什么是合规风险评估?
Compliance risk assessment是以监管要求与业务真实流程为基准,对企业在反洗钱/反恐融资(AML/CFT)、制裁合规、客户尽调(CDD/EDD)、交易监控(TM)、可疑交易报告(STR)、数据与隐私、外包管理、员工操守与营销合规等领域的风险进行识别、量化、验证与排序的专业服务。
港信通的评估目标不是“写一份报告”,而是形成:可执行的整改路线图 + 可审计的证据包 + 可复用的风控/合规模型,以支撑:
- 牌照申请/续牌(例如香港MSO相关准备)
- 银行开户与账户维系(合规问卷、KYC包、审计抽查)
- 监管检查/现场审查的材料与闭环
- 跨境业务扩张(新增国家/地区、渠道、币种、产品)
评估范围(按监管常见检查口径)
董事会/高管监督、合规与MLRO职责、内部审计覆盖、会议纪要与决策证据。
开户标准、Beneficiary identification、PEP/制裁筛查、增强尽调触发、持续尽调与重检机制。
跨境收付、代理/商户、现金等价物、虚拟资产接触面、合作渠道与中介引入。
规则/模型覆盖率、阈值合理性、误报/漏报、案例管理、处置时效与升级路径。
名单来源、更新频率、命中处理、二次筛查、豁免与记录保存。
KYC与交易记录留存、STR流程、监管报表与对外审计资料一致性。
KYC/筛查/支付通道/云服务外包尽调、SLA、审计权、分包管理与退出预案。
数据分级分类、访问控制、日志与审计、跨境传输、隐私政策与告知同意。
营销话术、费率披露、风险揭示、投诉处理、误导性陈述与禁止承诺收益风险。
如企业涉及跨境场景,建议同步评估跨境合规要求与落地路径:Cross-border business compliance。
如涉及用户数据、身份信息与跨境传输,建议联动:Data security assessment、Personal information protection、GDPR Compliance Consulting。
方法论:RBA量化评分 + 证据驱动验证
港信通采用风险为本(Risk-Based Approach, RBA)的量化框架,通常以“固有风险(Inherent Risk)×控制设计(Design)×控制执行有效性(Operating Effectiveness)→剩余风险(Residual Risk)”为主线,确保评估结果可解释、可对比、可复盘。
1)固有风险识别
- business:产品类型、Fund flow、交易频次与金额分布
- client:行业、身份、受益人结构、是否存在PEP/高风险国/复杂控制权
- 地域:高风险司法辖区、制裁相关国家/地区暴露
- 渠道:线上/线下、代理/中介、API接入与自动化程度
2)控制体系验证
- 制度与程序:是否覆盖关键场景、是否一致、是否可执行
- 系统与数据:KYC、筛查、TM、案例管理、日志留存
- 样本穿行测试:抽取客户与交易样本,验证从识别→预警→处置→留痕的闭环
3)剩余风险分级与整改排序
- 按影响(监管/刑责/声誉/资金)×发生可能性×可检测性,形成风险热力图与整改优先级(P0/P1/P2)
- 把“监管不可接受风险”与“可容忍但需优化风险”区分,避免资源错配
如需要工具化落地,可对接:risk assessment system、KYC identity verification system、eDon TM Transaction Monitoring System。
交付物:给监管、银行与审计都看得懂的“证据包”
范围、方法、样本、发现、评级、证据索引与结论,支持董事会汇报。
按业务线/产品/国家/客户类型拆分,给出剩余风险与整改优先级。
逐条映射监管要求与内部控制,列明缺口、根因与整改建议。
制度、process、system、personnel、培训与外包治理的分阶段计划与里程碑。
KYC样本、交易样本、告警处置链路与留痕截图/日志清单。
责任人、期限、验收标准与复核机制,便于形成闭环与对外披露。
如企业同时面临税务信息交换、跨境架构与申报压力,可联动:CRS tax consulting、BEPS Compliance Consulting,将“交易合规”与“税务合规”在数据口径与留存策略上打通。
实施流程与周期(可插拔)
确认业务边界、国家/地区、系统清单、样本口径、访谈名单与交付标准。
获取政策程序、风控规则、Organizational structure、报表、审计记录与第三方合同等。
围绕开户、筛查、early warning、处置、STR、留存开展端到端验证与取证。
对标监管与行业最佳实践,形成热力图、登记册与整改优先级。
制度/流程/系统/人员/外包五条线并行,明确里程碑与验收标准。
按MAP复核整改效果,补齐证据链,并输出对外沟通口径。
费用与预算参考(香港MSO相关场景)
以下为香港MSO常见筹备与合规落地的预算参考矩阵(不含业务保证金/运营资金要求;具体以业务复杂度、股东结构、系统现状与监管沟通强度为准)。
| Expense Category | project | Reference amount (HKD) | illustrate |
|---|---|---|---|
| 政府规费 | 申请费(Application) | 3,310 | 以香港监管部门最新要求为准 |
| 政府规费 | 适当人选审查(Fit & Proper) | 860/people | 按关键人员数量计费 |
| 基础成本 | 公司注册与秘书服务 | 8,000–15,000 | 视公司结构与服务范围而定 |
| 基础成本 | 办公室/营运场所 | 20,000–80,000/year | 根据地段、工位与合规存档需求调整 |
| 顾问/机构服务 | MSO整体服务(筹备+对接+材料) | 60,000–150,000 | 取决于业务复杂度与是否需多轮补件 |
| 顾问/机构服务 | AML制度与文档包 | 20,000–80,000 | 含风险评估、政策程序、表单与留存模板等 |
| 合计参考 | standard interval | 150,000–400,000 | 典型筹备区间,最终以项目评估为准 |
若同时需要开户支持,可参考:Hongkong (HSBC/Standard Chartered/Hang Seng)Open an account。
FAQ:企业最常问的合规风险问题
内部审计更强调对既定制度的独立性检查;合规风险评估更强调以监管口径识别固有风险与控制缺口,并给出可落地的整改路线图与证据链,适用于牌照/开户/监管检查准备。
需要。监管与银行通常关注“是否执行、是否有效、是否可追溯”。评估会通过样本穿行测试验证KYC、筛查、TM、案例处置、留存与报告是否形成闭环。
评估以资料审阅、访谈与抽样验证为主,可在不干扰核心运营的情况下完成;对关键系统与流程的取证会提前排期,并通过清单化方式降低沟通成本。
Can。通常建议先完成风险分层与控制目标定义,再选择KYC/筛查/TM/AML-CRM等工具落地,以免“先上系统再改规则”造成返工。可参考:https://www.gxt-hk.com/dongchacha-aml-crm-system/。
重点包括:目标国家/地区风险、制裁暴露、资金路径与结算链路、第三方(代理/通道/商户)尽调、数据跨境与隐私告知、以及营销合规。建议联动:https://www.gxt-hk.com/cross-border-compliance/。