成功申領信託或公司服務提供者(TCSP)牌照是業務發展的重要里程碑,但這僅僅是合規旅程的開始。香港公司註冊處(CR)的例行或突擊檢查,如同交通警的路上巡查,隨時考驗您的合規能力。違反反洗錢(AML)規定可能導致高額罰款,甚至牌照暫停或撤銷。本文歸納CR查牌時最常發現的十大AML錯誤,助業界自我檢視,及早堵塞漏洞。
CDD:不是「有做」就夠,而是「做對」做「足」
客戶盡職審查(CDD)是反洗錢的第一道防線,也是最容易被誤解的環節。
1.
未有效識別和核實客戶身份(尤其是實益擁有人):僅索取公司註冊證書和董事身份證副本,未深究實際控制人是誰。TCSP必須採取合理措施,確認最終的實益擁有人(BO),並核實其身份。
2.
未充分了解業務性質及資金來源:在沒有足夠資料證明的情況下,輕信客戶聲稱的業務性質和資金來源。CR會期望TCSP提出質疑,並要求提供支持性文件。
3.
未進行適當的風險評估(高風險客戶未加強審查):高風險客戶需要進行加強盡職審查(EDD)。如果所有客戶都被一視同仁地作簡單審查,CR會質疑您的風險管理能力。
4.
對政治公眾人物(PEPs)識別不足或未進行加強審查:很多TCSP在PEP識別方面存在盲點,例如只看表面資料,未考慮PEPs的近親和緊密聯繫人,或未對已識別的PEP進行應有的加強審查。
動態的風險管理:「一勞永逸」是迷思
AML合規並非靜態工作,客戶的風險狀況會隨時間改變。
5.
缺乏有效的全公司風險評估:TCSP需要為整個業務進行風險評估,識別公司面臨的洗錢和恐怖分子資金籌集風險,並據此制定相應的政策和程序。
6.
未建立健全的持續監察機制:客戶的交易模式、行為習慣、甚至其業務性質都可能隨時間改變。TCSP需建立有效的系統或程序持續監察客戶關係,及時發現潛在的風險變化。
7.
對異常交易的警覺性不足或未及時報告:TCSP應建立明確的內部指引,指導員工如何判斷可疑交易,並有一套暢通無阻的報告機制。
內部防線:員工、記錄與報告的「鐵三角」
員工培訓、記錄保存和可疑交易報告(STR)是AML防線的「鐵三角」。
8.
員工反洗錢培訓不足或無定期更新:CR會檢查TCSP是否有為所有相關員工提供定期的、針對性的AML培訓,並保留培訓記錄。
9.
文件及記錄保存不當或不完整:妥善保存所有客戶盡職審查文件、交易記錄、風險評估文件、內部審計報告及培訓記錄是TCSP的法定責任。
10.
未能及時識別和提交可疑交易報告(STR):及時報告可疑交易(STR)是AML體系中最後一道防線。CR會檢查TCSP提交STR的數量、質量以及內部判斷和提交的流程。
