第 5 章:AML/CFT 合规体系
DAX 在马来西亚是 AMLA 2001 下的”申报机构(reporting institution)“,反洗钱/反恐融资(AML/CFT)合规是底线,做不到一切免谈。
5.1 你的法定义务
flowchart LR
KYC[客户尽调 CDD/KYC] --> Risk[风险评级]
Risk --> Monitor[持续交易监控]
Monitor --> Detect[识别可疑交易]
Detect --> STR[向FIED提交STR/SAR]
KYC --> Record[记录保存]
Monitor --> Record
依据 AMLA 与 SC 的 AML/CFT 指引,你必须:
- 客户尽职调查(CDD / KYC):开户即验证身份。
- 风险分级:对客户、产品、地域做风险评估。
- 强化尽调(EDD):对高风险客户、PEP(政治公众人物)加强审查。
- 持续监控:监测交易模式,发现异常。
- 可疑交易报告(STR/SAR):向 BNM 的 金融情报与执法部(FIED) 申报。
- 记录保存:客户与交易记录通常需保存至少 6 年。
- 制裁名单筛查:对接联合国/本地制裁名单,封堵受制裁实体。
5.2 KYC 落地要点
| 客户类型 | 至少收集 |
|---|---|
| 个人 | 全名、身份证/护照、住址证明、自拍/活体验证、资金来源 |
| 企业 | 注册文件、董事/股东、UBO 穿透、授权人 |
- 推荐对接电子身份验证(e-KYC)/ 活体检测与第三方 KYC 服务商。
- 对链上地址做区块链分析(如对接 Chainalysis/Elliptic 类工具)筛查涉黑地址。
- 明确风险偏好政策:哪些国家/客户/币种不接。
5.3 组织与人员
- 委任专职 AML 合规官(AMLCO / MLRO),有权独立向董事会和监管报告。
- 设立合规职能,独立于业务部门。
- 全员定期 AML/CFT 培训并留痕。
- 定期独立审计 AML 体系有效性。
5.4 政策与文件清单(SC 申请要交)
- 企业级AML/CFT 政策与程序手册。
- 风险评估方法论(客户/产品/渠道/地域)。
- CDD/EDD 流程与触发条件。
- 交易监控规则与告警阈值。
- STR 上报流程与内部升级机制。
- 制裁筛查流程。
- 培训计划与独立审计安排。
5.5 数据保护(别忘了 PDPA)
KYC 收集大量个人资料,须遵守 《2010 个人资料保护法》(PDPA):合法收集、明确用途、安全存储、限制跨境传输、保留期限管理。
本章小结 / 行动项
- 任命专职 AMLCO,确立独立汇报线。
- 编写 AML/CFT 政策手册 + 风险评估方法论。
- 选型并集成 e-KYC、制裁筛查、链上分析工具。
- 设计交易监控规则与 STR 上报流程。
- 安排全员培训与年度独立审计。
- 建立符合 PDPA 的数据保护流程。
➡️ 下一章:技术与网络安全要求