想像一下,一個尋常的辦公日,您的秘書公司突然收到一封來自公司註冊處(CR)的通知,預告即將進行反洗錢(AML)現場審查。那一刻,辦公室裡的空氣似乎凝結了,同事們的眼神中交織著緊張與不安。「我們準備好了嗎?」「文件齊全嗎?」「有沒有什麼遺漏?」這些疑問,想必是不少秘書服務提供者(TCSP)的心聲。
在香港,作為打擊洗錢及恐怖分子資金籌集(AML/CFT)前線的重要「守門人」,秘書公司肩負著獨特的法律責任。隨著全球監管標準不斷提升,以及金融行動特別組織(FATF)對各地合規體系的持續評估,公司註冊處作為發牌及監管機構,其審查標準只會日益嚴謹。尤其當我們展望「2026」這個時間點,這不僅僅是一個年份,更象徵著新一輪全球AML/CFT評估週期可能帶來的更高要求與更細緻的審查標準。這不是一張冰冷的清單,而是對您公司合規體系韌性與深度的一次全面檢閱。要做到100%通過審查,秘書公司需要從核心業務流程出發,建立一個全面、主動且具備前瞻性的合規框架。
知己知彼:深度客戶盡職審查 (CDD) 的藝術與科學
在公司註冊處的審查中,對客戶盡職審查(Customer Due Diligence, 簡稱CDD)的深入程度和執行質量,無疑是他們最關注的環節之一。這就好比建築物的地基,若地基不穩,上層建築再華麗也可能搖搖欲墜。許多秘書公司以為,只要核對身份證、商業登記證等基本文件便已足夠,但事實並非如此。CR的審查員會希望看到您是如何「知己知彼」,真正了解您的客戶。
這裡的「知」不僅僅是身份識別,更是要理解客戶的業務性質、資金來源、財富來源,以及其最終實益擁有人(Ultimate Beneficial Owner, 簡稱UBO)的背景。例如,一位客戶要求設立一家公司,其股東來自一個高風險司法管轄區,而其業務卻聲稱是本地的普通貿易。此時,您是否對其UBO進行了深入的背景調查?是否理解其複雜的股權結構背後是否有合理商業邏輯?是否對其聲稱的資金來源有足夠的證明文件?一份由國際反洗錢專家組織(如ACAMS)發表的報告指出,全球約三成的反洗錢失誤,可追溯至未能充分識別最終實益擁有人或對其風險評估不足。
CR審查員會仔細檢視您的CDD檔案,確保這些資訊不僅僅是表面文章,而是經過系統性評估和記錄的。他們會特別留意那些高風險客戶的個案,看看您是否採取了「加強客戶盡職審查」(Enhanced CDD),例如要求提供額外的證明文件、進行更頻繁的監察,甚至親身會見客戶以核實資訊。這不僅僅是表格上的勾選,而是要展現您對風險的敏銳洞察力,以及一套嚴謹的風險為本(Risk-Based Approach)評估與執行流程。就好像一位經驗豐富的醫生,不會只看表面症狀就下診斷,而是會深入了解病人的病史、生活習慣,甚至進行多項檢查,才能做出準確的判斷。秘書公司在CDD上,也需要具備這種「深度診斷」的藝術與科學。
洞察秋毫:建立有效的持續監察機制
反洗錢合規並非一次性任務,而是一個持續進行的過程。當客戶關係建立之後,秘書公司需要建立一套行之有效的持續監察機制。這就像機場的安檢系統,不是在旅客入境時檢查一次就結束,而是透過閉路電視、巡邏人員、X光機等不斷地監察,以確保整個機場範圍內的持續安全。許多秘書公司誤以為,只要客戶的身份資料在開戶時已經核實,之後便無需再費心。然而,公司的股權結構、董事名單、業務性質,甚至客戶的風險概況,都可能隨時間改變。這些改變往往可能成為洗錢活動的預兆。
公司註冊處的審查員會仔細查看您的監察記錄,以判斷您是否具備「洞察秋毫」的能力。他們會問:您多久進行一次客戶資料審閱?當客戶的股東或董事突然更換為來自高風險地區的人士時,您的系統會否發出警示?您是否會留意媒體上關於客戶或其UBO的負面新聞?即使秘書公司不直接處理客戶資金,但客戶的業務變動、註冊地與實際經營地不符、或頻繁要求變更公司章程等,都可能是需要進一步審視的「紅旗」。金融行動特別組織(FATF)曾多次強調,有效的持續監察機制是偵測日益複雜洗錢手法不可或缺的一環,尤其在新興技術與跨境資金流動頻繁的背景下。
例如,如果一家原本從事本地餐飲業的公司,突然要求將業務範圍擴展到國際貿易,且涉及大額的跨國交易,秘書公司就應該對此提高警覺,並進行進一步的查證,以確保其業務變動的合理性及合法性。這需要一套完善的預警系統和處理流程,包括定期更新客戶資訊的政策、針對特定觸發事件(如高風險地區的股權轉讓)的審查程序,以及對客戶活動異常的報告機制。只有這樣,才能確保即使在客戶關係持續期間,任何潛在的洗錢風險都能及早被發現和處理。
未雨綢繆:量身定制的風險評估與內部控制
一份詳細且具實用性的風險評估報告,是秘書公司合規體系的「羅盤」,指引著內部控制措施的制定與執行方向。CR的審查員不僅會查看您是否有這份報告,更會評估它是否「量身定制」,是否真正反映您公司的業務特性、客戶群體、服務產品及地理風險等。如果您的風險評估只是一份「通用範本」,那麼在審查員眼中,這份報告的價值將大打折扣。
這就好比為一個家庭設計安全系統,一個單身漢的公寓和一個有小孩的豪宅,其安全需求和防範措施必然不同。秘書公司應根據自身的實際情況,例如客戶是否多為海外公司、是否服務大量離岸公司、是否提供虛擬辦公室服務等,來評估所面臨的洗錢風險。據國際反洗錢聯盟(GAFI)的研究發現,許多因合規失誤而被處罰的案例中,往往是企業未能將其風險評估結果有效轉化為具體且可執行的內部控制措施。
您的內部控制措施,應直接針對您風險評估中識別出的高風險領域。例如,如果您的客戶群體中有相當一部分來自政治不穩定或貪腐高風險的地區,那麼您就應該制定更嚴格的CDD政策,並定期對這些客戶進行更頻繁的審查。這包括制定清晰的員工職責分工、建立有效的內部呈報程序(例如向合規主任呈報可疑交易報告)、設置充足的防火牆以隔離敏感資訊,以及確保所有相關記錄都被妥善保存至少五年。
審查員會特別關注您的政策是否「寫到做到」,即政策文件中規定的流程是否真正在日常操作中被嚴格執行。他們可能會抽查數份客戶檔案,比對文件記載與您的政策是否一致。他們甚至會訪問您的員工,詢問他們對公司AML政策的理解程度。因此,秘書公司必須確保其風險評估是動態更新的,內部控制措施是切實可行的,並且所有員工都清楚自己的合規責任。
人本為先:員工培訓與合規文化塑造
即使擁有最完善的政策和最先進的系統,如果員工缺乏相應的知識和意識,合規體系仍然會形同虛設。在公司註冊處的審查中,員工培訓和合規文化的建立,是考量一個機構合規成熟度的關鍵指標。這就好比一支專業的軍隊,除了精良的武器裝備,更重要的是士兵的訓練、紀律和對任務的理解。
CR審查員會要求查看您的員工培規記錄,包括培訓內容、頻次、參與人員以及評估方式。他們會評估這些培訓是否涵蓋了反洗錢和反恐怖分子資金籌集的所有核心要素,是否切合秘書公司業務的實際情況,以及是否定期更新以反映最新的監管要求和洗錢趨勢。例如,培訓內容是否包括了如何識別新的洗錢手法、如何應對高風險客戶、以及可疑交易的識別和呈報程序。
更重要的是,審查員會觀察公司內部是否建立了一種「合規文化」。這意味著所有員工,從管理層到前線文員,都應該將合規視為其日常工作的一部分,而不是額外的負擔。當一位前線員工在處理客戶請求時發現「紅旗」,他是否知道應該向誰報告?公司的管理層是否明確傳達了對合規的重視,並為員工提供了足夠的資源和支持?多位國際合規顧問指出,一個由上而下建立的合規文化,以及定期的、切合實務的員工培訓,其效果遠勝於堆砌如山的政策文件而缺乏執行力。
秘書公司應定期舉行內部培訓,並鼓勵員工分享他們在工作中遇到的可疑情況。利用案例分析(case study)的方式,讓員工更直觀地理解不同情境下的合規要求。同時,建立一個開放的內部溝通渠道,讓員工在遇到疑問時可以尋求幫助,並確保任何可疑報告都能得到及時、妥善的處理。唯有讓合規意識深入人心,成為公司的DNA,才能真正應對複雜多變的洗錢風險。
