+86 186 2162 0853

2023年，管理局启动了对VASP的基于风险的反洗钱/反恐怖主义融资现场检查，旨在评估VASP的反洗钱/反恐怖主义融资政策、流程、系统及控制措施是否合规。通过现场检查，管理局核查VASP是否符合《反洗钱条例》（AMLRs）、《开曼群岛预防和侦查洗钱、恐怖主义融资及扩散融资指引说明》（2020年修订版，以下简称“反洗钱指引说明”，现修订版为2024年版）的要求，同时核查其是否符合其他适用法律法规及公认的最佳实践标准。核查内容包括VASP对“旅行规则”的遵守情况——即VASP需获取并留存虚拟资产转移相关的资金发起方和受益方信息。

截至目前，管理局从已开展的检查和审查中发现以下主要问题与观察结果：

（一）风险评估与基于风险的方法（RBA）应用

《反洗钱条例》第8条、《反洗钱指引说明》第二部分第3节及第九部分第1.C-D节，明确了VASP应如何评估风险并针对已识别的反洗钱/反恐怖主义融资风险应用基于风险的方法（RBA）。

管理局发现，部分VASP的客户风险评估要么未形成文件记录，要么未能证明已考虑所有相关风险因素且保持更新。

同时，部分VASP的业务风险评估与客户风险评估不仅未充分形成文件记录或未及时更新，且未涵盖所有关键类别（即客户、运营司法管辖区、交易、交付渠道）的相关风险因素。

（二）依赖技术解决方案实现反洗钱/反恐怖主义融资合规

《反洗钱条例》第8条、《反洗钱指引说明》第二部分第3.D.13-17节、第3.G节及第16.E.14节，明确了VASP在依赖技术解决方案实现反洗钱/反恐怖主义融资合规时应考量的因素。

管理局发现，部分VASP未对技术解决方案开展风险评估及充分的有效性验证审查，以确保这些方案有效运行。此类技术解决方案包括制裁与负面媒体筛查工具、电子客户身份验证（e-KYC）系统、交易监控系统及链上分析工具等。

（三）客户尽职调查与持续监控计划

《反洗钱条例》第10-28条、《反洗钱指引说明》第二部分第4-6节、第16节及第九部分第1.E-F节，对客户身份识别、验证及持续监控作出了规定。

管理局发现，部分VASP的客户尽职调查材料缺失，且未使用可靠、独立的文件、数据及信息对客户档案进行验证——包括未将法人客户的组织文件作为身份识别与验证流程的组成部分。

在《反洗钱条例》《反洗钱指引说明》及VASP自身政策流程均要求开展强化客户尽职调查（EDD）的场景下，部分VASP未落实该要求。此外，管理局还发现，部分VASP未制定关于强化客户尽职调查（EDD）的书面流程，也未制定识别和验证法人客户受益所有人及控制该法人客户的董事身份的流程。

对于部分VASP而言，即便客户属于政治公众人物，或已识别出异常或可疑活动，仍未对这类客户开展强化客户尽职调查（EDD）；另有部分客户来自经可信来源（如反洗钱金融行动特别工作组FATF、世界银行）认定为反洗钱/反恐怖主义融资体系存在严重缺陷或腐败问题高发的国家，但相关VASP同样未对这类客户开展强化客户尽职调查（EDD）。

管理局还发现，部分VASP未及时（或未）对业务关系进行持续监控，缺乏交易审查证据，且员工对VASP交易监控系统的理解不足、未及时上报异常情况；同时，部分VASP未制定业务关系存续期间法定货币交易审查流程，无法确保交易符合其对客户的了解。

（四）制裁合规

《反洗钱条例》第5(a)(v)条、第5(a)(viiib)条，以及《反洗钱指引说明》第二部分第13-15节、第九部分第1.H节，明确了制裁合规政策、流程、系统及控制措施的要求。

管理局发现，部分VASP要么缺失与制裁风险相关的政策流程，要么所采用的政策流程并不适用于开曼群岛；部分流程未包含特定场景下的义务要求，如冻结资金及向财务报告局（FinancialReportingAuthority）报告的义务。

管理局还观察到，部分VASP在客户准入阶段及持续服务阶段，未对所有客户开展制裁筛查，相关证据不足；同时，对姓名匹配结果的记录不完整，对警报解除或驳回的理由记录也不充分。在部分案例中，VASP关于链上交易警报处理的政策流程存在缺陷——未明确哪些人员有权批准高风险敞口相关交易，也未明确如何处理与受制裁实体及受制裁司法管辖区相关的风险敞口。

（五）合规职能监督

《反洗钱条例》第3(1)条、第5(e)条，以及《反洗钱指引说明》第二部分第2(C)节、第(2)条、第(5)条，要求VASP指定一名管理层人员担任反洗钱合规官（AMLCO），该合规官需定期直接向董事会（或同等决策机构）汇报。

管理局发现，部分VASP的董事会对反洗钱/反恐怖主义融资合规职能的监督不足。例如，董事会会议材料及会议纪要未显示曾讨论反洗钱/反恐怖主义融资相关问题，且缺乏董事会已批准或审查反洗钱政策流程的证据。

（六）外包反洗钱/反恐怖主义融资合规职能

《反洗钱条例》第3(2)条，以及《反洗钱指引说明》第二部分第2(C)节、第(9)-(14)节、第10(C)节，规定了VASP在依赖外包（或委托）方式履行反洗钱/反恐怖主义融资合规职能（包括集团内部安排）前及之后应满足的要求和/或需考量的因素。

管理局发现，部分VASP未签订外包协议，而此类协议本应能证明VASP仍对反洗钱/反恐怖主义融资合规义务承担最终责任。

（七）独立反洗钱/反恐怖主义融资审计职能

《反洗钱条例》第5(a)(ix)条，以及《反洗钱指引说明》第二部分第10(B)节、第九部分第1.D节，要求VASP建立适当、有效的基于风险的独立审计职能，定期开展反洗钱/反恐怖主义融资审计，以评估反洗钱/反恐怖主义融资系统或控制措施的有效性。

管理局发现，部分VASP未开展反洗钱/反恐怖主义融资审计，另有部分VASP的审计工作并非由具备运营独立性的人员执行。

（八）员工培训与认知

《反洗钱条例》第5(c)条、第5(d)条，以及《反洗钱指引说明》第二部分第10(E)节，还对反洗钱/反恐怖主义融资员工培训及认知的指导要求和/或强制性要求作出了规定。

管理局注意到，部分VASP的反洗钱/反恐怖主义融资培训未涵盖与开曼群岛相关的监管框架——例如，培训材料有时通用性过强，或仅提及其他司法管辖区的监管要求。

（九）记录留存与“旅行规则”合规

《反洗钱指引说明》第二部分第8节规定了包括VASP在内的所有金融服务提供商（FSP）的一般记录留存要求，以证明其符合《反洗钱条例》第5条及第VIII部分的规定。《反洗钱条例》第31条、第49A-P条，以及《反洗钱指引说明》第九部分第1.G节、第1.J节，明确了VASP需维持的记录留存流程要求。此外，《反洗钱条例》第31(2)条及《反洗钱指引说明》第二部分第8(E)节再次强调，VASP应确保管理局可应要求获取这些记录。

管理局发现，部分VASP在员工反洗钱/反恐怖主义融资/反扩散融资（AML/CFT/CPF）培训记录留存方面存在漏洞，无法证明已向员工提供充分培训。

部分VASP缺乏记录管理系统，而此类系统本应确保能及时、无延迟地向管理局提供所需信息（如客户尽职调查证据、交易记录、制裁筛查记录等）。管理局还发现，某一VASP未留存其在法定货币交易持续监控过程中开展的任何分析结果记录；另有一VASP缺乏确保“旅行规则”合规的制度与流程。

此外，部分VASP在虚拟资产转移过程中，未充分验证所获取的资金发起方及受益方信息；同时，部分VASP存在季度“旅行规则”报告提交延迟的情况。

（十）其他发现

2025年6月5日，某一家VASP的登记资格被撤销。该VASP存在以下方面的缺陷，同时违反了《公司治理规则》《内部控制规则》及《虚拟资产服务提供商法》中关于文件与信息调取的规定：

公司治理：董事会未能确保VASP的业务运营符合适用法律、规则、条例及监管措施的要求；

内部报告：未能确保所有员工向洗钱报告官（MLRO）报告异常或可疑活动，且未能确保洗钱报告官（MLRO）开展的调查工作形成书面记录；

资金来源：未能按照自身政策流程了解客户的资金来源；

独立审计职能：未能维持独立审计职能，以检验VASP反洗钱/反恐怖主义融资系统及控制措施的整体完整性与有效性；

客户协议：未能留存经签署的客户协议，以明确客户与VASP之间业务关系的性质。