在香港這個國際金融中心,企業服務供應商(TCSPs)的業務蓬勃發展,然而隨之而來的是日益收緊的監管壓力。每一次公司註冊處的合規檢查,都像是一場突如其來的考試,而那些從罰款公告中浮現的真實案例,揭示了前人踩過的陷阱。了解這些常見的失誤,並從中汲取教訓,遠比單純繳納罰款更為重要。本文將透過分析從過往罰款公告中歸納出的五個典型合規缺失類別,為TCSPs提供一份實用的「檢查清單」,助您從「被動應對」轉變為「主動合規」。
第一課:未能貫徹「了解你的客戶」(KYC) 原則
「了解你的客戶」(KYC)是所有反洗錢(AML)和反恐融資(CTF)框架的基石。許多TCSPs在執行KYC時,往往只停留在表面功夫,未能深入核實客戶資料。一個常見的案例是TCSP為眾多「影子公司」提供註冊服務,但其客戶盡職審查(CDD)卻非常草率。例如,未能充分核實公司董事的真實住址,僅憑護照副本或一份簡單的公用事業賬單便當作完成審查;又或是未能識別或核實最終實益擁有人(UBOs)的身份,對複雜的股權結構缺乏穿透式審查能力。TCSPs必須明白,KYC不僅是收集客戶資料,更重要的是「驗證」和「理解」這些資料背後的真實性。
第二課:風險評估與管理形同虛設
許多TCSPs雖然制定了風險評估政策,但實踐中往往流於形式,變成了一份「靜態」文件,未能真正指導日常營運。一個典型的例子是,某TCSP將其所有客戶一概列為「低風險」,即使面對來自高風險司法管轄區的客戶,或那些業務性質複雜、資金流向不透明的個案,也未能進行更深入的風險評估。金融行動特別組織(FATF)在其指引中多次強調,風險評估必須是「活的」,而非一次性的文件歸檔。機構需要建立一個動態的風險評估框架,定期檢視和更新,以適應不斷變化的風險環境。
第三課:內部控制與監察機制有名無實
有了清晰的政策和完善的風險評估,下一步就是建立一套強而有力的內部控制和監察機制。然而,許多TCSPs的罰款案例顯示,即使有書面政策,內部執行往往存在巨大的鴻溝,導致機制有名無實。試想一個場景:一家TCSP雖然有一整套客戶盡職審查和交易監察的書面程序,但其員工對這些程序的理解卻十分有限,甚至沒有接受過充分的培訓。美國反洗錢專家協會(ACAMS)的研究多次指出,內部控制機制若未能有效運作,往往是金融機構和指定非金融業人士面臨重大合規風險的根源。
第四課:未有及時識別及呈報可疑交易
打擊洗錢和恐怖主義融資的有效防線,最終體現於能否及時識別並呈報可疑交易。一個常見的罰款案例是,一家TCSP為客戶設立公司後,該公司隨即進行了多筆與其聲稱業務不符、且數額巨大的跨國匯款。TCSPs必須建立健全的交易監察系統,不僅包括自動化工具,更重要的是培養員工對可疑活動的敏感度和專業判斷力。一旦發現任何可疑情況,即使未能百分百確認,也應及時向聯合財富情報組(JFIU)提交STR。
第五課:紀錄保存與資料缺失的致命傷
在合規檢查中,紀錄保存的完整性與可訪問性,是證明TCSP已履行其反洗錢和反恐融資義務的「關鍵證據」。許多罰款案例均顯示,儘管TCSP聲稱已執行了相關程序,但由於未能提供全面、有組織且易於檢索的紀錄,最終被裁定為合規不足。TCSPs必須確保所有關於客戶盡職審查、風險評估、交易監察、內部報告和培訓的紀錄都能夠被清晰、準確地保存至少六年,並能隨時供監管機構查閱。
