AUSTRAC Registration – Digital Currency Exchange (DCE)

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。

牌照名称： 澳洲 AUSTRAC DCE 加密牌照｜AUSTRAC Registration – Digital Currency Exchange (DCE)
主管机关： AUSTRAC（Australian Transaction Reports and Analysis Centre）——澳洲 AML/CTF 主管机关

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited
✅ 点击这里可以下载 PDF 文件：澳洲 AUSTRAC DCE 加密牌照申请注册指南

✅ 点击这里可以下载 PDF 文件：澳洲 AUSTRAC DCE 加密牌照常见问题（FAQ 大全）

✅ 点击这里可以下载 PDF 文件：关于仁港永胜

1. 牌照名称

澳大利亚 AUSTRAC 数字货币交易所（Digital Currency Exchange, DCE）注册

• 英文：AUSTRAC Registration for Digital Currency Exchange (DCE) Provider

• 性质：反洗钱/反恐融资（AML/CTF）监管框架下的强制注册制度（不是 ASIC 金融牌照）。

2. 牌照介绍与申请优势

2.1 牌照/注册的核心定位（先讲清楚“你在申请什么”）

只要你提供“指定服务（designated services）”中的数字货币兑换服务，就属于 AUSTRAC 监管的 reporting entity：

• 必须先 enrol（登记为 reporting entity）

• 再 register（DCE 注册）

• 获批注册前不得展业（包括加密 ATM、OTC/柜台、线上兑换等）。

2.2 许可范围（你能做什么）

DCE 注册覆盖的典型业务场景（按监管理解归类）：

• 法币 ↔ 加密货币兑换（cash/bank transfer 与 crypto 互换）

• 线上撮合/经纪/报价兑换（website/app/OTC broker）

• 线下柜台/门店、加密 ATM 提供兑换

• 以澳洲为经营地或向澳洲客户提供 DCE 指定服务（跨境模式也会触发 AUSTRAC 视角下的适用性判断）

⚠️提示：若你的产品扩展到“更广义虚拟资产（virtual assets）”相关活动，澳洲正推动用“virtual asset”术语替代/扩展既有概念，建议前期即按更宽口径做制度设计，避免后续改革落地时大改。

2.3 申请优势（为什么值得做）

• 合法进入澳洲市场：DCE 未注册展业风险高，且监管已持续加大执法与清理行动。

• 银行开户/支付通道的合规底盘：银行通常把 AUSTRAC 合规视为最低门槛。

• 对机构客户更可解释：可用“AML/CTF program + STR/SMR + sanctions screening + record keeping”体系去支撑机构合作。

• 成本结构更可控：官方注册本身通常不以“最低注册资本”作为前置硬门槛（成本主要在合规与系统/人员投入）。

3. 监管机构与适用法律

3.1 监管机构

• AUSTRAC（Australian Transaction Reports and Analysis Centre）——澳洲 AML/CTF 主管机关。

3.2 适用法律/规则（申请与持续合规的“法源地图”）

• 《Anti-Money Laundering and Counter-Terrorism Financing Act 2006》（AML/CTF Act）

• AML/CTF Rules（细则体系，配合 AUSTRAC Core Guidance 执行口径）

• AUSTRAC 行业指引：DCE 行业页、AML/CTF Program 指引、记录保存指引等

• 制裁合规：DFAT 对数字货币交易所（DCE）制裁合规指引（监测制裁风险与报告怀疑事项）

• Reform（改革）指引（例如合规官任命与通知、记录保存改革口径等）

二、《澳洲 AUSTRAC DCE 加密牌照常见问题（FAQ 大全）》Q1–Q400

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong）提供专业讲解。
依据 AUSTRAC 对 DCE 的最新公开指引与行业监管口径整理（含注册前不得展业、3 年续期、合规官管理层级、行业清理行动等）。

澳洲 AUSTRAC FAQ-A｜牌照定义与监管边界（Q1–Q20）

Q1：什么是 AUSTRAC DCE（Digital Currency Exchange）注册？
A：DCE 注册指：在澳大利亚境内提供“法币 ↔ 加密货币兑换服务”的机构，必须在 AUSTRAC 先完成 enrol（报备/登记）并获得 registration（注册确认）后，方可向市场提供该类服务。

Q2：DCE 是“牌照”还是“注册”？
A：严格说是 AUSTRAC 注册（registration），但行业习惯称“DCE 牌照”。本质是 AML/CTF 监管框架下的准入：你被纳入 AUSTRAC 的持续监管与续期审查体系。

Q3：DCE 监管的核心目的是什么？
A：核心是反洗钱/反恐融资（AML/CTF）：要求你识别客户、评估风险、监控交易、提交可疑事项报告（STR/SMR）、保存记录，并接受 AUSTRAC 检查与续期复核。

Q4：DCE 覆盖哪些典型业务形态？
A：常见包括：

• OTC（柜台/场外）法币买币卖币

• 线上撮合（法币入金后买币/卖币出金）

• 经纪模式（你代表客户向流动性方成交）

• 现金换币（含门店、代理点）

• 加密 ATM（现金 ↔ 加密）也在 AUSTRAC 明确关注范围内

Q5：只做币币交易（crypto-to-crypto）是否属于 DCE？
A：DCE 的核心触发点是 法币 ↔ 加密。若你完全不触及法币兑换闭环（包括现金与银行转账等法币方式），通常不构成 DCE。但实务上常出现“表面币币、实质法币通道”或“平台引导法币入金”导致触发，需要按资金链与服务角色重新定性。

Q6：只提供技术系统（SaaS/撮合引擎）也要 DCE 注册吗？
A：看你是否“对客户提供兑换服务”。如果你仅提供技术，不掌控资金/币流、不对外报价成交、不作为交易对手/经纪/撮合服务提供者，通常不作为 DCE provider；但若你对外以平台名义提供兑换闭环（哪怕资金托管在第三方），仍可能被视为 DCE provider。

Q7：境外公司向澳洲客户提供服务，需要 DCE 注册吗？
A：如果你向澳洲提供 DCE 指定服务（法币↔加密兑换），会触发 AUSTRAC 监管范围与登记/注册义务；结构上常见做法是设立澳洲实体或以明确的合规运营安排承接指定服务，并确保 AUSTRAC Online 档案信息与实际一致。

Q8：DCE 注册和 ASIC 金融牌照是一回事吗？
A：不是。AUSTRAC DCE 是 AML/CTF 维度的注册准入；而 ASIC 体系涉及公司法、金融服务、消费者保护等其他监管。你是否还需要 ASIC 相关许可，要看你提供的产品是否构成金融产品/衍生品/托管/投资建议等（需个案分析）。

Q9：DCE 注册是不是能“合法经营所有加密业务”？
A：不是。DCE 覆盖的核心是兑换服务的 AML/CTF 合规。你若扩展到托管、借贷、衍生品、理财、证券型代币等，可能触发其他法律与监管要求（包括但不限于 ASIC、税务、隐私、消费者保护）。

Q10：AUSTRAC 是否公开 DCE 注册名单供查询？
A：AUSTRAC 维护并公开 DCE Register，公众/银行可据此核验你是否为已注册 DCE。

Q11：为什么银行开户时 DCE 注册仍不一定够？
A：银行更看重“可持续合规运行能力”：股权穿透与资金来源、合规官与治理、监控系统与 STR 机制、记录保存可导出、外包审计权等。DCE 注册只是最低门槛之一。

Q12：DCE 的“合规难点”通常在哪里？
A：不在填表，而在：

• 合规官不够“管理层级/有授权”

• 交易监控不落地、STR 证据链不完整

• 记录保存不可检索不可导出

• 董事会监督缺失

• 外包（KYC/筛查/钱包）无审计权与监管配合条款

Q13：我可以注册完再慢慢做制度吗？
A：不建议。AUSTRAC 明确“注册确认前不得展业”，且注册后进入持续监管与续期复核；制度不落地会在检查/续期/银行尽调中暴露。

Q14：什么是 enrol？什么是 register？
A：enrol 是向 AUSTRAC 登记你是 reporting entity（报告实体）；register 是对特定行业（如 DCE）进一步的注册确认。对 DCE 来说，通常两者都需要完成。

Q15：注册确认前真的“一点业务都不能做”吗？
A：AUSTRAC 明确：在 AUSTRAC 确认你的注册前，不得提供 DCE 服务；否则违法并可能被处罚。

Q16：哪些行为容易被认定为“已经提供 DCE 服务”？
A：典型包括：对外报价可成交、收取客户法币/现金并兑换为加密、为客户完成法币↔加密兑换闭环、通过 ATM/门店为客户现金换币等。

Q17：广告宣传/市场推广是否构成提供服务？
A：单纯品牌宣传不等同提供兑换服务，但若你上线可成交功能、开始收款/撮合成交，就可能触发。最稳妥是：注册确认后再开启交易闭环。

Q18：AUSTRAC 会拒绝 DCE 申请吗？
A：会。AUSTRAC 明确其可对 DCE 申请采取注册行动（包括拒绝）。

Q19：DCE 注册后 AUSTRAC 会持续关注哪些业态？
A：公开口径显示：加密 ATM、现金换币、以及高风险 DCE 会被重点关注与专项行动覆盖。

Q20：DCE 与“税务合规”有什么关系？
A：AUSTRAC 明确提示税务规则同样适用（例如加密资产用于商业活动的税务处理），DCE 经营应同步做会计与税务合规规划。

澳洲 AUSTRAC FAQ-B｜许可范围与业务模式定性（Q21–Q55）

Q21：DCE 的“指定服务”到底是什么？
A：抓住一句：把法币（含现金/银行转账等）兑换成加密，或把加密兑换成法币，并向客户提供该服务（直接或以平台/经纪形式）。

Q22：OTC（柜台）买卖币最关键的合规点是什么？
A：现金/转账来源核验、客户身份核验、频次与分拆识别、诈骗受害者识别、提现地址风险、可疑事项 STR 机制与证据链。

Q23：撮合平台（订单簿）模式与 OTC 模式合规差异？
A：撮合平台通常交易频次更高、客户规模更大，需要更强的自动化监控、账户层级限额、异常行为识别模型与案件管理系统。

Q24：经纪模式（你代客户成交）需要注意什么？
A：必须厘清：你是否对客户提供兑换服务（通常是），以及交易对手与流动性来源的尽调（对手方风险、制裁风险、资金/币流可追溯）。

Q25：做市模式（你是交易对手）会增加什么风险？
A：你承担更直接的交易对手风险、库存风险、以及“自营交易与客户交易混同”的合规风险，需要更清晰的账户隔离、对账与审计日志。

Q26：现金换币是否更敏感？
A：是。AUSTRAC 明确点名现金↔加密兑换（含 ATM）属于重点关注范围，诈骗与跑分风险更高，需更严格阈值、监控与客户保护机制。

Q27：加密 ATM 为什么被盯得更紧？
A：现金匿名性强、诈骗受害者大量集中在 ATM 场景。AUSTRAC 已针对 ATM 运营开展行动并设定最低标准/强化治理（公开信息显示监管趋势）。

Q28：只做“机构客户/批发客户”，合规会更简单吗？
A：风险可降低但不等于简单。机构客户仍需 UBO 穿透、资金来源、业务合理性、交易监控与持续尽调；且跨境机构客户会带来更高尽调强度。

Q29：只服务澳洲本地客户 vs 跨境客户，差异在哪？
A：跨境客户带来：高风险国家、制裁暴露、文件真实性、语言与认证、资金来源核验难度上升；银行尽调也更严。

Q30：是否可以“先上币币”，后续再开法币通道？
A：可作为合规路线，但必须确保实际上没有形成法币兑换闭环（包括第三方代收代付或线下收款），否则仍触发 DCE。

Q31：如果用第三方支付公司做法币收单，我还算 DCE 吗？
A：通常仍算——关键不是钱由谁收，而是你是否对客户提供法币↔加密兑换服务并形成闭环。第三方只会增加外包治理与审计权要求。

Q32：是否必须自建钱包/托管？
A：AUSTRAC 并未要求必须自建，但你必须确保：钱包安全、权限管理、日志留存、对账能力与外包审计权能够满足监管检查与运营风控。

Q33：我可否把 KYC 外包给第三方？
A：可外包部分环节，但你仍对合规结果负责；必须做供应商尽调、合同审计权、数据访问控制、SLA、退出机制与监管配合条款。

Q34：我可否把链上风控外包给链上分析公司？
A：可以且强烈建议，但同样要外包治理：规则可解释、命中处置流程、数据保留、模型变更管理、审计日志。

Q35：我是否需要“客户适当性评估”？
A：DCE 不是证券经纪牌照体系的适当性框架，但在客户保护与反诈骗（尤其 ATM/现金换币）层面，建议建立风险提示、交易冷却期、异常识别与人工复核机制。

Q36：退款/撤单规则需要写进制度吗？
A：需要写入用户条款与 SOP：什么情形可撤单、什么情形冻结、如何返还、需要哪些证据、时限与沟通模板（也利于银行与监管解释）。

Q37：DCE 是否允许客户匿名交易？
A：不应允许。DCE 属 AML/CTF 框架下的报告实体，必须执行客户识别与持续尽调（不做 KYC 会在检查与银行尽调中直接失败）。

Q38：我是否需要限制高风险国家客户？
A：建议建立“允许/限制/禁止”国别策略、触发 EDD、限额与审批机制，并形成书面风险评估与控制措施证据。

Q39：我是否可以提供“代买代卖”服务？
A：可以，但会更像经纪/代理模式，关键是把职责边界写清（你对客户提供兑换服务→DCE 触发），并把资金/币流与记录保存做扎实。

Q40：DCE 是否允许“个人名义经营”？
A：AUSTRAC 口径强调的是提供指定服务的实体需要 enrol/register；具体主体形态需结合公司与商业登记安排，但实务上更建议公司主体以便治理、银行开户与持续合规。

Q41：业务定性最常见的误区是什么？
A：口头说“我们只是技术平台”，但：

• 你对外报价/撮合成交

• 你控制入金/出金路径

• 你决定客户能否成交与结算
  最终监管与银行会把你视为 DCE provider。

Q42：DCE 是否包括“现金券/礼品卡换币”？
A：看是否构成法币价值的兑换与结算闭环；此类模式常被用于洗钱与诈骗，建议谨慎并在风险评估中明确禁止或极度限制。

Q43：我是否需要建立“黑名单/白名单地址”机制？
A：强烈建议。尤其对提现：白名单可显著降低盗币与洗钱风险；黑名单可对制裁地址、诈骗地址、混币器关联地址进行拦截。

Q44：是否需要限制新客首笔交易？
A：建议设置：首笔限额、冷却期、提现延迟、人工复核触发规则（尤其现金换币/ATM 场景）。

Q45：DCE 是否能做线下代理点？
A：可以，但代理点会显著提高现金风险、员工合规与审计难度；必须建立代理培训、巡检、录像/票据、对账与异常上报机制。

Q46：是否需要“反诈骗联动机制”？
A：强烈建议。特别是 ATM/现金场景，诈骗受害者比例高，建议设置：高龄客户提醒、异常话术识别、紧急止付流程、与银行/警方协作指引。

Q47：我的业务如果不在澳洲实体名下，会被认为不合规吗？
A：关键看谁对澳洲客户提供指定服务、谁收取费用、谁控制交易闭环。结构设计必须确保“法律主体—系统—资金/币流—合规责任”一致，否则风险极高。

Q48：DCE 是否要求最低资本金？
A：AUSTRAC DCE 注册本身不以“资本金表”作为统一硬门槛，但监管与银行会看资源投入是否足以支撑持续合规与运营（人员、系统、审计、应急）。

Q49：我是否要做“客户资金隔离”？
A：对客户保护与经营风险非常关键。即使 AUSTRAC 不以某一“隔离规则”作为注册表述，你也应通过账户结构、对账与内部控制证明客户资金与营运资金不混同。

Q50：DCE 是否必须有本地办公室？
A：AUSTRAC 指引重点是注册与持续履责能力；但合规官与治理“实质在澳”通常更利于监管沟通与银行开户，尤其在改革口径下对合规官居民/管理层要求更敏感。

Q51：我能否先注册但暂时不运营？
A：不建议长期不运营。AUSTRAC 已公开发起 “use it or lose it” 行动，鼓励不活跃 DCE 主动撤回，否则可能被取消注册。

Q52：什么算“不活跃”？
A：典型是长期无真实业务或无法证明持续合规运行（无交易、无培训、无风险评估更新、无监控与 STR 机制证据链）。AUSTRAC 关注点正是“注册但不经营/不合规运行”。

Q53：如果我确实短期不展业，最稳妥做法？
A：两条路：

• 仍保留注册：必须能证明你在“合规体系运行并为展业做准备”（制度版本、培训、UAT、董事会监督记录等）。

• 主动撤回：避免被动取消造成声誉风险。

Q54：DCE 注册能否用于对外宣传背书？
A：可以用于“已注册”事实陈述，但避免夸大为“政府背书/投资安全保证”。对外披露应严谨，避免误导消费者。

Q55：DCE 合规最核心的“底层逻辑”是什么？
A：风险导向 + 可审计证据链：监管与银行不是看你写得多漂亮，而是看你是否能持续运行并随时出示证据链。

澳洲 AUSTRAC FAQ-C｜申请、注册、续期与取消（Q56–Q95）

Q56：申请 DCE 注册的总流程是什么？
A：标准路线：
1）业务定性（确认提供 DCE 指定服务）
2）AUSTRAC enrol（报备为 reporting entity）
3）提交 DCE registration 申请
4）AUSTRAC 确认注册后才可展业

Q57：注册确认前能否做试运营/试点客户？
A：不可以。AUSTRAC 明确：确认注册前不得提供 DCE 服务，否则违法。

Q58：AUSTRAC 会要求补件吗？
A：很常见。补件通常围绕：业务模式与资金/币流解释、治理与合规官任命、AML/CTF Program、风险评估、监控与记录保存能力、外包治理等。

Q59：注册申请常见被问的“十大问题”是什么？
A：
1）你到底提供什么服务（OTC/撮合/ATM/经纪）
2）资金/币流闭环与对账
3）客户类型、国别与高风险策略
4）合规官是谁、是否管理层级、有何授权
5）风险评估是否完成并可更新
6）KYC/EDD 如何做、如何持续尽调
7）交易监控如何做、规则与处置
8）STR/SMR 流程与证据留存
9）记录保存是否可检索导出（至少 7 年策略）
10）外包服务商如何治理与审计权

Q60：注册批准后是不是就不会被取消？
A：不是。注册后进入持续监管；若不活跃或不符合要求，可能被取消或在续期时被拒。

Q61：DCE 是否必须续期？多久一次？
A：必须。AUSTRAC 明确：DCE 必须 每 3 年申请续期，以便 AUSTRAC 重新评估你是否适合继续注册。

Q62：不续期会怎样？
A：到期未续期即不再注册；继续提供 DCE 服务违法。

Q63：续期时 AUSTRAC 主要看什么？
A：看你是否持续履行 AML/CTF 义务，以及企业信息是否真实准确：风险评估更新、STR 机制、记录保存、合规官履职、董事会监督、外包治理、整改闭环等。

Q64：续期要提前多久准备？
A：建议至少提前 8–12 周做“续期体检”：制度更新、抽样检查包、监控回测、培训复训、董事会汇报与整改闭环归档。

Q65：什么是 “use it or lose it”？
A：AUSTRAC 在 2025 年公开发起行动，要求不活跃 DCE 主动撤回，否则可能被取消注册。

Q66：为什么 AUSTRAC要做行业清理？
A：因为 DCE 属高风险行业，存在“注册占位但不合规运行”的主体，会削弱 AML/CTF 体系效果；因此监管倾向清理不活跃注册，提升整体合规质量。

Q67：加密 ATM 运营者为什么被特别点名？
A：AUSTRAC 明确：现金↔加密兑换包括 ATM 运营者在内，且诈骗受害者与洗钱风险更集中，因此成为执法与最低标准重点。

Q68：AUSTRAC 能否拒绝我的注册或续期？
A：能。AUSTRAC 对 DCE 注册行动包含拒绝申请、取消注册等监管动作。

Q69：被取消注册后还能再申请吗？
A：理论可再申请，但会显著增加解释成本（治理/制度/系统需更强），且银行与合作方也会关注历史记录。

Q70：如何降低被取消/续期失败风险？
A：四个关键词：治理真实、合规官有权、证据链完整、记录可导出。把它们固化为季度例会、年度审查、监控回测与抽样检查包。

Q71：AUSTRAC Online 档案信息不一致有什么后果？
A：会显著提高监管风险与补件概率。建议建立“信息变更管理制度”：董事/股东/地址/业务变化即触发更新与归档。

Q72：注册后是否需要对外公示注册编号？
A：最佳实践是在官网合规披露页提供“已注册 DCE”说明与 AUSTRAC register 可核验信息（避免夸大性宣传）。

Q73：注册后是否必须立刻开始报送 STR？
A：当你开始运营并识别到可疑事项时必须报告；关键是机制要先搭好，才能证明你具备持续履责能力。

Q74：续期是否等于“重新申请一遍”？
A：不完全等同，但审查逻辑类似“再评估适当性”。因此你要准备“续期证据链包”，证明你一直在运行合规体系。

Q75：续期材料是否需要提交制度全文？
A：AUSTRAC 在线流程以其要求为准；但实务上你必须在被抽查/补件时能够立即出示制度全文及运行证据链。

Q76：如果业务暂停一段时间，续期怎么办？
A：要能证明暂停期间仍进行合规维护（制度更新、培训、系统维护、治理记录）。否则容易被视为不活跃或不可持续。

Q77：可以同时持有 DCE 与 remittance 注册吗？
A：可以，但义务叠加，且资金路径更复杂。建议把“汇款与兑换”的风险评估、监控与记录字段统一设计，避免系统割裂。

Q78：DCE 续期到期日期如何管理？
A：建议建立“合规日历”：

• 到期前 6 个月启动续期预审

• 到期前 3 个月完成制度/证据链归档

• 到期前 1–2 个月提交续期申请

Q79：AUSTRAC 会做现场检查还是远程检查？
A：两者都有可能。关键不在形式，而在你能否快速导出抽样客户与交易的全链路证据包。

Q80：如果监管要求外部审计/独立评估怎么办？
A：最佳实践是提前做年度独立审查（Independent Review），形成整改闭环；即使不是硬门槛，也是续期与银行尽调的强证明材料（尤其对高风险 DCE/ATM）。

Q81：注册的“最快路径”是什么？
A：不是“最快填完表”，而是“最快把可运行体系搭好”：业务定性清晰、合规官就位、制度可用、系统能跑、证据链能出——补件就少、沟通效率就高。

Q82：能否先用别人的 DCE 牌照挂靠展业？
A：合规风险极高。监管与银行会追问“谁是服务提供者、谁对客户承担义务、谁控制资金/币流”。挂靠往往导致责任不清与重大合规风险。

Q83：DCE 注册是否有“沙盒豁免”？
A：AUSTRAC 对 DCE 注册的公开口径中没有“可免注册的沙盒”路径。提供 DCE 服务前必须确认注册。

Q84：DCE 注册后可以更换业务模式吗？
A：可以，但必须同步更新风险评估、Program、监控规则、对账与记录字段，并确保 AUSTRAC 档案信息与实际一致。

Q85：DCE 注册后可以更换董事/股东吗？
A：可以，但你需要完成关键人员尽调与资料更新（穿透图、声明、SoF/SoW）、并按变更管理机制更新档案与内部治理记录。

Q86：如果 AUSTRAC 询问“你是否活跃”，怎么证明？
A：准备“活动证据包”：交易报表、客户 KYC 抽样、监控命中与处置记录、培训与会议纪要、STR 案例（如有）、系统日志与对账记录。

Q87：我必须保留多久的客户与交易记录？
A：在 AML/CTF 框架下，记录保存是核心义务之一；行业合规设计通常以“至少 7 年”策略构建可检索可导出体系（并确保符合 AUSTRAC 检查调取需求）。

Q88：记录保存只要保存 PDF 扫描件就够吗？
A：不够。你需要“可审计系统能力”：字段化数据、时间戳、权限日志、可导出报表、可回溯证据链。纸面留存无法支撑高频交易检查。

Q89：续期时最容易被卡住的点是什么？
A：制度“写了但没运行”：没有培训记录、没有监控回测、没有案件管理、没有董事会监督纪要、没有整改闭环。

Q90：AUSTRAC 是否会把 DCE 当“高风险行业”看待？
A：公开信息显示 AUSTRAC 对高风险 DCE、ATM 等业态持续加大关注与执法力度。

Q91：DCE 注册后，是否会被要求提升最低标准？
A：监管趋势是：对高风险业态（如 ATM）可能提出更明确的最低标准与治理要求。建议制度与系统预留升级空间。

Q92：我该如何把“续期”做成日常管理？
A：建立“持续合规 KPI”：季度风险评估复核、月度监控回测、季度董事会汇报、年度独立审查、培训完成率、整改闭环时效。

Q93：DCE 注册是否能作为对外融资或估值背书？
A：可以作为“准入资质”事实，但投资人仍会做更深尽调：治理、系统安全、收入模式、银行关系、合规成本与监管风险敞口。

Q94：AUSTRAC 续期审查会关注诈骗风险吗？
A：尤其 ATM/现金场景会高度关注（公开信息显示诈骗受害者比例高、监管行动强）。建议把反诈骗机制写进 SOP 与客户保护策略。

Q95：DCE 与“消费者保护”最相关的制度是什么？
A：风险披露（波动/不可逆/诈骗）、投诉处理与纠纷流程、冻结与终止机制、异常交易提醒与二次确认、受害者应急处置与协助指引。

澳洲 AUSTRAC FAQ-D｜董事/股东/合规官/关键岗位要求（Q96–Q120）

Q96：AUSTRAC 对 AML/CTF 合规官有什么硬性要求？
A：AUSTRAC 明确：报告实体必须任命 AML/CTF 合规官，且合规官必须处于管理层级，负责确保企业遵守 AML/CTF 义务。

Q97：合规官是否必须持有 CAMS/ICA 等证书？
A：AUSTRAC 的公开要求并未规定必须持某一证书；监管更看重“管理层级 + 能落地执行 + 可审计证据链”。（证书是加分项，不是替代品。）

Q98：合规官是否必须具备多年 AML 工作经验？
A：公开口径没有统一“最低年限”。但实务上，高风险 DCE 若合规官经验薄弱，会导致制度无法落地、补件风险上升、银行尽调难通过。建议配置：合规官（管理层）+ AML 经理/顾问支持。

Q99：合规官是否可以是外包顾问？
A：合规官应为你组织内的管理层级角色；外部顾问可协助制度与系统搭建，但不能替代企业内责任人承担持续履责与决策。

Q100：合规官“管理层级”如何证明？
A：建议准备“五件证据链”：
1）组织架构图（合规官在管理层）
2）岗位 JD（职责/权限/资源）
3）授权书（可暂停高风险业务、冻结出金、调取资料）
4）汇报线（直达 CEO/董事会）
5）合规例会纪要（参与决策与整改闭环）

Q101：AUSTRAC 对董事会/高管有什么要求？
A：AUSTRAC 指引强调：AML/CTF Program 需要董事会与高管批准并持续监督；若无董事会，则由 CEO 或等同角色批准并监督。

Q102：董事是否必须具备金融背景或特定学历？
A：公开口径没有“必须金融学历/证书”。但银行与监管会看治理能力：是否理解 ML/TF 风险、是否能投入资源、是否能监督合规官与整改闭环。

Q103：董事最应当具备哪些“可证明能力”？
A：

• 风险治理与内控经验（会议纪要与决策痕迹）

• 合规文化（培训、KRI 看板、问责机制）

• 资源投入能力（人、系统、审计、应急预算）

Q104：董事会应如何体现“持续监督”？
A：建议固化：季度合规报告机制、重大事件升级机制、年度独立审查与整改闭环签批、KRI 月度看板。

Q105：股东/UBO 是否有学历或证书要求？
A：无统一硬门槛。重点是：结构穿透清晰、资金来源与财富来源可解释、诚信与声誉风险可控。

Q106：UBO 的资金来源（SoF/SoW）要准备到什么程度？
A：交付级建议：

• SoW：财富形成路径（职业/经营/投资/资产处置）

• SoF：本次注资/收购资金的直接来源证明（银行流水、合同、财报等）

• 一致性：与股权穿透图、董事声明、银行尽调回答一致

Q107：多层离岸结构会不会影响注册？
A：不必然，但会显著增加尽调与解释成本。建议用“穿透图 + 控制说明 + SoF/SoW 包 + 决议链”一套提交，避免信息不一致。

Q108：关键岗位除了合规官还需要哪些？
A：建议最小配置：

• KYC/CDD/EDD 负责人

• 交易监控/案件管理负责人

• 制裁/名单管理责任人

• 钱包安全/IT 安全负责人

• 财务对账负责人
  （小团队可兼任，但要有复核与权限分离。）

Q109：合规官可以兼任运营负责人吗？
A：可以，但要避免“自己审自己”：关键决策必须有复核；STR 决策链需有升级机制；监控规则修改要有变更审批与回测记录。

Q110：合规官是否必须参与新产品上线评审？
A：强烈建议必须参与并留痕。新产品/新通道/新国别会改变风险评估与控制措施，不留痕就是合规漏洞。

Q111：合规官是否需要具备“叫停业务”的权力？
A：建议必须具备。高风险事件（制裁命中、重大诈骗、系统泄露、盗币）需要合规官可触发暂停、冻结、增强尽调等措施。

Q112：合规官离职了怎么办？
A：必须立即任命继任者并更新 AUSTRAC Online 相关信息；同时完成交接、培训、未结案件清理与证据链归档，避免监管与运营中断风险。

Q113：员工培训是不是硬要求？
A：是 AML/CTF Program 有效运行的重要组成。建议：入职必训、年度复训、岗位专项训，并保留课件/签到/测验/改进记录。

Q114：关键人员需要做背景调查吗？
A：强烈建议。DCE 属高风险行业，“关键人员尽调”是监管与银行都非常在意的点：身份核验、履历核验、诚信声明、利益冲突披露等。

Q115：董事/股东有诉讼或负面新闻一定不行吗？
A：不一定，但必须充分披露并提供解释与缓释措施（结案证明、法律意见、整改）。隐瞒比问题本身更致命。

Q116：合规官需要懂链上追踪吗？
A：不是硬门槛，但强烈建议至少理解链上风险场景（混币、制裁地址、诈骗资金聚合），并推动采用工具/规则识别风险。

Q117：合规官的 KPI 应怎么定？
A：建议围绕：风险评估更新及时性、监控命中处置时效、STR 决策质量、培训完成率、整改闭环周期、外包审计与 SLA 达标。

Q118：合规官最容易被监管问到的三件事是什么？
A：
1）你如何评估并更新 ML/TF 风险（是否真实、是否定期）
2）你如何识别可疑事项并形成 STR 决策证据链
3）你如何确保记录保存“可检索、可出示、可追溯”

Q119：学历、证书不足怎么“补强”让监管与银行认可？
A：用“胜任证据链”补强：岗位 JD、授权书、治理汇报机制、培训与测验、监控规则库、STR 演练记录、独立审查报告、整改闭环记录——让外部看到你能把制度跑起来。

Q120：一句话总结董事与合规官要求？
A：AUSTRAC 更看重“治理与履责能力”，而不是一纸证书：合规官必须管理层级、董事会必须真实监督、制度必须落地并可审计。

澳洲 AUSTRAC FAQ-E｜AML/CTF Program（制度体系）与治理（Q121–Q160）

Q121：DCE 必须建立 AML/CTF Program 吗？
A：必须。DCE 属 AUSTRAC 监管的报告实体（reporting entity），必须建立并运行 AML/CTF Program，且需要高层批准与持续监督。

Q122：AML/CTF Program 通常分为哪些部分？
A：行业常称 Part A + Part B：

• Part A：治理与控制框架（风险评估、内部控制、员工尽调、培训、审查、持续改进、董事会监督等）

• Part B：客户识别与验证（KYC/收集信息/验证方法/持续尽调/受益人识别等）
  AUSTRAC 核心是看“是否真实运行并可审计”。

Q123：谁来批准 AML/CTF Program？
A：AUSTRAC 明确：需要董事会与高级管理层批准并持续监督；若无董事会，则由 CEO 或等同角色批准并监督。

Q124：合规官（AML/CTF compliance officer）在 Program 里的地位是什么？
A：合规官是 Program 的“发动机总控”，AUSTRAC 明确要求必须任命合规官，且合规官必须处于管理层级，负责确保企业履行 AML/CTF 义务。

Q125：合规官必须是澳洲居民吗？
A：在 AUSTRAC 改革（Reform）指引中，合规官有“资格条件”，其中包括：在管理层级受雇/受聘；若你在澳洲永久机构提供指定服务，合规官需为澳洲居民；并应为 fit and proper person。

Q126：什么是 “fit and proper person” 的合规官要求？
A：要点是诚信与适任：无重大犯罪/金融不良记录、无严重合规处罚史、具备胜任履职的能力与时间投入。实务中建议以“声明+背景调查+履历核验+董事会任命决议+职责授权书”形成证据链。

Q127：合规官是否必须是全职？
A：AUSTRAC 未给出“一刀切全职”硬指标，但要求其必须在管理层级并能确保履责。对 DCE（尤其现金/ATM、高频交易）而言，实务上更建议：合规官对该角色有足够时间投入，并配置 AML 运营人员支撑。

Q128：小团队可以让 CEO 兼任合规官吗？
A：可以（且“管理层级”更易满足），但必须解决“自我监督”冲突：建立复核机制、重大 STR 决策升级机制、规则变更审批与回测记录、董事会/管理层季度监督纪要。

Q129：Program 需要多久更新一次？
A：AUSTRAC 强调 ML/TF 风险评估应“定期审查与更新”，以及 Program 需要持续监督与改进。实务建议：

• 重大变更（新产品/新通道/新国别/新外包）即刻更新

• 至少年度全面复审，季度做轻量复核并留痕

Q130：Program 的“最小可交付版本”应包含哪些章节？
A：交付级建议（最小可运行）：

1. 业务与指定服务定性说明（DCE）

2. 风险评估方法论（评分模型/分层/阈值）

3. 治理结构（董事会监督、合规官授权与汇报线）

4. KYC/CDD/EDD 规则（Part B）

5. 制裁/PEP 筛查与处置

6. 交易监控与案件管理

7. STR/SMR 决策链与证据留存

8. 记录保存与审计日志策略

9. 员工培训与员工尽调（EDD for staff）

10. 外包治理（审计权、退出、监管配合）

11. 独立审查与整改闭环（review & remediation)

Q131：AUSTRAC 最常用哪种方式判断 Program 是否“真的运行”？
A：看证据链：

• 董事会/管理层审批与监督纪要（季度）

• 培训记录与测验、岗位签署确认

• 监控规则回测/UAT、命中处置记录

• STR 案例/不报原因记录（都要留痕）

• 抽样客户与交易的“检查包”可快速导出
  这些与 AUSTRAC 对合规官与治理要求高度一致。

Q132：如果我只做低风险客户（例如澳洲本地小额）能否简化 Program？
A：可以“按风险简化”，但必须先做风险评估并能证明为什么低风险、如何维持低风险（限额、渠道限制、国别限制、产品限制）。没有风险评估支撑的“自称低风险”通常不被认可。

Q133：Program 是否必须覆盖诈骗（scam）风险？
A：对 DCE 尤其 ATM/现金场景，诈骗是现实高发风险，监管也公开强调对 ATM/DCE 行业加强行动。建议将反诈骗识别、冷却期、二次确认、受害者应急 SOP 写入 Program/客户保护章节。

Q134：什么是“员工尽调（employee due diligence）”？
A：对关键岗位（合规、KYC、财务、钱包安全、客服）要做：身份核验、履历核验、诚信声明、利益冲突披露、定期复核。AUSTRAC 在 Program 核心要素中明确包含员工尽调。

Q135：Program 是否需要“独立审查（independent review）”？
A：监管要求与个案风险有关，但最佳实践是年度做一次独立审查，形成整改闭环；这对续期与银行尽调是强证据（尤其高风险 DCE/ATM）。

Q136：董事会监督“最低做到什么程度”才算合格？
A：建议形成制度化节奏：

• 季度合规报告（KRI、STR 统计、命中处置、整改）

• 重大事件即时升级（制裁命中、大额异常、系统泄露、诈骗集中）

• 年度风险评估与 Program 复核批准

• 年度独立审查与整改闭环签批
  （并保留会议材料与纪要）

Q137：合规官需要哪些“权限”才符合管理层级要求？
A：建议至少包含：

• 要求业务暂停/限制高风险服务

• 冻结出金/暂停交易的触发权（按 SOP）

• 调取全量客户与交易数据的权利

• 对外包服务商审计与整改要求权

• 直达 CEO/董事会汇报权
  （用任命决议 + 授权书 + 汇报线图 证明）

Q138：合规官的“岗位描述（JD）”建议怎么写？
A：交付级 JD 建议包含：
职责（Program 维护、风险评估、监控与 STR、培训、记录保存、监管沟通）、权限（暂停/冻结/调取/审计）、汇报线（CEO/董事会）、KPI（整改闭环时效、培训覆盖率、监控回测、资料更新及时性）、冲突管理（自我审查回避机制）。

Q139：如果合规官不在澳洲，是否一定不行？
A：要看你是否在澳洲永久机构提供指定服务。改革指引中对“在澳永久机构提供服务”的场景提出居民要求。最稳妥路径通常是：合规官设在澳洲管理层/常驻，并用制度+证据链证明持续履责。

Q140：DCE 注册与 Program 谁先谁后？
A：监管上要求注册确认前不得展业；实务上建议：先把 Program 做到可运行，再提交注册，降低补件与后续续期风险。

Q141：AUSTRAC “use it or lose it” 对 Program 有什么启示？
A：启示是：监管要清理“占位但不运营”的主体。你即便暂不展业，也要能证明合规体系在维护/演练/更新，否则会被视为不活跃并面临撤回/取消风险。

Q142：Program 里最应该避免的“模板化”问题是什么？
A：三类最致命：

• 风险评估与业务模式不一致（写的是撮合，实际做 OTC/现金）

• 监控规则与数据字段不匹配（写了规则但系统拿不到数据）

• STR 流程没有证据链（只写步骤，不留决策痕迹）

Q143：我是否需要把“资金/币流闭环图”写进 Program？
A：强烈建议。闭环图（入金—换币—托管—出金）是监管与银行尽调的核心“理解入口”，能显著减少误解与补件。

Q144：Program 是否需要覆盖外包（outsourcing）？
A：需要。你外包 KYC、筛查、链上分析、钱包托管、云服务，都必须纳入风险评估与控制：尽调、合同审计权、SLA、退出与迁移、监管配合。

Q145：Program 如何处理“代理点/门店/ATM”这种分散场景？
A：应纳入：代理培训、巡检与抽查、录像/票据留存、现金对账、异常上报机制、员工尽调、权限与职责边界；尤其 ATM 属监管重点。

Q146：Program 是否必须包含“记录保存策略”？
A：必须。记录保存是 AML/CTF 核心义务之一，且必须做到可检索可出示。

Q147：Program 与 AUSTRAC Online 信息有关系吗？
A：有。AUSTRAC register 信息以你提交的资料为基础，且依法要求信息准确一致；Program 中的实体信息、业务模式、关键人员应与 Online 档案一致。

Q148：Program 是否需要考虑 AUSTRAC Online 的系统升级/停机？
A：需要纳入运营连续性计划：2025 年 11 月 AUSTRAC Online 曾发布计划性停机安排，期间无法提交报告；企业需安排替代流程与内部通知。

Q149：Program 中“整改闭环”如何体现？
A：用一张整改台账：问题来源（审查/检查/投诉/监控）、整改措施、负责人、截止时间、复核人、复核证据、关闭日期；并纳入季度董事会监督纪要。

Q150：Program 是否需要覆盖数据隐私与信息安全？
A：AUSTRAC 关注点是 AML/CTF 能否运行与记录能否出示，但在银行尽调与风险管理中，隐私/数据安全与合规记录保存会被一起审视。建议在 Program 或配套制度中明确数据访问控制与审计日志。

Q151：如果我准备申请 DCE，但还没确定系统供应商，Program 怎么写？
A：可以先用“技术需求与控制点”写法：定义你必须具备的数据字段、日志能力、规则引擎、导出能力、权限模型、外包审计权条款。后续选型时把这些作为合同与验收标准。

Q152：AUSTRAC 是否给出了 DCE 的明确最低系统标准？
A：AUSTRAC 对 DCE 的公开要求更多聚焦“必须注册”“必须履行 AML/CTF”，对系统标准多用“能履行义务、能保存记录、能出示证据链”的检查口径。你要按“可检查”标准设计。

Q153：如果我的 Program 写得很全，但没有培训记录，会怎样？
A：典型会被认定“未运行”。培训与测验记录是 Program 运行最基础证据之一。

Q154：如果我没有 STR（因为从没遇到可疑），会被怀疑吗？
A：会被问：你是否有合理的监控与识别机制。即使“最终不报”，也要保留“触发—分析—升级—决定不报”的证据链，证明不是“不会识别”。（这点对续期与检查很重要）

Q155：Program 中“风险评估”是否必须量化？
A：AUSTRAC 关注“风险评估是否真实、可更新”。量化评分不是硬要求，但量化能更好地解释为什么某客户/交易触发 EDD、限额、人工复核。

Q156：如何把 Program 做成“可复制交付件”？
A：建议结构化输出：主文档（政策）+ SOP（流程）+ 表单（证据）+ 流程图（可视化）+ 台账（运行）+ 版本控制（审计）。

Q157：Program 是否需要“版本控制”与变更记录？
A：强烈建议。监管与银行经常问：制度何时更新、为何更新、谁批准、是否培训覆盖到员工。版本控制表是最便宜但最有效的证据链。

Q158：Program 是否需要和客户条款（T&C）一致？
A：需要。用户协议里关于冻结/终止/退款/风险披露必须与 Program 的处置 SOP 相匹配，否则对外解释会出现矛盾。

Q159：Program 的“合规成本”怎么估算？
A：用模块化预算：人员（合规官/AML运营/审计）、系统（KYC/筛查/链上/监控/案件）、外包审计、培训、年度独立审查、法律与隐私合规。

Q160：一句话总结 Program 的通过标准？
A：不是“写得厚”，而是能跑、能查、能复盘：治理到位、合规官管理层级、风险评估更新、监控与 STR 有证据链、记录能导出。

澳洲 AUSTRAC FAQ-F｜注册续期、信息更新与“use it or lose it”（Q161–Q190）

Q161：DCE 注册多久到期？
A：AUSTRAC 明确：DCE（与 remitter）必须每 3 年申请续期。

Q162：不续期会怎样？
A：到期未续期，你将不再是已注册 DCE；继续提供 DCE 服务违法。

Q163：续期要怎么操作？
A：通过 AUSTRAC Online 提交续期申请（官方有“如何续期”的页面与 QRG 指引）。

Q164：续期时 AUSTRAC 主要重新评估什么？
A：是否仍适合继续注册：信息是否准确、是否持续履行 AML/CTF 义务、是否真实运营并可出示证据链。

Q165：什么是 AUSTRAC 的 “use it or lose it” 行动？
A：AUSTRAC 2025 年 4 月发布媒体稿：鼓励不活跃 DCE 自愿撤回注册，否则可能被取消；并明确 DCE 必须注册才能提供现金↔加密服务，含加密 ATM 提供者。

Q166：AUSTRAC 为什么强调 ATM？
A：媒体稿明确点名 ATM 也属于 DCE 监管范围内的现金↔加密服务提供者，因此被纳入清理与执法关注。

Q167：我怎么判断自己会不会被视为“不活跃”？
A：若长期无交易、无培训、无风险评估更新、无监控回测、无法出示运行记录，容易被视为不活跃。最稳妥是准备“活跃证据链包”（见 Q170）。

Q168：如果我暂时不展业，是否应该主动撤回注册？
A：看你的商业计划与合规准备程度。AUSTRAC 明确鼓励不活跃主体自愿撤回以避免被取消。

Q169：被“取消注册”与“自愿撤回”区别是什么？
A：自愿撤回更可控、声誉风险更低；被取消往往会带来更高解释成本（未来再申请、银行尽调、合作方审查）。

Q170：所谓“活跃证据链包”应包含哪些材料？
A：建议一包即可应对监管/银行抽查：

• 组织架构 + 合规官任命与授权

• 最近 1–2 个季度董事会/管理层监督纪要

• 风险评估更新记录与版本控制

• 培训记录与测验

• 监控规则清单 + 回测/UAT + 命中处置样本

• STR/SMR 案件样本（如无 STR，则提供“触发—分析—不报决策”的留痕样本）

• 记录保存与导出样例（抽样客户/交易全链路）

Q171：续期前多久启动准备最稳？
A：建议至少提前 8–12 周做内部“续期体检”，并固化成年度合规日历。

Q172：AUSTRAC Online 的企业信息不更新有什么风险？
A：Register 信息基于你提交资料，法律框架要求信息准确；不一致会显著增加续期/检查风险与补件概率。

Q173：AUSTRAC 允许拒绝注册/续期吗？
A：AUSTRAC 官方页面明确：可对 DCE 申请采取注册行动，包括拒绝申请。

Q174：哪些情形容易触发“拒绝/取消”风险？
A：高风险点包括：

• 注册前已展业（违法）

• 不活跃且不回应监管联络

• 合规官不在管理层级或无法履职

• 信息不真实/不一致（结构、关键人、业务模式）

• AML/CTF Program 不运行、证据链缺失

Q175：我能否在注册确认前做“试运营收款但不成交”？
A：不建议冒险。AUSTRAC 明确：确认注册前不得提供 DCE 服务；任何构成兑换服务的行为都可能触发违法风险。

Q176：AUSTRAC 对注册与续期的官方表格体系是什么？
A：通过 AUSTRAC Online 提交（含 Business Profile/ABPF 相关说明与指南）。

Q177：ABPF（AUSTRAC Business Profile Form）与 DCE 有什么关系？
A：ABPF 属 enrolment/registration 资料体系的一部分，用于提交/解释你的企业信息与注册相关信息（官方有解释性指南）。

Q178：续期需要把 affiliates（关联实体/分支）一起续吗？
A：AUSTRAC 的续期页面提到可续关联注册（affiliates’ registrations），具体以你的结构与 AUSTRAC Online 提示为准。

Q179：如果公司改名/换董事/换股东，需要做什么？
A：必须按内部变更管理机制更新风险评估、Program、KYC/EDD策略，并及时更新 AUSTRAC Online/注册信息，确保对外一致。

Q180：AUSTRAC Online 在 2025 年 11 月有停机/升级提示，这对报告提交有什么影响？
A：AUSTRAC 公告指出在计划停机期间 Online 不可用，报告实体无法通过 Online 提交报告，企业需提前安排与通知相关员工。

Q181：续期失败后还能继续服务吗？
A：不能。未注册提供 DCE 服务违法。

Q182：续期通过后是否应对外更新披露？
A：建议更新合规披露页（“已注册 DCE，注册有效期/续期完成”），并确保对外陈述准确不误导。

Q183：AUSTRAC 是否会主动联系不活跃 DCE？
A：媒体稿显示 AUSTRAC 正在开展清理行动，鼓励不活跃主体撤回，否则取消。

Q184：我如何降低被“误判不活跃”的风险？
A：即使交易量小，也要让合规体系“有脉搏”：季度监督纪要、年度风险评估更新、培训、监控回测、抽样检查包。

Q185：DCE 注册对“银行关系”有什么直接帮助？
A：能作为“合规准入事实”，但银行仍会要求你证明持续运行能力；尤其会核查你是否在 AUSTRAC register 中可验证。

Q186：AUSTRAC 是否公开 DCE register 信息来源的法律依据？
A：AUSTRAC 用户指南页面说明 register 信息基于你依据 AML/CTF Act 相关条款提交的信息。

Q187：如果我想退出 DCE 业务，合规上最稳怎么做？
A：停止提供服务 + 妥善处理客户资金/币 + 保留记录（满足法定保存）+ 通过 AUSTRAC 流程撤回/结束注册（按官方指引执行）。

Q188：什么情况下应考虑“主动撤回”而不是硬撑？
A：若短期无明确展业计划、无法投入合规系统与人员、银行关系无法建立——继续占位会放大被取消风险与声誉成本。

Q189：DCE 注册最常见的“时间误区”是什么？
A：认为注册是一次性动作。实际上：注册→持续监管→3 年续期→清理行动，都是“长期关系”。

Q190：一句话总结续期与清理趋势？
A：要么持续运行并能出示证据链，要么主动撤回——这就是 AUSTRAC “use it or lose it” 的监管信号。

澳洲 AUSTRAC FAQ-G｜合规官、关键岗位与“学历/证书”问题的标准答法（Q191–Q240）

Q191：AUSTRAC 明确要求合规官“管理层级”，具体原话是什么？
A：AUSTRAC 官方页面明确：合规官必须在管理层级（management level），负责确保企业遵守 AML/CTF 义务。

Q192：合规官一定要有 CAMS/ICA 证书吗？
A：AUSTRAC 对 DCE/合规官公开要求中，并未规定必须持某一证书；但证书可作为“能力证明”加分。监管与银行最终看：你是否能把 Program 跑起来并可审计。

Q193：那“学历/证书”不足，怎么向监管与银行解释？
A：用“胜任证据链”替代：

• 合规官 JD（职责/权限/资源）

• 任命决议与授权书（冻结/暂停/调取/审计权）

• 汇报线（直达 CEO/董事会）

• 培训与测验记录（含外部课程、内部考核）

• STR 演练记录、监控回测记录、抽样检查包

• 年度独立审查与整改闭环
  这比单一证书更符合 AUSTRAC “能履责”口径。

Q194：合规官可以“受聘（engaged）”而非雇员吗？
A：在改革指引中，合规官资格条件之一是“employed or engaged by your business at management level”。也就是说可以以受聘形式，但必须在管理层级，并满足其他资格要求（含 fit and proper 等）。

Q195：合规官与 MLRO 是同一个概念吗？
A：在澳洲 AUSTRAC 语境通常称 AML/CTF compliance officer；行业里常把其职责等同 MLRO/合规负责人，但你对外与对内文件建议统一 AUSTRAC 术语，避免误解。

Q196：合规官必须在澳洲本地办公室办公吗？
A：公开要求强调管理层级与（特定情形下）澳洲居民条件。实务上，为应对监管沟通、银行尽调与检查，建议合规官具备“在澳可执行/可响应”的实质安排。

Q197：合规官是否必须直接向董事会汇报？
A：AUSTRAC 强调董事会/高管批准与监督。最佳实践是：合规官可直达董事会或 CEO，形成独立性与权威性，并用季度纪要证明持续监督。

Q198：合规官最关键的三项“日常输出”是什么？
A：

1. 风险评估更新（含高风险客户策略）

2. 交易监控与案件管理（命中处置与复盘）

3. STR/SMR 决策链与证据留存
   并定期向管理层/董事会报告。

Q199：DCE 关键岗位最小配置建议？
A：交付级“最小可运行”建议：

• 合规官（管理层）

• AML 运营/KYC 负责人（可兼任）

• 交易监控与案件管理负责人（可兼任）

• 钱包安全/IT 安全负责人

• 财务对账负责人

• 客服/投诉与反诈骗负责人
  （小团队可兼任，但要有复核与权限分离设计）

Q200：合规官可以兼任业务负责人吗？
A：可以，但必须设置“冲突隔离”：重大案件升级机制、STR 决策复核机制、规则变更审批与回测机制、董事会监督纪要。

Q201：合规官必须掌握链上追踪技能吗？
A：不是硬门槛，但对 DCE 尤其跨境与高风险客户，链上风险识别很关键。建议：合规官理解典型链上风险场景，并采用链上分析工具/外包治理来落地控制。

Q202：合规官需要参与产品上线评审吗？
A：强烈建议必须参与并留痕：新产品/新通道/新国别会改变风险评估与控制措施，是监管与银行尽调高频追问点。

Q203：合规官离职/长期休假怎么办？
A：建立 BCP：继任者/代理合规官任命、交接清单、未结案件清理、资料更新与员工通知，并确保 AUSTRAC Online 信息及时更新。

Q204：合规官的绩效 KPI 怎么设更符合监管口径？
A：建议 KPI 与证据链绑定：

• 风险评估更新及时性

• 监控命中处置时效与准确率

• STR 决策质量（抽样复核）

• 培训覆盖率与测验通过率

• 整改闭环周期（从发现到关闭）

• 外包审计与 SLA 达标率

Q205：董事/高管需要参加 AML 培训吗？
A：强烈建议。因为 AUSTRAC 强调高层批准与持续监督；董事参与培训并留痕，是“合规文化”最直接证据之一。

Q206：董事会监督最少多久开一次会？
A：最佳实践：季度一次合规汇报会（或并入董事会例会），并形成纪要与行动项跟踪。

Q207：股东/UBO 需要提供哪些“适任性”材料？
A：建议形成“UBO 尽调包”：身份证明、住址证明、简历/业务背景、资金来源与财富来源、无犯罪/诚信声明、制裁筛查结果、控制说明（穿透图+投票权）。

Q208：如果 UBO 是境外人士，最难的点是什么？
A：SoW/SoF 解释与文件真实性核验；银行尽调会更严。建议：文件公证/认证策略、第三方核验、资金路径闭环解释。

Q209：AUSTRAC 是否直接要求 UBO 无犯罪证明？
A：公开 DCE 页面未写成“一刀切必交”，但在合规与银行尽调层面，提供无犯罪/诚信声明与背景调查是强证明，尤其高风险 DCE。

Q210：董事/高管有过失败项目或负面新闻，会一票否决吗？
A：不必然，但必须披露并提供解释与缓释措施。隐瞒通常比问题本身更致命。

Q211：合规官需要掌握哪些“最少知识体系”？
A：最少应掌握：

• DCE 指定服务边界

• 风险评估方法（客户/产品/渠道/地域/交易行为）

• KYC/CDD/EDD 触发与处置

• 制裁/PEP 筛查与冻结/升级流程

• STR/SMR 决策链与证据留存

• 记录保存与可导出能力
  与 AUSTRAC 对合规官职责要求相匹配。

Q212：合规官不是 AML 专家可以吗？
A：可以通过团队配置与外部支撑补足，但合规官仍必须在管理层级并对最终合规结果负责。权责与资源配置不到位，会在检查/续期/银行尽调中暴露。

Q213：合规官“管理层级”在小公司里怎么界定？
A：最直观：董事/CEO/合伙人/业务负责人（能调配资源并对公司决策负责）。第三方顾问“仅提供建议但无决策权”通常不满足。

Q214：合规官与风控、客服的协作机制怎么设计？
A：建议做一张 RACI：

• 监控命中：风控初审（R）→合规复核（A）→客服执行冻结/补件（R）→财务/钱包执行出金控制（R）

• STR 决策：合规（A）→CEO/董事会（重大案 C/I）
  并在 SOP 中写明时限与证据留存。

Q215：如果我有多个门店/代理点，合规官如何覆盖？
A：必须建立巡检与抽查制度、代理培训、录像/票据保存、现金对账与异常上报；合规官负责制度与监督，门店负责人负责执行与留痕。

Q216：合规官需要参与银行尽调答复吗？
A：必须参与。银行会直接问合规官：风险评估、监控规则、STR、制裁、记录保存、外包审计权；合规官的回答质量决定开户成败。

Q217：合规官需要准备哪些“标准答辩材料”？
A：建议固定一套“合规官答辩包”：

• 合规官履历（强调管理层经验、风控/支付/加密经验）

• 任命决议与授权书

• Program 摘要版（10页以内）

• 监控规则与 STR 流程图

• 抽样检查包（2–3 个客户、5–10 笔交易）导出示例

Q218：合规官如何证明自己有足够资源？
A：用预算与人力配置证明：系统采购合同/SLA、AML 运营人员配置、年度独立审查预算、培训计划；并在董事会纪要中体现资源批准。

Q219：合规官能否直接决定冻结客户资金/币？
A：应按 SOP 与权限设计执行。合规官通常可触发冻结/暂停（风险事件），由运营/钱包/财务执行并留痕；用户条款应写清冻结/终止权。

Q220：合规官是否要参与投诉与争议处理？
A：强烈建议参与：投诉可能暴露诈骗、身份盗用、洗钱风险。合规官要确保投诉流程能触发增强尽调与必要上报。

Q221：合规官需要和 IT 安全负责人怎么配合？
A：重点是审计日志与数据可用性：监控规则需要数据字段、日志要不可篡改、权限要最小化并可追踪；合规官需能要求 IT 导出证据链。

Q222：合规官对外包服务商有哪些“硬要求”？
A：合同必须包含：审计权、监管配合条款、数据访问控制、SLA、事件通报时限、退出与迁移机制；否则检查与银行尽调会卡。

Q223：如果外包商在境外，会增加什么风险？
A：数据跨境、审计权落地难、监管调取响应慢。建议：关键数据与日志在澳可用、合同明确响应时限、设立本地应急与备份方案。

Q224：董事最常被问的合规问题是什么？
A：

• 你是否批准并监督 Program？

• 你如何确保合规官有权有资源？

• 你如何知道监控/STR 在运行？

• 你如何处理重大风险事件？
  用季度纪要与行动项台账回答最有力。

Q225：董事需要签署哪些文件最关键？
A：建议：Program 批准决议、合规官任命与授权、风险偏好声明（Risk Appetite）、年度独立审查整改批准、重大事件处置批准。

Q226：股东/UBO 最常被银行追问的点是什么？
A：穿透结构与控制权、SoW/SoF、是否与高风险行业/制裁国家有关联、是否有负面记录、资金路径是否闭环。

Q227：如何让合规官与董事“同频”？
A：固定节奏：合规官月度 KRI 看板 + 季度董事会汇报；重大事件 24 小时内升级；并把关键指标写进董事会 KPI。

Q228：合规官最容易“失分”的行为是什么？
A：挂名不参与决策；不敢叫停业务；没有证据链（只会口头解释）；对 STR/制裁/记录保存说不清。

Q229：合规官与财务对账的关系为什么重要？
A：DCE 的洗钱风险很多体现在“资金/币流不一致”。合规官必须确保：法币对账、链上对账、钱包余额对账、异常差异处置都有 SOP 与留痕。

Q230：合规官需要准备哪些“系统截图/导出样例”用于检查？
A：建议至少准备：

• 客户档案（KYC 字段、验证记录、EDD 触发）

• 筛查命中与处置记录

• 监控命中案例（规则、阈值、时间戳、处置）

• STR 案件台账（或不报决策留痕）

• 记录导出样例（CSV/PDF）与审计日志

Q231：合规官是否需要了解 AUSTRAC Online 操作？
A：需要，至少要能完成基础提交与资料维护，并了解续期流程与 QRG 指引。

Q232：注册确认前不得展业，这个要求在内部如何落地？
A：做“上线闸门”：系统在注册确认前关闭成交与收款功能；客服与市场话术统一；内部审批确认“注册确认文件到位”后才开启交易闭环。

Q233：合规官如何参与“上线闸门”审核？
A：合规官应签署上线检查表（KYC/筛查/监控/日志/条款/投诉机制/应急预案齐备），并在董事会纪要中留痕。

Q234：如何把“学历/证书”写进对外材料而不误导？
A：用“能力矩阵”写法：团队成员背景（支付/银行/风控/技术）、培训与证书（如有则列出）、职责分工、制度与系统落地成果（监控规则库、演练记录）。避免夸大为“监管背书”。

Q235：合规官需要建立“内部举报与升级机制”吗？
A：强烈建议。员工与代理点的异常发现是 STR 的重要来源；举报机制与保护机制是合规文化的一部分。

Q236：合规官如何应对“诈骗受害者”客户？
A：建立受害者 SOP：识别话术/行为、延迟出金、二次确认、建议报警、必要时上报、全链路留痕；尤其现金/ATM 场景。

Q237：合规官如何判断“可疑事项”的门槛？
A：用场景库 + 风险评分：分拆、快速进出、与已知高风险地址交互、异常地理位置、与诈骗模式一致、与制裁暴露有关等；并通过案件管理形成“决策一致性”。

Q238：合规官是否应建立“STR 决策委员会”？
A：大中型 DCE 建议建立（合规+风控+运营+法律），小团队至少要有“重大案升级到 CEO/董事会”的机制，确保权威性与留痕。

Q239：合规官如何应对 AUSTRAC 的检查或询问？
A：用“检查包”快速回应：抽样客户/交易全链路证据、制度版本、监督纪要、培训记录、监控与 STR 留痕、外包合同审计条款。

Q240：一句话总结合规官与关键岗位的“监管评分标准”？
A：AUSTRAC 要的不是“好看的履历”，而是管理层级 + 能叫停业务 + 能跑合规引擎 + 能随时导出证据链。

澳洲 AUSTRAC FAQ-H｜KYC/客户识别与验证（Part B / ACIP）实操（Q241–Q280）

Q241：DCE 的 KYC 规则写在哪里才算“合规”？
A：写在你书面的 AML/CTF Program Part B（客户识别与验证程序）中。AUSTRAC 明确：Part B 必须详细记录你如何识别客户并验证信息准确性。

Q242：AUSTRAC 对“客户识别与验证”的核心标准是什么？
A：完成适用的客户识别程序后，你必须“合理满意（reasonably satisfied）”客户身份信息正确（并能解释你为什么满意、依据是什么、记录在哪里）。

Q243：KYC 最少要覆盖哪些对象？
A：通常至少覆盖：

• 个人客户（individual）

• 公司客户（company）

• 信托/合伙等结构（如适用）
  并在 Part B 里分别写清：收集字段、验证方法、例外处理、升级 EDD 触发器。

Q244：KYC 必须包含“受益人（beneficial owner）”识别吗？
A：必须。AUSTRAC 的 KYC 指引明确：Part B 必须写明如何收集与验证受益人信息。

Q245：KYC 必须包含 PEP（政治公众人物）识别吗？
A：必须。AUSTRAC 指引明确：Part B 必须写清如何识别客户或受益人为 PEP，以及后续处置机制。

Q246：KYC 发现信息不一致/不匹配（discrepancy）怎么办？
A：必须有“差异处置流程”：补件、二次验证、限制交易、升级 EDD、必要时提交 SMR；并把差异处置全过程留痕（这部分 AUSTRAC 也点名要求写入 Part B）。

Q247：我能否“先开户后验证”？
A：一般要在提供指定服务前完成适用识别程序；但 AUSTRAC 也提供“在特定情形下可在提供服务前未完成全部验证”的例外框架（必须符合规定情形与控制要求，并写入 Part B）。

Q248：所谓 ACIP（applicable customer identification procedures）是什么？
A：就是你在 Part B 中定义的、按客户类型与风险分层适用的识别与验证程序；AUSTRAC 的 KYC/识别与验证页面就是围绕 ACIP 来描述。

Q249：KYC “字段清单”建议写到多细？
A：交付级建议写到“可上线可稽核”的颗粒度：

• 个人：姓名、出生日期、住址、身份证明号码/文件类型、国籍、职业/雇主、资金来源/财富来源（按风险分层）、联系方式、税务居住地（若你业务需要）

• 公司：注册号、注册地址、实际经营地址、董事/高级管理人员、股权结构与受益人、业务性质、预计交易规模/目的
  并写清每个字段的“验证方式、允许的证据、有效期、复核频率”。

Q250：KYC 验证方式必须是面对面吗？
A：不必。AUSTRAC 更关心你是否能“合理满意”且可解释，验证方法是否与风险相称、是否能留痕。具体方式由你在 Part B 定义并实际运行。

Q251：哪些客户必须做 EDD（增强尽调）？
A：按风险触发。典型触发器（建议写入 Part B + SOP）：

• PEP/受益人为 PEP

• 高风险国家/地区暴露

• 异常交易行为（频繁拆分、快速进出、与诈骗模式一致）

• 现金/ATM 高风险场景

• 结构复杂/受益人不清晰

• 制裁/制裁规避风险暴露（见 Q281 以后）

Q252：KYC 能否只收集身份证，不做资金来源（SoF/SoW）？
A：低风险、低限额的“最小策略”可能可行，但必须由风险评估支撑；一旦交易行为或客户画像触发升级，你需要有 SoF/SoW 与证据留存机制，否则很难解释你如何管理 ML/TF 风险。

Q253：KYC 信息要多久更新一次？
A：AUSTRAC 要求 Program 与风险评估应持续监督与更新，KYC 也应随风险变化“持续尽调”。实务上建议：

• 低风险：至少每 2–3 年复核一次或触发事件复核

• 中高风险：每年或更频繁复核

• 触发事件：地址/受益人变化、负面新闻、交易异常、制裁风险暴露等立即复核

Q254：客户拒绝提供 KYC/EDD 材料怎么办？
A：Part B 必须写清“拒绝策略”：限制功能、暂停交易、终止关系、必要时提交 SMR；并保留沟通与决策记录。

Q255：KYC 与“客户保护/反诈骗”如何结合？
A：把诈骗受害者识别写进 SOP：可疑转账话术、紧急出金、第三方指令、异常时间/地点、重复小额试探；必要时延迟出金、二次确认、建议报警并留痕。AUSTRAC 对 DCE/ATM 的监管行动也会关注诈骗风险控制。

Q256：DCE 面向企业客户（B2B）最常见 KYC 缺陷是什么？
A：受益人穿透不到位、控制权解释不清、董事/授权签字人身份验证缺失、SoW/SoF 证明薄弱；银行尽调会直接把你打回重做。

Q257：DCE 做 OTC/现金场景，KYC 要更严吗？
A：通常更严。现金与 ATM 场景被 AUSTRAC 明确纳入重点监管与清理行动语境，建议提高 EDD 比例、限额、更严格的异常行为规则与证据链。

Q258：KYC 验证失败但客户已入金，怎么处理？
A：必须预先写清“资金/币处置边界”（冻结/退回/限制出金/补件期限/争议机制），并与用户条款一致；同时评估是否形成新的可疑事项并考虑 SMR。

Q259：KYC 是否要覆盖“多个账户/关联账户”识别？
A：建议要。多账户是典型拆分与规避监控手法；你至少要有：设备指纹/手机号/钱包地址聚类/收款账户聚类/受益人一致性识别等控制点（并纳入监控规则库）。

Q260：KYC 要不要做“负面新闻（adverse media）”？
A：不是 AUSTRAC 公告中对每个行业的硬字段，但对 DCE 高风险客户非常建议做，并把触发阈值写清（例如涉及诈骗、黑客、制裁规避、金融犯罪等）。

Q261：我能否完全外包 KYC？
A：可以外包执行，但责任仍在你（报告实体）。你必须把外包纳入 Program：尽调、审计权、SLA、事件通报、退出迁移、监管配合。

Q262：KYC 外包合同里最关键的三条是什么？
A：建议至少要：

1. 审计权（含抽样访问记录与证据）

2. 监管配合条款（AUSTRAC/执法机构询问响应）

3. 退出与迁移（数据与流程可迁回/可替换）

Q263：KYC 记录要保存多久？
A：AUSTRAC 明确：客户识别记录通常要保存到“停止向该客户提供指定服务后 7 年”。

Q264：KYC 保存 7 年与隐私法冲突怎么办？
A：AUSTRAC 说明：AML/CTF 记录保存要求不推翻隐私法关于信用报告的条款；如果你保存超过隐私法允许年限，使用目的必须限于满足 AML/CTF 记录保存要求（要在制度里写清“目的限制与访问控制”）。

Q265：KYC 记录必须“可检索可出示”，具体怎么做？
A：用“检查包导出能力”定义系统：给定客户 ID 或钱包地址，能导出该客户：KYC 字段+验证证据+EDD+筛查结果+交易流水+处置记录+沟通记录+审计日志（时间戳）。

Q266：KYC 发现疑似身份盗用（非本人）怎么办？
A：AUSTRAC 的 SMR 页面明确：如果你怀疑某人不是其声称身份或可能为犯罪受害者，也属于应提交 SMR 的场景之一。

Q267：KYC 失败一定要报 SMR 吗？
A：不一定。关键看你是否形成“合理怀疑”（reasonable suspicion）与理由；如果形成怀疑，应提交 SMR。

Q268：KYC 的“合理怀疑”怎么写才合格？
A：按 AUSTRAC SMR 指引：清晰、具体、可验证——描述触发点、你做了什么核验、发现什么矛盾、为何怀疑、你采取的措施。

Q269：KYC/EDD 的“最常见被问材料”有哪些？
A：银行与监管常问：受益人穿透图、SoW/SoF 证据、交易目的与预计规模、地址/联系方式一致性、PEP/制裁筛查结果、异常行为解释、历史处置记录。

Q270：DCE 是否需要建立客户风险评分？
A：不是硬要求，但强烈建议。用评分把“何时升级 EDD、何时限额、何时人工复核、何时终止关系”的规则固化，可显著提高一致性与可解释性。

Q271：客户风险评分至少包含哪些维度？
A：建议至少：国别/居住地、职业/行业、产品与渠道（现金/ATM/跨境）、受益人透明度、PEP/负面新闻、交易行为（频率/金额/进出速度）、制裁暴露、链上风险暴露（如适用）。

Q272：KYC 是否要覆盖“链上地址归属验证”？
A：AUSTRAC 的 KYC 指引本身更偏身份信息与受益人，但对 DCE 实务，链上地址风险是交易监控的重要输入。建议在监控规则库中体现“地址风险分层与处置”。

Q273：客户提供“虚拟地址/转运地址”怎么办？
A：写入差异处置：要求补件、限制功能、升级 EDD、必要时终止关系；并留痕为何认为该地址不可信。

Q274：KYC 是否能用电子身份证/数字 ID？
A：AUSTRAC 的核心是“合理满意”与记录留存。你可以使用电子验证服务，但要写清供应商、验证步骤、失败回退、审计权与证据留存。

Q275：KYC 失败后“退回资金/币”会不会构成洗钱风险？
A：会被关注。要写清退回路径、退回账户一致性要求、冷却期、审批人、记录留存；并评估是否形成可疑事项需报 SMR。

Q276：KYC 规则与用户条款必须一致吗？
A：必须一致。冻结/暂停/终止/退款/争议机制要与 KYC/EDD 处置 SOP 一致，否则对外解释会矛盾，银行尽调也会质疑治理成熟度。

Q277：KYC 体系如何支持“注册后三年续期”？
A：续期/检查看的就是：你是否持续执行 Part B、是否可导出证据链、是否有版本控制与复核记录。

Q278：AUSTRAC 会要求我提交 KYC 文档给他们吗？
A：个案检查时可能要求你出示 Program、KYC 记录与证据链。你应默认“随时要出示”，因此必须可检索可导出。

Q279：KYC 体系“最快落地”怎么做？
A：用三件套：

1. Part B（字段+验证方法+触发器）

2. SOP（从开户到 EDD 到终止的全流程）

3. 表单与台账（证据链可导出）
   并做一次内部演练（抽样 2 个客户+10 笔交易导出检查包）。

Q280：一句话总结 Part B 的评分标准？
A：AUSTRAC 要的不是“写了 KYC”，而是：你能证明你按 Part B 真的做了识别与验证，并且每一步都有证据。

澳洲 AUSTRAC FAQ-I｜制裁/PEP/高风险国家：DCE 的“必做项”（Q281–Q300）

Q281：DCE 除了 AUSTRAC AML/CTF，还要遵守谁的制裁规则？
A：澳洲制裁主要由 DFAT（Australian Sanctions Office）管理。DFAT 专门发布了面向 DCE 的制裁合规指导说明，强调 DCE 必须遵守澳洲制裁法律义务。

Q282：DFAT 对 DCE 的指导文件有什么重要性？
A：它是“制裁合规的官方口径”。银行尽调与跨境合作方会非常看重你是否对齐 DFAT 指引（尤其涉及制裁规避风险）。

Q283：DFAT 最近有没有更新与加密相关的制裁指引？
A：有。DFAT 的 DCE Guidance Note 页面显示更新至 2025 年 9 月；另外 DFAT 还在 2025 年 11 月发布“使用加密规避制裁”的指导页面，建议 DCE 做回溯调查并提示存在显著低报风险。

Q284：制裁名单数据源用什么？
A：DFAT 说明维护“Consolidated List（综合名单）”体系（在改革指引页面也强调）。你需要把该名单筛查纳入制度与系统。

Q285：制裁筛查要筛哪些对象？
A：至少：客户本人、受益人、授权人、交易对手信息（如可得）、地址标签（链上/法币账户信息等），并按风险增加“地理位置、IP、设备、提现地址”维度。

Q286：制裁命中（hit）就一定违法了吗？
A：不一定，很多是“疑似命中”（false positive）。但你必须有：命中复核流程、证据留存、必要时法律咨询与对监管/执法配合机制，并在处置期间采取限制措施。

Q287：制裁合规如何与 SMR（可疑事项报告）联动？
A：如果制裁命中或规避迹象形成“合理怀疑”，你可能需要向 AUSTRAC 提交 SMR；同时制裁法律可能涉及其他义务（按 DFAT 指引与法律意见执行）。

Q288：DFAT 为什么提“回溯调查（retrospective investigations）”？
A：DFAT 指出可能存在对涉及制裁风险的加密交易显著低报，建议 DCE 做回溯排查以识别规避制裁行为并降低法律风险。

Q289：制裁风险场景库应该怎么建？
A：建议覆盖：

• 与高风险司法辖区相关的资金/币流

• 链上混币/跳转/快速拆分

• 短时间多地址聚合

• 代理人代操作/可疑设备与 IP

• 与已知制裁暴露地址交互
  并在监控规则库中固化“阈值+处置+留痕”。

Q290：PEP 与制裁是一回事吗？
A：不是。PEP 是腐败与贿赂风险更高的人群，需要增强尽调；制裁是法律禁止/限制交易的风险，两套逻辑要同时覆盖（AUSTRAC 要求 Part B 写明 PEP 识别与处置）。

Q291：对 PEP 的 EDD 要多做什么？
A：建议额外：SoW/SoF 证据更强、交易目的说明、限额、持续监控更频繁、审批层级更高、定期复核。

Q292：高风险国家策略要写在哪里？
A：写入风险评估、Part B 触发器、交易监控规则库与出入金限制策略（例如限制某些国家客户/限制某些币种或通道）。

Q293：制裁筛查多久做一次？
A：建议至少：开户时 + 持续（名单更新后批量再筛）+ 交易触发（大额/异常/新增提现地址时）。DFAT 指引强调 DCE 应严肃对待制裁义务。

Q294：链上地址筛查属于“制裁筛查”吗？
A：严格说制裁义务是对人/实体/相关资产限制，但链上地址是你识别制裁暴露的重要线索。建议把“链上地址风险与制裁暴露识别”纳入控制与留痕。

Q295：制裁合规的最关键证据链是什么？
A：四件套：筛查规则（数据源/更新频率）+ 命中处置 SOP + 命中复核记录 + 董事会/管理层监督记录（至少季度汇报一次制裁命中与处置情况）。

Q296：如果供应商做制裁筛查，我还需要做什么？
A：你必须证明你治理到位：对供应商尽调、合同审计权、命中复核机制、质量抽检、失败回退方案。

Q297：制裁合规做不好，最直接的商业后果是什么？
A：银行账户与支付通道会被卡死；合作方尽调无法通过；同时法律风险显著上升（尤其被 DFAT 点名的规避制裁风险）。

Q298：制裁合规与“记录保存 7 年”有什么关系？
A：你必须保留筛查与处置证据链（属于 AML/CTF 相关记录的一部分），确保 7 年可追溯、可导出。

Q299：制裁相关的内部培训要怎么做？
A：建议每年至少一次全员培训；对合规/风控/客服/运营做专项培训（命中处置、冻结话术、回溯调查）。培训记录本身是 AUSTRAC 检查常见要求。

Q300：一句话总结 DCE 制裁合规的监管期望？
A：对齐 DFAT 指引 + 持续筛查 + 能解释每个命中如何处置 + 证据链可回溯。

澳洲 AUSTRAC FAQ-J｜SMR（可疑事项报告）与“怎么写才不被退回”（Q301–Q320）

Q301：什么情况下必须提交 SMR（Suspicious Matter Report）？
A：AUSTRAC 明确：只要你对客户/交易形成与犯罪相关的“怀疑”，就必须提交 SMR。包括怀疑某人实施犯罪、不是其所称身份、或可能是犯罪受害者等情形。

Q302：SMR 是一次性还是持续义务？
A：改革指引说明：每当你在“合理理由”基础上形成新的怀疑，都要提交 SMR——即便你以前报过同一个人。

Q303：SMR 最常见的“写得不合格”的原因是什么？
A：三大原因：

1. 怀疑理由不清晰（没有事实支撑）

2. 缺少关键 KYC 信息（无法识别对象）

3. 缺少时间线（触发点、核验动作、处置动作不连贯）
   AUSTRAC 的 SMR 参考指引强调“清晰、简洁、有可操作情报价值”。

Q304：SMR 里“合理理由（reasonable grounds）”怎么体现？
A：用“事实+推理”结构：

• 事实：出现什么行为/数据/证据

• 推理：为什么与犯罪/洗钱/诈骗/身份盗用相关

• 动作：你做了什么核验、采取了什么限制、是否终止关系
  SMR 指引专门解释“reasonable grounds”与写作要点。

Q305：SMR 需要包含哪些 KYC 信息？
A：SMR 参考指引强调要提供可识别信息（KYC）、相关账户/交易信息、可疑行为描述、以及你形成怀疑的依据与时间线。

Q306：诈骗受害者也要报 SMR 吗？
A：AUSTRAC 明确：如果你怀疑某人可能是犯罪受害者（例如诈骗受害者），也属于应提交 SMR 的情形之一。

Q307：身份盗用/冒名开户要报 SMR 吗？
A：AUSTRAC 明确：如果你怀疑某人不是其声称身份，也属于应提交 SMR 的情形之一。

Q308：如果只是“监控规则命中”，但我最终认为不可疑，要报吗？
A：不一定。关键是你是否形成“怀疑”。但你必须保留“触发—分析—结论（不报）”的留痕，否则检查时会被认为你没有有效识别能力。

Q309：SMR 的“指标/红旗（red flags）”从哪里来？
A：可参考 AUSTRAC 的 SMR reference guide（含指标与行为线索），并结合 DCE 交易特性建立场景库。

Q310：DCE 专属的可疑场景库应该有哪些？
A：建议至少覆盖：

• 快速进出（短时间入金换币再出金）

• 分拆/聚合（结构化规避阈值）

• 多账户/多设备/多提现地址聚类

• 现金/ATM 高风险频繁交易

• 与高风险司法辖区或制裁规避模式一致

• 与诈骗话术/受害者画像一致

Q311：SMR 是否取代报案（报警）？
A：不取代。SMR 是向 AUSTRAC 的情报报告；必要时你仍应按内部流程与法律要求处理报案/配合执法（SMR 指引也提到与执法协作的情景）。

Q312：SMR 提交后，需要保存哪些内部记录？
A：至少保存：触发规则、调查记录、决策记录、提交回执/编号、后续处置（冻结/终止/退款/客户沟通）与复盘记录；这些都应纳入 7 年保存策略。

Q313：SMR 是不是“报得越多越好”？
A：不是。关键是“有效、可用、基于合理怀疑”。乱报会稀释情报质量；不报则是更严重的合规风险。建议以场景库+阈值+人工复核机制提升质量。

Q314：谁负责决定是否提交 SMR？
A：建议由合规官（管理层级）负责最终决策或批准（小团队可由合规官+CEO共同批准重大案件），并留痕。AUSTRAC 对合规官职责与治理强调“确保履行义务”。

Q315：我可以把 SMR 决策外包给顾问吗？
A：可以让顾问提供建议与质量审查，但最终责任在报告实体。你必须有内部决策与留痕机制。

Q316：SMR 与“记录保存 7 年”如何绑定？
A：SMR 与其证据链属于 AML/CTF 相关记录，应纳入 7 年保存政策（包括案件管理记录）。

Q317：AUSTRAC 近期对行业“独立审查/外部审计”有什么信号？
A：监管与媒体报道显示 AUSTRAC 会通过外部审计命令等方式强化对高风险主体的治理与控制（对加密大型交易所也出现类似监管动作的报道）。这意味着：你越是高风险业务模式，越要提前准备独立审查与整改闭环证据。

Q318：外包 AML 能否减轻责任？
A：不能。监管执法与公开案件中也反复强调外包不免除主体责任（该原则在 AUSTRAC 的合规逻辑中长期成立）。你必须能证明你在监督外包并保持控制。

Q319：SMR 的“最佳交付模板”长什么样？
A：建议固定结构：

• Who：主体信息（客户/受益人/关联账户/地址）

• What：可疑行为与交易摘要

• When：时间线（触发→核验→处置）

• Why：怀疑依据（事实+推理）

• Action：采取措施（冻结/限额/终止/补件）

• Attach：证据清单（截图/日志/对账/链上报告）
  并由合规官签批留痕。

Q320：一句话总结 SMR 的通过标准？
A：能让 AUSTRAC/警方“直接拿去用”的情报：对象可识别、事实可核查、理由可解释、时间线完整、证据可追溯。

澳洲 AUSTRAC FAQ-K｜交易监控（Transaction Monitoring）与规则库（Q321–Q360）

Q321：AUSTRAC 对 DCE 最核心的“交易监控”期望是什么？
A：一句话：你要能持续识别可疑事项并在形成合理怀疑时提交 SMR，同时把“识别—调查—决策—处置—留痕”做成可审计流程。AUSTRAC 在行业页面与义务框架中强调注册后持续义务与检查口径（尤其在续期再评估下更会看“是否真实运行”）。

Q322：交易监控规则库应该写在哪里？
A：建议“三层落点”：

1. AML/CTF Risk Assessment（为什么需要这些规则、风险画像）

2. AML/CTF Program Part A（治理与控制框架：监控/升级/报告机制）

3. 监控SOP + 规则库附件（每条规则阈值、触发、处置、留痕字段、责任人）
   这样才符合“可检查、可复制交付”。

Q323：DCE 交易监控的最小可用（MVP）规则集要包含哪些类别？
A：至少 6 类：

• 结构化拆分/规避阈值（Structuring）

• 快速进出/洗转型行为（Rapid in-out / layering）

• 多账户/多设备/多地址聚类（Account/device/address clustering）

• 高风险国家/地区暴露（Geo risk exposure）

• 制裁/制裁规避相关（对齐 DFAT）

• 诈骗/受害者画像与异常指令（Fraud & victim indicators）

Q324：规则“阈值”如何设定才不拍脑袋？
A：用“三段法”：

• 业务基线：你的正常客户交易分布（金额/频率/币种/渠道）

• 风险分层：高风险客户阈值更低、复核更严

• 迭代校准：每月回顾命中质量（误报率、漏报案例、SMR命中率）并形成董事会/管理层记录（这是“证据链”的一部分）

Q325：结构化拆分（Structuring）规则怎么写才像“交付版”？
A：示例（可直接落地到规则库）：

• 触发：同一客户/同设备/同银行卡/同链上地址，在 24h 内出现 ≥N 笔交易，且总额 ≥X；或多日连续接近内部阈值上限

• 处置：自动标记→合规分析→必要时临时限制提现/追加EDD→形成怀疑则SMR

• 留痕字段：客户ID、关联键（设备/卡号hash/地址）、时间窗、总额、命中截图、分析结论、批准人

Q326：快速进出（Rapid in-out）为什么是 DCE 的高风险点？
A：因为它是典型“洗转/层化”行为：入金→换币→短时间外转，往往缺乏清晰商业目的。你需要把“停留时间、换币路径、提现地址新旧、是否多跳”等纳入规则。

Q327：多账户/多设备/多地址聚类规则怎么做？
A：至少建立 4 个“关联键”：

• 设备指纹/浏览器指纹

• 手机号/邮箱/收款账户

• 身份信息相似度（拼写/地址）

• 链上地址聚类（同归集地址、同提现地址重复）
  命中后要有“聚类报告”导出能力（银行尽调很爱问）。

Q328：监控是否必须覆盖“新增提现地址”？
A：强烈建议必须覆盖。新增提现地址是诈骗与被盗账户常见信号；建议引入冷却期、二次验证、人工复核与记录留存。

Q329：监控规则库与 KYC/Part B 的关系是什么？
A：Part B 是“身份与尽调”，规则库是“行为与持续尽调”。两者要能互相触发：

• KYC 高风险 → 行为阈值更敏感

• 行为异常 → 触发 KYC 复核/EDD 升级
  （AUSTRAC 强调 Part B 详细记录识别与验证程序，持续尽调是你能“合理满意”的延伸。）

Q330：诈骗场景监控，最关键的 5 个触发器是什么？
A（建议写入规则库）：

1. 新设备登录后立刻大额提现

2. 客户多次更改联系方式/收款信息

3. 高频小额试探后突然大额

4. 指令异常（“紧急”“客服催促”“第三方指挥”话术）

5. 入金来源/受益人不一致（疑似被操控/代操作）

Q331：合规团队每天需要看多少告警才合理？
A：没有统一数值，但监管与银行看的是“你能解释告警如何被处理”。关键是：分级（P1/P2/P3）、SLA（多久处理）、抽样复核、误报复盘。

Q332：告警分级建议怎么分？
A：建议三层：

• P1：制裁命中、疑似诈骗受害者、身份盗用、重大异常路径（必须当天复核）

• P2：结构化拆分、快速进出、聚类异常（48小时内复核）

• P3：轻度异常（每周批处理+抽样复核）

Q333：哪些告警“几乎一定要升级为案件（case）”？
A：制裁相关、身份盗用、明确诈骗画像、强烈规避监控行为（比如不断更换地址/账号/设备规避阈值）。

Q334：监控系统一定要买链上分析工具吗？
A：不是硬性法规写死，但对 DCE 属于强烈加分项。你至少要能解释：链上风险如何被识别与记录。尤其 DFAT 对制裁规避的关注上升，对 DCE 是现实压力。

Q335：交易监控的“最怕”是什么？
A：不是误报，而是无法证明你处理过：没有案件台账、没有调查记录、没有决策记录、没有SMR触发逻辑、没有审计日志。

Q336：案件台账（Case Management Log）最少字段有哪些？
A：案件编号、触发规则、触发时间窗、涉及客户/地址/账户、风险评级、调查动作清单、结论（报/不报SMR）、批准人、处置措施、复盘结果、附件索引。

Q337：我决定“不报SMR”，也要留痕吗？
A：必须留痕。否则检查时无法证明你有有效识别能力、也无法证明你做过尽调判断。

Q338：监控规则库多久复核一次？
A：建议至少季度复核一次，并形成管理层记录；在重大事件（诈骗潮、制裁更新、产品变化）后要即时调整。

Q339：监控规则库与董事会治理如何绑定？
A：建议每季度提交“监控报告包”：告警数量、案件数、SMR数、误报率、整改清单、供应商表现、重大风险事件。把董事会/管理层监督做成“证据链产品”。

Q340：AUSTRAC 会在续期时看监控运行吗？
A：续期机制是“每三年重新评估适格与持续注册”，如果你无法证明持续运行义务，风险会显著上升。

Q341：如果注册后“没开展业务”，是不是更安全？
A：反而可能更危险：如果你无法证明持续运行与准备就绪（或长期不活跃），行业清理与续期再评估会对你不利。至少应保持制度、培训、演练与系统就绪，并留痕。

Q342：DCE 最常见的“漏报SMR”原因是什么？
A：规则库过少、阈值过高、告警没有SLA、没有案件管理、没有“谁负责最终决策”的授权链。

Q343：谁应当是“SMR 决策人”？
A：建议由合规官（管理层级）承担最终决策/批准，并形成授权与汇报机制。AUSTRAC 义务框架强调治理与关键岗位的适当安排。

Q344：我能把监控完全外包吗？
A：可以外包执行，但责任仍在你。你必须：供应商尽调、审计权、SLA、数据可得、监管配合、退出迁移机制，并保留监督记录。

Q345：外包监控最关键的合同条款是什么？
A：审计权（含抽样访问底层证据）、监管配合、重大事件通报、数据所有权与可导出、退出/切换、分包限制。

Q346：监控规则库是否要对不同产品做区分？
A：必须。现货兑换、OTC、钱包托管、法币出入金、ATM 模式风险完全不同。规则库要按“产品/渠道/客户层级”分层。

Q347：如果我提供跨境服务，会被额外关注吗？
A：会。跨境会提高制裁与高风险国家暴露，银行尽调也更严。建议把跨境维度写入风险评估与规则库。

Q348：监控规则库如何证明“有效”？
A：三件事：

1. 有案例：告警→案件→处置→必要时报SMR

2. 有复盘：误报/漏报复盘与阈值调整

3. 有治理：管理层审阅记录与整改闭环

Q349：监控中发现疑似诈骗受害者，第一动作是什么？
A：先“保护客户资产”：临时延迟/冻结高风险提现，做二次确认与沟通留痕；并评估是否形成应报情形。记录必须完整可追溯（7年策略下）。

Q350：监控与客户保护机制如何形成闭环？
A：把“告警处理”与“客户投诉/争议”打通：同一案件号关联客服工单、沟通录音/记录、退款/冻结决策、法律/警方协作记录。

Q351：监控系统最少要有哪些日志？
A：登录日志、权限变更日志、规则变更日志、告警处理日志、案件审批日志、数据导出日志。缺任何一个都会被认为不可审计。

Q352：规则变更是否要审批？
A：必须要。建议“合规官审批 + 版本号 + 变更理由 + 影响评估 + 回滚方案”。

Q353：监控与“记录保存7年”具体如何衔接？
A：每条告警/案件都应自动归档：触发数据快照、调查记录、结论、处置、审批、附件索引，并纳入 7 年保存与可检索策略。

Q354：如果系统供应商倒闭或停止服务怎么办？
A：必须预先写“退出与迁移计划”：数据可导出格式、迁移时间表、替代供应商预案、期间风险控制、对外通知机制。

Q355：如何把监控“做成银行尽调可读的材料”？
A：输出一份《Monitoring Framework Pack》：

• 规则库摘要（类别+阈值原则）

• 案件台账样例（脱敏）

• SMR 决策流程图

• 审计日志样例

• 管理层季度报告样例
  这是银行最快能读懂的证据链。

Q356：监控规则库是否需要写“红旗指标库”？
A：强烈建议。把红旗指标与规则对应，让新人合规也能一致执行，并用于培训（培训记录也是检查常问项）。

Q357：最容易被忽略但很致命的一条规则是什么？
A：客户资料与行为不一致：KYC说是低风险收入来源，但交易规模/频率明显不匹配——这类最容易形成“合理怀疑”。

Q358：监控如果发现制裁规避迹象，应如何处置？
A：立即升级到 P1：限制交易、复核命中、必要时做回溯调查（DFAT强调对制裁规避风险的关注），并评估是否触发 SMR。

Q359：监控如何支持三年续期？
A：续期关键在“你能证明你持续履责”。监控输出的证据链（案件台账、培训、治理报告、日志）就是续期与检查的“通关材料”。

Q360：一句话总结交易监控交付标准？
A：规则可运行、告警可处理、案件可审计、证据链可导出——而不是“写了几页制度”。

澳洲 AUSTRAC FAQ-L｜记录保存（7年）与审计日志、续期/检查/银行尽调（Q361–Q400）

Q361：AUSTRAC 记录保存到底要求几年？
A：AUSTRAC 明确：在 AML/CTF Act 下，你必须保留客户识别记录等，通常是在停止向该客户提供指定服务后 7 年；交易记录等也应按法定要求保存。

Q362：记录保存要求会不会“覆盖”隐私法的限制？
A：AUSTRAC 明确说明：AML/CTF 的记录保存要求并不推翻《隐私法》关于信用报告等条款；如果你保存超过隐私法允许期限，只能将记录用于满足 AML/CTF 记录保存目的（所以要做目的限制与访问控制）。

Q363：记录保存要保存哪些“类别”？
A：至少五类：

1. 客户识别与验证（KYC/EDD）

2. 交易记录（法币/币、订单、提现地址等）

3. 筛查记录（PEP/制裁命中与处置）

4. 监控与案件管理（告警/调查/SMR决策）

5. 治理与培训（董事会监督、培训记录、内审/整改）

Q364：记录保存“可检索可出示”怎么定义？
A：能在合理时间内导出“检查包”，并做到：完整性（字段齐全）、一致性（版本可追溯）、不可抵赖（审计日志）、可解释（处置理由）。

Q365：审计日志哪些是“强制级别”？
A：虽然 AUSTRAC 页面不逐项列出日志字段，但从检查实践与“可审计性”出发，建议至少：

• 用户登录与权限变更

• 关键数据更改（KYC字段/受益人/账户）

• 规则变更（阈值/策略）

• 告警与案件处理（谁在何时做了什么）

• 数据导出（谁导出了什么，为什么）

Q366：我能用 Excel/网盘保存记录吗？
A：可作为过渡，但风险很大：权限与审计不足、版本控制差、易丢失。交付建议至少使用可控权限+审计日志的系统或合规档案库（并有备份/恢复策略）。

Q367：备份策略需要写进制度吗？
A：建议写。因为 7 年保存是长周期义务，你要证明你有长期存储与灾备能力（AUSTRAC 的改革清单也强调长期记录保存与储存能力）。

Q368：交易记录保存 7 年从什么时候开始算？
A：按 AUSTRAC 改革清单示例：交易记录通常从交易完成日起算 7 年；客户尽调从业务关系结束日起算 7 年。

Q369：DCE 注册前能否展业？
A：不能。AUSTRAC 明确：你必须在 AUSTRAC 确认注册后才能提供 DCE 服务；未注册提供服务违法并可能有处罚。

Q370：三年续期的硬要求是什么？
A：AUSTRAC 明确：DCE 必须每 3 年申请续期，否则注册到期后你将不再注册，继续提供服务违法。

Q371：续期窗口期是多久？
A：AUSTRAC 义务页面说明通常可在到期前的特定窗口内续期（例如 1–90 天）；你要把续期当成“项目”提前准备证据链。

Q372：续期会审什么？
A：核心是“重新评估适格与持续注册的适当性”。实务上会看：关键人员、警方记录、制度运行、记录保存与合规履责能力。

Q373：AUSTRAC 对关键人员（key people）有什么硬材料要求？
A：AUSTRAC 义务页面明确提到：你必须获取并保持关键人员的国家警方证明/警方历史检查，且通常要求在申请注册前 6 个月内签发。

Q374：关键人员通常包括谁？
A：在 DCE/Remittance 的注册语境里，通常至少包括董事、合规官/负责 AML 的关键岗位、能控制或重大影响业务的人（具体以你在 AUSTRAC Online 提交的“key personnel”定义与实际申报为准）。建议在项目立项时就先按“最严格口径”准备。

Q375：银行尽调最爱问 DCE 哪 10 类问题？
A：交付经验总结（建议全部做成可出示材料）：

1. 你是否已注册并可证明（注册确认/到期日/续期计划）

2. UBO/股权穿透与 SoW/SoF

3. 合规官是否管理层、有授权与汇报线

4. Part A/B 是否完整且与系统一致

5. 制裁筛查对齐 DFAT 与命中处置证据

6. 监控规则库与案件台账样例

7. SMR 决策机制与留痕

8. 记录保存 7 年与审计日志能力

9. 外包治理与审计权

10. 客户保护与反诈骗机制

Q376：检查（inspection）来临前，最应准备的“检查包目录”是什么？
A：建议一键导出 8 个文件夹：

• 公司与注册：注册确认、续期日历、关键人员清单与警方记录

• Program：Part A/B（版本号+审批记录）

• 风险评估：方法、评分、更新记录

• KYC/EDD：抽样客户全链路

• 制裁/PEP：筛查日志、命中处置

• 监控/案件：告警、调查、结论、SMR

• 记录保存：7年策略、存储与灾备、导出说明

• 外包：尽调、合同、审计与监督记录

Q377：DCE 需要“续牌”还是“续期”？
A：在 AUSTRAC 语境里叫 renew your registration（续期注册），不是传统意义的牌照年审；但对你来说，管理强度要按“牌照”对待。

Q378：如果续期过期了还能补救吗？
A：规则上如果你没在到期前续期，你会“不再注册”，继续提供服务违法。补救往往意味着停业并重新走流程或按 AUSTRAC 指引处理，商业损失巨大。

Q379：注册后信息变更（董事、地址、业务模式）要做什么？
A：至少要确保 AUSTRAC Online 信息保持最新，并同步更新 Program、风险评估、KYC/监控规则与银行尽调材料；同时保留变更审批与对外一致性（合同/条款/披露）。

Q380：我是否需要建立“年度合规计划”？
A：强烈建议。把培训、抽样审查、规则复核、外包审计、整改闭环写入年度计划，并形成董事会/管理层签批记录。

Q381：DCE 的制裁合规要用哪些 DFAT 资源？
A：至少参考 DFAT 的 DCE Guidance Note，并结合 DFAT 的其他行业指引（如 fintech/DeFi 指引、制裁合规工具包页面）。

Q382：我如何证明“对齐 DFAT 指引”？
A：做一份《Sanctions Control Mapping》：

• DFAT 指引要点 → 你的筛查规则/数据源/更新频率

• 命中处置流程 → 记录字段与审批链

• 回溯调查策略 → 触发条件与输出报告
  （并留痕管理层审阅）

Q383：DCE 行业是否存在“注册清理行动”？
A：AUSTRAC 多年来持续通过续期机制与注册行动页面对 DCE 进行监管管理（包括拒绝/取消/采取行动等公开信息），你应按“随时可审查”的标准来建体系。

Q384：外包（KYC/监控/客服）在检查中最常被问什么？
A：两点：

1. 你如何监督外包并保持控制（不是“甩锅”）

2. 你是否拥有审计权与数据可得
   如果答不出来，就会被认为治理不足。

Q385：如果我只是“撮合/平台”，不碰资金，是不是义务更轻？
A：是否触发 AML/CTF 义务取决于你是否提供“指定服务”与是否属于 DCE；不能仅凭商业宣传判断。必须以业务模式映射 AML/CTF Act 的指定服务定义并做合规定位。

Q386：如何证明“合规官是管理层级”？
A：用“胜任证据链”而不是空口：

• 任命决议（Board/CEO）

• JD（职责、权限、KPI）

• 汇报线（直达董事/CEO）

• 预算与资源（系统/人员）

• 会议纪要（季度监督）
  这也是你之前问“学历/证书”问题的正确解法：监管更看“能否履职与可证明”。

Q387：合规人员一定要有什么学历/证书吗？
A：AUSTRAC 的公开义务页面并不以“必须某学历/某证书”作为硬门槛；更强调你要履行法定义务、关键人员适格、能提交并维护制度与记录。实务建议：用 AML/CTF 经验、行业经验、培训记录、岗位授权与运行证据来证明胜任。

Q388：那我还要不要让合规官考证？
A：建议“有则加分，但不是唯一”。可选：国际 AML 证书、内部合规培训体系、AUSTRAC/DFAT专题培训证明。更关键的是：你能把制度跑起来并留痕（这比证书更能过检查）。

Q389：DCE 注册与税务有什么关系？
A：AUSTRAC 行业页面提示税务规则也适用，并指向 ATO 的加密业务税务信息。你需要同步评估 GST、收入确认、会计处理与审计安排。

Q390：如果我将来申请澳洲其他金融牌照（如 AFSL）会冲突吗？
A：不必然冲突，但要求会叠加：更高治理、外包、客户保护与披露义务。建议在一开始就用“可扩展的合规架构”（三阶段法）设计。

Q391：续期前 90 天我应该做什么？
A：建议做“续期预检（Renewal Readiness Review）”：

• 关键人员警方记录更新

• Program 与风险评估更新

• 抽样导出检查包（2客户+10交易+1案件）

• 外包年度审计

• 管理层签批续期声明与整改计划

Q392：如果 AUSTRAC 要求补件，我最常会被要什么？
A：常见是“证据链”：关键人员资料与警方记录、制度版本、KYC样本、监控台账、记录保存证明、外包合同审计权条款。

Q393：如何把“制度”与“系统”对齐，避免口径不一致？
A：做一份《Policy-to-System Mapping》：

• Part B 的字段与验证方法 → 系统字段与证据类型

• 规则库阈值 → 系统实际参数截图

• 案件流程 → 工单系统/台账字段

• 记录保存策略 → 数据库/存储/备份策略
  对齐后再提交续期与银行尽调。

Q394：DCE 最容易被忽视的“法律风险”是什么？
A：未注册展业与“续期过期继续提供服务”。AUSTRAC 明确指出这是违法行为。

Q395：我如何查某家公司是不是 AUSTRAC 注册 DCE？
A：AUSTRAC 提供 DCE Register 查询与相关用户指南，你可用来做交易对手尽调。

Q396：我能否用“白标/代理”方式挂靠别人注册？
A：商业上可能存在，但合规风险高：责任分配、KYC/监控归属、记录保存与SMR提交主体、银行尽调解释都很难。建议慎重，通常更推荐自己建立可审计体系并完成注册。

Q397：我应该在上线前做哪些“演练”？
A：建议至少三种：

• SMR 演练（触发→调查→决策→留痕）

• 制裁命中演练（命中→复核→限制→记录）

• 诈骗受害者演练（延迟出金→沟通→处置）
  演练记录要归档进 7 年保存。

Q398：DCE 注册成功后，是否还会被“取消/拒绝续期”？
A：存在该可能。AUSTRAC 有专门的注册行动信息页面，且续期本身就是再评估机制；所以你要把“持续运行与证据链”当成长期经营能力。

Q399：给准备申请 DCE 的公司一句最实操的建议是什么？
A：先把 AML/CTF Program + 风险评估 + KYC/监控/记录保存系统跑通并留下证据链，再递交注册与开业；并把三年续期倒排进度做成管理制度。

Q400：一句话总结“交付版 DCE 合规体系”的最终验收标准？
A：能通过三件事的压力测试：

1. 监管检查：随时导出检查包（7年可追溯）

2. 三年续期：按期续期且能证明持续履责

3. 银行尽调：对齐 DFAT 制裁指引与可解释的监控、治理和证据链

三、仁港永胜结论（唐生）

AUSTRAC DCE 的难点，从来不是“填表注册”，而是把 AML/CTF 做成一套可持续经营能力：

• 能运行：KYC/筛查/监控/案件/SMR 决策每天都在执行；

• 能审计：每一步都有审计日志与审批链；

• 能导出：随时能一键导出“检查包”（客户样本、交易样本、案件样本、治理与培训、外包审计、制裁命中处置、记录保存证明）；

• 能续期：按 3 年续期节奏持续证明你仍然“适格且在履责”；

• 能过银行：银行尽调更像“第二监管”，看的是 DFAT 制裁、KYC/EDD、SoF/SoW、监控规则库、外包审计权、治理证据链。

换句话说：DCE 是长期监管关系（use it or lose it 的经营现实）。要么你持续运行并能出示证据链，要么你主动管理退出/暂停策略。
因此最优路径不是“先冲注册”，而是：先建体系、再提交、再上线、再扩张。

四、仁港永胜建议

这份清单按“立项—注册—上线—运营—续期/检查”全生命周期编排，直接可作为你的项目行动计划与内部任务单。

1）Step 0｜业务模式与风险边界先定（决定后面所有材料）

1. 业务模式定位：撮合/OTC/钱包托管/法币出入金/ATM/跨境服务分别对应不同风险与控制点。

2. 资金流/币流闭环图：入金路径、出金路径、对手方类型、钱包结构（热/冷/托管/自托管）、第三方通道。

3. 客户结构：B2C / B2B / 机构客户比例、主要国别、是否触及高风险司法辖区。

4. 产品与限额策略：分层限额、冷却期、地址白名单、异常提现拦截策略。

输出物：业务说明书 + 资金/币流流程图 + 风险定性结论（为 Risk Assessment 打底）

2）Step 1｜“先建体系再注册”（把补件概率降到最低）

5. AML/CTF Program Part A（治理）：

   • 董事会/管理层监督机制、合规官职责与授权、风险评估与更新、外包治理、培训计划、审计与整改闭环。

6. AML/CTF Program Part B（KYC/ACIP）做到“字段—验证—触发—处置—留痕”：

   • 个人/公司/受益人/PEP/高风险国家；

   • 差异处理、补件时限、拒绝与终止策略；

   • EDD 触发器与审批链。

7. 风险评估（Risk Assessment）必须可解释：

   • 风险评分模型、客户/产品/渠道/国别/交易行为维度；

   • 触发阈值与升级逻辑；

   • 版本控制与季度复核记录。

8. 监控规则库（Monitoring Rules Library）落地：

   • 结构化拆分、快速进出、多账户/多设备/多地址聚类、新增提现地址、诈骗画像、跨境/制裁规避风险；

   • 每条规则写清：阈值、时间窗、处置、留痕字段、责任人、SLA。

9. SMR（可疑事项报告）流水线：

   • 告警→案件→调查→决策（报/不报）→处置→复盘；

   • 报与不报都要留痕；

   • 建立案例库与写作模板。

10. 7 年记录保存与审计日志策略：

• KYC/交易/筛查/案件/治理/培训/外包审计全部纳入；

• 权限分层、日志不可抵赖、备份与灾备、导出规范。

输出物：Part A/B + 风险评估 + 规则库 + 案件台账模板 + 7年保存与日志方案 + 培训包

3）Step 2｜合规官与关键人员“证据链”一次做实（解决“学历/证书焦虑”）

11. 合规官必须管理层级 + 授权到位（常见踩坑点）：

• 任命决议、授权书、汇报线（直达董事/CEO）、KPI、资源预算。

12. 关键人员适格材料包：

• 简历（CV）+ 职责说明（JD）+ 诚信声明 + 相关经验证据；

• 警方记录/证明（按 AUSTRAC 要求时效准备）；

• 持续培训记录（比“证书”更能证明可履职）。

核心逻辑：把你关心的“学历/证书”转化成监管真正认可的“胜任证据链”。

4）Step 3｜注册与上线闸门（避免“未注册展业”风险）

13. 注册项目管理：Enrol + Register 的材料清单、提交节奏、补件机制。

14. 上线闸门机制（Go-Live Gate）：

• 注册确认文件到位；

• Part A/B 生效版本；

• 监控规则已在系统启用并完成 UAT；

• SMR 演练完成；

• 7年保存与导出测试通过；

• 董事会/管理层签批上线。

目的：把“注册确认前不得展业”固化为内部控制，而不是口号。

5）Step 4｜持续合规（运营即合规，合规即运营）

15. 季度治理包：告警/案件/SMR统计、制裁命中处置、外包表现、培训完成率、整改闭环。

16. 年度合规计划：规则复核、抽样检查、外包审计、制度更新、演练与桌面推演。

17. 银行尽调包（Bank DD Pack）常备：股权穿透、SoW/SoF、制度摘要、规则库摘要、样本检查包、制裁对齐DFAT说明、外包合同审计权。

6）Step 5｜三年续期（把续期当成“固定项目”）

18. 续期倒排计划（建议至少提前 90 天启动预检）：

• 关键人员材料更新；

• 抽样导出检查包（2客户+10交易+1案件）；

• 管理层签批“续期声明 + 整改计划”。

19. “不活跃/不运行”策略：若阶段性不经营，仍需保持制度、培训、演练与证据链；或评估合规退出/暂停方案，避免被动风险。

五、为何选择仁港永胜

1. 交付不是模板，而是“可检查、可运营、可续期”的体系化合规工程

• 我们交付：制度（Part A/B）+ 风险评估 + 监控规则库 + 案件/SMR流水线 + 7年保存与导出方案 + 演练记录 + 治理与董事会证据链。

• 目标是：你随时能对监管/银行说清楚“我们怎么做、做过什么、证据在哪里”。

2. 我们抓 AUSTRAC DCE 的关键监管抓手（高频踩坑点）

• 注册确认前不得展业 → 用“上线闸门”固化

• 3 年续期 → 用“续期倒排项目”固化

• 合规官管理层级 → 用“任命+授权+汇报线+季度纪要”固化

• 7 年记录保存 → 用“检查包一键导出”固化

• DFAT 制裁合规 → 用 mapping + 命中处置 + 回溯调查机制固化

3. 把“学历/证书问题”转化为监管真正认可的“胜任证据链”

• 用 JD/授权/KPI/培训/运行记录/演练/独立审查证明团队可履职，而不是只堆证书。

4. 一体化：注册 + 制度 + 系统落地 + 银行尽调包 + 续期/检查应对

• 你不需要找多个供应商拼接口径，减少“制度写一套、系统跑另一套”的一致性风险。

5. 可衔接全球多法域合规布局

• 适合后续从澳洲 DCE 延伸到其他市场的 VASP/CASP、支付/汇款、电子货币等牌照路线规划与合规体系复制。

六、关于仁港永胜

仁港永胜（香港）有限公司
Rengangyongsheng (Hong Kong) Limited

仁港永胜为专业的合规与金融咨询服务机构，专注于：

• 全球虚拟资产合规与牌照（VASP / MiCA-CASP 等）

• 支付、汇款与电子货币（EMI/PI/MSO 等）

• AML/CTF 制度文件编制与运营落地（KYC/EDD、监控规则库、SMR 流水线、7年记录保存）

• 监管沟通、检查应对、续期与持续合规托管

• 银行尽调材料包、股权穿透与 SoW/SoF 证明体系

联系方式：

• 官网：jrp-hk.com

• 香港：852-92984213（WhatsApp）

• 深圳：15920002080（微信同号）

• 电邮：Drew@cnjrp.com

办公地址：

• 香港湾仔轩尼诗道253-261号依时商业大厦18楼

• 深圳福田卓越世纪中心1号楼11楼

• 香港环球贸易广场86楼

注：本文涉及的模板/清单/电子档（如 Master Checklist、制度模板包、面谈题库、规则库样例、检查包导出规范等）可向仁港永胜唐生咨询获取（可提供交付版与可编辑版）。

七、免责声明

1. 本文仅供一般性信息与合规参考，不构成法律意见、监管承诺、审计意见或投资建议。

2. AUSTRAC DCE 注册、三年续期、监管检查与执法行动均以 AUSTRAC 最新规则、指引、系统口径与个案审查为准；本文内容不保证适用于任何特定机构或商业模式。

3. 制裁合规以 DFAT（Australian Sanctions Office）发布的最新指引与适用法律为准；涉及制裁命中、资产冻结、跨境业务与高风险司法辖区时，建议寻求澳洲当地律师的独立法律意见。

4. 不同商业模式（撮合/OTC/托管/法币出入金/ATM/跨境）触发义务范围与合规强度可能不同；机构应在上线前完成业务映射、风险评估与制度落地，并保留可审计证据链。

5. 因监管更新、改革节奏、系统表格口径变化导致的差异，应以官方最新发布为准。