近年來,香港公司註冊處對公司秘書及其他指定非金融業人士在反洗錢和打擊恐怖分子資金籌集的監管要求日趨嚴格,其中「重要控制人登記冊」的要求更是重中之重。SCR旨在提升企業擁有權的透明度,從而堵塞不法分子利用空殼公司或複雜架構進行洗錢活動的漏洞。對於TCSPs而言,協助客戶公司履行SCR責任,不單是服務承諾,更是法律義務。然而,許多TCSPs在實際操作中,往往會在不經意間埋下「致命傷」,導致即使「有做」,也可能因「做錯」或「不足」而面臨嚴峻的法律後果和聲譽損害。
「見字如面」:形式主義的致命誘惑
不少TCSPs在處理SCR查核時,往往過度依賴客戶提供的書面文件和自我申報,並將此視為合規工作的終點。他們傾向於「見字如面」,即只要文件齊備,表格填妥,便認為已盡責。這種形式主義的誘惑,看似省時高效,實則隱藏巨大風險。監管機構期望TCSPs進行的是有深度的風險評估和驗證,而非單純的「打勾式」審查。若只滿足於書面資料,未能識別出潛藏的實際控制權,一旦該客戶公司被揭發涉及不法活動,協助設立SCR的TCSP便難辭其咎。
「抽絲剝繭」:缺乏深度盡職審查與持續監察
另一個致命傷,是TCSPs未能進行足夠深度的盡職審查,並且忽略了對SCR的持續監察義務。TCSPs必須具備「抽絲剝繭」的能力,不僅要識別直接的股東或董事,更要穿透多層架構,找出最終的自然人控制者。這需要對股東名冊、董事會記錄、信託契約、貸款協議等文件進行全面審視,並在有疑問時,主動向客戶提出進一步查詢。更關鍵的是,必須建立一套系統化的流程,定期檢視SCR,並要求客戶及時申報任何重要控制人的變更,確保登記冊的準確性和時效性。疏忽持續監察,無疑是為潛在的違規行為打開方便之門。
「人言可畏」:內部培訓與風險意識不足
即使公司設有健全的合規政策和流程,但若員工未能充分理解並正確執行,這些政策便形同虛設。許多TCSPs的員工,特別是前線或新入職的職員,往往缺乏足夠的SCR相關培訓,對重要控制人的定義、識別方法、風險指標以及監管要求未能全面掌握。有專家研究指出,多數監管機構的罰款案例,其中一個共同的「罪魁禍首」便是「內部控制不足」及「員工培訓缺乏」。成功的合規文化需要每個員工都肩負起識別和報告風險的責任,將合規理念融入日常工作中。如果員工將合規視為「額外負擔」而非「核心職責」,則TCSP的合規屏障將會不堪一擊。
「千絲萬縷」:科技應用滯後與數據管理不善
在數碼時代,依然依賴傳統手動流程和分散的數據管理系統,是許多TCSPs在SCR查核中的第四個「致命傷」。採用先進的RegTech(監管科技)方案,能夠將複雜的合規審查時間縮短高達50%,並顯著降低錯誤率。現代的RegTech工具,例如客戶盡職審查自動化平台、實時監察系統、以及數據分析工具,可以幫助TCSPs自動識別複雜的股權架構、交叉引用不同數據源,並在重要控制人發生變動時自動發出警報。缺乏有效的數據管理策略和現代科技工具的輔助,TCSPs在面對日益增長和複雜的SCR合規挑戰時,註定會力不從心,難以避免人為失誤和監管處罰。
