洗錢防制法到底在幹嗎? -- part 11

證券商評估洗錢及資恐風險及訂定相關防制計畫指引

金融監督管理委員會 108 年 7 月 8 日

金管證券字第 1080321365 號函准予照辦

一、本指引依「證券期貨業及其他經金融監督管理委員會指定之金融機構防制 洗錢及打擊資恐內部控制與稽核制度實施辦法」訂定，以防制洗錢及 打擊資恐為目的，內容涵括我國證券商如何辨識、評估各項業務之洗錢 及資恐風險，以及制訂防制洗錢及打擊資恐計畫等面向，作為執行之依據。

二、證券商之內部控制制度，應經董事會通過；修正時，亦同。其內容並應 包括對洗錢及資恐風險進行辨識、評估、管理之相關書面政策及程序， 以及依據風險評估結果而訂定之防制洗錢及打擊資恐計畫，並定期檢討。

風險基礎方法 (risk-based approach) 旨在協助發展與洗錢及資恐風險相當之防制與抵減措施，以利證券商決定其防制洗錢及打擊資恐資源之配置、建置其內部控制制度、以及訂定和執行防制洗錢及打擊資恐計畫應有 之政策、程序及控管措施。

證券業務具多樣性，不同業務伴隨之洗錢及資恐風險亦有所不同。證券商於評估與抵減其洗錢及資恐曝險時，應將業務差異性納入考量。

本指引所舉例之各項說明並非強制性規範，證券商之風險評估機制應與其業務性質及規模相當。對較小型或業務較單純之證券商，簡單之風險評估即足夠；惟對於產品與服務較複雜之證券商、有多家分公司(或子公 司)提供廣泛多樣之產品、或其客戶群較多元者，則需進行較高度的風險 評估程序。

三、證券商應採取合宜措施以識別、評估其洗錢及資恐風險，並依據所辨識 之風險訂定具體的風險評估項目，以進一步管控、降低或預防該風險。具體的風險評估項目應至少包括地域、客戶、產品及服務、交易或支付管道等面向，並應進一步分析各風險項目，以訂定細部的風險因素。

(一)地域風險：

1.  證券商應識別具較高洗錢及資恐風險的區域。

2.  於訂定高洗錢及資恐風險之區域名單時，證券商得依據其各分公司（ 或子公司）的實務經驗，並考量個別需求，以選擇適用之參考依據。

(二)客戶風險：

1.  證券商應綜合考量個別客戶背景、職業與社會經濟活動特性、地域、 以及非自然人客戶之組織型態與架構等，以識別該客戶洗錢及資恐風險。

2.  於識別個別客戶風險並決定其風險等級時，證券商得依據以下風險因

素為評估依據：

（1） 客戶之地域風險：依據證券商所定義之洗錢及資恐風險的區域名單

，決定客戶國籍與居住國家的風險評分。

（2） 客戶職業與行業之洗錢風險：依據證券商所定義之各職業與行業的 洗錢風險，決定客戶職業與行業的風險評分。高風險行業如從事密 集性現金交易業務、或屬易被運用於持有個人資產之公司或信託等

。

（3） 個人客戶之任職機構。

（4） 客戶開戶與建立業務關係之管道。

（5） 首次建立業務關係之往來金額。

（6） 申請往來之產品或服務。

（7） 客戶是否有其他高洗錢及資恐風險之表徵，如客戶留存地址與分支 機構相距過遠而無法提出合理說明者、客戶為具隱名股東之公司或 可發行無記名股票之公司、法人客戶之股權複雜度，如股權架構是 否明顯異常或相對其業務性質過度複雜等。

(三)產品及服務、交易或支付管道風險：

1.  證券商應依據個別產品與服務、交易或支付管道的性質，識別可能會 為其帶來較高的洗錢及資恐風險者。

2.  證券商於推出新產品或新服務或辦理新種業務（包括新支付機制、運 用新科技於現有或全新之產品或業務）前，應進行產品之洗錢及資恐 風險評估，並建立相應之風險管理措施以降低所辨識之風險。

3.  個別產品與服務、交易或支付管道之風險因素舉例如下：

（1） 與現金之關聯程度。

（2） 是否為面對面業務往來關係或交易。

（3） 是否為高金額之金錢或價值移轉業務。

（4） 匿名交易。

（5） 收到款項來自於未知或無關係之第三者。

四、證券商應建立不同之客戶風險等級與分級規則。

就客戶之風險等級，至少應有兩級之風險級數，即「高風險」與「一般 風險」兩種風險等級，作為加強客戶審查措施及持續監控機制執行強度 之依據。若僅採行兩級風險級數之證券商，因「一般風險」等級仍高於 本指引第五點與第七點所指之「低風險」等級，故不得對「一般風險」 等級之客戶採取簡化措施。

證券商不得向客戶或與執行防制洗錢或打擊資恐義務無關者，透露客戶 之風險等級資訊。

五、除外國政府之重要政治性職務人士與受經濟制裁、外國政府或國際洗錢 防制組織認定或追查之恐怖分子或團體，及依資恐防制法指定指定制裁 之個人、法人或團體，應直接視為高風險客戶外，證券商得依自身之業 務型態及考量相關風險因素，訂定應直接視為高風險客戶之類型。

證券商得依據完整之書面風險分析結果，自行定義可直接視為低風險客 戶之類型，而書面風險分析結果須能充分說明此類型客戶與較低之風險 因素相稱。

六、對於新建立業務關係的客戶，證券商應在建立業務關係時，確定其風險 等級。

對於已確定風險等級之既有客戶，證券商應依據其風險評估政策及程序

，重新進行客戶風險評估。

雖然證券商在建立業務關係時已對客戶進行風險評估，但就某些客戶而 言，必須待客戶透過帳戶進行交易，其全面風險狀況才會變得明確，爰 此，證券商應依重要性及風險程度，對現有客戶身分資料進行審查，並 於考量前次執行審查之時點及所獲得資料之適足性後，在適當時機對已 存在之往來關係進行審查及適時調整風險等級。上開適當時機至少應包 括：

(一)客戶加開帳戶或新增業務往來關係時。

(二)依據客戶風險之重要性及風險程度所定之定期審查時點。 (三)得知客戶身分與背景資訊有重大變動時。

(四)經申報疑似洗錢或資恐交易等，可能導致客戶風險狀況發生實質性變 化的事件發生時。

證券商應定期檢視其辨識客戶及實質受益人身分所取得之資訊是否足夠

，並確保該等資訊之更新，特別是高風險客戶，證券商應至少每年檢視 一次。

七、證券商應依據已識別之風險，建立相對應的管控措施，以降低或預防該 洗錢風險；證券商應依據客戶的風險程度，決定適用的管控措施。

對於風險之管控措施，應由證券商依據其風險防制政策及程序，針對高 風險客戶與具特定高風險因子之客戶採取不同的管控措施，以有效管理 和降低已知風險，舉例說明如下：

(一)進行加強客戶審查措施(Enhanced Due Diligence)，例如：

1.  取得開戶與往來目的之相關資料：預期帳戶使用狀況(如預期交易之金 額、目的及頻率)。

2.  取得個人客戶財富來源、往來資金來源及去向、資產種類與數量等資 訊。

3.  取得法人、團體或信託之受託人客戶進一步之商業資訊：瞭解客戶最 新財務狀況、商業活動與業務往來資訊，以建立其資產、資金來源及 資金去向。

4.  取得將進行或已完成交易之說明與資訊。

5.  依據客戶型態進行實地或電話訪查，以確認客戶之實際營運情形。 (二)在建立或新增業務往來關係前，應依證券商內部風險考量，所訂核准

層級之高階管理人員同意。(三)增加進行客戶審查之頻率。

(四)對於業務往來關係應採取強化之持續監督。

除有本範本第肆點第三款但書情形者，對於較低風險情形，得由證券商 依據其風險防制政策及程序，採取簡化措施。該簡化措施應與其較低風 險因素相當，簡化措施得採行如下：

(一)降低客戶身分資訊更新之頻率。

(二)降低持續性監控之等級，並以合理的金額門檻作為審查交易之基礎。 (三)從交易類型或已建立業務往來關係可推斷其目的及性質者，得無須再 針對瞭解業務往來關係之目的及其性質，蒐集特定資訊或執行特別措

施。

八、證券商應建立定期之全面性洗錢及資恐風險評估作業並製作風險評估報 告，使管理階層得以適時且有效地瞭解證券商所面對之整體洗錢與資恐 風險、決定應建立之機制及發展合宜之抵減措施。

證券商應依據下列指標，建立定期且全面性之洗錢及資恐風險評估作業

：

(一) 業務之性質、規模、多元性及複雜度。

(二) 目標市場。

(三) 證券商交易數量與規模：考量證券商一般交易活動與其客戶之特性等。

(四) 高風險相關之管理數據與報告：如高風險客戶之數目與比例；高風險產品、服務或交易之金額、數量或比例；客戶之國籍、註冊地或 營業地、或交易涉及高風險地域之金額或比例等。

(五) 業務與產品，包含提供業務與產品予客戶之管道及方式、執行客戶審查措施之方式，如資訊系統使用的程度以及是否委託第三人執行 審查等。

(六) 內部稽核與監理機關之檢查結果。

證券商於進行前項之全面性洗錢及資恐風險評估作業時，除考量上開指 標外，建議輔以其他內部與外部來源取得之資訊，如：

(一) 證券商內部管理階層(如事業單位主管、客戶關係經理等)所提供的管理報告。

(二) 國際防制洗錢組織與他國所發布之防制洗錢及打擊資恐相關報告。

(三) 主管機關發布之洗錢及資恐風險資訊。

證券商之全面性洗錢及資恐風險評估結果應做為發展防制洗錢及打擊資 恐計畫之基礎；證券商應依據風險評估結果分配適當人力與資源，採取 有效的反制措施，以預防或降低風險。

證券商有重大改變，如發生重大事件、管理及營運上有重大發展、或有 相關新威脅產生時，應重新進行評估作業。

證券商應於完成或更新風險評估報告時，將風險評估報告送主管機關備 查。