AUSTRAC Registration – Digital Currency Exchange (DCE)

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。

牌照名称： 澳洲 AUSTRAC DCE 加密牌照｜AUSTRAC Registration – Digital Currency Exchange (DCE)
主管机关： AUSTRAC（Australian Transaction Reports and Analysis Centre）——澳洲 AML/CTF 主管机关

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited
✅ 点击这里可以下载 PDF 文件：澳洲 AUSTRAC DCE 加密牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

1. 牌照名称

澳大利亚 AUSTRAC 数字货币交易所（Digital Currency Exchange, DCE）注册

• 英文：AUSTRAC Registration for Digital Currency Exchange (DCE) Provider

• 性质：反洗钱/反恐融资（AML/CTF）监管框架下的强制注册制度（不是 ASIC 金融牌照）。

2. 牌照介绍与申请优势

2.1 牌照/注册的核心定位（先讲清楚“你在申请什么”）

只要你提供“指定服务（designated services）”中的数字货币兑换服务，就属于 AUSTRAC 监管的 reporting entity：

• 必须先 enrol（登记为 reporting entity）

• 再 register（DCE 注册）

• 获批注册前不得展业（包括加密 ATM、OTC/柜台、线上兑换等）。

2.2 许可范围（你能做什么）

DCE 注册覆盖的典型业务场景（按监管理解归类）：

• 法币 ↔ 加密货币兑换（cash/bank transfer 与 crypto 互换）

• 线上撮合/经纪/报价兑换（website/app/OTC broker）

• 线下柜台/门店、加密 ATM 提供兑换

• 以澳洲为经营地或向澳洲客户提供 DCE 指定服务（跨境模式也会触发 AUSTRAC 视角下的适用性判断）

⚠️提示：若你的产品扩展到“更广义虚拟资产（virtual assets）”相关活动，澳洲正推动用“virtual asset”术语替代/扩展既有概念，建议前期即按更宽口径做制度设计，避免后续改革落地时大改。

2.3 申请优势（为什么值得做）

• 合法进入澳洲市场：DCE 未注册展业风险高，且监管已持续加大执法与清理行动。

• 银行开户/支付通道的合规底盘：银行通常把 AUSTRAC 合规视为最低门槛。

• 对机构客户更可解释：可用“AML/CTF program + STR/SMR + sanctions screening + record keeping”体系去支撑机构合作。

• 成本结构更可控：官方注册本身通常不以“最低注册资本”作为前置硬门槛（成本主要在合规与系统/人员投入）。

3. 监管机构与适用法律

3.1 监管机构

• AUSTRAC（Australian Transaction Reports and Analysis Centre）——澳洲 AML/CTF 主管机关。

3.2 适用法律/规则（申请与持续合规的“法源地图”）

• 《Anti-Money Laundering and Counter-Terrorism Financing Act 2006》（AML/CTF Act）

• AML/CTF Rules（细则体系，配合 AUSTRAC Core Guidance 执行口径）

• AUSTRAC 行业指引：DCE 行业页、AML/CTF Program 指引、记录保存指引等

• 制裁合规：DFAT 对数字货币交易所（DCE）制裁合规指引（监测制裁风险与报告怀疑事项）

• Reform（改革）指引（例如合规官任命与通知、记录保存改革口径等）

4. 申请条件概览（快速自检）

4.1 “你必须具备”的四个底层条件

1. 业务触发条件：提供 DCE 指定服务 → 必须 enrol + DCE register。

2. 组织与治理：建立可运行的 AML/CTF Program（含治理与监督）

3. 关键岗位：必须任命 management level 的 AML/CTF compliance officer

4. 记录保存：客户识别/交易/项目记录等按要求保存（核心规则是“至少 7 年”）

4.2 董事/学历/证书有没有硬性要求？

• AUSTRAC 的公开口径里，更强调治理、风险评估、合规官管理层级、AML/CTF Program 落地与持续监督，而不是“必须某学历/必须某证书”。

• 但适当人选（fit & proper 的实质判断）会通过“是否可接受的 ML/TF 风险、是否遵从义务、是否具备真实治理能力”反映在注册行动（拒绝/附条件/取消/不续期等）中。

5. 申请流程与时序安排（可直接执行）

说明：DCE 注册通常按“先建体系、再注册、再上线”推进，能显著降低补件与后续检查风险。

Step 0｜立项与差距评估（Week 1–2）

• 业务模式定性：撮合/经纪/OTC/ATM/线上兑换；资金流与币流

• 客群与地域：零售/机构、是否高风险国家、是否跨境

• 输出：

  • ML/TF 风险评估（初版）

  • 合规架构图（人员+制度+系统）

  • 项目计划与预算（含系统/筛查/监控/培训）

Step 1｜制度与系统搭建（Week 2–5）

• AML/CTF Program（Part A / Part B）编制与内部审批

• 任命合规官（management level）并准备其履历/职责/授权文件

• KYC/CDD/EDD、制裁筛查、STR/SMR、记录保存制度落地

Step 2｜AUSTRAC Online：Enrol（Week 3–6）

• 创建 AUSTRAC Online

• 提交 Business Profile/Enrol 相关信息（包括合规官联系方式等）

Step 3｜DCE Registration 申请（Week 4–8）

• 提交 DCE 注册申请

• 监管可能补件或要求澄清

• 注册前不得开展兑换服务

Step 4｜获批上线 + 持续合规（长期）

• 上线前进行合规 UAT（KYC、筛查、监控规则、STR 流程演练、记录可追溯）

• 建立董事会/高管监督机制（例会、KPI、整改追踪）

6. 所需材料清单（交付级 Master Checklist）

6.1 公司与业务基础文件

• 公司注册文件（ACN/ABN 等）、章程/董事任命文件

• 商业计划书（业务范围、市场、收费、客户类型、渠道、资金/币流）

• 业务流程图：开户 → 入金 → 兑换 → 出金/提币 → 对账/风控 → 报告

6.2 董事/股东/UBO 文件包

• 身份证件+住址证明

• 履历（CV）与背景说明（强调治理、风控、金融犯罪风险意识）

• 股权结构图（穿透至最终自然人 UBO）

• 资金来源说明（SoW/SoF）与关联方披露

6.3 合规与 AML/CTF 文件包（核心）

• AML/CTF Program（Part A + Part B）

• ML/TF 风险评估（含产品/客户/地域/渠道/交付方式）

• 客户尽调制度：CDD/EDD、受益人识别、持续尽调、触发条件

• 制裁与 PEP 筛查制度（对接 DFAT 指引）

• STR/SMR 内部识别与提交 SOP（含升级路径、时限、证据保存）

• 记录保存制度（至少 7 年逻辑与系统实现）

• 培训制度（新员工/年度/专项）与测验记录模板

6.4 ICT/安全/外包说明包

• 系统架构图（前端、KYC、筛查、监控、钱包、账务、日志）

• 权限矩阵与审计日志策略

• 钱包管理策略（冷热钱包、私钥/多签、提币审批）

• 外包管理：云服务、钱包服务商、KYC 服务商、监控服务商（合同要点、SLA、审计权、数据主权）

7. 董事 / 股东 / UBO 要求（详细｜适当人选实操口径）

7.1 董事“适当人选”怎么被看见？

AUSTRAC 的公开指引对 DCE 强调：必须注册，且 AUSTRAC 可拒绝/附条件/暂停/取消注册。
因此董事与控制人（含实际控制人/UBO）需要用材料证明：

• 治理有效：董事会/高管对 AML/CTF Program 批准并持续监督

• 风险可控：对 ML/TF 风险识别到位、资源投入到位（人/系统/制度）

• 诚信与声誉风险可解释：如存在历史争议（诉讼、破产、监管处分等）必须完整披露并提供缓释方案

• “学历/证书”不是硬门槛，但“胜任治理与风险管理”是硬要求（会在审查与后续监管中体现）

7.2 董事/高管建议画像（用于“可过审+可运营+可开户”）

• 至少 1 名核心管理层具备：支付/外汇/合规/风控/审计/金融科技管理经验

• 能够解释：客户来源、资金来源、交易监控、黑名单策略、制裁风险处理

• 明确治理机制：合规官直达董事会、重大风险事件 24–48 小时升级、整改闭环

7.3 股东与 UBO（穿透与资金来源）

• 必须能够穿透识别最终自然人 UBO（建议出具结构图+控制说明）

• 资金来源（SoF/SoW）要可追溯、可解释

• 高风险司法辖区/复杂结构并非绝对禁止，但必须有更强解释与更强控制措施（EDD、限额、增强监控、增强审批）

8. 合规 / MLRO / 关键岗位要求（详细｜你最关心的“学历/经验/证书”）

8.1 AML/CTF Compliance Officer（合规官）— AUSTRAC 明确要求

• reporting entity 必须任命 AML/CTF compliance officer

• 合规官必须是 management level（管理层级），负责确保企业履行 AML/CTF 义务

8.2 合规官是否必须持证/必须学历？

• AUSTRAC 公开口径强调的是管理层级与履职能力，并未写成“必须某学历/必须 CAMS/ICA”等硬性门槛。

• 但改革指引已把合规官任命、通知与资格合规写得更“制度化”（例如任命与通知时限、表格更新机制等），企业要按改革进度提前预置流程。

8.3 合规官“实操胜任力”应覆盖哪些能力域（建议写入 JD / KPI）

（A）治理与制度

• 牵头制定/维护 AML/CTF Program（Part A/Part B）与风险评估

• 组织董事会/高管审批与定期监督汇报

（B）客户尽调与风险

• 客户分层（低/中/高风险）与 EDD 触发规则

• 受益人识别与持续尽调

• PEP/制裁名单筛查策略（含 DFAT 指引衔接）

（C）交易监控与可疑报告

• 交易监控规则库（场景：分拆、跑分、mule、链上混币、异常地址等）

• STR/SMR 内部升级与报告决策（证据链与记录保存）

（D）记录保存与审计准备

• 客户识别记录、交易记录、项目记录等保存 至少 7 年，且可随时调取

• 内部合规检查、整改闭环、审计追踪

8.4 关键岗位配置建议（DCE 常见的“监管与银行都要看”的岗位）

• 合规官（AML/CTF Compliance Officer，管理层级）

• 风控/欺诈（Fraud & Risk）

• KYC 主管（KYC Ops Lead）

• 制裁/名单管理员（Sanctions Screening Owner）

• IT 安全负责人（CISO/IT Security）

• 客服与投诉负责人（客户保护机制）

注：DCE 规模较小时可“一人多岗”，但必须做到：职责清晰、权限足够、记录完备、可审计、能持续运转。

9. ICT / 钱包 / 安全与外包要求（详细｜按“检查可解释”标准写）

AUSTRAC 对 DCE 的监管重点是“风险可控与可追溯”。你需要把技术与外包，写成能支撑 AML/CTF 的证据链。

9.1 钱包与资产安全（建议制度至少覆盖）

• 钱包模型：托管/非托管/混合；客户资金是否隔离

• 冷热钱包策略：冷热比例、调拨规则、超限触发审批

• 私钥管理：多签、分权、备份、恢复演练

• 提币风控：白名单/黑名单地址、延迟提币、二次确认、人工复核

• 链上风险：混币器、制裁地址、可疑聚合地址的识别与处置

9.2 日志与审计（监管与银行最爱问）

• 关键操作全量日志：KYC 修改、风险等级调整、名单命中处置、STR 决策、钱包签名、权限变更

• 日志不可篡改：WORM/哈希链/审计仓

• 与记录保存制度对齐：至少 7 年策略落地

9.3 外包治理（云、KYC、筛查、监控、钱包服务商）

必须做到：

• 外包清单与风险评估

• SLA 与审计权（含监管检查配合）

• 数据存储地点与数据访问控制

• 供应商退出机制与应急预案（BCP/DR）

10. 客户保护机制（把“客户保护”做成制度与流程）

DCE 业务容易被投诉与诈骗牵连，建议建立“客户保护 + 反诈骗”双机制：

• 客户披露：费率、到账时间、可撤销性、链上不可逆风险提示

• 争议处理：错转、欺诈、第三方支付纠纷、退款边界

• 客诉流程：分级、响应时限、证据收集、监管/警方协同

• 诈骗场景处置：mule 风险、可疑收款人、异常登录、社工诈骗拦截

11. 官方收费与预算（按“真实落地成本”拆解）

11.1 官方费用（以 AUSTRAC 公告与线上系统要求为准）

• DCE 注册与续期通常通过 AUSTRAC Online 办理（官方页面提供续期要求：每 3 年续一次）

是否另有行政收费、或改革后是否调整，以 AUSTRAC 最新口径为准（我们建议以“合规建设成本”为预算主体，而不是官方收费本身）。

11.2 建议预算框架（项目型）

• 制度文件与落地：AML/CTF Program、风险评估、SOP、培训

• 系统费用：KYC/PEP/制裁筛查、交易监控、链上分析（可选）

• 人员费用：合规官与 KYC/风控/IT 安全

• 法律与税务：条款、隐私、数据、合同、公司治理

12. 后续维护与续牌 / 持续合规（最容易被低估）

12.1 注册维护关键点

• 每 3 年续期（DCE/Remittance 适用）

• 资料更新：企业档案与关键联系人信息、合规官信息等（ABPF 指引强调通过更新表格维护）

• “用或失去（use it or lose it）”监管行动：对不活跃 DCE 鼓励主动撤回，否则可能被取消注册

12.2 AML/CTF 持续义务（必须长期可运行）

• 风险评估定期复核与更新

• STR/SMR 识别与上报（AUSTRAC 近期明确提及对未履责主体的取消/暂停/拒绝续期行动）

• 记录保存：客户识别记录、交易记录等至少 7 年，并确保可检索可出示

• 制裁合规：监测可能构成制裁违规的交易并作可疑报告处理（DFAT 指引口径）

13. 办理时间预估（项目法）

• 快速模式（已有体系）：4–8 周

• 标准模式（从 0 到 1）：6–12 周（含制度+系统+演练）

备注：AUSTRAC 可能补件/要求澄清，时间以实际沟通为准。

14. 常见问题（FAQ）Q1–Q200（详细版｜仁港永胜唐生拟定）

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。

A. 牌照性质与范围（Q1–Q15）

Q1：DCE 是牌照还是注册？
A：DCE 属于 AUSTRAC 体系下的“强制注册”。你提供 DCE 指定服务即受 AML/CTF Act 约束，需要 enrol 并完成 DCE 注册。它不是 ASIC 金融牌照，但同样有拒绝、附条件、暂停、取消与不续期等监管动作。

Q2：我只做 OTC 线下兑换，也要注册吗？
A：需要。监管关注的是“是否提供数字货币兑换指定服务”，不区分线上/线下、撮合/OTC/ATM。

Q3：未注册先试运营可以吗？
A：不建议且风险极高。AUSTRAC 明确 DCE 必须在注册后才能提供现金与加密的兑换服务；监管近年对 DCE 清理与执法力度持续增强。

Q4：我只做“币币”兑换（crypto-to-crypto），算 DCE 吗？
A：DCE 的核心是“数字货币兑换服务”——实践中以“法币↔加密”为主要触发。若你不触发指定服务，DCE 注册未必适用；但若你同时提供法币通道、出入金、或变相形成法币兑换效果，仍可能触发。建议按交易闭环（入金/出金/结算）做合规定性。

Q5：DCE 与 Remittance 有什么关系？
A：两者都在 AUSTRAC 注册体系下，且都要求每 3 年续期。业务若包含汇款/跨境转移资金，可能同时触发相关指定服务义务。

Q6：DCE 注册后就能做所有加密业务吗？
A：不能。DCE 是 AML/CTF 注册维度，不能替代其他法律领域（金融服务、消费者保护、税务、隐私、制裁等）的合规要求。特别是制裁合规需按 DFAT 指引设计监控与报告机制。

Q7：在澳洲境外公司能申请吗？
A：可通过在澳洲设立实体或在澳洲以永久机构方式提供指定服务实现 enrol/register。实际可行路径需结合你的客户所在地、服务交付地与经营安排评估。

Q8：AUSTRAC 会现场检查吗？
A：会。AUSTRAC 近年已明确对 DCE 与汇款行业加强监督与行动，并提及对未履责主体采取取消、暂停与拒绝续期等措施。

Q9：注册后如果长期不经营会怎样？
A：AUSTRAC 发起“use it or lose it”行动，鼓励不活跃主体主动撤回，否则可能被取消。

Q10：DCE 注册是否有到期续期？
A：有。DCE/Remittance 需要每 3 年申请续期。

Q11：续期会重新审查什么？
A：重点会落在你是否持续履行 AML/CTF 义务（风险评估、STR、记录保存、治理与监督等）。监管已明确对不履责主体采取不续期、取消、暂停等行动。

Q12：是否存在“最低资本金/保证金”硬门槛？
A：AUSTRAC 的 DCE 注册页面与行业指引更强调注册与合规义务，并未以“最低实缴资本”作为公开硬门槛。但在银行开户与运营层面，你仍需匹配规模与风险的资金与资源投入。

Q13：可以用他人公司挂靠注册吗？
A：不建议。监管强调的是“提供指定服务的人/实体”承担义务，挂靠会造成责任不清、记录不一致、STR 与客户资料归属混乱，后续检查风险极高。

Q14：DCE 注册能否提升国际背书？
A：DCE 属于澳洲 AML/CTF 监管体系下的强制注册，对银行与部分机构合作是基础背书；但国际扩张仍需各司法辖区许可与合规对接。

Q15：AUSTRAC 可以拒绝我吗？
A：可以。AUSTRAC 明确其对 DCE 注册拥有拒绝、附条件、暂停、取消等权力。

B. 董事/股东/UBO 适当人选（Q16–Q35）

Q16：董事需要什么学历？
A：AUSTRAC 公共指引并未规定董事必须具备特定学历。监管更关注治理能力：董事会/高管对 AML/CTF Program 的批准与持续监督。

Q17：董事需要什么证书（CAMS/ICA）吗？
A：不是强制要求。但若董事或合规官具备相关证书，可作为“胜任能力与合规文化”的加分证据。核心仍是制度与执行可落地。

Q18：董事是否需要常驻澳洲？
A：AUSTRAC 对董事“常驻”并无统一硬性公开要求；但若你的治理与运营在澳洲落地，至少应有可被问责、可执行治理的管理层与关键岗位安排。合规官在改革口径下与“居民/在澳履职”更相关。

Q19：股东/UBO 需要满足什么条件？
A：核心是透明可穿透（识别最终自然人）、资金来源可解释、无不可接受的 ML/TF 风险。若结构复杂，需要更强的解释与风控安排。

Q20：是否必须披露所有最终受益人？
A：作为 AML/CTF 体系的一部分，受益所有人识别与记录保存是关键；从企业自身角度，结构越清晰越利于注册、开户与持续合规。

Q21：董事/股东有海外公司层层控股可以吗？
A：可以，但要准备穿透图、控制说明、董事会决议链、SoF/SoW 证据，并对高风险司法辖区因素做增强尽调与交易限制策略。

Q22：董事曾有破产/诉讼会被拒吗？
A：不必然，但必须完整披露并提供缓释说明（例如整改、清偿证明、法律意见等）。AUSTRAC 可基于风险做注册行动。

Q23：董事是否需要提供无犯罪记录？
A：AUSTRAC 行业页面未把“无犯罪证明”写成唯一硬性清单，但从“适当人选与风险”角度，建议准备并可随时出示，以应对补件或银行尽调。

Q24：UBO 在高风险国家会怎样？
A：不是绝对否决，但会显著提高 EDD、交易监控、限额、资金来源证据、合规资源投入要求；实务上也会影响银行开户。

Q25：董事会需要怎样参与 AML/CTF？
A：至少包括：审批 AML/CTF Program Part A（或 CEO 等同职责）、定期获得合规汇报、重大风险事件监督与资源投入决策。

Q26：如果公司没有董事会怎么办？
A：AUSTRAC 指引提到：若无董事会，Part A 需由 CEO 或等同角色批准并监督。

Q27：可以让外包顾问充当“董事会监督”吗？
A：外部顾问可以支持，但不能替代公司治理主体承担监督责任；监管期待的是组织内部能问责、能执行。

Q28：股东是否需要金融背景？
A：不是硬性要求，但需证明其诚信与资金来源合理，并支持公司投入合规资源。

Q29：是否建议设立澳洲本地董事？
A：从“可执行治理 + 银行开户 + 监管沟通”的角度通常更顺。但关键不在名义，而在是否能承担治理与问责。

Q30：董事/高管需要参加 AUSTRAC 培训吗？
A：建议。培训记录可作为“合规文化与胜任能力”证据，配合后续检查。

Q31：董事能否完全不懂加密？
A：可以不做技术，但必须懂风险与治理：资金来源、交易监控、制裁风险、STR 决策与资源投入。否则属于治理缺口。

Q32：公司结构变更后需要做什么？
A：及时更新 AUSTRAC 业务档案与关键资料，确保登记信息一致（ABPF 指引强调通过更新表维护合规官等信息）。

Q33：DCE 是否适用于加密 ATM？
A：是。AUSTRAC 明确 DCE 包含加密 ATM 提供者在内的兑换服务场景。

Q34：AUSTRAC 会因为“不报 STR”采取行动吗？
A：监管媒体稿已明确提到其关注未报告可疑事项，并对不履责主体取消/暂停/拒绝续期。

Q35：我能否先注册，后面再做 AML/CTF？
A：不建议。监管期待 AML/CTF Program 可运行，并且合规官需在管理层级履职。先注册后补制度会导致高风险补件与后续检查隐患。

C. 合规官/关键岗位（Q36–Q55）

Q36：合规官必须是谁？能否用外包？
A：必须任命 AML/CTF compliance officer，且必须在 management level。可借助外部顾问支持，但核心责任与决策必须落在企业内部的合规官与治理体系。

Q37：合规官需要什么学历？
A：AUSTRAC 未规定必须某学历，但必须具备履职能力与管理层权限，确保企业满足 AML/CTF 义务。

Q38：合规官需要什么工作经验？
A：法规不写成“X 年”，但建议至少具备 AML/CTF、金融犯罪、支付/外汇、KYC、监控、STR 处理经验；否则难以证明胜任与落地。

Q39：合规官需要 CAMS/ICA 吗？
A：非强制。证书是加分项，真正的关键是制度、流程、系统与记录是否可审计。

Q40：合规官必须在澳洲吗？
A：改革口径下，若在澳洲通过永久机构提供指定服务，合规官资格与本地履职更相关（并涉及任命与通知流程）。建议按改革节奏与自身经营安排做本地化配置。

Q41：合规官任命后需要向 AUSTRAC 报告吗？
A：需要在 AUSTRAC Online/业务档案中提供合规官联系方式，更新也需通过指定表格维护；改革指引也强调通知时限与新表格。

Q42：合规官职责边界是什么？
A：核心职责是确保企业履行 AML/CTF 义务（项目治理、风险评估、制度、培训、监控、报告、记录保存、整改闭环）。

Q43：公司小，能否合规官兼任 KYC 主管？
A：可以，但要做到职责分离的补偿措施（复核机制、权限控制、审计日志）并保留证据链。

Q44：合规官向谁汇报？
A：应直达董事会/CEO；AUSTRAC 指引强调董事与高管对 AML/CTF Program 的批准与持续监督。

Q45：需要 MLRO 吗？
A：澳洲体系里更常用“AML/CTF compliance officer”称谓；你可以把“MLRO（反洗钱报告官）”作为内部岗位名称/职责集合，但对外应对齐 AUSTRAC 口径与职责要求。

Q46：需要制裁负责人吗？
A：建议指定责任人。DFAT 对 DCE 有制裁合规指引，企业需把制裁风险监控与可疑事项处理写入 AML/CTF Program 与流程。

Q47：需要独立审计吗？
A：AUSTRAC 指引强调治理与监督、风险评估与记录保存。独立审计虽不一定是硬性前置，但强烈建议作为年度合规框架的一部分，便于检查与整改闭环。

Q48：员工培训要做到什么程度？
A：要能证明“培训已实施且有效”：新员工入职培训、年度复训、岗位专项培训；保留课程、签到、测验与改进记录。

Q49：KYC 能否完全自动化？
A：可以用自动化工具，但必须有人工复核与异常处置机制，并能出示审计日志与记录保存。

Q50：链上分析工具是必须的吗？
A：AUSTRAC 未把某个工具写成“必须”，但如果你面对高风险场景（混币、制裁地址、诈骗资金），链上分析是提升监控能力的重要手段，也利于对外解释。

Q51：STR/SMR 不报会怎样？
A：AUSTRAC 已公开说明其担忧部分经营者不报告可疑事项，并对未履责主体采取取消、暂停、拒绝续期等监管行动。

Q52：记录保存必须 7 年吗？
A：AUSTRAC 指引明确客户识别记录等需在停止提供指定服务后保存 7 年；改革指引与清单也强调“相关记录保留 7 年”。

Q53：记录保存超过隐私法 5 年限制怎么办？
A：AUSTRAC 指引说明 AML/CTF 的记录保存义务与隐私法的使用限制并存：若保存更久，只能为满足 AML/CTF 记录义务目的使用。

Q54：合规官离职怎么办？
A：需要及时任命新合规官并更新 AUSTRAC 业务档案；改革指引也强调“离职或不合格”情形的通知与更新机制。

Q55：合规官不在管理层会怎样？
A：不符合 AUSTRAC 的明确要求（management level）。这是最常见“看似合规、实则高风险”的问题之一。

D. 系统/外包/客户保护（Q56–Q80）

Q56：外包 KYC/筛查可以吗？
A：可以，但你必须对外包风险做评估、保留审计权、保证数据安全与可用性，并在记录保存与检查配合方面具备可控性。

Q57：制裁筛查必须做吗？
A：必须纳入你的 AML/CTF Program 与监控体系。DFAT 已发布针对 DCE 的制裁合规指引，强调监测可能构成制裁犯罪的交易并报告。

Q58：是否必须做 PEP 筛查？
A：行业最佳实践是纳入 PEP/高风险客户的识别与 EDD（增强尽调）体系，并保留证据链（筛查结果、处置记录）。

Q59：交易监控必须实时吗？
A：规则不必然要求“实时”，但必须有效。对高风险场景建议实时/准实时，以便阻断诈骗与可疑资金流。关键是可审计与可证明有效。

Q60：钱包安全属于 AUSTRAC 监管范围吗？
A：AUSTRAC 重点在 AML/CTF 风险与可追溯性，但钱包安全直接影响资产被盗、诈骗与客户损失，最终会反向影响可疑报告与合规信誉；建议按“检查可解释”标准建设。

Q61：客户投诉需要制度吗？
A：强烈建议有。投诉往往与诈骗、mule、账户滥用相连，形成 AML 风险线索；制度化处理可提升风险识别与证据保全。

Q62：客户资金需要隔离吗？
A：AUSTRAC 的重点是 AML/CTF，但从客户保护与对外合作角度，建议尽可能实现资金隔离、对账与可追溯。

Q63：是否需要限制高风险国家客户？
A：建议设定清晰政策：高风险国家触发 EDD、限额、增强监控或直接拒绝，并保留决策记录。

Q64：是否需要“用或失去”应对策略？
A：需要。若注册后长期不活跃，建议按 AUSTRAC 指引考虑主动撤回或证明经营活动与合规运行，避免被取消。

Q65：我只做小额，能否免除部分义务？
A：不能简单理解为免除。AML/CTF 义务通常与“是否提供指定服务”挂钩，规模影响你风险评估与控制强度，但不等于无需制度。

Q66：AUSTRAC 会看我的 AML/CTF Program 写得好不好吗？
A：会看“是否符合指引要素 + 是否能运行”。AUSTRAC 已发布 DCE AML/CTF program guide（可作为编制依据）。

Q67：AML/CTF Program 必须分 Part A/Part B 吗？
A：AUSTRAC 指引明确 AML/CTF program 的结构要素，并长期沿用 Part A/Part B 的框架表达（治理与系统控制 / 客户识别程序）。

Q68：记录保存如何落地到系统？
A：至少要做到：数据字段完整、可检索、可导出、日志不可篡改、权限有审计、保存期满足 7 年要求。

Q69：隐私与数据合规怎么兼容？
A：AUSTRAC 明确记录保存义务与隐私法使用限制并存；需明确“保存更久只能为 AML/CTF 目的使用”，并落实访问控制。

Q70：AUSTRAC 会不会要求我补件很多次？
A：取决于你是否“先建体系再注册”。若制度、岗位、记录保存与监控逻辑完整，通常补件会显著减少。

Q71：注册后 AUSTRAC 还会找我吗？
A：会。AUSTRAC 已明确对 DCE 行业加强活动（警示、清理、取消），持续合规非常关键。

Q72：如何证明合规官是 management level？
A：用组织架构图、岗位 JD、授权文件、汇报线（直达董事会/CEO）、参与管理决策的会议纪要等证据链证明。

Q73：合规官联系方式必须提供吗？
A：必须提供，且更新需通过 AUSTRAC 的业务档案更新流程（ABPF 指引）。

Q74：DCE 注册能否被暂停/取消？
A：可以。AUSTRAC 明确其拥有拒绝、附条件、暂停、取消等权力，并已对行业采取取消/暂停/拒绝续期等行动。

Q75：我的业务很合规，为什么还会被关注？
A：加密行业整体属于高关注行业，AUSTRAC 会通过行业行动提高整体合规水平；合规公司应当用制度与证据链证明“可控”。

Q76：是否需要定期复核风险评估？
A：需要。AUSTRAC 指引强调 ML/TF 风险评估需定期复核与更新。

Q77：我需要准备哪些“检查应对材料”？
A：AML/CTF Program、风险评估、培训记录、筛查与监控证据、STR 决策与记录保存证明、董事会监督记录、整改闭环。

Q78：如何降低被认为“不可接受风险”的概率？
A：做到四件事：治理真实、合规官强、监控可用、记录可审计；并对高风险客户/国家有明确政策与执行证据。

Q79：DCE 注册与未来澳洲“virtual asset”改革会冲突吗？
A：改革趋势是扩大/更新术语与边界，建议按更宽口径做制度与系统设计，降低未来改造成本。

Q80：我现在最应该先做什么？

A：先完成“差距评估 + 体系搭建 + 关键岗位任命 + 系统/记录保存落地”，再进行 enrol + DCE 注册申请，这是最稳妥路线。

E. 注册、续期、取消与“use it or lose it”（Q81–Q105）

Q81：DCE 注册后是否会自动过期？
A：会。作为 DCE provider，你必须每 3 年申请续期，否则注册到期后你将不再是已注册 DCE，继续提供服务将违法。

Q82：续期的核心目的是什么？监管会看什么？
A：AUSTRAC 的续期目的是“重新评估你是否适合继续保持注册”。续期时会重点关注：是否持续履行 AML/CTF 义务（风险评估、STR/SMR、记录保存、合规官履职、董事会监督等），以及登记信息是否真实准确。

Q83：如果我没按时续期，会发生什么？
A：如果你在到期前不申请续期，你将“不再注册”；此后继续提供 DCE 服务属于违法。

Q84：续期要提前多久准备？
A：建议至少提前 8–12 周启动续期准备：

• 先做年度/周期风险评估复核与更新；

• 检查 STR/SMR 流程与记录是否完整；

• 核对合规官信息、业务信息、分支/关联方信息；

• 做一次“模拟检查”证据链归档。
  （原因：续期若被要求补件，你需要时间组织证据与整改。）

Q85：AUSTRAC 有“use it or lose it”行动是什么意思？
A：AUSTRAC 在 2025 年公开发起“use it or lose it”行动，鼓励不活跃 DCE主动撤回注册，否则可能被取消。

Q86：什么情况会被认定为“不活跃”？
A：典型情形包括：注册后长期没有真实 DCE 业务活动，或无法证明持续合规运行（例如没有客户、没有交易、没有培训记录、没有风险评估更新、没有监控与报告证据）。AUSTRAC 行动重点就是锁定“注册但不经营/不合规运行”的主体。

Q87：我注册了但暂时没展业，怎么办最稳妥？
A：两条稳妥路径：

1. 继续保留注册：你需要能证明你在“准备开展业务且合规体系在运行”（制度版本、培训、系统测试、董事会监督记录等）。

2. 主动撤回注册：若短期内确实不会开展 DCE，按 AUSTRAC 鼓励做法，主动撤回更稳妥，避免被动取消造成声誉影响。

Q88：注册被取消会影响以后再申请吗？
A：会增加解释成本。尤其如果取消原因与“不活跃/不合规运行”相关，后续再申请时，你需要提供更强的治理、制度、系统与人员证据，说明你能持续履责。

Q89：AUSTRAC 能拒绝我的申请吗？
A：能。AUSTRAC 明确其可对 DCE 申请采取注册行动（包括拒绝）。

Q90：AUSTRAC 能对我附条件吗？
A：可以。AUSTRAC 对注册行动拥有广泛权力，实务上可能通过补件、要求澄清、持续监督等方式体现“风险导向”处理。

Q91：AUSTRAC 会公布 DCE 注册名单吗？
A：会。AUSTRAC 维护并公布 DCE Register，可用于公众查询某家机构是否已注册。

Q92：如果客户质疑我是否合规，我如何快速证明？
A：建议准备一套“对外尽调包”——包括：

• DCE Register 查询截图/链接说明；

• AML/CTF Program 摘要版（不含敏感监控规则细节）；

• 合规官任命与汇报线说明；

• 制裁筛查与 STR 流程说明；

• 数据与记录保存政策摘要。

Q93：DCE 注册是否覆盖加密 ATM？
A：覆盖。AUSTRAC 在“use it or lose it”行动公告中明确指出：DCE 必须注册后才能提供现金↔加密兑换服务，且包括加密 ATM 提供者。

Q94：我能否先做市场推广、后注册？
A：品牌宣传本身不是“提供兑换服务”。但一旦你开始“提供兑换、收取资金、撮合成交、发出报价并可成交”等，就可能构成提供 DCE 服务；最稳妥做法是：注册确认后再上线交易闭环。

Q95：如果我只提供技术平台，不碰资金，是否还需要注册？
A：取决于你是否“提供 DCE 指定服务”。若你只是技术供应商，不作为交易对手/经纪、不撮合、不参与定价、不控制资金流/币流，通常不构成 DCE provider；但若你以代理、经纪、撮合名义参与成交或对外提供兑换服务，就可能触发。建议按“谁对客户提供兑换服务并从中获利/承担义务”来定性，并在合同与资金流设计上保持一致。

Q96：AUSTRAC 会因为“登记信息不一致”而采取行动吗？
A：会显著提高监管风险。你必须确保 AUSTRAC Online 的 business profile、合规官信息、业务地址与实际运营一致（包括变更后的及时更新）。

Q97：我的业务增加了分支/加盟/代理，需要额外处理吗？
A：需要。你要在 AML/CTF Program 中纳入分支/代理的风险评估、培训、监控与报告义务分工，并确保记录统一归档。

Q98：如何把“被取消/被拒绝续期”的风险降到最低？
A：四件事做到“可审计、可持续”：

• 董事会/高管真实监督；

• 合规官管理层级且有权；

• 交易监控+STR 决策证据链完整；

• 记录保存（至少 7 年）可随时调取。
  （监管最怕的是“制度漂亮但运行不存在”。）

Q99：续期时我需要更新哪些内容最容易被问？
A：常见“续期追问点”：

• 风险评估是否定期更新；

• STR/SMR 案例与决策记录；

• 员工培训记录；

• 合规官变更与履职证明；

• 外包服务商变更、合同审计权；

• 客户风险分层与 EDD 执行证据。

Q100：DCE 注册被取消后还能继续做其他加密业务吗？
A：只要你提供的业务仍触发 DCE 指定服务，你就不能继续提供；若你仅做不触发 DCE 的业务，也仍需满足其他适用法律（税务、隐私、消费者保护、制裁等）。

Q101：我的业务模式从 OTC 改为撮合平台，需要重新注册吗？
A：一般不需要“重新注册”，但必须更新风险评估、AML/CTF Program、监控规则与系统；同时确保 AUSTRAC 档案信息、业务描述真实一致。

Q102：如何证明我不是“不活跃”而被清理？
A：准备“活动证据包”：

• 真实交易报表与对账；

• 客户开户与 KYC 记录抽样；

• 监控规则运行日志；

• 培训记录与合规会议纪要；

• 外包服务 SLA 与审计报告（如有）。

Q103：如果我暂时不做现金兑换，只做银行转账↔加密，还算 DCE 吗？
A：DCE 的核心是“法币↔加密兑换”。现金或银行转账都属于法币支付方式之一，通常仍是 DCE 触发场景（关键在你是否提供兑换服务）。

Q104：AUSTRAC 会不会优先盯“加密 ATM”这种业态？
A：从公开信息看，AUSTRAC 在行业公告中特别点名包含 crypto ATM providers，说明该业态风险关注度较高。

Q105：DCE 注册有没有“试点/沙盒”能免注册？
A：AUSTRAC DCE 属于法定注册义务，公开口径没有“沙盒免注册”。如你提供 DCE 服务，应按 enrol+register 的路线合规上线。

F. 董事/股东/UBO：学历、经验、证书与“适当人选”（Q106–Q130）

Q106：董事是否必须具备金融从业资格？
A：AUSTRAC 指引并未规定董事必须某种金融牌照/证书。监管更关注：董事会/高管是否批准并持续监督 AML/CTF Program。

Q107：董事是否必须懂 AML？
A：不要求每位董事都写得出 AML 手册，但必须建立有效治理：

• 能理解业务 ML/TF 风险；

• 能做资源投入决策；

• 能监督合规官履职与整改闭环。

Q108：董事的工作经验“最低几年”有没有硬门槛？
A：没有公开硬门槛。但实务上建议至少有一名高管/董事具备合规、风控、支付/外汇、金融科技运营经验，否则“治理能力”会被银行与合作方质疑。

Q109：董事需要提供 CV 吗？CV 怎么写更利于 DCE？
A：建议提供。写法要突出三条线：

1. 治理与管理经验（团队管理、制度建设、内控）；

2. 金融犯罪风险意识（KYC、风控、合规项目）；

3. 加密/支付理解（产品流程、资金/币流、风控点）。

Q110：股东/UBO 是否要求学历或证书？
A：没有硬性要求。更重要的是：股权穿透清晰、资金来源合理可解释、声誉风险可控。

Q111：UBO 资金来源（SoF/SoW）一般要准备到什么程度？
A：交付标准建议做到：

• SoW（财富来源）：职业/经营、资产形成路径；

• SoF（资金来源）：本次注资/收购资金的具体来源证明；

• 可追溯文件：银行流水、资产出售合同、财报/审计报告（视情况）。
  （银行与合规审查会很看重。）

Q112：如果有多层离岸结构，会影响申请吗？
A：不必然，但会增加“解释与证据”成本。建议用“穿透图+控制说明+资金来源包+董事会决议链”一并交付，避免信息不一致。

Q113：UBO 在高风险司法辖区怎么办？
A：建议三件套：

1. 增强尽调（EDD）与更强 SoF/SoW；

2. 客户与交易限制（限额、禁止某些高风险产品）；

3. 监控规则加严并提升 STR 敏感度。
   （并将这些写进风险评估与 Program 的控制措施。）

Q114：董事或股东有历史诉讼/破产记录一定会被拒吗？
A：不一定。但必须完整披露并给出缓释解释（结案证明、法律意见、整改措施），否则“诚信/声誉风险”会直接放大。

Q115：董事是否需要澳洲本地居民？
A：AUSTRAC 对董事“必须本地居民”没有统一硬性公开要求；但对合规官在改革口径下存在“在澳永久机构提供服务则需澳洲居民”等明确要求（见合规官章节）。

Q116：董事会如何体现“持续监督”？
A：建议形成可出示证据：

• 每季 AML/CTF 汇报会议纪要；

• 关键风险指标（KRI）看板；

• 重大事件报告与整改闭环；

• 年度风险评估复核签批。

Q117：董事是否必须签署 AML/CTF Program？
A：AUSTRAC 指引明确：Part A 需由董事会与高管批准并持续监督；若无董事会则由 CEO 或等同角色批准。

Q118：股东变更后要做什么？
A：至少做三件事：

1. 更新股权穿透与 UBO 包；

2. 更新风险评估（客户/地域/资金来源风险）；

3. 更新 AUSTRAC 档案信息（如涉及登记资料变更）。

Q119：是否需要对董事/高管做员工尽调（EDD）？
A：强烈建议。即便不是公开硬门槛，DCE 属高风险行业，企业内部“关键人员尽调”是提升监管与银行认可的关键动作之一。

Q120：董事能否完全不参与日常合规？
A：可以不参与日常操作，但必须对“治理、资源、监督、问责”负责，否则会被认为治理失效。

Q121：如果董事在海外，如何保证监督有效？
A：建议：

• 建立定期线上董事会合规会议；

• 合规官直达董事会；

• 关键事项强制升级（例如制裁命中、重大 STR、系统泄露、盗币事件）。

Q122：是否建议设立“风险委员会/合规委员会”？
A：规模允许时建议。对外更易解释“治理与监督”体系，也便于形成定期证据链。

Q123：董事是否需要参加 AUSTRAC 培训？
A：建议参加并保留培训记录。监管强调治理与监督，培训记录能体现“合规文化”与“知情监督”。

Q124：是否必须购买合规保险或职业责任险？
A：AUSTRAC 没有把保险写成注册硬门槛，但从客户保护与经营风险角度，建议评估购买。

Q125：我可以用“名义董事”满足本地需求吗？
A：强烈不建议。AUSTRAC 强调治理实质与合规官管理层级履职；名义安排在检查与银行尽调中风险非常高。

Q126：董事/股东的“适当人选”如何在材料中体现？
A：用三类材料体现：

• 人：CV、尽调、诚信声明；

• 治理：会议纪要、汇报线、授权文件；

• 资源：预算、系统采购、人员配置表。

Q127：是否需要披露关联方/关联交易？
A：建议披露并纳入风控与审计策略。关联方交易常是洗钱风险点，会影响风险评估与监控规则设计。

Q128：UBO 不愿披露个人信息怎么办？
A：在 AML/CTF 合规框架下通常不可行。建议提前与客户沟通“合规底线”：不披露=无法合规经营/无法开户/无法合作。

Q129：股东来自加密行业是否更容易通过？
A：不是“更容易”，但如果股东具备合规意识、资金来源清晰、能投入资源，整体会更可解释。

Q130：最常见的董事/UBO踩坑是什么？
A：三大踩坑：

• 结构穿透不一致（对外说法与文件不一致）；

• 资金来源解释不足；

• 治理缺证据（没有监督记录、没有合规官授权与汇报线）。

G. 合规官/MLRO/关键岗位：管理层级、资格、证书与履职证据（Q131–Q165）

Q131：AUSTRAC 对合规官的硬要求是什么？
A：必须任命 AML/CTF compliance officer，且必须在管理层级，负责确保企业遵守 AML/CTF 义务。

Q132：改革口径下合规官还要满足哪些资格？
A：改革指引列明合规官资格要求，包括：

• 以管理层级受聘/受聘用；

• 若在澳永久机构提供指定服务，则需为澳洲居民；

• 必须为 fit and proper person。

Q133：合规官必须持 CAMS/ICA 吗？
A：不是强制。AUSTRAC 公开要求聚焦“管理层级+履职能力+制度落地”。

Q134：合规官需要什么学历？
A：无公开硬性学历门槛。重点是可证明其胜任：能主导 Program、风险评估、监控、报告与记录保存。

Q135：合规官的“管理层级”怎么证明？
A：建议准备“五件证据”：

1. 组织架构图（合规官在管理层）；

2. 岗位 JD（职责与权限）；

3. 授权文件（可要求业务配合、可暂停高风险业务）；

4. 汇报线（直达董事会/CEO）；

5. 管理会议纪要（参与决策与整改）。

Q136：合规官能否是外包顾问？
A：合规官必须是你业务的管理层级人员（受聘或受聘用）。外部顾问可提供支持，但不能替代企业内部合规官承担法定义务与决策责任。

Q137：合规官需要做哪些日常工作（必须可检查）？
A：至少覆盖：

• 风险评估更新；

• 交易监控规则维护与回溯测试；

• STR/SMR 决策与报告治理；

• 培训计划与执行；

• 外包治理；

• 记录保存抽查；

• 向董事会汇报与整改闭环。

Q138：合规官与 MLRO 是同一个概念吗？
A：在澳洲常用“AML/CTF compliance officer”称谓。你可以内部称为 MLRO，但对外文件建议使用 AUSTRAC 口径，并确保职责完整覆盖。

Q139：合规官离职了怎么办？
A：需要立即任命新合规官，并及时更新 AUSTRAC Online 相关信息，确保监管联系方式与责任人持续有效。

Q140：公司规模小，合规官能否兼任运营负责人？
A：可以，但必须：

• 权限清晰；

• 关键决策有复核机制；

• 交易监控与 STR 决策避免“自己审自己”；

• 留足审计日志与证据链。

Q141：合规官的“fit and proper”怎么做内部评估？
A：建议建立内部 F&P 包：

• 身份核验、简历核验、资质核验；

• 无犯罪/破产/重大诉讼声明；

• 利益冲突披露；

• 面谈记录（合规能力与风险意识）。

Q142：合规官是否必须在澳洲本地办公？
A：改革口径把“澳洲永久机构提供指定服务→合规官需澳洲居民”写得更明确；若你是纯澳洲本地运营，建议按本地化配置，降低监管与银行沟通成本。

Q143：合规官是否需要直接联系 AUSTRAC？
A：是。合规官通常是监管沟通窗口，需能解释 Program、风险评估、STR 流程与记录保存机制，并能组织补件。

Q144：除合规官外，还需要哪些关键岗位？
A：建议最小配置：

• KYC/客服运营；

• 风控/反欺诈；

• 制裁/名单管理责任人；

• IT 安全/钱包安全责任人；

• 财务与对账。
  规模扩大后再细分。

Q145：员工培训必须多频次？
A：AUSTRAC 关注“培训是否有效并有记录”。建议：入职必训、年度复训、岗位专项训，并保留课件/签到/测验/改进记录。

Q146：合规官的 KPI 应怎么设计？
A：建议 KPI 围绕：

• 风险评估更新完成率；

• 监控规则覆盖率与误报率优化；

• STR 识别与升级时效；

• 培训完成率；

• 内部抽查与整改闭环周期；

• 外包审计与 SLA 达标。

Q147：合规官要不要能“叫停业务”？
A：建议必须具备。在高风险事件（制裁命中、重大诈骗、系统泄露、盗币）时，合规官必须能触发暂停、冻结、增强审核等应急措施。

Q148：如果合规官没有经验，可以边做边学吗？
A：强烈不建议作为唯一合规官。你可以配套外部顾问与资深合规经理辅导，但对外责任人必须足够胜任，否则续期与检查风险极高。

Q149：STR/SMR 的内部决策应由谁批准？
A：通常由合规官主导决策并记录；重大案件可升级至 CEO/风险委员会，但必须确保决策路径清晰、时效满足、证据链完整。

Q150：合规官如何管理外包（KYC/筛查/链上工具）？
A：必须建立外包治理：

• 供应商尽调；

• 合同审计权与监管配合条款；

• 数据访问控制；

• SLA 与故障应对；

• 退出与迁移方案。

Q151：合规官能否兼任董事？
A：法律上未必禁止，但会引发职责冲突与检查解释成本。实务建议避免“自己监督自己”，尤其在高风险行业。

Q152：合规官变更是否会影响续期？
A：可能。续期重在“持续适合性”，合规官频繁变更会引发监管对持续履职能力的担忧，建议做好交接、培训与证据链。

Q153：合规官对董事会的汇报频次建议？
A：建议至少季度一次正式汇报，月度可用 KPI 看板；重大风险事件需即时升级。

Q154：合规官最怕被问的 3 个问题是什么？
A：

1. 你如何评估并更新 ML/TF 风险？

2. 你的监控如何有效识别可疑活动，并形成 STR 决策证据？

3. 你的记录保存如何确保“可检索、可出示、可追溯”？（与续期/检查直接相关）

Q155：合规官如何证明 Program 不是“纸面合规”？
A：用运行证据证明：

• 实际监控命中与处置记录；

• 实际 STR 案例；

• 培训与测验记录；

• 内部抽查与整改记录；

• 董事会监督纪要。

Q156：合规官是否需要掌握链上追踪？
A：不是硬门槛，但强烈建议至少理解链上风险场景（混币、制裁地址、诈骗资金聚合），并能推动采用工具或规则实现风险识别。

Q157：如果业务只做“白名单机构客户”，合规官要求能降低吗？
A：合规强度可以按风险降低，但合规官“必须任命、管理层级”这类硬要求不变。

Q158：合规官是否必须参与产品上线评审？
A：建议必须参与。任何新产品/新通道/新地区都会改变风险评估与控制措施，合规官需签字确认并留痕。

Q159：合规官如何处理“高风险国家客户”策略？
A：要有明确政策：允许/禁止、触发 EDD、限额、增强监控、人工复核与审批层级，并留存证据链。

Q160：合规官如何处理“加密 ATM 现金高风险”？
A：建议强化：

• 现金交易阈值策略；

• 频次与分拆识别；

• CCTV/门店记录与对账；

• 与诈骗/跑分场景联动的异常处置；

• 可疑事项快速 STR。

Q161：合规官是否需要对接制裁合规？
A：需要。DCE 的制裁风险是明确关注点，企业应将制裁筛查与处置纳入合规框架。

Q162：合规官如何应对“监管问询/补件”？
A：准备标准化“证据链包”：Program、风险评估、监控规则说明、STR 案例、培训、记录保存、外包合同要点、董事会监督纪要。

Q163：如果合规官是兼职（part-time）可以吗？
A：法规未明确禁止，但你必须证明其“管理层级且能有效履职”。对于高风险 DCE，兼职安排会显著提高监管与银行质疑，除非你有强补偿机制（资深团队+自动化+严格治理）。

Q164：合规官需要具备哪些“最低工具能力”？
A：至少能掌握：

• KYC/筛查后台；

• 交易监控看板；

• 案件管理系统（case management）；

• 报告与归档系统（可导出、可追溯）。

Q165：一句话总结合规官要求？
A：不是看学历证书，而是看“管理层级 + 能把 AML/CTF 做成可运行、可审计、可持续”的能力。

H. AML/CTF Program、记录保存、制裁与“可检查证据链”（Q166–Q200）

Q166：AML/CTF Program 是否必须有？
A：必须。AUSTRAC 的核心指引明确 Program 的关键要素，包括风险评估、董事会/高管批准与监督、管理层级合规官等。

Q167：Program 的“最重要三件事”是什么？
A：

1. ML/TF 风险评估要真实且定期更新；

2. 控制措施要能落地（KYC、筛查、监控、STR）；

3. 证据链要可审计（记录保存、日志、会议纪要、培训）。

Q168：AUSTRAC 特别强调董事会/高管批准吗？
A：是。指引明确：董事会与高管需批准并持续监督 Program；若无董事会，由 CEO 或等同角色批准并监督。

Q169：记录保存的关键要求是什么？
A：AUSTRAC 对 DCE/报告实体的记录保存要求非常关键。你要确保记录可检索、可出示、可追溯，并满足法定保存期（行业实务一般以 7 年为核心要求设计系统能力）。

Q170：记录保存要覆盖哪些类型？
A：建议至少覆盖：

• 客户身份资料与验证证据；

• 客户风险等级与 EDD 材料；

• 交易明细（入金、出金、成交、链上地址）；

• 制裁/PEP 筛查结果与处置；

• STR/SMR 决策与证据；

• 培训记录与合规会议纪要；

• 外包尽调与合同、SLA、审计报告。

Q171：如何把记录保存做成“系统能力”？
A：建议实现：

• 字段标准化（KYC/交易/监控/案件）；

• 全链路日志（谁在何时做了什么）；

• 数据不可篡改（WORM/哈希校验）；

• 一键导出（监管检查包）。

Q172：制裁合规是不是“可选项”？
A：不是。制裁风险是 DCE 必须重视的维度，澳洲也有面向 DCE 的制裁合规指引，企业应把制裁筛查与处置纳入框架。

Q173：制裁筛查要覆盖哪些对象？
A：建议覆盖：

• 客户（姓名、别名、公司名称、UBO）；

• 收款人/受益人（如有）；

• 交易相关地址（链上地址、提现地址）；

• 关联方与高风险国家要素。

Q174：如果筛查命中制裁/高风险名单怎么办？
A：立即触发：

• 暂停交易/冻结出金（按内部政策）；

• 升级合规官与管理层；

• 收集证据并形成案件记录；

• 评估是否提交 STR/SMR 与其他法定报告。

Q175：STR/SMR 的“典型触发场景”有哪些？（DCE版）
A：建议建立场景库（示例）：

• 分拆入金/出金规避监控；

• 短期高频买卖“刷流水”；

• 多账户共同指向同一提现地址；

• 诈骗/跑分特征（短期大额、第三方转账、异常设备/IP）；

• 混币器/跳转地址；

• 制裁高风险地址关联。
  并把每个场景对应到监控规则与处置 SOP。

Q176：如何证明 STR 决策是合规的？
A：关键是“可解释记录”：

• 命中规则→初审→补充信息→升级→最终决策；

• 证据附件（截图、链上记录、KYC材料、对话记录）；

• 决策人、时间戳、理由。

Q177：交易监控必须用什么软件？
A：AUSTRAC 未强制某一软件，但你必须证明监控有效。可用商业监控系统、链上分析工具、自研规则引擎，但都要可审计、有日志、有复核。

Q178：我能否只做“人工监控”不做系统？
A：在极小规模可短期过渡，但 DCE 风险高、交易多且快，纯人工很难证明有效与可持续；也会影响银行与合作方认可。建议尽早系统化。

Q179：如何把“客户风险分层”做成可运行？
A：用评分模型（客户类型、地域、产品、渠道、资金来源、链上风险、历史行为）生成低/中/高风险；高风险自动触发 EDD 与更严监控；并能回溯每次调级理由。

Q180：客户尽调（KYC）做到什么程度才够？
A：至少做到：身份核验+活体/文件核验（视工具）、地址与联系方式、资金来源声明、UBO 识别（公司客户）、持续尽调与定期更新。

Q181：什么是“持续尽调”？
A：不是一次性开户。持续尽调包括：客户资料定期更新、风险等级调整、行为异常复核、触发 EDD、必要时暂停/终止客户关系并留痕。

Q182：高风险客户的 EDD 需要哪些材料？
A：可按情形选择：

• 更强 SoF/SoW；

• 业务/收入证明；

• 交易目的说明；

• 关联方说明；

• 对账与第三方证明材料；
  并与限额/人工审批结合。

Q183：我需要保留哪些“董事会监督证据”？
A：建议至少保留：

• Program 批准文件；

• 季度合规汇报纪要；

• 重大风险事件通报与决策；

• 年度风险评估复核签批。

Q184：如何应对 AUSTRAC 检查时的“临时抽样”？
A：提前准备“抽样应对包”：

• 抽样客户 KYC 全套；

• 抽样交易全链路（入金→成交→出金→链上地址）；

• 监控命中与处置记录；

• 对应的日志与权限记录。

Q185：外包服务商（KYC/云/钱包）是否会被问到？
A：非常常见。你要准备：供应商尽调、合同审计权、数据存储与访问控制、SLA、应急预案与退出机制。

Q186：数据放在海外云可以吗？
A：不必然禁止，但你必须能解释数据主权、访问控制、监管检查可用性与合同审计权；并确保记录保存要求可满足。

Q187：如果发生盗币/系统泄露，要怎么做合规应对？
A：建议建立重大事件机制：

• 立即封控、止损；

• 事件分级与内部通报；

• 证据保全（日志、链上记录）；

• 评估是否涉及可疑活动并触发 STR；

• 对客户披露与补偿策略（客户保护）。

Q188：客户投诉与 AML 有关系吗？
A：有。大量诈骗与跑分线索来自客户投诉；你应把投诉分类与“可疑活动识别”联动，形成案件管理与 STR 触发机制。

Q189：如果业务做跨境客户，会加大什么风险？
A：主要加大：

• 高风险国家/制裁风险；

• 资金来源核验难度；

• 语言与文件真实性；

• 银行与合作方尽调难度。
  建议采取更严的开户政策、限额、增强监控与 EDD。

Q190：DCE 注册后就能拿到银行账户吗？
A：不保证。银行会看你“真实合规运行能力”：股权透明、SoF/SoW、Program、监控、STR、记录保存、合规官履历等；DCE 注册只是最低门槛之一。

Q191：银行最常问 DCE 的 10 个问题有哪些？
A：常见包括：

1. 业务模式与资金/币流；

2. 客户类型与地域；

3. KYC/EDD 如何做；

4. 制裁/PEP 如何筛；

5. 交易监控规则；

6. STR 决策与案例；

7. 钱包与私钥管理；

8. 外包服务商与审计权；

9. 记录保存与可导出能力；

10. 董事会监督与合规官资历。

Q192：如何把“合规文化”写进制度？
A：建议包括：

• 最高管理层声明（tone from the top）；

• 零容忍政策（制裁、欺诈、跑分）；

• 员工举报机制；

• 奖惩制度（未执行 KYC/绕流程的处罚）。

Q193：如何设计“黑名单/白名单”机制？
A：建议：

• 地址白名单（提现到已验证地址）；

• 黑名单（制裁地址、诈骗地址、混币器相关地址）；

• 动态更新（对接链上情报/内部案件）；

• 命中处置 SOP（冻结、复核、STR）。

Q194：如何做“阈值与限额”策略？
A：建议按风险分层：

• 新客/低风险/高风险不同限额；

• 提现冷却期；

• 触发人工复核阈值；

• 现金交易更严格（尤其 ATM/门店）。

Q195：是否建议做“独立年度审查/审计”？
A：强烈建议。即使不是注册前置硬门槛，它是续期与检查的“最强证据链之一”，能证明你持续改进与闭环。

Q196：DCE 的“合规成本”主要花在哪里？
A：主要在：

• 人（合规官、KYC、风控）；

• 系统（筛查、监控、链上分析、案件管理）；

• 治理（审计、培训、法律与合同）；

• 银行与合作方尽调配合。

Q197：如果未来澳洲 AML/CTF 改革扩展到更广“virtual assets”，我怎么提前准备？
A：按更宽口径设计：

• 把币币/托管/钱包、更多产品线纳入风险评估框架；

• 合规官与治理机制先做强；

• 系统与记录保存预留扩展字段；

• 外包合同加入“监管变化配合条款”。

Q198：一句话总结 AUSTRAC DCE 最容易失败的原因？
A：把 DCE 当成“注册文件”而不是“长期合规能力”——尤其是合规官不在管理层、Program 不落地、记录不可审计、续期被动补洞。

Q199：我现在立刻要做的“最小可行合规清单”是什么？
A：最小可行清单（MVP）：

1. 任命管理层级合规官并授权；

2. 完成 ML/TF 风险评估；

3. 建立 AML/CTF Program（含治理、KYC、监控、STR、记录保存）；

4. 上线筛查与监控（哪怕初版）；

5. 建立记录保存与导出机制；

6. 做一次 STR 演练与培训留痕。

Q200：我如何确认“注册确认前不能展业”的底线？
A：AUSTRAC 官方明确：你必须 enrol 并 register，且在 AUSTRAC 确认你的注册前不得提供 DCE 服务；未注册提供服务违法。

15. 结论与行动建议（给客户的“可执行清单”）

定位：这一章只回答一件事：客户现在应该按什么顺序做，做什么，做到什么程度才算“可以提交注册并可持续”。

15.1 结论（一句话）

AUSTRAC DCE 的核心从来不是“提交注册”，而是把 AML/CTF 做成 可运行、可审计、可持续 的经营能力；注册只是合规能力的“门槛验证”。

15.2 行动建议（按优先级排序）

（1）先定业务模式与资金/币流闭环（Day 1 必做）

• 明确：你是 OTC、撮合、经纪、ATM、做市、托管、钱包、还是纯技术平台

• 明确：法币入金/出金路径（银行转账/现金/第三方支付）、币的托管方式（自托管/第三方托管/冷钱包）

• 明确：客户类型（散户/机构/批发/跨境）与服务地域

目的：决定你 AML/CTF 风险评估、监控规则、记录保存字段与外包合规边界。

（2）先建体系再注册（强烈建议）
把以下做成“能跑起来的系统”，再提交 DCE 注册：

• ML/TF 风险评估（含评分逻辑与高风险策略）

• AML/CTF Program（Part A 治理+ Part B 客户识别程序）

• STR/SMR 识别、升级、提交与证据留存机制

• 交易监控 + 制裁/PEP 筛查 + 地址风险策略

• 记录保存与审计日志（可检索、可导出、可追溯）

（3）合规官必须是管理层级并有授权（最常见踩坑点）

• 合规官不是“挂名/外包”，必须具备管理层地位、权责与资源调度能力

• 必须能触发：暂停高风险业务、冻结出金、要求补充尽调、上报董事会等动作

（4）把证据链当成产品的一部分（决定你能不能续期/过检查）
从第一天就按“可检查标准”归档：

• 董事会/管理层监督纪要、合规报告、整改闭环

• 培训记录、测试记录、制度版本变更记录

• 监控规则 UAT/回测记录、命中处置记录

• STR/SMR 决策链证据（触发→分析→升级→决策→提交）

（5）把续期与行业清理当成长期经营（不是一次性注册）

• DCE 为长期监管关系：不活跃/无法证明持续运行，会面临“清理/取消/拒绝续期”等风险

• 建议建立“年度合规日历”（季度董事会汇报、年度审查、系统回测、培训计划、续期准备）

15.3 申请建议（最稳路线）

• 路线：制度+系统+演练（STR 演练/检查演练）→ 再提交注册

• 同步：准备银行开户尽调包（穿透结构、SoF/SoW、合规官履历授权、监控与筛查证据链）

16. 我司服务建议与配套说明（仁港永胜交付边界｜做什么 & 做到什么程度）

定位：这一章把“仁港永胜到底交付什么”讲清楚，并把交付物落到可验收标准。

16.1 交付原则：三条线（可交付 + 可检查 + 可运营）

1. 可交付：有成套文件、有图、有表、有 SOP、有模板

2. 可检查：每一条要求都能拿出证据链

3. 可运营：不是“写完放抽屉”，而是能在系统与日常流程跑起来

16.2 服务模块（四段式交付）

A｜注册申请与项目管理（Enrol + Register）

• 业务定性与差距评估

• AUSTRAC Online 档案搭建与信息一致性校验

• 注册材料编制、补件问答与监管沟通辅助

B｜制度体系交付（合规发动机的“说明书”）

• AML/CTF Program（Part A/Part B）

• ML/TF 风险评估（含评分模型与高风险策略）

• STR/SMR 流程、培训包、治理与授权文件

C｜系统与运营落地（合规发动机的“实操运行”）

• KYC/筛查/监控规则与处置 SOP

• 记录保存与审计日志策略（字段、权限、导出、留痕）

• 演练：STR 演练、监控命中演练、检查应对演练（证据链归档）

D｜银行尽调包与持续合规（拿得下账户、跑得稳）

• 银行尽调问答包（结构/资金/风控/系统/外包）

• 年度合规日历与内部审查机制

• 续期与资料更新清单（含“use it or lose it”风险策略）

16.3 交付验收标准（仁港永胜）

• 文件交付：完整版本+可编辑版本+版本控制表

• 系统落地：规则清单、字段表、日志清单、导出样例

• 演练落地：演练脚本、演练记录、整改闭环记录

• 证据链：可抽样 5–10 个客户/交易做“检查包”演示

17. 合规与报告制度（企业必须跑起来的“合规发动机”）

定位：把合规拆成“发动机结构图”，让客户理解哪些部件必须长期运行。

17.1 AML/CTF Program（制度总控）

• 治理结构：董事会/管理层监督机制与问责

• 风险评估：客户/产品/渠道/地域/交易行为五维

• 控制措施：KYC、EDD、监控、名单筛查、STR、记录保存

• 变更管理：产品上线评审、制度更新与培训同步

17.2 STR/SMR（可疑事项的识别—升级—提交—留证）

• 触发机制：规则命中、人工举报、客户投诉、外部情报

• 升级路径：一线→合规→管理层/董事会（重大案）

• 决策证据：为什么报/为什么不报（都要留痕）

• 案件管理：编号、时间戳、附件、结论、复盘

17.3 制裁风险（把 DFAT 要求纳入流程）

• 名单筛查：客户/UBO/受益人/地址（含提现地址策略）

• 命中处置：暂停/冻结/升级/记录/必要报告

• 风险策略：高风险国家与跨境客户的限制与审批层级

17.4 记录保存与审计日志（7 年与“可导出”能力）

• 记录范围：KYC、交易、监控、案件、培训、会议纪要、外包

• 系统能力：可检索、可追溯、不可篡改、可导出

• 访问控制：最小权限、日志留存、敏感数据访问审计

18. 税务与法律配套（项目落地必做｜避免“拿到注册但跑不动”）

18.1 税务与会计（结合盈利模式做判断）

• 收入类型：点差、手续费、上币费、通道费等的会计确认

• GST/税务影响评估：必须结合具体业务模型、客户地区与服务性质判断

• 财务对账：法币对账、链上对账、钱包余额对账与异常处理机制

18.2 隐私与数据合规（与 AML/CTF 并行）

• 数据最小化与用途限制（同时满足 AML/CTF 长期保存要求）

• 数据跨境与云服务：访问控制、审计权、监管调取可用性

• 数据泄露应急：止损、证据保全、内部通报与客户沟通机制

18.3 合同体系（把“合规边界”写进条款）

• 用户协议：服务边界、风险披露、禁止用途、冻结/终止权

• 退款与争议处理：触发条件、证据标准、时限

• 外包合同：审计权、监管配合条款、SLA、退出与迁移方案

19. 后续监管趋势与政策走向（提前布局，避免未来重做）

19.1 行业清理与执法持续强化

• 不活跃主体清理、取消/暂停/拒绝续期风险上升

• 对“纸面合规、运行缺失”的容忍度降低

19.2 AML/CTF Reform 推进（按更宽口径提前设计）

• 建议制度与系统预留扩展空间：更多产品线、更多触发场景、更细字段

• 合规官、治理与记录保存先做强，未来升级成本最低

19.3 制裁合规的重要性上升

• DCE 与跨境资金/币流高度相关，制裁与高风险国家策略将是长期审查重点

20. 项目实操建议（三阶段法｜仁港永胜唐生建议）

阶段一：注册合规（拿到 DCE）

• 业务模式定性 + 差距评估

• 风险评估 + AML/CTF Program + 合规官任命与授权

• Enrol + Register + 补件应对机制搭建

阶段二：运营合规（跑得起来）

• KYC/筛查/监控落地（规则、阈值、处置 SOP）

• STR 演练 + 监控回测 + 检查包抽样演示

• 记录保存审计化 + 董事会监督机制固定化

阶段三：扩张合规（规模化与跨境）

• 高风险客户策略、限额与审批层级

• 链上风控增强、地址白名单/黑名单机制

• 外包治理体系化 + 续期/检查应对“常态化运营”

21. 我司可提供的配套文件清单

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。

21.1 注册与业务定性包（用于注册/银行尽调）

• 《DCE 业务模式与风险定性报告》（含资金/币流闭环图）

• 《组织架构与关键岗位职责矩阵》（含 RACI）

• 《股权穿透图 + UBO 声明与 SoF/SoW 资料清单》

21.2 AML/CTF 制度包（用于合规检查与持续运行）

• 《ML/TF 风险评估（含评分模型、分层策略、EDD 触发）》

• 《AML/CTF Program（Part A + Part B）》

• 《合规官 JD + 任命书 + 授权书 + 汇报机制》

21.3 运营 SOP 与表单包（用于日常落地）

• 《KYC/CDD/EDD SOP + 表格模板（个人/公司/UBO）》

• 《制裁/PEP 筛查 SOP（对齐 DFAT）+ 命中处置流程》

• 《交易监控规则库（场景→规则→阈值→处置→留痕）》

21.4 STR/检查应对与证据链包（用于演练/监管抽查）

• 《STR/SMR 识别—升级—提交流程图 + 案例库》

• 《检查应对问答（50+）与证据链清单（抽样包模板）》

• 《记录保存与审计日志策略（7 年｜字段表/权限表/导出样例）》

21.5 续期与持续合规包（用于 3 年续期与行业清理风险管理）

• 《续期与资料更新清单（3 年续期 + 信息变更管理）》

• 《年度合规日历（培训/审查/回测/董事会汇报/整改闭环）》

• 《不活跃风险管理方案（展业证明/证据链策略/撤回策略）》

22. 唐生结论

AUSTRAC DCE 的难点从来不是“填表注册”，而是把 AML/CTF 做成 可运行、可审计、可持续 的经营能力。监管对 DCE 行业的专项行动与清理趋势明确：不履责、不运行、无法证明持续合规，将面临取消/暂停/拒绝续期的现实风险。
因此：合规官必须是管理层级并具备授权；董事会必须真实参与监督；记录必须可追溯可导出；从第一天就要按“可检查标准”归档证据链。

23. 项目执行计划（里程碑）

24. 监管审查重点矩阵（审查口径 + 我们如何提前准备）

注：DCE 不存在“护照/跨境通行证”机制，但跨境客户/跨境资金来源会显著增加监管与银行尽调难度，因此仍纳入“跨境合规”维度。

25.结论与行动建议 + 为何选择仁港永胜 + 关于仁港永胜 + 免责声明

25.1 最终结论与行动建议

• 先定业务模式与资金/币流闭环（决定风险与控制点）

• 先建 AML/CTF 再注册（把制度做成可运行而非“文档”）

• 合规官必须管理层级并有授权（治理能否成立的关键）

• 把记录保存做成系统能力（7 年，可导出可追溯）

• 从第一天就按“可检查”标准归档证据链（会议纪要、培训、监控、STR 决策）

• 合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

25.2 为何选择仁港永胜（核心优势）

• 交付不是模板，而是“可检查、可运营、可续期”的合规体系

• 能把你关心的“学历/证书”问题，转化为监管真正看的“胜任证据链”（JD/授权/KPI/治理记录/运行证据）

• 一体化支持：注册 + 制度 + 系统落地 + 银行尽调包 + 续期/检查应对

• 可衔接你后续的多法域合规布局（加密与支付牌照体系化扩张）

25.3 关于仁港永胜

25.4 免责声明

本文仅供一般性信息与合规参考，不构成法律意见、监管承诺或投资建议。DCE 注册、续期与监管行动以 AUSTRAC 最新规则、指引与个案审查为准；AML/CTF Reform 的生效节奏与配套表格/口径亦以官方公布为准。