持牌保薦人如何建立穩健的反洗錢盡職審查框架

香港證監會（SFC）於2025年3月發佈《打擊洗錢及恐怖分子資金籌集指引（修訂本）》，明確將虛擬資產及數碼代幣交易納入持牌法團的客戶盡職審查（CDD）強制範圍。此修訂直接回應金融行動特別工作組（FATF）第15項建議的更新要求，並將於2025年9月30日全面生效。對於持牌保薦人（SFC 6/6號牌持牌人）而言，這意味著在處理涉及首次代幣發行（ICO）、證券型代幣發行（STO）或持有虛擬資產牌照的上市申請人時，其反洗錢（AML）盡職審查框架必須同步覆蓋傳統金融工具與新興數碼資產。本文將從監管要求、客戶接納程序、持續監察機制及跨境交易四個維度，剖析持牌保薦人如何構建一個符合2025年最新監管標準的穩健AML框架。

監管基礎：SFC《打擊洗錢指引》與《證券及期貨條例》第571章的合規交匯點

持牌保薦人的AML合規框架必須首先錨定於兩項核心法規：SFC《打擊洗錢及恐怖分子資金籌集指引》（下稱「AML指引」）以及《證券及期貨條例》（第571章）第XIII部關於客戶資產的條文。2025年修訂版的AML指引第4.1段明確要求持牌法團在建立業務關係前，須識別及核實客戶的實益擁有人（BO）身份，而對於上市申請人，此BO範圍需延伸至最終控制人鏈條上的所有自然人或信託受託人。保薦人必須取得申請人的公司組織章程大綱、董事登記冊及股東名冊（如適用），並對其中持股比例達25%或以上的股東進行穿透式查核。

此外，SFC於2024年11月發出的《有關保薦人在上市申請中的盡職審查責任的通函》（下稱「2024通函」）進一步強化了AML與保薦人盡職審查的聯動。該通函第12段指出，保薦人須評估上市申請人的資金來源是否涉及洗錢風險，尤其當申請人業務涉及高風險司法管轄區（如FATF公開聲明中列明的「呼籲採取行動」國家）或非傳統融資渠道（如加密貨幣融資）。實務操作上，保薦人應將AML風險評估結果直接納入上市申請的盡職審查工作底稿，並在提交A1表格時一併備存相關記錄。若發現任何紅旗（Red Flag），例如申請人無法提供資金來源的清晰書面證明，保薦人須立即上報SFC，並考慮是否終止保薦關係。

客戶接納程序：風險為本的CDD與強化盡職審查

風險評級模型的構建與校準

持牌保薦人應建立一套以風險為本（Risk-Based Approach, RBA）的客戶風險評級模型，該模型需涵蓋至少三個維度：地域風險、業務風險及交易風險。地域風險評級應參考SFC AML指引附表1中列出的「高風險及受制裁國家及地區」清單，並定期（建議每季度）更新以反映FATF的最新聲明。業務風險則需評估上市申請人的行業屬性，例如賭博、虛擬資產交易、跨境匯款等行業，根據SFC 2023年《打擊洗錢報告》的統計，此類行業的AML風險事件發生率較一般行業高出3.2倍。交易風險評級則應考慮申請人過往的資金流動模式，包括是否有頻繁的跨境轉賬、使用多層離岸公司結構（如BVI、Cayman、Bermuda）或涉及高額現金交易。

強化盡職審查（EDD）的觸發條件與執行標準

根據AML指引第5.3段，當客戶被評定為高風險、客戶為政治人物（PEP）或其家庭成員、或客戶資金來源涉及高風險司法管轄區時，保薦人須啟動強化盡職審查（EDD）。EDD的執行標準包括：取得客戶的資金來源證明文件（如銀行結單、投資組合報告、房地產買賣合約），並需由獨立第三方（如會計師事務所或律師行）進行驗證。對於涉及虛擬資產的上市申請人，保薦人須要求申請人提供其虛擬資產錢包地址的完整交易記錄，並由合資格區塊鏈分析機構（如Chainalysis或Elliptic）出具風險評估報告。SFC在2025年修訂指引中特別強調，保薦人不得僅依賴申請人自行提供的錢包截圖或聲明，必須取得可獨立驗證的鏈上數據。

持續監察機制：交易監控與定期覆審

交易監控系統的技術要求與數據來源

持牌保薦人須部署一套能夠實時監控上市申請人及其關聯方資金流動的交易監控系統。該系統應至少具備以下功能：自動標記高風險交易（如單筆超過HKD 800,000的跨境轉賬）、識別與受制裁實體（參照香港金管局（HKMA）發佈的《制裁條例》合規指引）相關的交易、以及監控交易頻率異常（如30日內超過5次與同一離岸實體的交易）。系統應直接接入HKMA的「貿易聯通平台」或SWIFT的制裁篩查服務，以確保數據來源的準確性與時效性。保薦人內部合規部門需每月生成交易監控報告，並對任何觸發警報的交易進行調查，調查結果須記錄於AML合規檔案中，保存期不少於7年（根據《打擊洗錢條例》第9條）。

定期覆審的頻率與深度

AML指引第6.1段規定，持牌法團須對客戶檔案進行定期覆審，頻率視風險評級而定：低風險客戶每36個月一次，中風險客戶每24個月一次，高風險客戶每12個月一次。對於上市申請人，保薦人應在整個上市過程（從委任至上市日）中維持至少每6個月一次的覆審頻率，並在上市申請出現重大變更（如更改保薦人、撤回申請、或申請人業務模式發生根本性變化）時立即啟動特別覆審。覆審內容應包括：更新客戶的實益擁有人資料、重新評估資金來源的合法性、以及檢查是否有任何新的AML紅旗出現。若覆審發現客戶評級需上調，保薦人須在30個工作日內完成EDD程序。

跨境交易與新興風險：虛擬資產與離岸結構的合規挑戰

虛擬資產交易的特殊盡職審查要求

2025年SFC AML修訂指引將虛擬資產服務提供者（VASP）明確納入受規管範圍，持牌保薦人在處理涉及VASP的上市申請時，須執行額外的CDD步驟。首先，保薦人須核實申請人是否持有由SFC發出的第1類及第7類牌照（即虛擬資產交易平台牌照），並檢查其牌照狀態是否有效。其次，對於申請人持有的虛擬資產，保薦人須取得由合資格託管人（如獲SFC發牌的信託或保管服務公司）出具的資產證明，並要求申請人提供其反洗錢政策及程序文件。SFC在2025年3月的《監管通訊》中明確指出，若申請人無法提供上述文件或託管安排不符合SFC《虛擬資產交易平台指引》的要求，保薦人應以書面形式向SFC報告，並暫停上市申請程序。

離岸結構的穿透式查核與FATCA/CRS合規

許多上市申請人採用BVI、Cayman或Bermuda等離岸公司作為上市主體，這對保薦人的AML框架構成重大挑戰。保薦人須要求申請人提供完整的離岸公司結構圖，包括所有中間控股公司的名稱、註冊編號、註冊地址及董事資料，並對每一層的實益擁有人進行穿透式查核。根據SFC 2024通函第8段的指引，保薦人應透過香港公司註冊處的「公司查冊」系統或第三方商業資料庫（如Dun & Bradstreet）核實離岸公司的背景。同時，保薦人須確保申請人符合《稅務條例》（第112章）第80A條關於共同匯報標準（CRS）的申報要求，即申請人須提供其稅務居民身份證明，並確認其離岸實體已向相關稅務機關申報最終實益擁有人資料。若申請人無法提供CRS合規證明，保薦人應將其視為高風險客戶，並啟動EDD程序。

結語與行動建議

持牌保薦人須將AML框架視為上市申請盡職審查的核心組成部分，而非獨立運作的合規程序。2025年SFC AML指引修訂及2024通函的發佈，已將AML合規的責任從後台合規部門延伸至前線保薦團隊，要求保薦人在客戶接納、盡職審查、持續監察及最終上市的所有階段，均須嵌入AML風險考量。以下是四項具體行動建議：

1. 立即更新內部AML政策：在2025年9月30日前，將虛擬資產交易、PEP背景審查及離岸結構穿透式查核的具體程序納入保薦人內部合規手冊，並確保所有合規人員完成相關培訓。

2. 部署自動化交易監控系統：投資可接入HKMA制裁名單及FATF高風險清單的實時監控系統，並設定至少5個自動觸發EDD的紅旗指標（如單筆交易超過HKD 1,000,000、30日內與3個以上離岸實體交易等）。

3. 建立與SFC的定期通報機制：在上市申請過程中，若發現任何AML紅旗，須在48小時內以書面形式向SFC市場監察部報告，並在A1表格中如實披露AML風險評估結果。

4. 強化第三方驗證要求：對於涉及虛擬資產、離岸信託或高風險司法管轄區的上市申請人，強制要求使用獨立第三方（如會計師事務所或區塊鏈分析機構）進行資金來源及資產驗證，並將相關報告作為工作底稿存檔。