一、AML/CFT 核心合规原则(三地通用)
风险为本原则:按客户、业务、交易的风险等级实施差异化管控,高风险场景(如政治公众人物、敏感地区交易)需强化审查;
穿透式监管要求:无论股权 / 架构如何嵌套,需穿透识别最终受益人(UBO),持股≥25% 或实际控制人必须全面披露;
法定强制义务:未建立 AML/CFT 体系、未履行报告义务将面临巨额罚款、账户冻结甚至刑事追责;
国际标准对齐:三地均需符合 FATF 第四轮互评估要求,2025-2027 年 FATF 第五轮互评估将重点核查合规有效性。
二、分地区 AML/CFT 核心要求详解(2025 最新规则)
(一)开曼群岛(CIMA 监管主导)
合规事项 | 具体要求 | 操作流程 | 核心材料 / 系统 |
合规体系搭建 | 1. 任命专职 AML/CFT 合规官(需 CIMA 认可资质); 制定书面政策手册(含风险评估、客户尽职调查、交易监控、违规处理流程);>3. 每年开展至少 1 次独立合规审计 | 1. 合规官备案:向 CIMA 提交任职证明及资质文件; 政策备案:注册后 3 个月内提交 CIMA 复核;. 审计报告:财年结束后 4 个月内提交 | 《AML/CFT 政策手册》、合规官资质证明、独立审计报告 |
客户尽职调查(CDD) | 1. 普通 CDD:核实客户身份(个人护照 / 企业注册文件)、UBO 穿透信息、业务目的;2. 强化 CDD(ECDD):适用于政治公众人物(PEP)、FATF 高风险辖区客户、虚拟资产交易,需额外核查资金来源、负面信息筛查;. 持续监控:每 1-3 年复核客户信息,高风险客户每 6 个月更新 | 1. 信息收集:通过 KYC 问卷 + 第三方背调工具核实;>2. 风险评级:按低 / 中 / 高三级标注客户风险;3. 动态更新:客户信息变更后 15 天内完成复核 | 客户身份文件、UBO 穿透报告、资金来源证明、风险评级表 |
交易监控与报告 | 1. 建立交易监控系统,设置异常阈值(如单笔超 10 万美元、频繁小额转账累计超 50 万美元);2. 可疑交易报告(STR):发现洗钱 / 恐怖融资迹象后,48 小时内通过 CIMA 指定系统提交; 虚拟资产 VASP 需遵守 “旅行规则”,跨平台转账需传输发起人与接收人完整信息 | 1. 系统部署:使用 CIMA 认可的监控软件(如 Strix 系统);2. 报告流程:合规官审核后提交,留存报告记录;>3. 数据留存:交易记录及监控日志保存至少 7 年 | 交易流水、异常交易分析报告、STR 提交回执 |
特殊行业额外要求 | 1. 虚拟资产服务提供商(VASP):2025 年 4 月 1 日起需取得 CIMA 牌照,6 月 29 日前完成存量申请;2. 基金类公司:需披露投资人资金来源,禁止接受匿名投资;. 金融服务机构:需按季度提交 AML/CFT 合规报告 | 1. VASP 牌照申请:提交业务计划书、合规体系文件、资本金证明;2. 季度申报:通过 CIMA 官网提交合规执行情况;3. 专项备案:高风险业务需提前向 CIMA 报备 | 牌照申请材料、季度合规报告、业务合规承诺书 |
未履行 CDD 义务:罚款 1-5 万美元;
未及时提交 STR:每日罚 1000 美元,上限 10 万美元;
无牌经营 VASP 业务:罚款最高 50 万美元,负责人可能面临监禁。
(二)BVI(英属维尔京群岛)
合规事项 | 具体要求 | 操作流程 | 核心材料 / 系统 |
合规体系搭建 | 1. 任命洗钱报告官(MLRO),需在 BVIFSC 备案; 制定 AML/CFT 政策,涵盖风险评估、客户筛查、员工培训等模块; 员工培训:每年至少开展 1 次 AML/CFT 培训,留存培训记录 | 1. MLRO 备案:提交任职资格证明及无犯罪记录;>2. 政策制定:需符合《2023 年 VASP AML/CFT 指南》要求;3. 培训实施:线上 + 线下结合,培训后进行考核 | MLRO 备案回执、AML/CFT 政策文件、员工培训记录及考核结果 |
客户尽职调查(CDD) | 1. 普通 CDD:简化适用于低风险场景(如 FATF 低风险辖区、单月交易<1 万美元),可仅提供 1 种身份证明;. 强化 CDD(ECDD):针对跨境支付、高价值交易、匿名币交易,需穿透核查至实际控制人,要求提供商业合同证明交易真实性;. 禁止接受匿名客户或第三方代持资金 | 1. 风险判定:参考 BVIFSC 发布的风险辖区名单;2. 背调执行:通过合规数据库筛查客户是否涉及洗钱案件; 记录留存:CDD 材料保存至少 5 年 | 客户身份文件、交易目的证明、第三方背调报告 |
交易监控与报告 | 1. gaming 行业:现金交易超 3000 美元需专项记录;2. VASP:虚拟资产交易超 1000 美元需触发监控,跨平台转账需遵守 “旅行规则”; 可疑交易报告(STR):通过 BVIFSC 指定系统提交,24 小时内响应监管问询 | 1. 阈值设置:按行业类型设定交易监控阈值;2. 报告流程:MLRO 审核后提交,重大可疑交易需同步书面报告;. 协作配合:监管核查时需 7 日内提供完整交易记录 | 交易明细、监控告警日志、STR 报告回执 |
信息报备与更新 | 1. 通过 VIRRGIN 平台报备 AML/CFT 合规负责人信息,变更后 30 天内更新; 每年 4 月 30 日前提交年度 AML/CFT 合规报告,说明风险评估结果、违规处理情况;3. 新增高风险业务需提前 30 天向 BVIFSC 报备 | 1. 平台操作:由持牌秘书公司协助完成 VIRRGIN 平台报备;2. 报告编制:需附独立审计意见;. 业务备案:提交高风险业务合规方案 | 年度合规报告、审计意见、业务备案申请表 |
MLRO 未备案或培训缺失:罚款 3000-1 万美元;
未遵守 “旅行规则”:罚款 5000-2 万美元;
故意隐瞒可疑交易:罚款最高 20 万美元,公司可能被吊销注册。
(三)塞舌尔
合规事项 | 具体要求 | 操作流程 | 核心材料 / 系统 |
合规体系搭建 | 1. 任命合规负责人,无需强制备案,但需具备 AML/CFT 专业资质; 制定基础合规政策,至少包含客户筛查、交易监控、STR 报告流程;3. 建立风险评估机制,识别业务中的洗钱 / 恐怖融资风险 | 1. 人员任命:内部发文明确合规负责人职责;>2. 政策制定:参考《2020 年 AML/CFT 法案》模板;3. 风险评估:每年至少开展 1 次全公司风险评估 | 合规负责人任命文件、AML/CFT 政策手册、风险评估报告 |
客户尽职调查(CDD) | 1. 普通 CDD:核实客户身份及 UBO 信息,个人客户需提供护照 + 地址证明,企业客户需提供注册文件;>2. 强化 CDD(ECDD):适用于敏感行业(跨境支付、金融服务)、高风险辖区客户,需额外核查资金来源及交易真实性;. 禁止与匿名实体或 FATF 黑名单辖区客户开展业务 | 1. 材料收集:由客户提供原件扫描件,必要时进行公证;>2. 真实性核验:通过官方渠道核实身份文件有效性;3. 风险标注:在客户档案中明确风险等级 | 客户身份文件、UBO 声明书、资金来源证明 |
交易监控与报告 | 1. 使用 GoAML 系统提交可疑交易报告(STR),发现可疑迹象后 72 小时内完成提交;2. 建立交易台账,记录单笔超 5 万美元交易的对手方信息、交易目的;3. 银行账户资金异动需及时与开户银行协作核查 | 1. 系统注册:向塞舌尔金融情报机构(FIU)申请 GoAML 账号;. 监控执行:人工 + 系统结合,重点监控无合理目的的大额转账; 报告跟进:提交 STR 后需配合 FIU 后续调查 | 交易台账、GoAML 系统账号、STR 提交凭证 |
年度合规要求 | 1. 每年 1 月 31 日前提交年度合规声明,确认 AML/CFT 政策执行情况;>2. 敏感行业公司需额外提交独立合规审计报告;3. 业务实质材料与 CDD 材料同步留存,以备监管抽查 | 1. 声明提交:由合规负责人签署后通过邮件提交至 FIU;2. 审计安排:聘请塞舌尔认可的审计机构开展审计;. 材料留存:所有合规文件保存至少 5 年 | 年度合规声明、审计报告、业务实质证明文件 |
未建立合规体系:罚款 2000-5000 美元;
未通过 GoAML 提交 STR:罚款 1000-3000 美元;
与黑名单辖区客户交易:罚款最高 10 万美元,账户将被冻结。
三、AML/CFT 合规核心操作流程(三地通用)
前期筹备(注册后 1 个月内):
任命合规负责人 / MLRO,明确职责权限;
制定 AML/CFT 政策手册,完成内部审批;
部署交易监控系统或工具,设置风险阈值。
客户准入环节(业务合作前):
收集客户身份及 UBO 信息,完成 CDD/ECDD 核查;
进行风险评级,标注低 / 中 / 高风险等级;
拒绝高风险且无法核实资金来源的客户。
交易存续环节(业务开展中):
实时监控交易流水,对异常交易触发告警;
定期复核客户信息,高风险客户缩短复核周期;
发现可疑交易及时启动内部调查,按要求提交 STR。
年度合规维护(与年度申报同步):
开展合规审计,识别政策执行中的漏洞;
完成员工 AML/CFT 培训及考核;
提交年度合规报告及相关备案材料。
监管应对环节(接到核查通知后):
按要求整理并提供 CDD 材料、交易记录、合规文件;
配合监管机构的现场检查或问询;
对违规问题及时整改并提交整改报告。
四、高风险场景合规管控要点
1. 虚拟资产业务(开曼 / BVI 重点监管)
必须取得对应牌照(开曼 CIMA 牌照、BVI VASP 备案);
严格遵守 “旅行规则”,跨平台转账需传输完整身份信息;
禁止交易匿名币(如门罗币、Zcash),或对其实施最严格的 ECDD;
定期向监管机构提交虚拟资产交易合规报告。
2. 政治公众人物(PEP)合作
实施最高级别的 ECDD,核查 PEP 的任职信息、资金来源合法性;
要求 PEP 提供书面声明,说明交易资金与职务无关;
建立 PEP 交易专项审批流程,由高级管理层签字确认;
每 6 个月对 PEP 客户进行一次全面风险复核。
3. 跨境大额交易
单笔超 10 万美元或累计超 50 万美元的交易需专项记录;
核查交易对手方身份及交易目的,要求提供商业合同等证明;
对来自 FATF 高风险辖区(如伊朗、缅甸)的交易额外进行资金来源穿透;
留存跨境交易的所有凭证,包括汇款指令、物流单据(如适用)。
4. 空壳公司 / 持股公司
出具《业务目的声明》,说明股权持有或资金结算的合理商业逻辑;
穿透核查背后实际控制人及资金最终用途;
禁止为无实际业务的空壳公司提供大额资金转移服务;
每年提交持股结构变动报告,说明股权变更的合法性。
五、2025 年合规避坑指南
避免常见违规情形:
勿简化高风险客户的 CDD 流程,如未核查 PEP 资金来源;
勿拖延 STR 报告,超过时限将面临高额罚款;
勿使用无资质的合规负责人,开曼 / BVI 对 MLRO / 合规官资质有明确要求;
勿隐瞒高风险业务,新增业务需提前报备监管机构。
核心避坑建议:
工具适配:使用监管认可的监控系统(如开曼 Strix、塞舌尔 GoAML),避免手动监控遗漏;
专业支持:聘请本地 AML/CFT 顾问,尤其虚拟资产、金融服务等敏感行业;
动态适配:关注 FATF 第五轮互评估进展(开曼 2027 年评估),提前优化合规体系;
材料留存:所有 CDD 材料、交易记录、合规报告按要求留存 5-7 年,避免核查时无法提供。
与年度维护的衔接要点:
年度申报时同步提交 AML/CFT 合规报告(BVI / 塞舌尔);
通过 VIRRGIN/BOT 平台及时更新合规负责人、MLRO 信息;
年度牌照费缴纳前确保 AML/CFT 合规无违规记录,否则可能影响存续;
业务实质材料与 CDD 材料交叉验证,确保一致性(如贸易合同与交易流水匹配)。
