01 — 监管机构实际评估什么
从「拥有」到「证明」的转变。
过去五年,亚洲的监管监督经历了根本性转变。问题不再是「贵方有政策吗?」, 而是「您能证明它有效吗?」
这一转变在本地区每家主要监管机构身上都清晰可见。
香港金管局已明确转向以成效为本的监管。近期执法行动 — 包括 2023–2025 年间 三家银行合计 1,600 万港元罚款 — 关注重点并非缺失政策,而是治理失效、高级管理层监督不足, 以及在文件中存在但在实践中失效的控制。
香港证监会已将有效性要求纳入 2024–2026 年战略重点。该周期的第三年 — 2026 年 — 正是证监会展示其优先事项成果之时。预计执法行动将成为成效的证据。
新加坡金管局(MAS)长期采用以成效为重的模式,其对香港及更广泛亚太监管方式的 影响显而易见。
三个评估层级
监管机构进行检查时,会在三个不同层级进行评估。
第一层:设计充分性
贵公司的政策与程序是否足以应对所面临的风险?风险评估是否相称?控制是否针对已识别的风险而设计?
第二层:运营有效性
这些控制在实践中是否真的有效?能否以证据与数据证明它们能预防或侦测危害? 它们的校准是否针对实际风险敞口,而非理论风险?
第三层:管理层监督
高级管理层是否积极治理该框架?是否有证据显示存在质询、资源分配,以及基于合规数据的决策? 董事会是否理解并承担相关风险?
大多数公司只针对第一层做准备。内部审计测试第一层及部分第二层。 监管机构评估全部三层 — 且对第二、第三层的权重日益加重。
检查差距,就存在于公司所准备的内容与监管机构所评估的内容之间。
02 — 五项最常见的检查发现
惊人一致的反复模式。
基于亚洲数十轮检查周期、监管审查与补救计划中观察到的模式,有五项发现以惊人的一致性反复出现。
发现一
风险评估与实际脱节
风险评估文件存在。董事会已批准。每年审阅。识别了正确的风险类别。
但它没有驱动任何事情。
客户风险评级与方法论之间的连结不清晰。监察阈值并非源自评估结论。资源分配未反映评估识别的优先事项。 增强尽职调查触发条件与评估强调的风险并不对应。
该评估成为一份摆设 — 为合规目的而产出,与运营现实脱节。
发现二
治理表演
合规委员会开会。记录会议纪要。涵盖固定议程项目。收到报告。
什么都没改变。
治理表演的标志:
- 记录收到信息但无任何质询或辩论的会议纪要
- 季复一季呈现相同指标却从未触发任何行动的 MI 包
- 没有任何证据显示该委员会曾推翻业务决定或上报关切事项
- 行动仅限于「继续监察」或「下次会议再审阅」
发现三
训练未能扎根
训练完成率达 100%。每位员工都已完成其年度 AML 模块。记录无可挑剔。
但当监管机构要求一线员工解释公司的风险偏好,描述若遇到正常模式之外的可疑交易该如何处理, 或说出公司前三大金融犯罪风险时 — 一片茫然。
发现四
MI 未能提供信息
管理信息到达董事会。仪表板存在。数据定期呈报。
但没有证据显示任何人据此采取行动。
典型的 MI 失败:
- 可疑交易报告(SAR)数量连续六个月下降。无人询问原因。
- Alert 转化为 SAR 的比率降至 1%。无人质疑监察是否有效。
- 客户风险评级严重偏向「中等」 — 这一分布在统计上显示模型缺乏区分能力。无人调查。
- 某业务部门训练完成率下降。无后续跟进记录。
发现五
理据未被记录
控制存在。阈值已设定。抑制规则启用中。风险评分权重已配置。
没人能解释为什么。
当初做决定的人三年前已离职。理据未被记录。现任团队继承了配置,从未改变 — 并非因为配置正确,而是因为他们不知道改动会破坏什么。
03 — 根本原因
将合规视为文件作业。
这五项发现共享同一根源:公司将合规视为文件作业,而非运营纪律。
文件陷阱
当合规以文件是否存在来衡量 — 政策已撰写、程序已存档、纪要已记录、训练已完成 — 激励的方向就是产出文件。而非确保这些文件反映现实。
结果是一个产出文件、却任由实践差距持续存在的合规职能。这些文件满足内部审计。 填满委员会资料包。完成监管申报。但它们既不能预防金融犯罪,也无法承受监管审视。
审计驱动的合规循环
许多公司的合规计划受其内部审计方法论塑造。审计测试控制设计与程序合规性。 合规团队知道这是被评估的内容,因此为审计结果优化。
审计奖励一致性。监管机构奖励有效性。
当审计成为主要的保证机制,合规职能就会无意识地为错误的受众而设计。 控制变得可审计而非有效。文件成为目的本身,而非手段。
文化层面
结构性问题之下,还有一层文化问题:在许多公司中,合规被理解为文件职能,而非风险管理职能。
合规团队产出政策、提交报告、维护记录。他们以产出衡量 — 文件数量、训练交付、行动关闭。 却不以成效衡量 — 风险已缓释、危害已预防、监管期望已达成。
这种文化定位使检查差距不可避免。若职能取向于产出而非保护,其输出将满足行政要求, 而运营层面的差距却仍未被处理。
04 — 弥补差距
从业者框架。
弥补检查差距需要从文件导向的合规根本转向以有效性为导向的合规。五个实务步骤。
独立于内部审计之外,进行独立审查,专门测试控制是否有效 — 而非是否存在。
有效性测试问:
- 贵方的交易监察系统是否能侦测与客户群相关的类型?以已知情境测试它。
- 贵方的 CDD 流程产出的信息,是否真的用于持续监察?或仅是收集后归档?
- 贵方的风险评估产出的评级是否能有效区分客户?还是所有人都聚集在中间?
- 贵方的上报程序是否能带来及时且适当的行动?追溯近期上报案例,从触发到解决全程。
这不是审计。这是验证。目标是识别贵方控制在运营层面空洞之处 — 文件上存在,实践中缺席。
将合规治理从报告作业转变为决策论坛。
实务机制:
- 要求每次委员会会议至少以一项决定或上报作结 — 而非仅是「知悉」
- 加入固定议程项目:「基于今天的数据,我们应该改变什么?」
- 追踪 MI 是否在规定时限内触发了行动
- 在纪要中记录质询与辩论 — 而不仅是出席与议程覆盖
- 以做出的决定衡量治理有效性,而非召开了多少次会议
重新设计管理信息,促使决策,而非被动传达。
有效的 MI 包括:
- 附带异常触发器的趋势分析 — 若某指标越过阈值,自动产生必需的响应
- 比较数据 — 贵方的 SAR 比率与同业基准相比如何?风险评级分布与行业常规相比又如何?
- 有效性指标 — alert 转化为 SAR 的比率、上报时效、按类型计的侦测率
- 决策提示 — 「此数据显示 X。可选项为 A、B 或 C。我们选哪个?」
落在桌上但不要求回应的 MI,不是管理信息。它是合规装饰。
进行带对抗式提问的内部模拟检查 — 不是照本宣科的演练,而是真实的压力测试。
有效的模拟:
- 使用对贵方框架不熟悉的外部审阅者
- 以短期限要求文件 — 测试检索能力
- 在没有事先准备的情况下访谈各层级员工
- 反复追问「为什么」 — 为何此阈值、为何此评级、为何此结构
- 测试解释是否在组织内部保持一致
- 识别书面记载与实际理解之间的差距
至少每年进行一次。若预期监管接触,频率应更高。
确保每项重大控制决策都附带理据记录 — 在决定的当下,而非事后重建。
包括:
- 为何监察阈值设定在该数值
- 为何风险评分权重如此配置
- 为何抑制规则存在,以及它们管理何种风险
- 当评级并不明显时,为何特定客户被评为某一风险等级
- 为何作出特定的资源分配决策
- 哪些数据或分析支持了每项决策
员工变动时,这些文档保存机构知识。当监管机构问「为什么」时, 贵方有的是基于分析的答案,而非继承下来的传说。
05 — 为 2026 做准备
监管方向。
2026 年带来三股汇聚的压力。
高级管理层问责
香港金管局已展现指名道姓识别治理失败的意愿。预计此举将超越银行业,延伸至证券与虚拟资产领域。 个人问责已不再是理论上的概念。
跨监管机构协调
金管局与证监会对 EFG 银行的联合执法,标志着结构性转变。监管机构之间的信息共享意味着 在一个领域的发现会触发另一领域的审视。各自为政的合规应对将无法生存。
虚拟资产执法
证监会在虚拟资产领域已从发牌阶段迈向执法阶段。金管局的稳定币指引已生效。 虚拟资产领域的公司面对的是即时合规要求 — 而非过渡期。
检查就绪 vs. 审计就绪
差别至关重要。
审计就绪意味着:我们的文件完整,我们的流程被遵循,我们的记录得到维护。
检查就绪意味着:我们的框架与风险相称,我们的控制可以被证明有效, 我们的治理驱动决策,而我们的人在压力之下无需脚本就能解释这一切。
前者是必要的。后者才是监管机构所测试的。
今天该问的问题
一个比其他任何问题更能预测检查结果的问题。
如果监管机构请贵方团队中的任何成员 — 不只是合规人员 — 解释贵公司前三大金融犯罪风险 及对此的应对方式,答案会是一致、自信、并有证据支持的吗?
若是,贵方已检查就绪。
若否,贵方还有工作要做。而做的时机,是在那封信送达之前。