Q361–Q400｜监管沟通、纪律处分、停业退出、执法风险地图

Q361. 1号牌持牌后，最关键的“持续责任”到底有哪些？
A：可概括为四类“不能断”的责任：
1）持续适当人选（Fit & Proper）：股东、董事、RO、MIC、关键员工持续维持胜任与诚信；
2）持续合规运营：按《操守准则》执行适当性、披露、利益冲突、客户指示、投诉处理等要求；
3）持续审慎财务与客户资产保护：客户款/客户证券隔离、对账、授权链完整；客户款规则明确分隔逻辑；
4）持续申报/通知：按SFC规定时限更新各类变更与重大事件。

Q362. 哪些事项必须向SFC“在规定时限内”通知？常见时限是什么？
A：很多事项的“高频时限”集中在：

• 7个营业日内通知（如：更名、RO/代表变动、MIC变更/资料变更等）；

• 至少提前7个营业日通知（如：拟更改营业地址、拟停止业务等）；
  实务上建议建立“监管通知台账 + 触发清单”，避免因“忘记申报”变成合规扣分项。

Q363. 如果公司准备搬办公室/更改营业地址，需要何时通知？
A：一般要求至少在拟变更前7个营业日通知SFC（并按要求提交地址与相关资料更新）。

Q364. 如果公司计划停止经营（cessation of business），需要何时通知SFC？
A：一般要求至少在拟停止业务前7个营业日通知SFC；同时要准备客户安置、资产清算、记录保存、人员安排等“退出计划”。

Q365. “停止业务”与“交回牌照/撤回牌照”是一回事吗？
A：不是。

• 停止业务：你可能仍持牌，但不再开展某些/全部业务；仍可能有持续责任（例如记录保存、未了事项处理）。

• 交回/撤回牌照：涉及正式牌照状态变更，需按SFC流程办理，并处理完客户与未了风险。
  实务上通常需要同步处理：客户资产、未完成交易、投诉争议、系统关闭、数据保存与监管沟通。

Q366. 停业/退出时，SFC最关心的“底线问题”有哪些？
A：SFC通常会追问：

• 客户资金与客户证券是否已安全返还/转移，是否有未解决差异；

• 未了交易如何结算、孖展/融资如何了结；

• 客户通知与争议处理是否到位；

• 关键人员（RO/MIC）在退出期间是否仍可履职；

• 监管记录是否可持续保存与可调取（含EDSP/云存储安排）。

Q367. 停业/退出是否必须做“Wind-down Plan（退出计划）”？
A：强烈建议必须做（即使法规未强制用这个名称）。退出计划至少应包含：范围、时间表、客户沟通、资产处置、未了交易处理、人员安排、系统关闭、数据留存、外包终止与应急预案，并形成董事会批准记录（可审计）。

Q368. 退出期间RO/MIC能否离任？
A：原则上退出期间更需要“能问责、能执行”的管理链条。若RO/MIC离任，必须确保替补安排与持续监管沟通不中断，并按规定时限通知SFC。

Q369. 1号牌公司在什么情况下更容易触发SFC检查/调查？
A：典型触发器：

• 客户投诉激增、媒体曝光、重大交易争议；

• 客户资产/客户款对账差异、未经授权交易/资金转移迹象；

• 财务资源接近阈值或出现持续亏损；

• 互联网券商发生网络安全事件或账户被接管；

• 关键人员适当性问题（诚信/能力/纪律记录/刑事风险）。

Q370. 纪律处分（Disciplinary proceedings）大致流程是什么？
A：SFC在SFO下对“受规管人士”有纪律处分权，并设有纪律处分程序概述：一般包括调查、拟采取纪律行动的通知、陈述机会、决定与公布等步骤。

Q371. SFC可采取哪些纪律处分措施？
A：常见包括公开谴责、罚款、暂停/撤销牌照、施加/变更发牌条件、禁止从业等（视案件性质与法定权限）。罚款水平会参考SFC的纪律处分罚款指引框架。

Q372. SFC如何决定罚款金额与严重程度？
A：SFC有《纪律处分罚款指引》，列出决定罚款时会考虑的因素（例如：违规性质、影响程度、过往纪录、是否主动补救/合作等）。

Q373. 哪些违规最容易被SFC认定为“严重”并提高处罚？
A：高危类别通常包括：

• 客户资产/客户款保护失效（未经授权转移、对账失灵、授权链缺失）；

• 销售与适当性重大缺失（误导、披露不足、未评估风险承受能力等）；

• 内部监控形同虚设（RO/MIC挂名、无监督记录、无抽查整改闭环）；

• AML/CTF重大缺失（CDD不足、持续监控缺位、未妥善处理可疑交易/制裁风险）。

Q374. 如果发生客户资产被骗转出/诈骗邮件指示等事故，合规上最关键的补救是什么？
A：要把“止损—取证—复盘—整改”做成证据链：
1）立即冻结风险操作、联系银行/托管、止损；
2）保全证据（邮件、系统日志、指示链、审批记录）；
3）核对客户授权与身份核验环节，锁定失效点；
4）形成根因分析与整改计划（含IT、流程、人员纪律）；
并准备应对监管问询及客户沟通。

Q375. 互联网券商（含线上开户/交易）为什么是SFC检查重点？
A：因为账户接管、远程身份冒用、系统权限与日志薄弱、补丁滞后等问题会直接引发客户损失。SFC对持牌法团做过主题网络安全审查并发布报告/通函，明确多项基线控制（如多因素认证等）。

Q376. SFC对网络安全的“底线控制”有哪些典型要求？
A：在SFC主题网络安全审查报告中，常见底线方向包括：

• 远程访问安全（如VPN/等效安全方案）、

• 多因素认证（至少两因素）、

• 补丁与漏洞管理、

• 权限最小化与审计追踪、

• 事件响应与取证能力。

Q377. 若发生网络安全事件，向SFC报告时应准备哪些材料？
A：建议准备“事件报告包”：事件时间线、影响范围（客户/系统/数据）、已采取控制措施、取证与根因、补救与长期整改、客户沟通安排、未来防再发措施；并确保日志、截图、配置与审计追踪可复核。

Q378. AML/CTF方面，1号牌公司最核心的制度文件是哪一份？
A：以SFC发布的《AML/CTF指引（适用于持牌法团及SFC持牌VASP）》为主轴建立制度体系（覆盖风险评估、CDD、持续监控、制裁筛查、STR、记录保存等）。

Q379. SFC AML/CTF体系下，“风险为本方法”怎么落地？
A：要形成可审计闭环：

• 公司层面风险评估（业务/客户/地域/渠道/产品）

• 客户风险评级与分层尽调（简化/标准/加强）

• 持续监控与触发复核（大额/异常/结构化/敏感地区）

• 质量检视与独立抽查（第二道/第三道防线）

Q380. 制裁与名单筛查（UN/本地要求）在券商要做到什么程度？
A：至少包括：客户、受益拥有人、授权人、付款/收款方、关键对手方的名单筛查；并建立“命中处理SOP”（冻结/拒绝/升级/报告/记录）。相关AML/CTF与制裁监管会通过政府与监管机构指引持续更新。

Q381. 何谓STR（可疑交易报告）制度？券商常见触发场景有哪些？
A：STR是对可疑资金/交易活动的内部识别与外部报告机制。常见触发：异常资金进出、与客户画像不符的交易、结构化拆分、冒名开户、频繁换授权人、疑似诈骗账户等。关键是：要有MLRO决策记录、调查底稿与升级机制。

Q382. 如果前线发现可疑，应先冻结账户还是先继续观察？
A：不能一概而论。应按内部SOP：先升级合规/MLRO，评估客户资产安全、法律义务与取证需要；必要时采取限制交易/冻结出金等控制，并同步法律意见与监管沟通策略（避免“放任风险扩大”或“误伤合规客户”）。

Q383. 与“关联实体（Associated Entity, AE）”的关系在1号牌合规里为什么重要？
A：若你的客户资产由关联实体持有/处理，SFC对关联实体也有AML/CTF与内部控制方面的监管期望，并有相应指引文件。要确保：职责边界清晰、记录可取得、客户资产保护机制一致。

Q384. “客户款规则（Client Money Rules）”对日常操作最关键的动作是什么？
A：核心是：按规则及时把客户款分隔至香港的独立客户账户、确保授权链完整，并做好每日/定期对账与差异处理；SFC亦就“银行时间外收款”的分隔压力有FAQ提示。

Q385. 若客户要求把香港收到的客户款转到海外分隔账户，需要什么前提？
A：一般需取得客户书面指示或常设授权，并满足客户款规则对“在港分隔与转移安排”的要求与证据留存。

Q386. 1号牌的“操守准则（Code of Conduct）”里，最常被追责的条款是什么类型？
A：通常集中在：

• 公平对待客户、诚信与尽职；

• 适当性与销售安排；

• 信息披露、利益冲突；

• 内部监控与风险管理（含互联网渠道的网络安全要求）。

Q387. 专业投资者（PI）业务可以“少做很多程序”吗？
A：可适用部分简化，但不等于免除操守准则的核心原则；尤其在《操守准则》对PI豁免/简化的前提、客户同意、披露解释等方面要求很具体（需留存客户同意与解释证据）。

Q388. 对“机构PI/个人PI”，合规文件与同意书有什么要点？
A：要点是：明确客户类别、列明将适用哪些监管豁免/简化、客户已理解后果并书面同意（含签署与版本管理）；同时仍要保留适当的风险披露、投诉渠道与客户资产保护机制。

Q389. SFC现场检查时，如何证明“我们对PI简化流程是合规的”？
A：用“三件证据”回答：
1）PI资格证明与有效期管理；
2）豁免/简化适用的书面同意与解释记录（含版本）；
3）抽查底稿：仍有风险披露、利益冲突管理与投诉处理记录。

Q390. 市场宣传（marketing/advertising）有哪些合规红线？
A：核心红线：不得虚假、误导、夸大、隐瞒重大风险；不得暗示保本/稳赚；费用与利益冲突要透明；对高风险产品尤其要强化风险提示与适当性边界，并建立“宣传物料合规审阅+留档”机制（检查时经常抽查网站/App/社媒内容）。

Q391. 如果被SFC要求提交“内部监控整改计划”，最标准的交付结构是什么？
A：建议采用“CAPA（Corrective and Preventive Action）”结构：

• Findings（发现点）→ Root Cause（根因）

• Immediate Fix（即时补救）→ Long-term Action（长期措施）

• Owner/Timeline（负责人/时间表）→ Evidence（证据附件）
  并对照SFC检查关注点建立可审计闭环（客户资产、适当性、网络安全、AML等）。

Q392. SFC最不接受的整改回复有哪些典型错误？
A：四类典型错误：

• 只讲道理不出证据；

• 只给制度不展示落地记录；

• 时间表空泛、无人负责；

• 口径前后矛盾（数据/流程/权限说法不一致）。
  正确做法是“证据为王 + 可复核 + 可追溯”。

Q393. 1号牌公司应如何建立“监管沟通机制”？
A：建议：

• 设定对外唯一窗口（合规负责人/RO牵头），避免多头口径；

• 监管来函/RFI建立“问题清单—责任人—截止日—证据目录—复核签字”台账；

• 重大事项设董事会/管理层升级机制，并保留会议纪要。

Q394. WINGS系统在持续合规中最常用来做什么？
A：主要用于：牌照资料维护、年费/周年申报相关事项、人员与信息变更通知等。实践建议把WINGS操作纳入“公司合规日历”，与人事/秘书/合规协同。

Q395. 如果公司被客户起诉或出现重大索赔，会影响牌照吗？
A：可能会。关键看：是否反映诚信/胜任问题、是否涉及客户资产保护缺失、是否构成内部监控重大缺陷、是否会影响财务资源充足性。建议第一时间做法律与合规评估，并准备与SFC沟通的事实、补救与风险控制证据。

Q396. 重大亏损或资本紧张，是否一定要通知SFC？
A：如触发财务资源规则风险、可能跌破所需流动资本，或对持续经营与客户保护造成重大影响，应立即启动内部预警、补强资本/降风险，并评估监管沟通需要（避免从“财务压力”演变成“审慎违规/内部监控失效”）。

Q397. RO/MIC个人层面，哪些事件最容易引发“适当人选”风险？
A：常见包括：诚信问题（虚假陈述、隐瞒重大事实）、重大合规违规、刑事/纪律记录、破产/严重财务问题、明显不胜任（无法证明履职）。SFC强调不满足适当人选将影响发牌与持续持牌。

Q398. 如果收到SFC纪律处分或公开声明，会带来哪些连锁影响？
A：常见连锁影响包括：

• 银行账户与托管/清算伙伴重新评估；

• 客户信任下降、投诉与挤兑风险；

• 关键人员适当性与续任风险；

• 未来申请新增牌照/变更牌照更审慎。
  因此应尽早在“内控证据链、整改闭环、透明沟通”上建立防线。

Q399. 1号牌公司如何建立一套“执法风险地图（Risk Map）”？
A：建议按五大域建立Top风险与控制措施：
1）客户资产（客户款/客户证券隔离、对账、授权链）；
2）销售适当性与披露（含PI简化证据）；
3）互联网与IT安全（MFA、权限、日志、补丁、事故响应）；
4）AML/CTF（风险评估、CDD、持续监控、制裁、STR）；
5）治理与问责（RO/MIC履职证据、通知申报、外包治理）。

Q400. 你能给一个“交付级合规运营总清单”，确保1号牌不踩雷吗？
A：可以，建议用“月度/季度/年度三层合规节奏”固化：

• 月度：客户资产对账复核、适当性抽查、投诉与异常交易复盘、权限变更复核、AML样本复核；

• 季度：外包评估、网络安全自检与补丁审计、压力测试与资本计划复盘、PI资格与同意书复核；

• 年度：独立检视/内审、制度全面更新、全员培训与测验、退出计划/灾备演练、监管通知台账复核。
  把上述清单做成“可打印模板 + 证据目录”，即可在检查/RFI中快速交付。