)反洗钱工作机构和岗位人员调整、联系方式变更;
(三)涉及本机构反洗钱工作的重大风险事项;
(四)报送洗钱风险自评估报告或其他相关风险分析材料;
(五)其他由中国人民银行明确要求立即报告的涉及反洗钱事项。
国元国际控股有限公司应遵照香港地区有关法律法规履行反洗钱义务,并根据境内监管机构要求向母公司报备其反洗钱工作年度报告或有关情况摘要。
第五十二条反洗钱管理部门按照规定汇总并向监管机构报送公司法人机构的洗钱风险管理情况。各分支机构按规定在向属地监管机构报送相关情况的同时,应抄送公司反洗钱管理部门。
第五十三条公司应建立与反洗钱工作有关的舆情监测与应急计划,确保能
够及时应对和处理重大洗钱风险事件、境内外有关反洗钱监管措施、重大洗钱负
面新闻报道等紧急、危机情况,做好舆情监测,避免引发声誉风险。应急计划包
10含可能出现的重大风险情况及应当采取的措施,涵盖对境内外分支机构和相关附
属机构的应急安排。
第五章附则
第五十四条本办法中所涉及公司部门名称或设置发生变化的,由承接其职责的部门承担相应工作职责。
第五十五条本办法自公司董事会决议通过之日起执行,解释权归属公司董事会。
第五十六条自本办法生效之日起,《国元证券股份有限公司防控洗钱和恐怖融资风险管理办法》(国证董办字〔2020〕179号)同时废止。
11