如何準備香港公司註冊處 AML/CFT 合規視察|香港 TCSP 持牌人指南


對香港的信託或公司服務持牌人(下稱「TCSP 持牌人」)而言,由香港公司註冊處(下稱「公司註冊處」)進行的打擊洗錢及恐怖分子資金籌集(AML/CFT)合規視察,是持續監管工作中不可或缺的一環。此類視察的目的,在於評估TCSP 持牌人如何管理其所面對的洗錢及恐怖分子資金籌集風險,當中包括深入審視TCSP 持牌人的風險評估框架、客戶盡職審查程序、篩查及持續監察系統,以及備存紀錄的安排。
鑑於違規的後果嚴重,準備公司註冊處的視察絕不應臨急應對,而是需要以有系統、積極主動的方式在平日準備,確保TCSP 持牌人符合《打擊洗錢及恐怖分子資金籌集條例》(香港法例第 615 章)(下稱「《打擊洗錢條例》」)附表 2 的規定,以及《打擊洗錢及恐怖分子資金籌集指引(信託或公司服務持牌人適用)》(下稱「《TCSP 打擊洗錢指引》」)的要求。
本文闡述 TCSP 持牌人應重點關注的主要範疇,協助持牌人在視察期間達到監管期望。
1. 什麼是信託或公司服務提供者(TCSP)的 AML/CFT 合規?
打擊洗錢及恐怖分子資金籌集(AML/CFT)合規,是指TCSP 持牌人必須設立及維持的制度、管控措施及程序,以防止其服務被利用作洗錢或恐怖分子資金籌集用途。合規並不僅止於制定書面政策,重點在於有關管控措施是否在平日業務上獲得有效落實並持續運作。
作為TCSP持牌人,主要的 AML/CFT 責任包括在機構層面及客戶層面評估洗錢及恐怖分子資金籌集風險,並就客戶盡職審查、備存紀錄,以及向聯合財富情報組(JFIU)提交可疑交易報告,維持有效程序。在視察期間,香港公司註冊處通常會集中審視上述規定是否獲妥善落實,以及持牌人能否備存完整、準確及最新的客戶文件,加以證明。
公司註冊處採取的監管措施
為監察 TCSP 持牌人遵從《打擊洗錢條例》及《TCSP 打擊洗錢指引》的情況,公司註冊處一般會綜合採用以下合規監察方式:
- 訪談
- 視察(突擊視察或預約視察)
- 案頭審查
TCSP 持牌人應如何準備公司註冊處的 AML/CFT 視察?
公司註冊處 AML/CFT 視察的重點,在於持牌人是否遵從 (i)《打擊洗錢條例》附表 2 及 (ii)《TCSP 打擊洗錢指引》的規定,當中包括在視察時評估以下主要範疇:
- 客戶盡職審查(CDD)程序;
- 風險評估;
- 備存紀錄;
- 客戶篩查;
- 持續監察;
- 可疑交易報告(STR);
- 客戶沒有為身分識別的目的而現身(非面對面會面客戶);及
- 就看似代表客戶行事的人所進行的客戶盡職審查程序。
違反 AML/CFT 規定的後果:TCSP 持牌人須知
A. 公司註冊處可採取的紀律行動
如 TCSP 持牌人被發現違反 AML/CFT 規定,公司註冊處可因應有關違規的性質、嚴重程度及相關情況,按比例行使以下一項或多項的紀律行動:
- 警告信或勸諭信: 對未能遵從 AML/CFT 責任的 TCSP 持牌人,公司註冊處可發出警告信或勸諭信。
- 公開譴責: 公司註冊處可公開譴責有關持牌人。
- 糾正命令: 公司註冊處可命令持牌人在其指明的期限內採取指明的行動,以糾正有關違規情況。
- 罰款: 根據《打擊洗錢條例》第 53Z(3) 條,公司註冊處可命令持牌人繳付不多於港幣 500,000 元的罰款。
- 撤銷或暫時吊銷牌照: 在較嚴重違反 AML/CFT 責任的情況下,公司註冊處可撤銷或暫時吊銷 TCSP 的牌照。
- 檢控: 就嚴重違規情況,公司註冊處可提起法律程序,可能導致罰款、喪失牌照資格或法院判處的其他處罰。
視乎個別個案的情況,上述的紀律行動可單獨或一併行使。
B. 對法團持牌人董事的紀律行動
根據《信託或公司服務提供者發牌指引》(下稱「《發牌指引》」)第 13.2 段,如 TCSP 持牌人屬法團,在以下情況下,公司註冊處亦可對該 TCSP 持牌人的董事採取上述的紀律行動:
• 該法團違反任何客戶盡職審查或備存紀錄規定;及
• 該項違反是由該董事所導致或容許,或因該董事沒有採取合理步驟防止該項違反而發生。
在此情況下,該董事可被採取紀律行動,猶如其本身是持牌人一樣,惟有關董事屬會計專業人士或法律專業人士則除外。
2. 準備公司註冊處的 AML/CFT 視察
以下是 TCSP 持牌人在準備公司註冊處 AML/CFT 視察時應優先處理的主要範疇:
A. 建立穩健的 AML/CFT 制度及內部政策
AML/CFT 制度應以書面內部政策及程序正式記錄,列明 TCSP 在實務上如何落實其 AML/CFT 管控措施。在 AML/CFT 視察期間,公司註冊處會評估有關政策是否完整、是否反映現況,以及是否有足夠紀錄證明該政策在機構內獲得有效及一致的落實。
一套穩健且妥為記錄的 AML/CFT 框架,對香港 TCSP 持牌人而言至為重要。TCSP 持牌人須設立、維持並有效落實一套書面 AML/CFT 政策,而該政策應與其規模、業務性質及風險狀況相稱。
AML/CFT 政策應就以下主要範疇訂立有系統及清晰明確的程序:
- 客戶盡職審查措施;
- 客戶風險評估;
- 機構層面風險評估;
- 將客戶與制裁名單及指定人士及恐怖分子名單比對篩查,並就客戶的實益擁有人進行政治人物(下稱「PEPs」)篩查;
- 持續監察;
- 提交可疑交易報告的程序;
- 備存紀錄責任;
- 風險評估及風險管理;
- 內部政策、程序及管控措施的審計;及
- 僱員甄選程序。
公司註冊處於 2025 年 11 月 20 日發出的《信託或公司服務提供者牌照申請人/持有人注意事項》(Points to Note for Applicants / Holders of TCSP Licences)(下稱「2025 年注意事項」)指出,部分 TCSP 持牌人並未制定正式的書面 AML/CFT 政策聲明,亦有部分持牌人所採用的政策聲明在關鍵合規範疇欠缺足夠細節。公司註冊處特別期望 AML/CFT 政策能充分涵蓋以下常被遺漏的主要範疇:
- 機構層面風險評估
機構層面風險評估的規定由 2025 年 3 月 3 日生效的經修訂《打擊洗錢及恐怖分子資金籌集指引(信託或公司服務持牌人適用)》所引入。詳情請參閱本所文章「《打擊洗錢及恐怖分子資金籌集指引(信託或公司服務持牌人適用)》的主要修訂」。
AML/CFT 政策應就進行及維持機構層面風險評估訂立有系統的框架,包括以質量及數量分析識別和評估風險的書面程序。持牌人應考慮所有相關風險因素,以釐定整體風險水平及適當的風險緩減措施。機構層面風險評估必須經高級管理層審視及批准,並須定期覆核。一般而言,機構層面風險評估應至少每兩年進行一次,並在發生影響 TCSP 持牌人業務或風險承擔的重大觸發事件後進行。
- 客戶盡職審查及核實看似代表客戶行事的人
AML/CFT 政策聲明應載有清晰及詳盡的客戶盡職審查程序,包括識別及核實客戶與實益擁有人身分的具體規定。政策亦應訂明核實看似代表客戶行事的人所需的程序及文件,包括利用可靠及獨立來源核實該等人士的授權及身分。
- 適用於非面對面會面客戶的措施
如客戶沒有為身分識別的目的而現身,AML/CFT 政策應訂明額外的風險緩減措施,例如使用可靠的電子識別系統、對身分證明文件作獨立核實或認證,以及加強持續監察。
合規管理安排是另一重點範疇。TCSP 持牌人須委任合規主任及洗錢報告主任(下稱「洗錢報告主任」或「MLRO」),界定其角色與職責,並確保高級管理層對該等職能作出有效監督。如職員識別出可疑交易,政策應列明內部報告流程、合規事宜的處理方式,以及在有需要時如何向聯合財富情報組(下稱「聯合財富情報組」或「JFIU」)作出報告。
最後,TCSP 持牌人應確保定期檢討及更新 AML/CFT 政策,以反映監管發展、視察反饋意見,以及TCSP 持牌人的洗錢或恐怖分子資金籌集(下稱「洗錢/恐怖分子資金籌集」)風險及風險狀況的變化。
B. 遵守《打擊洗錢條例》下的客戶盡職審查規定
適用於 TCSP 持牌人的客戶盡職審查(下稱「盡職審查」或「CDD」)規定載於《打擊洗錢條例》附表 2,並在《TCSP 打擊洗錢指引》中作出闡釋。TCSP 持牌人必須按風險為本方法執行盡職審查措施,並保留紀錄以證明合規。
建立業務關係時的盡職審查措施
在建立業務關係之前,TCSP 持牌人必須:
- 識別客戶的身分,並根據可靠及獨立來源所提供的文件、數據或資料,核實客戶的身分;
- 如客戶有實益擁有人,識別該實益擁有人並採取合理措施核實其身分,包括了解法人或信託的擁有權及控制權結構;
- 取得有關業務關係的目的及擬具有的性質的資料;及
- 如有人看似代表客戶行事,識別及核實該人的身分,並核實其代表客戶行事的授權。
如未能保留證明已採取上述措施的文件證據,公司註冊處在視察中通常會視之為客戶盡職審查方面的缺失。
持續監察責任
盡職審查責任在整段業務關係期間持續適用。TCSP 持牌人必須進行持續監察,以:
- 定期覆核客戶資料,確保資料維持最新及準確;
- 識別擁有權、控制權、業務活動或風險狀況的變化;及
- 在識別出較高洗錢/恐怖分子資金籌集風險時,採取嚴格盡職審查(下稱「嚴格審查」或「EDD」)措施。
持續監察活動、風險重新評估及跟進行動均須妥為記錄及保存,作為審計線索的一部分。
非面對面會面客戶
《打擊洗錢條例》容許 TCSP 持牌人透過非面對面會面渠道建立業務關係。如客戶沒有為身分識別的目的而現身,TCSP 持牌人必須採取額外措施,以減低因此而增加的洗錢/恐怖分子資金籌集風險。
除《TCSP 打擊洗錢指引》第 4.10.2 段所指明的有限情況外,TCSP 持牌人必須至少採取以下其中一項措施:
- 以先前未曾使用的可靠及獨立資料,進一步核實客戶的身分;
- 採取補充措施,核實已取得的客戶資料;或
- 確保與有關交易相關的付款,是經由以客戶名義在認可機構開立的戶口作出,或經由在對等司法管轄區(須遵守與《打擊洗錢條例》附表 2 相若的 AML/CFT 規定)的機構開立的戶口作出。
僅依賴網上會面或身分證明文件副本,並不足以符合採取額外措施的規定。TCSP 持牌人應保留紀錄,以證明已採取哪一項(或哪幾項)額外措施。
C. 遵守《打擊洗錢條例》下的備存紀錄規定
根據《打擊洗錢條例》,TCSP 持牌人須備存與客戶盡職審查、持續監察、風險評估、篩查以及其他與交易相關的 AML/CFT 事宜有關的紀錄,包括客戶身分識別及核實紀錄、風險評估、篩查結果、資金來源或財富來源查證(如適用),以及內部決定的紀錄。
一般而言,該等紀錄應在業務關係結束後或非經常交易完成後保存至少五年。不論以電子或實體形式保存,紀錄均應穩妥儲存,並可隨時迅速調取。
TCSP 持牌人應定期覆核客戶檔案,確認紀錄完整及反映現況。一套清晰且妥善維護的審計線索,不僅有助符合《打擊洗錢條例》的規定,亦能讓TCSP 持牌人在公司註冊處視察期間從容、高效地作出回應。
D. 風險評估
風險評估是公司註冊處視察的另一重點。TCSP 持牌人應採用風險為本方法,即客戶盡職審查措施的程度,應與客戶或交易所構成的洗錢/恐怖分子資金籌集風險水平相稱。
根據《TCSP 打擊洗錢指引》第 2.4 段,在TCSP 持牌人整體層面,TCSP 應進行機構層面的洗錢/恐怖分子資金籌集風險評估,當中須顧及其業務的性質及規模。評估範圍一般包括客戶類別、所提供的服務、所涉及的司法管轄區、交付渠道(包括非面對面會面安排)所涉及的風險,以及內部因素,例如員工能否獲得持續的 AML/CFT 培訓及發展、合規及監管結果,以及內部或外部審計的結果。機構層面風險評估應每兩年覆核一次,並在 TCSP 持牌人的業務及風險承擔出現重大變化時予以更新。
除機構層面評估外,TCSP 持牌人亦須進行客戶層面的風險評估。該等評估有助釐定客戶屬低、中或高風險,並決定客戶盡職審查的程度。公司註冊處在視察時,往往會審視客戶風險評級是否有風險評估紀錄支持,以及較高風險評級是否已相應採取嚴格盡職審查措施。
正如「2025 年注意事項」所強調,視察中常見的問題之一,是持牌人未能證明確實已進行或記錄風險評估。為糾正此等不足,TCSP 應確保機構層面及客戶層面的風險評估均獲完整記錄,並附有清晰理據及佐證資料,以說明每項風險評級如何得出。
E. 對高風險客戶的嚴格盡職審查(EDD)
凡客戶或交易構成較高洗錢/恐怖分子資金籌集風險,便須採取嚴格審查措施。在公司註冊處視察期間,TCSP 持牌人應能透過其紀錄證明:觸發嚴格審查的原因、所採取的額外措施,以及該等措施如何應對所識別的風險。
常見的高風險情況包括:擁有權結構複雜的客戶、與較高風險司法管轄區有關連的客戶、政治人物(PEPs),或涉及現金密集型業務或代名人股東及代名人董事的安排。在此等情況下,TCSP 持牌人須超越標準客戶盡職審查的範圍,採取與風險水平相稱的額外客戶盡職審查措施。
實務上,嚴格審查可包括就客戶的背景、擁有權及控制權、資金來源或財富來源,取得更詳盡的資料及補充文件,以及進行更頻密或更深入的持續監察。在公司註冊處視察期間,TCSP 持牌人應能證明該等加強措施已獲妥為記錄。
F. 可疑交易報告規定
可疑交易報告是 AML/CFT 框架的關鍵一環。TCSP 持牌人應設有清晰的內部程序,以識別及報告涉及洗錢或恐怖分子資金籌集的懷疑。
如 TCSP 持牌人知悉或懷疑某項財產代表犯罪得益或與恐怖分子資金籌集有關,便應向聯合財富情報組提交可疑交易報告(下稱「可疑交易報告」或「STR」)。TCSP 持牌人應確保內部報告流程獲清晰界定並妥為記錄。職員應向洗錢報告主任(MLRO)報告任何與洗錢/恐怖分子資金籌集有關的可疑活動,並了解內部報告程序。
TCSP 持牌人必須確保職員嚴格避免作出任何可能損害調查的披露,即一般所稱的「通風報訊」,包括告知客戶已提交可疑交易報告,或暗示其活動正受審查。
結語
監管視察看似令人卻步,但只要 TCSP 持牌人以積極主動、有系統的方式落實 AML/CFT 合規,便能大大減低視察過程中的不確定性。透過維持清晰的政策及程序、確保職員獲得足夠培訓,以及保持文件紀錄反映現況,TCSP 持牌人便能證明其符合《打擊洗錢條例》及《TCSP 打擊洗錢指引》的要求。面對視察,持牌人應抱持透明及合作的態度;如發現有不足之處,TCSP 持牌人應與視察人員坦誠溝通,落實適當的糾正措施。
免責聲明:本刊物僅供一般資訊及參考之用。文中所載的觀點及評論並不構成法律意見或法律觀點,亦不應作為法律意見或法律觀點而加以依賴。
TCSP 持牌人 AML/CFT 合規清單
為協助 TCSP 持牌人將本文討論的重點轉化為可付諸實行的準備步驟,以下清單提供一項實用工具,用以評估視察準備狀況。清單旨在協助TCSP 持牌人識別常見不足之處、測試內部監控措施,並確保文件紀錄及流程在視察前已符合公司註冊處的期望。
管治及內部監控
- AML/CFT 政策聲明完整、反映現況,並切合TCSP 持牌人的業務情況。
- 已委任合規主任及洗錢報告主任(MLRO),人選清晰明確,並獲管理層支持。
- 報告流程及程序已書面記錄,並為職員所充分理解。
- 董事、擁有人或主要人員的變更,已在規定時限內向公司註冊處具報。
風險評估
- 機構層面的洗錢/恐怖分子資金籌集風險評估已書面記錄並定期覆核。
- 已為所有客戶完成客戶風險評估,並妥為記錄。
- 風險評級與所需的客戶盡職審查程度互相對應,例如已評估是否應採取嚴格盡職審查及持續監察。
- 在客戶或業務情況出現變化時,風險評估獲適時更新。
客戶盡職審查(CDD)
- 已使用可靠及獨立來源妥善核實客戶身分。
- 已識別、核實及記錄客戶的實益擁有人。
- 已核實看似代表客戶行事的人的身分,並已核實其代表客戶行事的授權。
- 已就高風險客戶及交易進行資金來源或財富來源查證。
嚴格盡職審查(EDD)
- 已清晰識別高風險客戶及交易,並對高風險客戶採取嚴格審查措施。
- 嚴格審查措施獲一致及相稱地落實。
- 已就透過非面對面會面方式接納的客戶採取額外的嚴格審查措施。
- 嚴格審查的決定及措施已獲清晰記錄。
篩查及持續監察
- 在接納客戶時及其後持續監察,就客戶及其實益擁有人(如適用)進行制裁、恐怖分子及政治人物(PEPs)篩查。
- 篩查結果及跟進行動均有紀錄。
- 已進行持續監察,確保掌握最新及相關的客戶資料。
可疑交易報告(STR)
- 職員了解如何識別,並向高級管理層報告可疑活動。
- 向洗錢報告主任作內部報告的程序清晰並獲遵行。
- 在有需要時,已從速向聯合財富情報組(JFIU)提交可疑交易報告。
- 職員知悉「通風報訊」屬刑事罪行,並應加以避免。
備存紀錄
- 客戶盡職審查、嚴格盡職審查、篩查結果及風險評估的紀錄完整,並獲妥善保存。
- 紀錄在業務關係結束後或交易完成後保存至少五年。
職員培訓
- 定期向職員提供足夠的 AML/CFT 培訓。
- 培訓的範圍及頻率應切合 TCSP 持牌人所面對的特定風險,並按職員的工作職能、職責及經驗提供。
- TCSP 持牌人應備存培訓紀錄,詳列參與培訓的職員姓名、培訓日期及培訓類型,並保存至少三年。
免責聲明:本刊物僅供一般資訊及參考之用。文中所載的觀點及評論並不構成法律意見或法律觀點,亦不應作為法律意見或法律觀點而加以依賴。
KYC Management 如何為您提供協助
KYC Management 專為 TCSP 持牌人而設,讓TCSP 持牌人能在數分鐘內(而非數小時)完成整個 AML/CFT 流程。由客戶盡職審查、風險評估,以至篩查及持續監察,KYC Management 將傳統上繁複的人手 AML/CFT 流程,轉化為簡便、合規及高效的工作流程。
透過消除零散及人手操作的程序,KYC Management 讓TCSP 持牌人能更快接納客戶、降低合規風險,並在不影響監管標準的前提下提升營運效率。
我們的主要功能包括:
- 客戶開戶平台(Client-Facing Portal): 您的客戶可安全登入並上載所需文件,大幅減省往來電郵的時間,加快客戶開戶(onboarding)流程。
- 全面的 AML 篩查數據庫: 將個人及企業與制裁名單、政治人物(PEPs)、金融監管機構、執法機構及負面新聞名單比對篩查,涵蓋 230 多個司法管轄區及 43,000 多個全球來源的實時數據。
- 自動提醒功能,絕不錯過任何期限: 系統可就週年客戶盡職審查覆核及即將到期的文件提供自訂提醒,並與我們的 CDD 平台無縫整合,令跟進及持續管理工作更快捷、更輕鬆。
如欲進一步了解 KYC Management 如何支援 TCSP 持牌人,請瀏覽本網站的「信託或公司服務提供者」專頁。
預約示範
如欲了解 KYC Management 如何協助TCSP 持牌人強化 AML/CFT 管控措施、提升視察準備狀況及減省營運負擔,立即預約示範,親身體驗平台的實際運作。
參考資料
如欲進一步了解香港 TCSP 發牌、合規責任及打擊洗錢指引的資訊,請參閱以下官方資源:
- 《打擊洗錢及恐怖分子資金籌集條例》(香港法例第 615 章)
- 香港公司註冊處於 2025 年 3 月發出的《打擊洗錢及恐怖分子資金籌集指引(信託或公司服務持牌人適用)》(「《TCSP 打擊洗錢指引》」)
- 香港公司註冊處於 2025 年 5 月發出的《信託或公司服務提供者發牌指引》
- 香港公司註冊處於 2024 年 12 月 6 日發出的《回應者較常提出的問題及公司註冊處的回應》
- 香港公司註冊處於 2025 年 11 月 19 日發出的《信託或公司服務提供者牌照申請人/持有人注意事項》(Points to Note for Applicants / Holders of TCSP Licences)
立即簡化您的 AML/CFT 工作流程
KYC Management 讓TCSP 持牌人能在數分鐘內(而非數小時)完成整個 AML/CFT 流程。由客戶盡職審查、風險評估,以至篩查及持續監察,KYC Management 將傳統上繁複的人手 AML/CFT 流程,轉化為簡便而合規的工作流程。
有興趣了解更多?與我們聯絡
Simplify Your AML/CFT Workflow Today
KYC Management enables firms to complete the entire AML/CFT process in minutes - not hours. From customer due diligence and risk assessments to screening and ongoing monitoring, KYC Management expedites traditionally manual and complex AML/CFT processes into a simple and compliant workflow.
Interested in learning more? Let's talk