您是否曾經在報章上讀到某間金融機構因為違反反洗錢(AML)規定而被重罰數千萬甚至數億的頭條新聞?作為秘書公司(Trust or Company Service Provider, TCSP)的負責人或從業員,您或許會認為這些「天價罰單」是銀行或大型金融機構才會面對的風險,與自己的公司「關係不大」。然而,這種想法可能正讓您的公司處於危險邊緣。在香港以至全球,監管機構對TCSP行業的審視日益嚴格,因為秘書服務經常被不法分子利用,透過設立空殼公司、複雜的股權結構來隱藏非法資金的最終實益擁有人,從而進行洗錢活動。
忽視「客戶」定義的廣度:只看表面,不挖深層次
許多TCSP在客戶盡職審查(CDD)時,往往只專注於表面工夫:例如核對簽署文件人士的身份證件,或確認公司註冊證書的真偽。然而,這僅僅是冰山一角。對於TCSP而言,「客戶」不僅僅是那些在合約上簽字的人,更重要的是其背後的「最終實益擁有人」(Ultimate Beneficial Owner, UBO)。不法分子慣常使用複雜的公司層級、代理人、信託結構等手段,層層掩蓋真正的資金來源和擁有者。想像一下,您正在檢查一個包裹,您只核對了寄件人的姓名,卻沒有檢查包裹裡裝的是什麼。對於秘書公司,您服務的「公司」就是那個包裹,而其背後的UBO才是真正的寄件人。如果只是核對表面的董事和股東,而沒有深入挖掘UBO,您很可能在不知情的情況下,成為洗錢活動的幫兇。有國際研究指出,全球近七成的洗錢活動都涉及透過複雜公司結構隱藏最終實益擁有人身份。例如,一家香港公司由一家BVI公司全資擁有,而這家BVI公司又由一家塞舌爾公司擁有,其背後的真正實益擁有人可能隱藏在第三甚至第四層結構之後。如果TCSP未能運用足夠的工具和專業知識去穿透這些層層面紗,了解誰是最終的控制者和受益人,便會留下巨大的合規漏洞。這不僅要求核實UBO的身份,還需了解其財富來源和資金用途是否合理。
盲目信任「熟客」或轉介:關係再好,風控不能少
在香港這個以人際關係為重的商業社會,TCSP行業尤其依賴「熟客」和「轉介」。許多公司可能會有合作多年的老客戶,或是經由信賴的會計師、律師事務所轉介的新客戶。久而久之,一種「信任慣性」便會產生:我們傾向於認為這些客戶的風險較低,因此在盡職審查和持續監察上會有所放鬆。這正是TCSP最容易踩到的AML紅線之一。試想,您駕駛一輛熟悉的汽車在熟悉的道路上行駛,即使知道要打燈、看盲點,但偶爾也會因為過於熟悉而稍有鬆懈。在反洗錢的世界裡,這種鬆懈是致命的。一個客戶的風險評級並非一成不變,它會隨著時間、業務性質、交易模式、甚至其自身的財務狀況而改變。今天看似低風險的客戶,明天可能因涉足高風險業務、或其資金來源發生變化,而成為高風險客戶。國際反洗錢專家普遍認為,持續監察客戶關係的重要性,絕不亞於首次盡職審查。即使是透過「老朋友」轉介的客戶,亦不能省略完整的盡職審查程序,因為「轉介人」本身並不承擔您的合規責任,您的監管責任仍在您身上。例如,一個老客戶突然要求註冊一家與其原有業務毫無關聯,卻在高風險司法管轄區運營的公司,這便是一個需要提高警覺的信號。若您僅因「熟客」關係而輕率處理,便可能為非法活動打開方便之門。
形式主義的風險評估:文件堆積,實質欠奉
許多TCSP都會制定一套反洗錢政策與程序,當中可能也包括了「風險評估」的環節。然而,問題往往出在「形式主義」上。一份漂亮的政策文件,可能只是一堆條文的堆砌,缺乏對公司實際業務、客戶類型和服務範圍的深入理解與應用。許多公司只是「有做」風險評估,卻未能真正理解其「為何而做」和「如何做得有效」。這種情況就像建造房屋,有了精美的藍圖,卻沒有檢查地基是否堅固、施工是否符合標準。表面上,您擁有所有「符合」規定的文件,但在實質上,風險評估的環節可能極其薄弱。一個有效的風險評估應該是動態且具針對性的,它需要您審視:您的客戶群體(例如是否涉及政治公眾人物PEPs、高風險司法管轄區的客戶)、您提供的服務(例如是否涉及大額資金轉移、無形資產管理)、以及您業務的地域風險。舉例來說,如果您的客戶主要來自被列入金融行動特別工作組(FATF)「灰名單」或「黑名單」的國家,那麼其風險等級就應該被評為高風險,並需執行更嚴格的加強客戶盡職審查(EDD)。但如果您的風險評估只是一份通用模板,未能根據實際情況對客戶進行細緻分類和風險打分,那麼這份評估報告就只是一堆無實質意義的紙張,無法為您的決策提供實質的指導。
錯漏百出的交易監察:只做不看,或不識看
對於TCSP而言,與銀行處理大量資金流動不同,他們所接觸的「交易」更多體現為公司成立、股權轉讓、董事變更、銀行開戶協助、年度申報等活動。因此,很多TCSP會錯誤地認為自己並不需要進行「交易監察」。這種觀念極其危險。雖然TCSP不直接處理大額金錢交易,但他們所提供的公司服務,正是洗錢活動的重要「渠道」。TCSP的角色,更像是閘門的守衛者。您或許不直接處理包裹裡裝的東西,但您必須監察是誰在通過閘門,以及他們攜帶的「包裹」是否有可疑之處。所謂「交易監察」,在TCSP的語境下,指的是持續監察客戶關係及業務活動是否有異常變動。這包括但不限於:客戶股東或董事在短時間內頻繁變更而無合理解釋;公司突然增加大量註冊資本而來源不明;客戶要求設立或服務的公司突然拓展至高風險行業或國家;客戶要求開設多個銀行戶口而無明確業務需要;甚至有客戶試圖為公司在短時間內開設多個銀行賬戶,而這些賬戶的交易模式異常。所有這些異常行為都可能是潛在洗錢活動的「紅旗」。一個來自ACAMS(國際反洗錢師協會)的報告指出,許多TCSP因未能及時識別出這些非現金形式的「可疑活動」,而錯失了向監管機構提交可疑交易報告(STR)的機會。未能及時發現並上報這些「紅旗」,不僅是監管違規,更可能讓您的公司捲入嚴重的犯罪活動。
培訓與意識不足:員工是第一道防線,還是漏洞?
反洗錢合規絕非僅是高層管理人員或合規主任的職責。在TCSP營運中,每一位與客戶互動的員工,從前線接待人員到後勤行政人員,都可能是接觸到可疑活動的第一人。然而,許多TCSP在員工反洗錢培訓方面投入不足,導致員工缺乏必要的知識和意識來識別和處理潛在的風險。這使得員工成為了反洗錢防線中最脆弱的一環。想像一條鏈子,其強度取決於最弱的一環。如果您的員工沒有接受足夠的反洗錢培訓,他們可能無法理解客戶盡職審查的重要性,可能會錯誤地收集資料,或者在遇到可疑情況時不懂得如何反應或上報。例如,一位前線員工接到一個客戶不尋常的指令,但因為未經培訓,她只是機械式地執行指令,而沒有意識到這是一個潛在的風險信號。這樣的情況,讓員工從「第一道防線」變成了「安全漏洞」。反洗錢培訓不應只是一年一度的例行公事,它應該是持續性的,並且要根據最新的監管要求和行業風險進行更新。培訓內容應該是實用和貼地的,包括真實案例分析、識別紅旗的具體技巧、以及內部上報流程等。只有當所有員工都具備足夠的警覺性和專業知識,並且公司內部營造出強烈的合規文化,才能真正有效地構築起堅固的反洗錢防線。
