如何准备香港公司注册处 AML/CFT 合规视察|香港 TCSP 持牌人指南


对香港的信托或公司服务持牌人(下称「TCSP 持牌人」)而言,由香港公司注册处(下称「公司注册处」)进行的打击洗钱及恐怖分子资金筹集(AML/CFT)合规视察,是持续监管工作中不可或缺的一环。此类视察的目的,在于评估TCSP 持牌人如何管理其所面对的洗钱及恐怖分子资金筹集风险,当中包括深入审视TCSP 持牌人的风险评估框架、客户尽职审查程序、筛查及持续监察系统,以及备存纪录的安排。
鉴于违规的后果严重,准备公司注册处的视察绝不应临急应对,而是需要以有系统、积极主动的方式在平日准备,确保TCSP 持牌人符合《打击洗钱及恐怖分子资金筹集条例》(香港法例第 615 章)(下称「《打击洗钱条例》」)附表 2 的规定,以及《打击洗钱及恐怖分子资金筹集指引(信托或公司服务持牌人适用)》(下称「《TCSP 打击洗钱指引》」)的要求。
本文阐述 TCSP 持牌人应重点关注的主要范畴,协助持牌人在视察期间达到监管期望。
1. 什么是信托或公司服务提供者(TCSP)的 AML/CFT 合规?
打击洗钱及恐怖分子资金筹集(AML/CFT)合规,是指TCSP 持牌人必须设立及维持的制度、管控措施及程序,以防止其服务被利用作洗钱或恐怖分子资金筹集用途。合规并不仅止于制定书面政策,重点在于有关管控措施是否在平日业务上获得有效落实并持续运作。
作为TCSP持牌人,主要的 AML/CFT 责任包括在机构层面及客户层面评估洗钱及恐怖分子资金筹集风险,并就客户尽职审查、备存纪录,以及向联合财富情报组(JFIU)提交可疑交易报告,维持有效程序。在视察期间,香港公司注册处通常会集中审视上述规定是否获妥善落实,以及持牌人能否备存完整、准确及最新的客户文件,加以证明。
公司注册处采取的监管措施
为监察 TCSP 持牌人遵从《打击洗钱条例》及《TCSP 打击洗钱指引》的情况,公司注册处一般会综合采用以下合规监察方式:
- 访谈
- 视察(突击视察或预约视察)
- 案头审查
TCSP 持牌人应如何准备公司注册处的 AML/CFT 视察?
公司注册处 AML/CFT 视察的重点,在于持牌人是否遵从 (i)《打击洗钱条例》附表 2 及 (ii)《TCSP 打击洗钱指引》的规定,当中包括在视察时评估以下主要范畴:
- 客户尽职审查(CDD)程序;
- 风险评估;
- 备存纪录;
- 客户筛查;
- 持续监察;
- 可疑交易报告(STR);
- 客户没有为身分识别的目的而现身(非面对面会面客户);及
- 就看似代表客户行事的人所进行的客户尽职审查程序。
违反 AML/CFT 规定的后果:TCSP 持牌人须知
A. 公司注册处可采取的纪律行动
如 TCSP 持牌人被发现违反 AML/CFT 规定,公司注册处可因应有关违规的性质、严重程度及相关情况,按比例行使以下一项或多项的纪律行动:
- 警告信或劝谕信: 对未能遵从 AML/CFT 责任的 TCSP 持牌人,公司注册处可发出警告信或劝谕信。
- 公开谴责: 公司注册处可公开谴责有关持牌人。
- 纠正命令: 公司注册处可命令持牌人在其指明的期限内采取指明的行动,以纠正有关违规情况。
- 罚款: 根据《打击洗钱条例》第 53Z(3) 条,公司注册处可命令持牌人缴付不多于港币 500,000 元的罚款。
- 撤销或暂时吊销牌照: 在较严重违反 AML/CFT 责任的情况下,公司注册处可撤销或暂时吊销 TCSP 的牌照。
- 检控: 就严重违规情况,公司注册处可提起法律程序,可能导致罚款、丧失牌照资格或法院判处的其他处罚。
视乎个别个案的情况,上述的纪律行动可单独或一并行使。
B. 对法团持牌人董事的纪律行动
根据《信托或公司服务提供者发牌指引》(下称「《发牌指引》」)第 13.2 段,如 TCSP 持牌人属法团,在以下情况下,公司注册处亦可对该 TCSP 持牌人的董事采取上述的纪律行动:
- 该法团违反任何客户尽职审查或备存纪录规定;及
- 该项违反是由该董事所导致或容许,或因该董事没有采取合理步骤防止该项违反而发生。
在此情况下,该董事可被采取纪律行动,犹如其本身是持牌人一样,惟有关董事属会计专业人士或法律专业人士则除外。
2. 准备公司注册处的 AML/CFT 视察
以下是 TCSP 持牌人在准备公司注册处 AML/CFT 视察时应优先处理的主要范畴:
A. 建立稳健的 AML/CFT 制度及内部政策
AML/CFT 制度应以书面内部政策及程序正式记录,列明 TCSP 在实务上如何落实其 AML/CFT 管控措施。在 AML/CFT 视察期间,公司注册处会评估有关政策是否完整、是否反映现况,以及是否有足够纪录证明该政策在机构内获得有效及一致的落实。
一套稳健且妥为记录的 AML/CFT 框架,对香港 TCSP 持牌人而言至为重要。TCSP 持牌人须设立、维持并有效落实一套书面 AML/CFT 政策,而该政策应与其规模、业务性质及风险状况相称。
AML/CFT 政策应就以下主要范畴订立有系统及清晰明确的程序:
- 客户尽职审查措施;
- 客户风险评估;
- 机构层面风险评估;
- 将客户与制裁名单及指定人士及恐怖分子名单比对筛查,并就客户的实益拥有人进行政治人物(下称「PEPs」)筛查;
- 持续监察;
- 提交可疑交易报告的程序;
- 备存纪录责任;
- 风险评估及风险管理;
- 内部政策、程序及管控措施的审计;及
- 雇员甄选程序。
公司注册处于 2025 年 11 月 20 日发出的《信托或公司服务提供者牌照申请人/持有人注意事项》(Points to Note for Applicants / Holders of TCSP Licences)(下称「2025 年注意事项」)指出,部分 TCSP 持牌人并未制定正式的书面 AML/CFT 政策声明,亦有部分持牌人所采用的政策声明在关键合规范畴欠缺足够细节。公司注册处特别期望 AML/CFT 政策能充分涵盖以下常被遗漏的主要范畴:
- 机构层面风险评估
机构层面风险评估的规定由 2025 年 3 月 3 日生效的经修订《打击洗钱及恐怖分子资金筹集指引(信托或公司服务持牌人适用)》所引入。详情请参阅本所文章「《打击洗钱及恐怖分子资金筹集指引(信托或公司服务持牌人适用)》的主要修订」。
AML/CFT 政策应就进行及维持机构层面风险评估订立有系统的框架,包括以质量及数量分析识别和评估风险的书面程序。持牌人应考虑所有相关风险因素,以厘定整体风险水平及适当的风险缓减措施。机构层面风险评估必须经高级管理层审视及批准,并须定期复核。一般而言,机构层面风险评估应至少每两年进行一次,并在发生影响 TCSP 持牌人业务或风险承担的重大触发事件后进行。
- 客户尽职审查及核实看似代表客户行事的人
AML/CFT 政策声明应载有清晰及详尽的客户尽职审查程序,包括识别及核实客户与实益拥有人身分的具体规定。政策亦应订明核实看似代表客户行事的人所需的程序及文件,包括利用可靠及独立来源核实该等人士的授权及身分。
- 适用于非面对面会面客户的措施
如客户没有为身分识别的目的而现身,AML/CFT 政策应订明额外的风险缓减措施,例如使用可靠的电子识别系统、对身分证明文件作独立核实或认证,以及加强持续监察。
合规管理安排是另一重点范畴。TCSP 持牌人须委任合规主任及洗钱报告主任(下称「洗钱报告主任」或「MLRO」),界定其角色与职责,并确保高级管理层对该等职能作出有效监督。如职员识别出可疑交易,政策应列明内部报告流程、合规事宜的处理方式,以及在有需要时如何向联合财富情报组(下称「联合财富情报组」或「JFIU」)作出报告。
最后,TCSP 持牌人应确保定期检讨及更新 AML/CFT 政策,以反映监管发展、视察反馈意见,以及TCSP 持牌人的洗钱或恐怖分子资金筹集(下称「洗钱/恐怖分子资金筹集」)风险及风险状况的变化。
B. 遵守《打击洗钱条例》下的客户尽职审查规定
适用于 TCSP 持牌人的客户尽职审查(下称「尽职审查」或「CDD」)规定载于《打击洗钱条例》附表 2,并在《TCSP 打击洗钱指引》中作出阐释。TCSP 持牌人必须按风险为本方法执行尽职审查措施,并保留纪录以证明合规。
建立业务关系时的尽职审查措施
在建立业务关系之前,TCSP 持牌人必须:
- 识别客户的身分,并根据可靠及独立来源所提供的文件、数据或资料,核实客户的身分;
- 如客户有实益拥有人,识别该实益拥有人并采取合理措施核实其身分,包括了解法人或信托的拥有权及控制权结构;
- 取得有关业务关系的目的及拟具有的性质的资料;及
- 如有人看似代表客户行事,识别及核实该人的身分,并核实其代表客户行事的授权。
如未能保留证明已采取上述措施的文件证据,公司注册处在视察中通常会视之为客户尽职审查方面的缺失。
持续监察责任
尽职审查责任在整段业务关系期间持续适用。TCSP 持牌人必须进行持续监察,以:
- 定期复核客户资料,确保资料维持最新及准确;
- 识别拥有权、控制权、业务活动或风险状况的变化;及
- 在识别出较高洗钱/恐怖分子资金筹集风险时,采取严格尽职审查(下称「严格审查」或「EDD」)措施。
持续监察活动、风险重新评估及跟进行动均须妥为记录及保存,作为审计线索的一部分。
非面对面会面客户
《打击洗钱条例》容许 TCSP 持牌人透过非面对面会面渠道建立业务关系。如客户没有为身分识别的目的而现身,TCSP 持牌人必须采取额外措施,以减低因此而增加的洗钱/恐怖分子资金筹集风险。
除《TCSP 打击洗钱指引》第 4.10.2 段所指明的有限情况外,TCSP 持牌人必须至少采取以下其中一项措施:
- 以先前未曾使用的可靠及独立资料,进一步核实客户的身分;
- 采取补充措施,核实已取得的客户资料;或
- 确保与有关交易相关的付款,是经由以客户名义在认可机构开立的户口作出,或经由在对等司法管辖区(须遵守与《打击洗钱条例》附表 2 相若的 AML/CFT 规定)的机构开立的户口作出。
仅依赖网上会面或身分证明文件副本,并不足以符合采取额外措施的规定。TCSP 持牌人应保留纪录,以证明已采取哪一项(或哪几项)额外措施。
C. 遵守《打击洗钱条例》下的备存纪录规定
根据《打击洗钱条例》,TCSP 持牌人须备存与客户尽职审查、持续监察、风险评估、筛查以及其他与交易相关的 AML/CFT 事宜有关的纪录,包括客户身分识别及核实纪录、风险评估、筛查结果、资金来源或财富来源查证(如适用),以及内部决定的纪录。
一般而言,该等纪录应在业务关系结束后或非经常交易完成后保存至少五年。不论以电子或实体形式保存,纪录均应稳妥储存,并可随时迅速调取。
TCSP 持牌人应定期复核客户档案,确认纪录完整及反映现况。一套清晰且妥善维护的审计线索,不仅有助符合《打击洗钱条例》的规定,亦能让TCSP 持牌人在公司注册处视察期间从容、高效地作出回应。
D. 风险评估
风险评估是公司注册处视察的另一重点。TCSP 持牌人应采用风险为本方法,即客户尽职审查措施的程度,应与客户或交易所构成的洗钱/恐怖分子资金筹集风险水平相称。
根据《TCSP 打击洗钱指引》第 2.4 段,在TCSP 持牌人整体层面,TCSP 应进行机构层面的洗钱/恐怖分子资金筹集风险评估,当中须顾及其业务的性质及规模。评估范围一般包括客户类别、所提供的服务、所涉及的司法管辖区、交付渠道(包括非面对面会面安排)所涉及的风险,以及内部因素,例如员工能否获得持续的 AML/CFT 培训及发展、合规及监管结果,以及内部或外部审计的结果。机构层面风险评估应每两年复核一次,并在 TCSP 持牌人的业务及风险承担出现重大变化时予以更新。
除机构层面评估外,TCSP 持牌人亦须进行客户层面的风险评估。该等评估有助厘定客户属低、中或高风险,并决定客户尽职审查的程度。公司注册处在视察时,往往会审视客户风险评级是否有风险评估纪录支持,以及较高风险评级是否已相应采取严格尽职审查措施。
正如「2025 年注意事项」所强调,视察中常见的问题之一,是持牌人未能证明确实已进行或记录风险评估。为纠正此等不足,TCSP 应确保机构层面及客户层面的风险评估均获完整记录,并附有清晰理据及佐证资料,以说明每项风险评级如何得出。
E. 对高风险客户的严格尽职审查(EDD)
凡客户或交易构成较高洗钱/恐怖分子资金筹集风险,便须采取严格审查措施。在公司注册处视察期间,TCSP 持牌人应能透过其纪录证明:触发严格审查的原因、所采取的额外措施,以及该等措施如何应对所识别的风险。
常见的高风险情况包括:拥有权结构复杂的客户、与较高风险司法管辖区有关连的客户、政治人物(PEPs),或涉及现金密集型业务或代名人股东及代名人董事的安排。在此等情况下,TCSP 持牌人须超越标准客户尽职审查的范围,采取与风险水平相称的额外客户尽职审查措施。
实务上,严格审查可包括就客户的背景、拥有权及控制权、资金来源或财富来源,取得更详尽的资料及补充文件,以及进行更频密或更深入的持续监察。在公司注册处视察期间,TCSP 持牌人应能证明该等加强措施已获妥为记录。
F. 可疑交易报告规定
可疑交易报告是 AML/CFT 框架的关键一环。TCSP 持牌人应设有清晰的内部程序,以识别及报告涉及洗钱或恐怖分子资金筹集的怀疑。
如 TCSP 持牌人知悉或怀疑某项财产代表犯罪得益或与恐怖分子资金筹集有关,便应向联合财富情报组提交可疑交易报告(下称「可疑交易报告」或「STR」)。TCSP 持牌人应确保内部报告流程获清晰界定并妥为记录。职员应向洗钱报告主任(MLRO)报告任何与洗钱/恐怖分子资金筹集有关的可疑活动,并了解内部报告程序。
TCSP 持牌人必须确保职员严格避免作出任何可能损害调查的披露,即一般所称的「通风报讯」,包括告知客户已提交可疑交易报告,或暗示其活动正受审查。
结语
监管视察看似令人却步,但只要 TCSP 持牌人以积极主动、有系统的方式落实 AML/CFT 合规,便能大大减低视察过程中的不确定性。透过维持清晰的政策及程序、确保职员获得足够培训,以及保持文件纪录反映现况,TCSP 持牌人便能证明其符合《打击洗钱条例》及《TCSP 打击洗钱指引》的要求。面对视察,持牌人应抱持透明及合作的态度;如发现有不足之处,TCSP 持牌人应与视察人员坦诚沟通,落实适当的纠正措施。
免责声明:本刊物仅供一般资讯及参考之用。文中所载的观点及评论并不构成法律意见或法律观点,亦不应作为法律意见或法律观点而加以依赖。
TCSP 持牌人 AML/CFT 合规清单
为协助 TCSP 持牌人将本文讨论的重点转化为可付诸实行的准备步骤,以下清单提供一项实用工具,用以评估视察准备状况。清单旨在协助TCSP 持牌人识别常见不足之处、测试内部监控措施,并确保文件纪录及流程在视察前已符合公司注册处的期望。
管治及内部监控
- AML/CFT 政策声明完整、反映现况,并切合TCSP 持牌人的业务情况。
- 已委任合规主任及洗钱报告主任(MLRO),人选清晰明确,并获管理层支持。
- 报告流程及程序已书面记录,并为职员所充分理解。
- 董事、拥有人或主要人员的变更,已在规定时限内向公司注册处具报。
风险评估
- 机构层面的洗钱/恐怖分子资金筹集风险评估已书面记录并定期复核。
- 已为所有客户完成客户风险评估,并妥为记录。
- 风险评级与所需的客户尽职审查程度互相对应,例如已评估是否应采取严格尽职审查及持续监察。
- 在客户或业务情况出现变化时,风险评估获适时更新。
客户尽职审查(CDD)
- 已使用可靠及独立来源妥善核实客户身分。
- 已识别、核实及记录客户的实益拥有人。
- 已核实看似代表客户行事的人的身分,并已核实其代表客户行事的授权。
- 已就高风险客户及交易进行资金来源或财富来源查证。
严格尽职审查(EDD)
- 已清晰识别高风险客户及交易,并对高风险客户采取严格审查措施。
- 严格审查措施获一致及相称地落实。
- 已就透过非面对面会面方式接纳的客户采取额外的严格审查措施。
- 严格审查的决定及措施已获清晰记录。
筛查及持续监察
- 在接纳客户时及其后持续监察,就客户及其实益拥有人(如适用)进行制裁、恐怖分子及政治人物(PEPs)筛查。
- 筛查结果及跟进行动均有纪录。
- 已进行持续监察,确保掌握最新及相关的客户资料。
可疑交易报告(STR)
- 职员了解如何识别,并向高级管理层报告可疑活动。
- 向洗钱报告主任作内部报告的程序清晰并获遵行。
- 在有需要时,已从速向联合财富情报组(JFIU)提交可疑交易报告。
- 职员知悉「通风报讯」属刑事罪行,并应加以避免。
备存纪录
- 客户尽职审查、严格尽职审查、筛查结果及风险评估的纪录完整,并获妥善保存。
- 纪录在业务关系结束后或交易完成后保存至少五年。
职员培训
- 定期向职员提供足够的 AML/CFT 培训。
- 培训的范围及频率应切合 TCSP 持牌人所面对的特定风险,并按职员的工作职能、职责及经验提供。
- TCSP 持牌人应备存培训纪录,详列参与培训的职员姓名、培训日期及培训类型,并保存至少三年。
免责声明:本刊物仅供一般资讯及参考之用。文中所载的观点及评论并不构成法律意见或法律观点,亦不应作为法律意见或法律观点而加以依赖。
KYC Management 如何为您提供协助
KYC Management 专为 TCSP 持牌人而设,让TCSP 持牌人能在数分钟内(而非数小时)完成整个 AML/CFT 流程。由客户尽职审查、风险评估,以至筛查及持续监察,KYC Management 将传统上繁复的人手 AML/CFT 流程,转化为简便、合规及高效的工作流程。
透过消除零散及人手操作的程序,KYC Management 让TCSP 持牌人能更快接纳客户、降低合规风险,并在不影响监管标准的前提下提升营运效率。
我们的主要功能包括:
- 客户开户平台(Client-Facing Portal): 您的客户可安全登入并上载所需文件,大幅减省往来电邮的时间,加快客户开户(onboarding)流程。
- 全面的 AML 筛查数据库: 将个人及企业与制裁名单、政治人物(PEPs)、金融监管机构、执法机构及负面新闻名单比对筛查,涵盖 230 多个司法管辖区及 43,000 多个全球来源的实时数据。
- 自动提醒功能,绝不错过任何期限: 系统可就周年客户尽职审查复核及即将到期的文件提供自订提醒,并与我们的 CDD 平台无缝整合,令跟进及持续管理工作更快捷、更轻松。
如欲进一步了解 KYC Management 如何支援 TCSP 持牌人,请浏览本网站的「信托或公司服务提供者」专页。
预约示范
如欲了解 KYC Management 如何协助TCSP 持牌人强化 AML/CFT 管控措施、提升视察准备状况及减省营运负担,立即预约示范,亲身体验平台的实际运作。
参考资料
如欲进一步了解香港 TCSP 发牌、合规责任及打击洗钱指引的资讯,请参阅以下官方资源:
- 《打击洗钱及恐怖分子资金筹集条例》(香港法例第 615 章)
- 香港公司注册处于 2025 年 3 月发出的《打击洗钱及恐怖分子资金筹集指引(信托或公司服务持牌人适用)》(「《TCSP 打击洗钱指引》」)
- 香港公司注册处于 2025 年 5 月发出的《信托或公司服务提供者发牌指引》
- 香港公司注册处于 2024 年 12 月 6 日发出的《回应者较常提出的问题及公司注册处的回应》
- 香港公司注册处于 2025 年 11 月 19 日发出的《信托或公司服务提供者牌照申请人/持有人注意事项》(Points to Note for Applicants / Holders of TCSP Licences)
立即简化您的 AML/CFT 工作流程
KYC Management 让TCSP 持牌人能在数分钟内(而非数小时)完成整个 AML/CFT 流程。由客户尽职审查、风险评估,以至筛查及持续监察,KYC Management 将传统上繁复的人手 AML/CFT 流程,转化为简便而合规的工作流程。
有兴趣了解更多?与我们联络
Simplify Your AML/CFT Workflow Today
KYC Management enables firms to complete the entire AML/CFT process in minutes - not hours. From customer due diligence and risk assessments to screening and ongoing monitoring, KYC Management expedites traditionally manual and complex AML/CFT processes into a simple and compliant workflow.
Interested in learning more? Let's talk