业务提出 → 合规审核 → 管理层批准 → 发布 → 存档

9.8 投诉处理与争议解决（Complaints Handling）

9.8.1 投诉机制的基本要求

• 清晰、可访问的投诉渠道

• 合理的处理时限

• 公平、独立的调查

• 书面回复与记录保存

9.8.2 投诉升级与监管沟通

• 严重或系统性投诉应向管理层/董事会报告

• 必要时向 FSC 通报

• 投诉数据用于改进内部控制

9.9 数据保护与客户信息安全（Data Protection）

9.9.1 客户数据保护义务

• 合法收集与使用

• 最小化原则

• 访问控制

• 数据泄露响应

9.9.2 与 AML / IT 安全的衔接

• 客户信息用于 KYC、监控与报告

• 不得超出合法目的

• 与网络安全政策一致

9.10 可直接写入申请书的“客户保护声明（模板）”

“本公司已建立与其虚拟资产服务性质相匹配的客户保护、信息披露与市场行为管理框架。所有向客户提供的信息均力求真实、完整且不具误导性；公司通过客户分类、适当性评估、利益冲突管理及交易监控机制，确保公平对待客户并维护市场诚信。”

9.11 第9章交付附件清单（建议编号）

• D09-1｜客户分类与适当性政策

• D09-2｜信息披露与风险提示文件

• D09-3｜收费表与利益冲突政策

• D09-4｜营销与宣传审核流程

• D09-5｜投诉处理与争议解决程序

第10章｜反洗钱与反恐融资（AML/CFT）、客户尽调与可疑交易报告

AML/CFT, Customer Due Diligence & Suspicious Transaction Reporting（交付版）

本章是毛里求斯 VASP 监管体系的“中枢章节”。
在 FSC 的视角中：
治理、托管、资本若是“骨架”，AML/CFT 就是“中枢神经系统”。

本章将直接决定：

• 你是否能通过 FSC 的许可审查；

• 你是否能通过银行开户与持续 KYC；

• 你在后续监管检查中是否具备“自证合规”的能力。

10.1 法律与监管依据（Legal & Regulatory Basis）

本章主要依据以下毛里求斯法律与监管文件：

• Financial Intelligence and Anti-Money Laundering Act 2002（FIAMLA）

• FIAMLA Regulations（不时修订）

• VAITOS Act 2021（将 VASP 纳入 AML/CFT 监管范围）

• FSC AML/CFT Guidance Notes（适用于 VASP）

• FATF Recommendations（毛里求斯为 FATF 成员，监管口径高度对齐）

监管逻辑总结一句话：
VASP 与银行、支付机构一样，被视为高风险金融服务提供者，必须实施风险为本（Risk-Based Approach, RBA）的 AML/CFT 体系。

10.2 AML/CFT 治理结构（AML Governance）

10.2.1 董事会的 AML 责任

FSC 明确要求：
AML 不是“合规部门的事情”，而是董事会的最终责任。

董事会应：

• 批准 AML/CFT 政策

• 审阅年度 AML 风险评估

• 审阅 STR 统计与重大案件

• 确保 MLRO 具备独立性与资源

10.2.2 MLRO 的核心地位（关键监管接口）

MLRO 是 FSC 与 FIU 的直接沟通对象，其地位必须满足：

• 独立于业务线

• 可直接向董事会汇报

• 有权获取所有必要信息

• 有权在必要时暂停业务或冻结账户

10.2.3 AML 三道防线（在 AML 语境下）

• 第一道防线：业务部门（执行 KYC、交易监控）

• 第二道防线：合规/MLRO（制定规则、审核与报告）

• 第三道防线：内部审计/独立复核（检查有效性）

10.3 风险为本方法（Risk-Based Approach, RBA）

10.3.1 AML 风险评估的范围

VASP 必须至少覆盖以下四类风险：

1. 客户风险（客户类型、地域、身份）

2. 产品/服务风险（托管、OTC、匿名性）

3. 地域风险（高风险司法辖区、制裁国家）

4. 渠道风险（非面对面开户、API 接入）

10.3.2 AML 风险评估的交付要求

• 形成书面《AML Risk Assessment》

• 至少 每年复核一次

• 业务或监管环境变化时及时更新

• 由董事会或其授权委员会审阅批准

10.4 客户尽职调查（CDD / KYC）

10.4.1 客户识别（Customer Identification）

在建立业务关系前，必须识别并验证：

• 客户身份（自然人/法人）

• 实益拥有人（UBO）

• 授权代表与控制人

• 业务目的与性质

10.4.2 标准尽调（Standard CDD）

适用于低至中等风险客户，通常包括：

• 身份证明文件

• 地址证明

• 业务/交易目的说明

• 制裁与不良名单筛查

10.4.3 强化尽调（Enhanced Due Diligence, EDD）

在以下情形必须实施 EDD：

• 高风险国家或地区

• PEP（政治公众人物）

• 复杂或不透明结构

• 异常交易行为

EDD 措施包括：

• 获取更多背景资料

• 高级管理层批准

• 更频繁的持续监控

10.5 持续尽调与交易监控（Ongoing Due Diligence & Monitoring）

10.5.1 持续尽调（Ongoing CDD）

• 定期更新客户资料

• 根据风险等级设定复核频率

• 监测客户行为是否偏离已知模式

10.5.2 交易监控（Transaction Monitoring）

FSC 期望 VASP 建立：

• 基于规则与情景的监控机制

• 对异常金额、频率、模式的识别

• 自动化系统 + 人工复核相结合

10.6 可疑交易报告（STR / SAR）

10.6.1 STR 的触发标准

当存在以下情形之一，应考虑提交 STR：

• 无合理商业目的

• 与客户风险画像明显不符

• 涉及制裁、犯罪或恐怖融资

• 规避监控或结构化交易

10.6.2 STR 的提交流程（交付级）

监控发现 → 初步分析 → MLRO 评估
↓（合理怀疑）
决定提交 STR → 向 FIU 报告

• STR 必须 及时、保密 提交

• 不得向客户披露（禁止 tipping-off）

10.6.3 STR 的记录与审计

• STR 决策理由必须记录

• 无论是否提交，都应留痕

• 记录保存不少于法定年限

10.7 制裁、名单与 PEP 管理

10.7.1 制裁与名单筛查

• 联合国制裁名单

• 国内及国际制裁清单

• 负面新闻与执法信息

10.7.2 PEP 管理

• 识别国内/国外 PEP

• 强化尽调

• 高层批准

• 持续监控

10.8 记录保存（Record Keeping）

10.8.1 必须保存的记录

• 客户尽调文件

• 交易记录

• 监控与调查记录

• STR 相关文件

• 决策与审批记录

10.8.2 保存期限

• 通常不少于 7 年（以适用法律要求为准）

• 必须可随时供 FSC / FIU 调阅

10.9 员工培训与意识（Training & Awareness）

10.9.1 培训要求

• 入职 AML 培训

• 定期（至少年度）培训

• 针对岗位的专项培训（如前台、IT、管理层）

10.9.2 培训记录

• 培训内容

• 参加人员

• 时间与结果

• 评估或测试

10.10 与其他监管模块的联动

AML/CFT 必须与以下模块无缝衔接：

• 客户资产托管（第8章）

• 客户保护与市场行为（第9章）

• 网络安全与 IT（后续章节）

• 外包与第三方管理（后续章节）

10.11 可直接写入申请书的“AML 合规声明（模板）”

“本公司已建立符合 FIAMLA、VAITOS Act 及 FSC 指引的反洗钱与反恐融资制度，采用风险为本的方法识别、评估并缓释洗钱与恐怖融资风险。公司已任命具备相应经验与权限的 MLRO，并确保其独立履职、及时向董事会及有关当局报告可疑交易，从而确保持续合规运营。”

10.12 第10章交付附件清单（建议编号）

• D10-1｜AML/CFT 政策与程序手册

• D10-2｜AML 风险评估报告

• D10-3｜KYC/CDD/EDD 操作指引

• D10-4｜交易监控与 STR 流程

• D10-5｜制裁与 PEP 管理政策

• D10-6｜培训计划与记录模板

第11章｜网络安全、IT 系统与技术风险管理

Cybersecurity, IT Systems & Technology Risk Management

本章是 FSC 判断一家 VASP 是否“真的具备运营能力”的技术性核心章节。
在 FSC 与审计师的视角里：
制度可以写，但系统必须“跑得起来、查得到、控得住”。

11.1 法律与监管依据（Legal & Regulatory Basis）

本章主要依据以下监管框架与原则：

• VAITOS Act 2021（将技术系统、数据与运营安全纳入合规责任）

• FSC Rules（与网络安全、风险管理、外包相关的通用要求）

• FIAMLA 2002（客户数据、日志与调查证据链的技术支撑）

• 国际通行网络安全框架（如 ISO/IEC 27001、NIST CSF —— 作为良好实践参考）

监管底层逻辑：
FSC 不强制指定某一技术标准，但要求 VASP 证明其 IT 架构与控制措施足以支持安全、合规与可审计运营。

11.2 IT 治理结构（IT Governance）

11.2.1 董事会与管理层的 IT 责任

FSC 期望看到：

• 董事会对重大 IT 风险与安全策略承担最终责任

• 管理层负责 IT 战略执行与资源配置

• IT/安全负责人具备清晰授权与独立性

11.2.2 IT 职能的独立性与分工

建议在申请材料中明确区分：

• IT 运营（Operations）

• 信息安全（Information Security）

• 合规与风险（Compliance/Risk）

监管关注点：

• IT 权限是否高度集中

• 是否存在“开发即运维、运维即审计”的冲突

11.3 系统架构总体说明（System Architecture Overview）

11.3.1 必须提交的系统级说明

FSC 通常期望申请人提交一份可读的系统架构说明，至少包括：

• 前端（Web/App/API）

• 后端核心系统（账户、交易、钱包、风控）

• 数据层（数据库、日志、备份）

• 外部接口（区块链节点、支付、KYC、托管）

• 权限与访问控制层

11.3.2 架构设计的合规原则

• 最小权限原则（Least Privilege）

• 职责分离（Segregation of Duties）

• 关键系统冗余与容错

• 日志全覆盖

11.4 访问控制与权限管理（Access Control & IAM）

11.4.1 权限管理的监管重点

FSC 会重点关注：

• 谁能访问生产系统

• 谁能修改代码、参数或风控规则

• 谁能访问客户数据与私钥相关系统

• 权限是否可审批、可撤销、可审计

11.4.2 建议的权限控制模型（交付级）

• 基于角色的访问控制（RBAC）

• 多因素认证（MFA）

• 权限定期复核（如季度）

• 紧急权限（break-glass）机制 + 事后审计

11.5 系统开发、变更与发布管理（SDLC & Change Management）

11.5.1 软件开发生命周期（SDLC）

FSC 期望 VASP 建立：

• 需求 → 开发 → 测试 → 审批 → 发布 → 回滚

• 生产与测试环境隔离

• 代码审查与安全测试

11.5.2 变更管理（Change Management）

任何重大系统变更应：

• 事前评估风险

• 获得授权批准

• 变更后进行验证

• 留存完整记录

监管雷区：

• 无审批直接上线

• 无回滚方案

• 关键参数“临时修改不留痕”

11.6 网络安全控制（Cybersecurity Controls）

11.6.1 基础安全措施

• 防火墙与入侵检测

• 漏洞扫描与补丁管理

• DDoS 防护

• 加密（传输中/静态）

11.6.2 私钥与敏感系统的特殊防护

• 私钥相关系统独立安全域

• 严格的访问与审批

• 实时监控与异常告警

• 安全事件的即时响应

11.7 日志、监控与证据链（Logging, Monitoring & Evidence）

11.7.1 日志的监管意义

在 FSC 视角中：
“没有日志 = 没发生。”

必须覆盖：

• 用户行为

• 管理员操作

• 系统事件

• 钱包/交易相关操作

11.7.2 日志管理要求

• 防篡改

• 可搜索

• 可导出

• 与 AML、托管、事故响应联动

11.8 事故与网络事件响应（Incident & Cyber Response）

11.8.1 必须覆盖的事故类型

• 数据泄露

• 私钥泄露

• 系统入侵

• 服务中断

• 第三方系统故障

11.8.2 事故响应流程（交付级）

发现 → 隔离 → 评估 → 修复 → 通报 → 复盘

• 明确责任人

• 明确通报路径（管理层 / FSC / 客户）

• 留存完整事故报告

11.9 灾备与业务连续性（BCP & DR）

11.9.1 FSC 的核心关注

• 系统宕机时能否继续运营或安全停机

• 数据是否可恢复

• 客户资产是否安全

11.9.2 灾备设计要点

• 定期备份

• 异地容灾

• 明确 RTO / RPO

• 定期演练并留痕

11.10 第三方技术服务与云外包（Tech Outsourcing）

11.10.1 可外包范围

• 云服务

• 节点服务

• KYC/风控工具

• 安全服务

11.10.2 不可外包的责任

• 合规责任

• 客户资产责任

• 数据控制权

11.10.3 外包的合规要求

• 尽调

• 合同控制（审计权、访问权、退出权）

• 持续监控

11.11 可直接写入申请书的“IT 与网络安全声明（模板）”

“本公司已建立与其虚拟资产服务规模与复杂度相匹配的 IT 与网络安全框架，覆盖系统架构、访问控制、变更管理、日志留存、事故响应及业务连续性安排。所有关键系统均实施分权控制与可审计机制，以确保客户资产、数据与运营安全，并支持 FSC 的持续监管要求。”

11.12 第11章交付附件清单（建议编号）

• D11-1｜系统架构图与说明

• D11-2｜访问控制与权限矩阵

• D11-3｜变更管理与发布流程

• D11-4｜网络安全与漏洞管理政策

• D11-5｜日志与监控策略

• D11-6｜事故响应与灾备计划

第12章｜外包管理、第三方风险与监管责任边界

Outsourcing, Third-Party Risk & Regulatory Accountability（交付版）

本章是 FSC 判断一家 VASP 是否“仍然掌握业务与合规控制权”的关键章节。
FSC 的基本立场是：
你可以外包“功能”，但不可以外包“责任”。

12.1 法律与监管依据（Legal & Regulatory Basis）

本章主要依据：

• VAITOS Act 2021（VASP 对其全部外包活动承担最终责任）

• FSC Rules / Guidance on Outsourcing & Risk Management

• FIAMLA 2002（AML/CFT 职责不可外包）

• 国际良好监管实践（IOSCO、FATF 对外包与第三方风险的共识）

12.2 外包在 VASP 业务中的定位（Regulatory View）

12.2.1 FSC 对外包的基本监管态度

FSC 允许 VASP 进行合理外包，但要求：

• 外包不削弱监管可视性

• 外包不影响客户保护

• 外包不导致合规责任转移

• FSC 可随时追责本地持牌主体

12.2.2 “关键职能”与“非关键职能”区分

12.3 关键职能（Critical Functions）识别

12.3.1 通常被视为“关键职能”的领域

• 客户资产托管与私钥管理

• AML/CFT 决策与 STR 提交

• 交易撮合与核心风控

• 客户数据控制

• 合规与监管报告

监管要点：
即使外包执行，决策权与监督权必须保留在毛里求斯持牌实体。

12.3.2 非关键职能示例

• IT 基础设施（云）

• 节点/区块链基础服务

• KYC 技术工具

• 客服系统

• 安全扫描服务

12.4 外包前尽职调查（Outsourcing Due Diligence）

12.4.1 尽调范围（交付级）

在选择任何第三方前，VASP 应评估：

• 法律地位与监管背景

• 技术能力与经验

• 信息安全与数据保护措施

• AML/CFT 能力（如相关）

• 财务稳健性

• 地理位置与司法风险

12.4.2 尽调文件留存

• 尽调问卷与回复

• 支持性文件

• 内部评估结论

• 批准记录

12.5 外包合同的强制性条款（Mandatory Contractual Clauses）

FSC 期望外包合同至少包含以下内容：

1. 服务范围清晰界定

2. 合规与监管配合义务

3. 审计权与信息访问权

4. 数据所有权与控制权归属

5. 保密与数据保护条款

6. 分包限制

7. 事故与违规通报机制

8. 终止与退出安排

12.6 外包后的持续监管（Ongoing Oversight）

12.6.1 持续监督机制

• 定期绩效评估

• 定期合规审查

• 风险重新评估

• 关键指标（KRI）监控

12.6.2 问题与违约处理

• 明确整改期限

• 升级至管理层/董事会

• 必要时更换服务商

• 向 FSC 报告重大风险

12.7 跨境外包与数据跨境（Cross-Border Outsourcing）

12.7.1 跨境外包的监管关注

FSC 特别关注：

• 数据是否存储在高风险司法辖区

• 是否影响监管取证与审计

• 是否存在制裁或执法障碍

12.7.2 数据跨境控制措施

• 数据加密

• 访问限制

• 明确数据主权

• 合同约束与应急迁移方案

12.8 外包与 AML/CFT 的衔接

12.8.1 AML 职责不可外包

• 客户风险评级

• EDD 决策

• STR 判断与提交

第三方工具仅作为辅助，不能替代 MLRO 的判断。

12.8.2 与第10章的逻辑联动

外包管理必须与：

• AML 风险评估

• IT 控制

• 客户保护
  形成闭环治理。

12.9 退出策略与业务连续性（Exit & Contingency）

12.9.1 必须具备的退出安排

• 服务中断应急预案

• 数据迁移与接管计划

• 私钥与关键系统控制权回收

• 客户沟通机制

12.9.2 FSC 的核心关切

“如果第三方明天停止服务，你还能不能合规运营？”

12.10 可直接写入申请书的“外包管理声明（模板）”

“本公司已建立与其虚拟资产服务规模和复杂度相匹配的外包与第三方风险管理框架。所有外包安排均经尽职调查、合同约束与持续监督。本公司始终保留对关键职能、客户资产及合规义务的最终控制权，并确保 FSC 可在任何时间行使其监管与审计权。”

12.11 第12章交付附件清单（建议编号）

• D12-1｜外包政策与第三方风险管理制度

• D12-2｜外包尽调问卷与评估报告

• D12-3｜标准外包合同条款（节选）

• D12-4｜跨境数据与外包风险评估

• D12-5｜退出与应急接管方案

第13章｜财务资源、资本充足性、审计与监管申报

Financial Resources, Capital Adequacy, Audit & Regulatory Reporting

本章是 FSC 判断一家 VASP 是否“具备长期存续能力、不是短期壳项目”的核心章节。
FSC 的关注点不在于“一次性出资”，而在于：
你是否能持续维持资本、承担风险、并被审计与监管持续看见。

13.1 法律与监管依据（Legal & Regulatory Basis）

本章主要依据以下毛里求斯法规与监管要求：

• VAITOS Act 2021（对 VASP 的资本、财务稳健性与持续申报要求）

• Financial Services Act 2007

• FSC Rules / Guidance Notes（适用于 VASP 的财务与报告要求）

• Companies Act 2001（Mauritius）

• International Financial Reporting Standards（IFRS）

13.2 资本要求的监管逻辑（Capital Adequacy Philosophy）

13.2.1 FSC 的资本观

FSC 并未采用“一刀切”的资本数字，而是采取：

• 按业务类型（Class）

• 按风险暴露程度

• 按是否托管客户资产

来判断资本是否“充足（adequate）”。

核心监管原则：
资本必须足以：

• 支持正常运营

• 覆盖运营与合规成本

• 应对业务中断或损失

• 保护客户与市场

13.3 VASP 各类别的资本预期（Indicative Capital Expectations）

⚠️ 注：以下为 监管实践区间（Indicative），最终以 FSC 个案审批为准。

唐生实务提示：
托管类（Class R）与平台类（Class S）几乎一定会被要求 “高于最低资本 + 强化内控”。

13.4 资本形式与来源（Form & Source of Capital）

13.4.1 可接受的资本形式

• 已缴股本（Paid-up Share Capital）

• 股东注资（需合法来源证明）

• 保留盈余（如适用）

13.4.2 资金来源证明（SoF / SoW）

FSC 通常要求：

• 股东资金来源说明

• 银行流水

• 合法收入或资产证明

• 不涉及制裁、犯罪或匿名来源

13.5 客户资产与公司资金的分离（Segregation of Funds）

13.5.1 监管要求

若涉及客户资金或虚拟资产：

• 必须与公司自有资金严格分离

• 使用独立账户/钱包

• 清晰的账务与记录

13.5.2 审计与检查重点

• 是否混用

• 是否存在临时挪用

• 是否有清晰对账机制

13.6 会计制度与财务记录（Accounting & Record Keeping）

13.6.1 会计准则

• 必须采用 IFRS 或 FSC 认可的等同准则

• 财务报表应真实反映业务状况

13.6.2 财务记录要求

• 完整、准确、及时

• 可供 FSC 与审计师检查

• 与 AML、交易记录相互印证

13.7 审计要求（Audit Requirements）

13.7.1 审计师资格

• 必须为 FSC 认可的独立审计师

• 不得存在利益冲突

13.7.2 审计范围

• 年度财务报表

• 客户资产分离情况

• 内部控制（必要时）

• 特定监管关注事项

13.7.3 审计提交

• 按规定期限提交 FSC

• 审计意见保留需解释

• 严重问题需整改与报告

13.8 持续监管申报义务（Ongoing Regulatory Reporting）

13.8.1 常见申报类型

• 年度财务报表

• 资本充足性声明

• 重大事项通知（Material Change）

• 业务范围变更

• 高级管理人员变动

13.8.2 重大事项（Material Events）示例

• 资本下降

• 重大系统故障

• 严重 AML 事件

• 客户资产风险

• 外包或托管结构变化

13.9 压力测试与财务韧性（Stress Testing & Resilience）

13.9.1 FSC 的期望

对于高风险 VASP，FSC 可能要求：

• 业务中断情景分析

• 收入骤降压力测试

• 运营成本上升情景

• 客户挤兑或资产冻结场景

13.9.2 压力测试的交付形式

• 书面分析

• 管理层评估

• 对应缓释措施

13.10 可直接写入申请书的“财务与资本声明（模板）”

“本公司已维持与其虚拟资产服务性质、规模及风险相匹配的财务资源与资本水平。公司资金来源合法、可核查，并已建立客户资产与自有资金的分离机制。本公司承诺持续遵守 FSC 的审计与监管申报要求，以支持长期稳健运营。”

13.11 第13章交付附件清单（建议编号）

• D13-1｜资本结构与资金来源说明

• D13-2｜财务预测与现金流模型

• D13-3｜客户资金/资产分离制度

• D13-4｜审计师委任函

• D13-5｜监管申报时间表与模板

第14章｜董事、高级管理层、关键人员与“适当人选”要求

Fit & Proper – Directors, Senior Management & Key Function Holders（交付版）

本章是 FSC 在审批阶段“最具否决权”的章节之一。
在 FSC 的监管逻辑中：
制度可以补、资本可以加、系统可以改，但“人不合格＝项目终止”。

14.1 法律与监管依据（Legal & Regulatory Basis）

本章主要依据：

• Financial Services Act 2007（适当人选与监管评估基础）

• VAITOS Act 2021（VASP 管理层与关键人员责任）

• FSC Fit and Proper Guidelines

• FIAMLA 2002（与 MLRO、合规负责人直接相关）

• 国际监管通行原则（IOSCO / FATF）

14.2 FSC 的“Fit & Proper”核心评估维度

FSC 对所有关键人员的评估，集中在以下 四大维度：

1. 诚信与品格（Honesty & Integrity）

2. 能力与经验（Competence & Capability）

3. 财务稳健性（Financial Soundness）

4. 时间与投入度（Time Commitment）

一句话总结：
FSC 不是看“头衔”，而是看“这个人能不能把这家公司稳住”。

14.3 适用对象范围（Who Must Be Fit & Proper）

以下人员通常需通过 FSC 的适当性审查：

• 董事（Executive / Non-Executive）

• 首席执行官 / 总经理（CEO / GM）

• 合规负责人（Compliance Officer）

• MLRO（反洗钱报告官）

• 关键技术负责人（如 CTO，若影响客户资产或交易）

• 实际控制人 / 大股东（如适用）

14.4 董事会层面的要求（Board of Directors）

14.4.1 董事会整体能力要求

FSC 期望董事会整体具备：

• 金融或虚拟资产相关经验

• 风险管理与合规意识

• 对 VASP 业务模式的理解

• 有效监督管理层的能力

14.4.2 执行董事与非执行董事

• 执行董事：深度参与日常管理

• 非执行董事（NED）：提供独立监督

实务建议：
至少配置 1 名具监管或金融背景的非执行董事，有利于 FSC 信任度。

14.5 高级管理层（Senior Management）

14.5.1 核心管理岗位

通常包括：

• CEO / Managing Director

• COO / Operations Head

• CFO / Finance Head（如设）

14.5.2 FSC 的能力关注点

• 是否理解 VASP 风险结构

• 是否能落实董事会决策

• 是否具备危机处理能力

• 是否能与监管机构有效沟通

14.6 MLRO 与合规负责人的特殊地位

14.6.1 MLRO（Mandatory）

MLRO 是 FSC 与 FIU 的直接接口，其要求尤为严格：

• AML/CFT 实务经验

• 对 FIAMLA、STR 流程熟悉

• 可独立履职、不受业务干预

• 可直接向董事会汇报

14.6.2 合规负责人（Compliance Officer）

• 负责制度落地与持续合规

• 监管变化跟踪

• 内部培训与监控

注意：
MLRO 与 Compliance Officer 可由同一人担任，但需论证其时间与能力充足。

14.7 技术关键人员（Key Technology Personnel）

14.7.1 适用情形

若 VASP 涉及：

• 托管

• 交易平台

• 钱包/私钥控制

FSC 将关注 CTO 或等同角色。

14.7.2 评估重点

• 技术资历与过往项目

• 安全意识

• 对系统风险的理解

• 与合规/风控的协作能力

14.8 实际控制人与股东适当性（Controllers & Shareholders）

14.8.1 适用对象

• 直接或间接持股达到实质影响力

• 对董事会或管理层有控制权

14.8.2 评估内容

• 身份背景

• 资金来源（SoF / SoW）

• 是否涉及不良记录

• 是否曾在受监管机构违规

14.9 需提交的“适当性”材料清单（交付级）

每名关键人员通常需提交：

• 个人履历（CV）

• 身份证明

• 无犯罪记录证明

• 诚信声明（Declaration of Integrity）

• 财务状况声明

• 过往监管或法律事件披露

• 角色职责说明（Job Description）

14.10 常见被质疑或否决的情形（Regulatory Red Flags）

• 虚假或夸大履历

• 频繁更换监管岗位

• 曾被监管机构处罚

• 无法解释的资金来源

• 明显“挂名董事/挂名 MLRO”

14.11 可直接写入申请书的“Fit & Proper 声明（模板）”

“本公司董事、高级管理层及关键人员均符合 FSC 关于适当人选的诚信、能力与稳健性要求。相关人员具备与其职责相匹配的专业经验与时间投入，并已向 FSC 提交完整、真实及可核查的适当性资料。本公司承诺在人员变动或适当性发生变化时，及时向 FSC 申报。”

14.12 第14章交付附件清单（建议编号）

• D14-1｜董事及高管履历汇编

• D14-2｜Fit & Proper 声明表

• D14-3｜MLRO / 合规负责人职责说明

• D14-4｜股东与控制人尽调文件

• D14-5｜人员时间投入与组织结构说明

第15章｜申请流程、审批阶段与监管沟通

Application Process, Approval Stages & Regulatory Engagement（交付版）

本章是“把前 14 章真正变成牌照”的落地章节。
FSC 并非只看文件本身，而是看：
你是否按其逻辑递交、是否专业回应、是否具备持续合规意识。

15.1 申请前准备（Pre-Application Readiness）

15.1.1 FSC 的隐性期待

在正式递交前，FSC 期望申请人已经：

• 明确 VASP 类别（Class M/O/R/I/S）

• 搭建基本治理与合规框架

• 确定关键人员（董事、MLRO、合规负责人等）

• 完成初步 IT 架构与外包方案

• 准备资金与资本说明

实务建议（唐生）：
在毛里求斯，“边做边申”成功率极低；
“体系先成型，再申请” 才是 FSC 认可路径。

15.2 申请路径概览（Overall Application Flow）

15.2.1 标准流程（概览）

项目准备
↓
提交申请文件
↓
FSC 初步审阅
↓
补件 / 问询
↓
实质性审查
↓
原则性批准（如适用）
↓
正式牌照发放

15.3 申请文件递交（Submission of Application）

15.3.1 递交形式

• 通过 FSC 指定渠道（电子 + 纸质，如适用）

• 文件需为 英文

• 签署文件需董事/授权人签字

15.3.2 递交文件的结构化要求

FSC 非常重视文件的：

• 逻辑结构

• 章节编号

• 前后引用一致性

交付建议：
使用 “主申请书 + 附件索引 + 编号制度文件” 的方式。

15.4 FSC 初步审阅阶段（Initial Review）

15.4.1 FSC 的关注点

在初步审阅中，FSC 通常关注：

• 是否属于 VASP 监管范围

• 类别是否选择正确

• 关键人员是否齐备

• 是否存在明显监管红旗

15.4.2 常见初步问题

• 业务模式描述不清

• 类别混用或过度申报

• MLRO 或合规负责人不明确

• IT 描述过于抽象

15.5 补件与问询阶段（Queries & Clarifications）

15.5.1 FSC 问询的性质

FSC 的问询通常：

• 不只是形式问题

• 往往测试你对业务与风险的理解

• 可能多轮、逐步深入

15.5.2 回应问询的“监管友好写法”

• 直接回答问题

• 引用已提交章节

• 提供补充证据

• 避免营销语言

唐生实务提示：
“一次问询＝一次隐性面谈”，回应质量直接影响审批节奏。

15.6 实质性审查（Substantive Review）

15.6.1 实质性审查重点

FSC 会综合评估：

• 治理与人员适当性

• AML/CFT 可运行性

• 客户资产保护

• IT 与外包控制

• 财务与资本合理性

15.6.2 可能的现场或视频会议

在复杂项目中，FSC 可能要求：

• 管理层会议

• 技术或合规说明会

• 对特定风险的深入解释

15.7 原则性批准（Approval in Principle, 如适用）

15.7.1 原则性批准的意义

• 表示 FSC 基本认可项目

• 但仍附带条件

• 条件未满足前不可正式展业

15.7.2 常见附带条件

• 补充资本

• 完成人员任命

• 系统上线验证

• 外包合同完善

15.8 牌照发放与生效（Grant of Licence）

15.8.1 牌照内容

• VASP 类别

• 批准的业务范围

• 适用条件与限制

• 持续合规义务

15.8.2 展业前的最后检查

在正式展业前，应确认：

• 银行账户到位

• AML 与系统可运行

• 客户协议与披露上线

• 内部培训完成

15.9 审批时间与影响因素（Timeline & Variables）

15.9.1 常见时间预期（参考）

• 准备阶段：1–2 个月

• FSC 审批：3–6 个月（视复杂度）

• 总体周期：约 4–9 个月

15.9.2 影响审批节奏的关键因素

• 业务复杂度

• 托管/平台属性

• 人员背景

• 问询回应质量

• 外包与跨境结构

15.10 可直接写入申请书的“监管沟通声明（模板）”

“本公司承诺在申请及获批后，与 FSC 保持开放、透明与建设性的沟通，及时回应监管问询并主动披露重大事项，以支持持续合规与稳健运营。”

15.11 第15章交付附件清单（建议编号）

• D15-1｜申请流程时间表（Gantt）

• D15-2｜FSC 问询回应模板

• D15-3｜监管会议准备清单

• D15-4｜原则性批准条件跟踪表

第16章｜持续监管义务、年审与牌照维持

Ongoing Compliance, Annual Obligations & Licence Maintenance（交付版）

本章决定一家 VASP 能否“活得久”。
在 FSC 的监管视角中：
获牌只是起点，持续合规才是长期考核。

16.1 持续监管的总体原则（Regulatory Philosophy）

FSC 对 VASP 的持续监管遵循以下核心原则：

• 持续性（Ongoing）：不是年度一次性动作

• 比例性（Proportionality）：与业务规模、风险相匹配

• 可审计性（Auditability）：所有合规行为需可回溯

• 前瞻性（Forward-looking）：对新风险具备预警与调整能力

16.2 年度合规义务总览（Annual Compliance Calendar）

典型 VASP 每个财务年度需完成：

• 年度财务报表与审计

• 年度 AML/CFT 复核

• 年度风险评估更新

• 年度内部控制与治理检视

• FSC 年度费用与牌照续费

交付建议（唐生）：
建议在内部建立 “合规年历（Compliance Calendar）”，由合规负责人统一跟踪。

16.3 年审与审计要求（Annual Audit & Review）

16.3.1 财务审计

• 由 FSC 认可审计师 执行

• 采用 IFRS 或认可准则

• 覆盖资产负债、损益、现金流

• 若涉及客户资产，重点关注资金分离

16.3.2 合规与 AML 审查

• AML/CFT 政策与程序有效性复核

• STR 统计与案例复盘

• KYC/CDD 质量抽样检查

• MLRO 年度报告提交董事会

16.4 持续资本与财务稳健性（Ongoing Capital Adequacy）

FSC 期望 VASP：

• 持续维持最低资本水平

• 若资本下降，应立即评估并补足

• 重大资本变化需向 FSC 报告

监管红线：
未报告的资本不足，通常被视为重大违规。

16.5 重大事项申报（Material Change Notification）

16.5.1 必须申报的事项（示例）

• 董事、高管、MLRO、合规负责人变更

• 业务范围或模式变化

• 托管或外包结构调整

• 重大系统故障或安全事件

• 股权结构或控制权变化

16.5.2 申报时效

• 事前申报：人员、业务、结构变更

• 事后即时报：事故、违规、系统中断

16.6 持续 AML/CFT 义务（Ongoing AML Obligations）

16.6.1 日常要求

• 持续客户监控

• 定期客户资料更新

• 异常交易调查

• STR 持续提交（如适用）

16.6.2 年度 AML 报告

• 由 MLRO 编制

• 提交董事会

• 作为 FSC 检查的重要依据

16.7 持续 IT、网络安全与数据保护

• 定期漏洞扫描与补丁更新

• 安全事件演练

• 日志与监控有效性复核

• 灾备与 BCP 测试

16.8 外包与第三方的持续管理

• 外包服务年度评估

• 合同履约检查

• 风险重新评级

• 退出预案更新

16.9 FSC 现场检查与监管审阅（On-site Inspection）

16.9.1 检查形式

• 文件审阅

• 远程会议

• 现场检查（On-site）

16.9.2 常见检查重点

• AML 记录

• 客户资产保护

• 系统与日志

• 董事会与管理层参与度

实务提示：
FSC 更关注 “是否真实运行”，而非制度文字本身。

16.10 违规、整改与处罚风险（Enforcement & Remediation）

• FSC 有权要求整改计划

• 可能施加行政罚款

• 严重情形可暂停或撤销牌照

16.11 可直接写入申请书/年报的“持续合规声明（模板）”

“本公司已建立持续合规与内部监控框架，确保在获牌后持续遵守 FSC 及相关法律法规要求。公司定期进行风险评估、内部审查及审计，并承诺在发生重大事项时及时向 FSC 申报。”

16.12 第16章交付附件清单（建议编号）

• D16-1｜年度合规年历（Compliance Calendar）

• D16-2｜年度 AML 报告模板

• D16-3｜重大事项申报模板

• D16-4｜监管检查应对清单

第17章｜业务终止、退出机制与客户资产保护

Wind-down, Exit Planning & Client Asset Protection（交付版）

本章是 FSC 判断一家 VASP 是否“具备最坏情形下的合规责任意识”的关键章节。
在 FSC 的监管逻辑中：
进入市场要合规，退出市场同样要合规，而且更不能伤害客户。

17.1 监管立场与法律依据（Regulatory Rationale & Legal Basis）

本章主要依据：

• VAITOS Act 2021（VASP 终止、暂停及客户资产保护责任）

• Financial Services Act 2007

• FSC Guidance on Business Continuity & Wind-down

• FIAMLA 2002（终止阶段 AML 记录与配合义务）

监管核心一句话：
FSC 不接受“突然消失”的 VASP，任何退出都必须 可预期、可控、可监管。

17.2 何谓“业务终止 / 退出”（What Constitutes Wind-down）

以下情形通常被视为触发 Wind-down 或 Exit Planning：

• 主动申请撤销 VASP 牌照

• 长期停止或实质停止展业

• 无法维持最低资本或关键人员

• 被 FSC 要求暂停或终止业务

• 并购、重组导致业务实质转移

17.3 监管期望的退出原则（Regulatory Principles）

FSC 对退出机制的三大核心要求：

1. 客户资产优先（Client First）

2. 有序退出（Orderly Wind-down）

3. 信息透明（Transparency）

17.4 Wind-down 计划的核心组成（Wind-down Plan Components）

FSC 期望 VASP 在申请阶段即准备一份 Wind-down Plan（退出计划），至少包括：

• 触发条件

• 决策机制

• 客户资产处理方案

• 沟通与通知安排

• 时间表

• 监管与审计配合

17.5 客户资产保护（Client Asset Protection）

17.5.1 客户资产的监管优先级

在任何退出场景中：

• 客户虚拟资产 ≠ 公司资产

• 客户资产应 优先返还或转移

• 不得用于清偿公司债务

17.5.2 资产返还或转移方式

• 原地址返还

• 经客户同意转移至第三方托管

• 在监管监督下的集中清算（如适用）

17.5.3 私钥与控制权安排

• 明确谁控制私钥

• 确保退出期间无单点失控

• 关键操作需多重授权与留痕

17.6 客户沟通与信息披露（Client Communication）

17.6.1 通知义务

• 提前合理时间通知客户

• 使用清晰、非误导性语言

• 提供明确操作指引

17.6.2 客户支持安排

• 设立专门退出支持渠道

• 回应客户疑问

• 记录客户指示与处理结果

17.7 与 FSC 的沟通与审批（Regulatory Engagement）

17.7.1 事前沟通

• 向 FSC 提交 Wind-down 计划

• 说明原因与影响

• 等待监管意见或条件

17.7.2 退出期间的持续汇报

• 进度报告

• 客户资产处理状态

• 风险或问题通报

17.8 AML/CFT 与记录保存义务（AML & Record Retention）

• 即使终止业务，仍需：

  • 保存客户与交易记录

  • 配合 FIU 调查

  • 提交必要 STR（如适用）

常见误区：
“公司不做了，AML 责任就没了”——这是错误认知。

17.9 员工、外包与第三方安排

• 员工解聘需有序进行

• 外包合同按约终止

• 确保第三方配合资产返还与数据交接

17.10 退出完成后的事项（Post-Exit Obligations）

• 提交最终报告给 FSC

• 完成审计（如要求）

• 正式撤销牌照

• 公司清算或休眠（如适用）

17.11 可直接写入申请书的“退出与客户保护声明（模板）”

“本公司已制定与其虚拟资产服务性质和规模相匹配的业务终止与退出计划，确保在任何暂停或终止情形下，客户资产得到优先保护并有序返还。本公司承诺在退出过程中与 FSC 保持充分沟通，并持续履行其 AML/CFT 与记录保存义务。”

17.12 第17章交付附件清单（建议编号）

• D17-1｜Wind-down & Exit Plan

• D17-2｜客户资产返还流程图

• D17-3｜客户通知模板

• D17-4｜退出期间监管汇报模板

第18章｜监管执法、违规类型与处罚风险

Enforcement, Breaches & Sanctions（交付版）

本章是“反向合规地图”。
FSC 在审批与持续监管中，始终在评估：
如果你做错了，会不会被发现？发现后是否可控？是否可纠正？

18.1 监管执法的法律基础（Legal Basis for Enforcement）

FSC 对 VASP 的执法权力主要来源于：

• VAITOS Act 2021（虚拟资产服务的核心执法依据）

• Financial Services Act 2007

• FIAMLA 2002（AML/CFT 违规的独立处罚体系）

• FSC Enforcement & Administrative Powers

重要理解：
毛里求斯对 VASP 的执法采取 “行政监管 + 刑事法律并行” 的模式。

18.2 FSC 的执法工具箱（Enforcement Toolkit）

FSC 可根据违规性质与严重程度，采取以下措施：

• 书面警告（Warning / Caution）

• 限期整改指令（Remedial Directions）

• 行政罚款（Administrative Penalties）

• 限制业务或附加条件

• 暂停牌照（Suspension）

• 撤销牌照（Revocation）

• 移交执法机关（如涉及刑事犯罪）

18.3 常见违规类型总览（Typology of Breaches）

18.3.1 治理与人员违规

• 未维持合格董事或 MLRO

• 关键岗位“挂名”

• 未申报人员变动

• 董事会未履行监督职责

18.3.2 AML/CFT 违规（高风险）

• KYC 不充分或流于形式

• 未执行 EDD

• 未及时提交 STR

• Tipping-off（向客户泄露 STR）

• AML 记录缺失或无法调取

实务警示（唐生）：
AML 违规是 最容易触发高额罚款或牌照风险 的领域。

18.3.3 客户资产与托管违规

• 客户资产与公司资产混用

• 私钥控制不清

• 未按承诺的托管模式运行

• 无法在监管要求下返还客户资产

18.3.4 信息披露与市场行为违规

• 误导性营销

• 暗示“监管背书”

• 未披露重大风险

• 收费不透明

18.3.5 IT、系统与外包违规

• 系统安全缺陷长期未修复

• 日志缺失或被篡改

• 外包失控

• 数据跨境不透明

18.3.6 财务与申报违规

• 资本不足未申报

• 财务报表失真

• 未按时提交审计或监管报告

• 隐瞒重大事项

18.4 违规严重程度分级（Severity Assessment）

FSC 在执法时通常考量：

1. 违规是否系统性

2. 是否影响客户资产或市场诚信

3. 是否存在主观故意或反复违规

4. 是否及时整改与配合调查

18.5 行政罚款与处罚后果（Sanctions & Consequences）

18.5.1 行政罚款

• 金额与违规性质、规模相关

• 可按 单项违规 / 持续违规 计算

• 严重情形可能叠加多项罚款

18.5.2 附带后果

• 监管声誉受损

• 银行账户被审查或关闭

• 审计师、合作方终止合作

• 其他司法辖区的监管关注（跨境影响）

18.6 执法流程概览（Enforcement Process）

发现问题
↓
初步调查
↓
正式通知（Show Cause / Information Request）
↓
公司回应
↓
监管决定
↓
处罚 / 整改 / 结案

关键点：
公司回应的 专业性、透明度与速度，会显著影响最终结果。

18.7 整改与补救（Remediation & Mitigation）

18.7.1 FSC 看重的“减轻因素”

• 主动披露

• 快速整改

• 高层参与

• 外部专业顾问介入

• 防止再次发生的制度性改进

18.7.2 整改计划的内容

• 问题根因分析

• 具体整改措施

• 负责人

• 时间表

• 成效验证方式

18.8 个人责任与连带风险（Individual Accountability）

在严重违规情形下：

• 董事

• 高管

• MLRO / 合规负责人

可能面临：

• 个人罚款

• 任职资格限制

• 行业禁入

• 刑事调查（极端情形）

18.9 可直接写入申请书/合规手册的“执法风险声明（模板）”

“本公司已充分识别其虚拟资产服务所涉及的监管与执法风险，并建立相应的内部控制、监控与整改机制。公司承诺在发现潜在违规时，及时采取补救措施并主动与 FSC 沟通，以降低对客户、市场及监管目标的不利影响。”

18.10 第18章交付附件清单（建议编号）

• D18-1｜违规类型与风险矩阵

• D18-2｜内部违规上报与调查流程

• D18-3｜整改计划模板

• D18-4｜监管沟通与回应范文

第19章｜跨境展业、国际监管协作与司法影响

Cross-border Activities, Regulatory Cooperation & Jurisdictional Impact（交付版）

本章是 FSC 判断一家 VASP 是否“具备国际合规视野与跨境风险控制能力”的关键章节。
在 FSC 的监管逻辑中：
“面向全球客户”并不意味着“脱离任何监管”。

19.1 监管立场与适用原则（Regulatory Stance & Principles）

19.1.1 FSC 对跨境展业的总体态度

FSC 允许 VASP 以毛里求斯为基地开展国际业务，但前提是：

• 不规避其他司法辖区的监管

• 不误导客户对监管保护的认知

• 不削弱毛里求斯作为许可国的监管权

19.1.2 “In or from Mauritius” 原则

FSC 一贯强调：

只要服务是在“毛里求斯境内或从毛里求斯发起”，即属于其监管范围。

这包括：

• 从毛里求斯管理或控制的平台

• 在毛里求斯做出关键决策

• 通过毛里求斯实体签约客户

19.2 跨境业务模式识别（Cross-border Business Models）

常见跨境 VASP 结构包括：

1. 毛里求斯母公司 + 海外客户

2. 毛里求斯持牌实体 + 海外运营/技术子公司

3. 毛里求斯作为合规枢纽（Hub）+ 多司法辖区展业

4. 毛里求斯 VASP + 第三方海外分销或推广

监管重点：
FSC 更关注 “控制权与实质”，而非形式上的公司层级。

19.3 客户所在司法辖区的合规影响（Client Jurisdiction Impact）

19.3.1 客户所在地监管风险

当客户位于以下类型司法辖区时，风险显著提高：

• 对加密资产高度监管或禁止的国家

• 要求本地牌照的国家

• 受制裁或高风险国家

19.3.2 客户准入控制措施

FSC 期望 VASP：

• 进行国家/地区风险分级

• 明确禁止或限制国家名单

• 在 KYC 阶段识别客户所在地

• 持续监控客户迁移或 IP 异常

19.4 跨境牌照与监管重叠（Regulatory Overlap）

19.4.1 可能产生的监管重叠

• 毛里求斯 VASP + 欧盟 MiCA

• 毛里求斯 VASP + 英国 FCA

• 毛里求斯 VASP + 美国州级监管

• 毛里求斯 VASP + 亚洲本地监管（如香港、日本、新加坡）

19.4.2 FSC 的基本期望

• 不以毛里求斯牌照规避他国监管

• 在必要时取得当地许可或豁免

• 向 FSC 披露潜在的监管冲突

19.5 国际监管协作（International Regulatory Cooperation）

19.5.1 信息共享与协作

FSC 作为国际监管成员，可能：

• 与其他监管机构共享信息

• 配合跨境调查

• 参与监管协作机制（MoU）

19.5.2 VASP 的配合义务

• 提供所需资料

• 维护可调取的记录

• 不阻挠或延迟监管协作

19.6 跨境 AML/CFT 与 Travel Rule

19.6.1 跨境 AML 风险

• 不同国家 KYC 标准不一

• 高风险司法辖区客户

• 跨链与匿名性风险

19.6.2 Travel Rule 的适用

FSC 期望 VASP：

• 在可行范围内实施 Travel Rule

• 识别并传递必要的交易信息

• 与海外 VASP 协作

19.7 数据跨境与隐私保护（Cross-border Data & Privacy）

19.7.1 数据跨境的监管关注

• 数据存储位置

• 第三方访问权限

• 外国政府调取风险

19.7.2 合规控制措施

• 数据加密

• 最小化访问

• 合同与技术双重控制

• 明确数据主权安排

19.8 税务与常设机构风险（Tax & PE Risk）

19.8.1 税务影响

• 客户所在地税务申报义务

• 服务费、交易费的来源地

• 转让定价问题

19.8.2 常设机构（PE）风险

• 海外员工或管理活动

• 海外服务器或运营中心

• 实质性决策地点

唐生实务提示：
跨境结构设计必须同步考虑 监管 + 税务，否则后期整改成本极高。

19.9 跨境风险的内部治理（Internal Governance）

FSC 期望看到：

• 跨境风险评估

• 跨境业务审批流程

• 法律意见支持

• 定期复核与董事会监督

19.10 可直接写入申请书的“跨境展业声明（模板）”

“本公司在开展跨境虚拟资产服务时，已充分评估客户所在地及业务活动可能引发的监管、AML/CFT、数据保护及税务风险，并建立相应的控制与审批机制。本公司承诺不以毛里求斯 VASP 牌照规避其他司法辖区的监管要求，并在必要时配合国际监管协作。”

19.11 第19章交付附件清单（建议编号）

• D19-1｜跨境业务与客户地域风险评估

• D19-2｜禁止/限制国家名单

• D19-3｜Travel Rule 实施说明

• D19-4｜跨境数据与税务风险分析

第20章｜与其他司法辖区 VASP 牌照对比及战略选择

Comparative Analysis & Strategic Positioning（交付版）

本章是“为什么选毛里求斯”的决策说明书。
FSC 在审批中同样关注：
你是否理解毛里求斯在全球 VASP 版图中的真实定位，而非“盲目选便宜”。

20.1 战略比较的监管视角（Why Comparison Matters）

FSC 并不反对申请人同时布局多地牌照，但其隐含期望是：

• 毛里求斯并非“监管套利工具”

• 毛里求斯实体承担真实控制与合规中枢角色

• 跨司法辖区布局具有清晰分工逻辑

20.2 毛里求斯 VASP 的核心定位（Strategic Positioning）

20.2.1 监管层级定位

• 中等强度监管（Mid-Tier Regulated Jurisdiction）

• 明确立法（VAITOS Act）

• FSC 作为成熟金融监管机构

不属于“宽松离岸”，也非“一线强监管（如 EU MiCA、UK FCA）”。

20.2.2 商业与结构优势

• 成本与税务友好

• 国际认可度稳定

• 适合 “合规枢纽 + 国际展业” 架构

20.3 与主要司法辖区的对比分析（High-Level Comparison）

20.3.1 与欧盟（MiCA CASP）的对比

结论：
毛里求斯 ≠ MiCA 替代品，而是 MiCA 之前/之外的国际布局节点。

20.3.2 与英国（FCA Crypto Regime）的对比

20.3.3 与迪拜（VARA / ADGM）的对比

20.3.4 与离岸轻监管司法辖区的对比（如部分岛国）

FSC 明确不希望毛里求斯被与“纯离岸壳牌照”混为一谈。

20.4 常见多牌照组合策略（Licence Stacking Strategies）

20.4.1 “毛里求斯 + 欧盟”

• 毛里求斯：国际客户、技术与运营中枢

• 欧盟：零售市场与护照展业

20.4.2 “毛里求斯 + 中东”

• 毛里求斯：后台合规、托管、治理

• VARA/ADGM：区域市场与品牌展示

20.4.3 “毛里求斯单一枢纽型”

• 适合 OTC、机构服务、非零售导向

• 强调合规 + 成本控制

20.5 选择毛里求斯的“适配性清单”（Decision Checklist）

适合选择毛里求斯 VASP 的情况：

• 面向 国际或机构客户

• 不依赖欧盟零售护照

• 希望控制合规与运营成本

• 具备一定治理与系统能力

• 接受 FSC 的持续监管

20.6 不适合毛里求斯的典型场景（Red Flags）

• 目标客户主要在 单一强监管国家

• 试图规避其他国家监管

• 无实质人员或系统

• 仅为“牌照背书”用途

20.7 董事会层面的战略建议（Board-Level Guidance）

• 将毛里求斯定位为 “合规运营枢纽”

• 不将其作为唯一长期零售市场牌照

• 提前规划二级或区域牌照

• 统一集团层面的 AML、IT、治理标准

20.8 可直接写入商业计划书的“战略定位声明（模板）”

“本集团选择毛里求斯作为虚拟资产服务的合规与运营枢纽，基于其清晰的法律框架、稳定的监管环境及良好的国际认可度。毛里求斯 VASP 牌照将与集团在其他司法辖区的许可形成互补，而非替代关系，以支持可持续的国际业务发展。”

20.9 第20章交付附件清单（建议编号）

• D20-1｜全球 VASP 牌照对比矩阵

• D20-2｜多司法辖区持牌结构示意图

• D20-3｜董事会战略决策备忘录

第21章｜常见误区、失败案例与监管警示

Common Pitfalls, Failed Cases & Regulatory Warnings（交付版）

本章是“反面教材总汇”。
FSC 在审查与执法中反复遇到的失败项目，并非缺少文件，而是对监管逻辑理解错误。

21.1 监管失败的底层原因（Root Causes）

从 FSC 的实际审查经验看，失败项目通常不是单点问题，而是以下结构性错误之一：

• 把 VASP 当“壳牌照”

• 把制度当“文档工程”

• 把毛里求斯当“监管避风港”

• 把合规当“获牌动作而非运营系统”

21.2 常见误区一：业务模式模糊或“过度包装”

21.2.1 典型表现

• 同时声称做交易所、钱包、托管、DeFi、RWA、NFT

• 商业计划书充满营销语言

• 实际系统与人员无法支撑

21.2.2 FSC 的直接反应

• 质疑业务真实性

• 要求缩减范围或重新分类

• 审批周期被无限拉长

✅ 正确做法

• 明确主业务 + 辅助功能

• 与 VASP 类别（M/O/R/I/S）严格对齐

• 分阶段扩展（获牌后再申请变更）

21.3 常见误区二：人员“挂名化”（尤其 MLRO）

21.3.1 典型失败案例

• MLRO 同时在多家机构挂名

• MLRO 不在毛里求斯、不参与日常运营

• 合规负责人不理解业务系统

21.3.2 监管后果

• 直接否决申请

• 要求更换人员并重新评估

• 后续被列入“重点关注名单”

✅ 正确做法

• MLRO 真实参与、真实履职

• 明确时间投入与汇报路径

• 可提供过往 STR、审查经验说明

21.4 常见误区三：AML/CFT 体系“纸面化”

21.4.1 典型表现

• KYC 文件齐全，但无人复核

• STR 从未提交

• 风险评估多年不更新

21.4.2 FSC 的典型评价

“The framework exists, but it is not operating.”

✅ 正确做法

• 用 案例、流程、日志 证明 AML 在运行

• 明确谁做判断、谁做记录

• 定期演练与内部抽查

21.5 常见误区四：托管与私钥控制不清

21.5.1 高危场景

• 私钥由第三方完全控制

• 无多签、无审批

• 公司无法在紧急情况下接管

21.5.2 监管后果

• 要求重构托管模型

• 延期或拒绝牌照

• 在持续监管中被重点抽查

✅ 正确做法

• 明确 控制权 ≠ 技术执行权

• 多重签名、权限分层

• 可执行的接管方案

21.6 常见误区五：外包“失控”

21.6.1 典型失败结构

• 全部技术、合规、KYC 外包

• 合同无审计权、无退出条款

• 公司对第三方“看不见”

21.6.2 FSC 的核心质疑

“Who is actually running the VASP?”

✅ 正确做法

• 外包功能，不外包责任

• 合同写清监管权利

• 建立第三方监督机制

21.7 常见误区六：跨境客户与监管冲突

21.7.1 常见问题

• 吸引禁止加密国家客户

• 未限制高风险司法辖区

• 使用模糊营销规避当地监管

21.7.2 监管后果

• 要求限制客户来源

• 要求法律意见

• 与其他监管机构协作调查

✅ 正确做法

• 客户地域分级

• 禁止/限制名单

• 明确“不向某些司法辖区提供服务”

21.8 常见误区七：获牌后“合规疲劳”

21.8.1 真实案例

• 获牌后合规团队缩减

• 不再更新制度

• 年审延误

21.8.2 直接后果

• FSC 现场检查

• 行政罚款

• 牌照附加条件甚至暂停

✅ 正确做法

• 把合规当持续成本

• 建立年度合规预算

• 董事会定期参与

21.9 FSC 反复强调的“监管红线总结”

• ❌ 误导客户

• ❌ 客户资产不清

• ❌ AML 流于形式

• ❌ 人员不真实

• ❌ 试图规避监管

21.10 可直接写入合规手册的“风险警示声明（模板）”

“本公司已识别虚拟资产服务在治理、AML/CFT、客户资产保护、技术与跨境展业方面的主要合规风险，并针对常见监管误区建立相应的内部控制与审查机制，以避免制度与实际运营脱节。”

21.11 第21章交付附件清单（建议编号）

• D21-1｜常见监管失败案例对照表

• D21-2｜高风险误区自检清单

• D21-3｜整改优先级矩阵

第22章｜申请与运营实操路线图

Implementation Roadmap: From Preparation to Steady-State Operations（交付版）

本章是整份指南的“行动版结论”。
FSC 审查一家 VASP 时，真正关心的是：
你是否知道“下一步该做什么”，而不是只会写制度。

22.1 路线图的监管价值（Why FSC Cares About Roadmaps）

FSC 并未在法规中强制要求提交“路线图”，但在实务中：

• 具备清晰路线图的申请，审批更顺畅

• 能证明董事会与管理层具备 规划能力与执行力

• 有助于解释阶段性合规与资源配置逻辑

22.2 总体实施阶段划分（Overall Phases）

建议将项目拆分为 五个阶段：

1. 阶段一｜立项与结构设计

2. 阶段二｜制度与系统搭建

3. 阶段三｜申请递交与监管互动

4. 阶段四｜原则性批准后的落地

5. 阶段五｜获牌后稳定运营

22.3 阶段一｜立项与结构设计（Phase 1: Structuring）

目标：确认“做什么、用什么牌照、由谁来做”。

核心动作清单

• 明确 VASP 类别（M / O / R / I / S）

• 确定业务边界与第一阶段产品

• 设计公司与控股结构

• 初步跨境与税务评估

• 董事会立项决议

交付物

• 项目立项说明

• 业务模式概要

• 初版结构图

22.4 阶段二｜制度与系统搭建（Phase 2: Build）

目标：让“合规真正跑起来”。

核心动作清单

• 任命董事、CEO、MLRO、合规负责人

• 编制并定稿：

  • AML/CFT 手册

  • 客户资产保护制度

  • IT 与网络安全政策

  • 外包与第三方管理制度

• 搭建或验证 IT 系统

• 建立 KYC、监控、日志、STR 流程

交付物

• 全套制度文件（可递交版）

• 系统架构说明

• 关键岗位职责说明

22.5 阶段三｜申请递交与监管互动（Phase 3: Apply）

目标：通过 FSC 的实质性审查。

核心动作清单

• 整理主申请文件与附件索引

• 正式递交申请

• 回应 FSC 问询

• 准备管理层/技术/合规说明会

• 记录并跟踪监管意见

交付物

• FSC 申请回执

• 问询回应函

• 监管会议纪要

22.6 阶段四｜原则性批准后的落地（Phase 4: Implement）

目标：满足所有附带条件，换取正式牌照。

常见附带条件

• 补足资本

• 系统上线或测试验证

• 外包合同完善

• 人员正式到岗

核心动作清单

• 条件清单拆解

• 指定责任人

• 按期完成并提交证明

• 与 FSC 确认满足情况

22.7 阶段五｜获牌后稳定运营（Phase 5: Operate）

目标：从“合规项目”转为“合规公司”。

核心动作清单

• 正式展业

• 启动合规年历

• 定期董事会与合规汇报

• 持续 AML、IT、外包监控

• 准备年审与监管检查

22.8 时间轴示意（Indicative Timeline）

⚠️ 实际时间取决于业务复杂度与监管问询轮次。

22.9 关键成功因素（Critical Success Factors）

• 真实人员 + 可运行系统

• 业务与牌照类别高度匹配

• 高质量问询回应

• 董事会持续参与

• 预算充足、时间预期合理

22.10 高风险节点与应对策略

22.11 可直接写入商业计划书的“实施路线声明（模板）”

“本公司已制定清晰、分阶段的实施路线图，从立项、制度搭建、监管申请到获牌后稳定运营，均设有明确目标、责任分工与时间安排，以确保虚拟资产服务在毛里求斯的合规、可持续开展。”

22.12 第22章交付附件清单（建议编号）

• D22-1｜VASP 实施路线图（Gantt）

• D22-2｜阶段性交付物清单

• D22-3｜监管条件跟踪表

第23章｜结论、行动建议与服务支持

Conclusion, Action Plan & Professional Support（交付版·终章）

本章回答三个终极问题：
1️⃣ 是否应当选择毛里求斯 VASP？
2️⃣ 如果要做，现在立刻该做什么？
3️⃣ 谁可以把事情“真正做成并长期合规”？

23.1 结论一｜毛里求斯 VASP 的真实定位（Final Positioning）

23.1.1 一句话结论（唐生）

毛里求斯 VASP 不是“最低门槛的离岸牌照”，而是“成本可控、监管清晰、适合国际合规运营的中枢型牌照”。

23.1.2 核心判断总结

毛里求斯 VASP 的正确理解方式应是：

• ✔ 有明确法律（VAITOS Act + FSC Rules）

• ✔ 有实质监管（AML/CFT、治理、IT、外包）

• ✔ 有国际认可度（非灰区、非空壳）

• ✔ 有成本与结构优势（相较 EU/UK/US）

而不是：

• ❌ 监管套利工具

• ❌ 纸面牌照

• ❌ “不管就能做”的司法辖区

23.2 结论二｜什么类型的客户最适合毛里求斯 VASP？

23.2.1 强烈推荐人群（Highly Suitable）

• 面向国际或机构客户

• 需要离岸控股 + 实体合规中枢

• 计划未来叠加 EU / UK / UAE 牌照

• OTC、经纪、托管、钱包、B2B 服务

• 理解合规是长期投入而非一次性动作

23.2.2 不建议选择的情况

• ❌ 仅追求“最快、最便宜”

• ❌ 无真实人员与系统

• ❌ 主要市场在单一强监管国家

• ❌ 希望规避本地法律责任

23.3 行动建议｜董事会级「下一步怎么做」

23.3.1 30 天内必须完成的 7 件事（Action Checklist）

1. 确认业务模型与 VASP 类别

2. 决定是否作为“合规中枢”还是“单一牌照”

3. 确定董事、MLRO、合规负责人候选人

4. 初步 IT / 托管 / 外包架构设计

5. 搭建股权与税务结构图

6. 准备项目预算（申请 + 首年运营）

7. 启动制度文件与系统证据准备

23.3.2 推荐的项目节奏（Realistic Pace）

• ❌ 不建议“边想边报”

• ❌ 不建议“先交空壳材料再补”

• ✅ 建议 8–12 周完成高质量递交包

23.4 仁港永胜的专业支持方式（How We Deliver）

23.4.1 服务定位

我们不只是“代办”，而是“合规项目经理 + 监管翻译官”。

23.4.2 可提供的核心服务模块

A. 牌照申请全流程支持

• VASP 类别判断与策略设计

• FSC 申请文件编制

• 监管问询应答与会议陪同

B. 合规与制度交付

• AML/CFT 全套制度

• 客户资产保护与托管模型

• 外包治理与第三方管理制度

C. 人员与治理支持

• MLRO / 合规负责人配置建议

• 董事会治理结构设计

• 合规培训与履职支持

D. IT 与系统合规支持

• KYC / 交易监控逻辑梳理

• 系统架构说明与证据整理

• 私钥控制与冷钱包方案评估

23.5 交付成果一览（Deliverables）

在标准项目中，客户将获得：

• ✅ 可直接递交 FSC 的申请文件包

• ✅ 可运营的 AML / IT / 治理体系

• ✅ 可应对问询的说明话术与材料

• ✅ 可长期使用的合规年历与模板

合规服务：选择一间专业专注的合规服务商协助牌照申请收购及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

23.6 可直接写入商业计划书的「最终结论声明（模板）」

“经董事会审慎评估，本集团决定以毛里求斯作为虚拟资产服务的合规与运营枢纽。毛里求斯清晰的法律框架、成熟的监管环境以及良好的国际认可度，能够在控制成本的同时支持集团的长期国际业务发展。”

23.7 关于仁港永胜（About Rengangyongsheng）

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务。我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

我们专注于：

• 全球金融牌照与虚拟资产合规

• 多司法辖区持牌结构设计

• AML/CFT、IT、治理体系落地

• 监管沟通与长期合规支持

服务覆盖：
香港｜毛里求斯｜欧盟｜英国｜中东｜离岸司法辖区

23.8 联系方式（Contact）

地址（总部）：
香港特别行政区西九龙柯士甸道西1号香港环球贸易广场（ICC）86楼
Address: 86/F, International Commerce Centre,1 Austin Road West, Kowloon, Hong Kong

办公地址：

• 香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼

• 深圳福田卓越世纪中心 1 号楼 11 楼

• 香港环球贸易广场 86 楼

唐上永（唐生，Tang Shangyong）｜业务经理

• 手机 / 微信（深圳）：15920002080

• 香港 / WhatsApp：+852 9298 4213

• 邮箱：Drew@cnjrp.com

• 官网：www.jrp-hk.com

来访提示：请至少提前 24 小时预约。注：本文中的模板或电子档可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

23.9 免责声明（Disclaimer）

本指南仅用于一般合规与监管研究参考，不构成法律或投资建议。具体申请结果取决于监管机构的独立判断及申请人的实际情况。本文内容由仁港永胜（香港）有限公司拟定并提供专业讲解，未经许可不得复制或用于商业用途。

© 2026 仁港永胜（香港）有限公司 | Rengangyongsheng Compliance & Financial Licensing Solutions – 由仁港永胜唐生提供专业讲解。

——《毛里求斯 Mauritius（FSC）VASP 牌照申请注册指南》——