首年的监管互动往往具有决定性影响。以下是我们在24个EMI项目中观察到的规律。
EMI监管的第一年
立陶宛银行(Bank of Lithuania)对新获牌电子货币机构(EMI)的监管方式,是在牌照发放后的6至12个月内进行首次现场检查。检查围绕三大领域展开:反洗钱/反恐怖融资(AML/CFT)项目的落实情况、资本充足率与客户资金保护,以及治理与外包安排。立陶宛银行的检查人员具备扎实的专业能力,审查过大量EMI的实际运营情况,能够立即分辨出哪些合规项目已被真正落实,哪些仅停留在文件层面、尚未转化为实际操作。
首年检查中发现的问题,大多集中在两类:预警处置积压管理(EMI产生的预警数量超出合规团队能在政策规定时限内处理完毕的能力),以及客户风险重新评级的文件缺口(EMI未按其风险方法论中承诺的标准,对客户风险状况进行重新评估)。这两类问题都是可以整改的。只要EMI能在检查报告出具后30天内提出可信的整改计划,首次出现时通常不会被列为重大问题。
反洗钱(AML)项目审查
检查人员会详细审查反洗钱项目的落实情况:书面规定的客户风险方法论与实际执行情况是否一致;预警处置流程(从预警产生到案件结案的时间,是否符合政策承诺的时限);可疑交易报告/大额交易报告(STR/CTR)的申报记录(是否在规定的3个工作日内完成申报,申报说明是否反映了真实的分析过程);以及交易监控规则体系(规则是否根据实际交易模式进行了校准,还是套用通用模板、产生过多误报)。
立陶宛银行尤其关注客户风险重新评级——即客户风险等级随其交易模式变化,从低风险调整为中风险乃至高风险的流程。那些初始了解你的客户(KYC)程序执行严格、但此后未按既定周期重新评估客户风险状况的EMI,几乎无一例外会被指出问题。政策承诺通常是”低风险客户每年复核一次,高风险客户每季度复核一次”——检查人员会核实这些复核是否切实进行,并留有相应记录。
立陶宛银行的检查人员非常清楚,一套真正落实的反洗钱项目与一份套用模板的文件之间有何区别。能够通过检查的项目,是那些合规团队能够就具体客户和具体交易回答具体问题的项目——而不仅仅是指向一份政策文件。GSS Legal — EMI与合规业务团队
资本充足率与客户资金保护
立陶宛对EMI的资本要求为35万欧元与基于支付业务量的方法计算结果两者中的较高值。检查人员核实的不仅是资本是否存在,还包括该资本是否以合格金融工具的形式持有,以及提交给立陶宛银行的季度资本充足率报告是否准确反映了实际的计算结果。客户资金保护——将客户资金存放于隔离保护银行账户,或投资于安全的流动性资产——是问题高发领域。常见的问题包括:运营资金与受保护资金混同;隔离保护账户开立于信用质量未达立陶宛银行预期标准的银行;以及在日内结算窗口期间出现的资金保护覆盖缺口。
外包与治理
几乎每一家EMI都会将重要的运营职能外包出去——包括技术、合规、反洗钱报告官(MLRO)支持,有时还包括客户服务。根据支付服务指令二(PSD2)及欧洲银行业管理局(EBA)指引,立陶宛银行对外包安排的要求是:重大外包安排必须以书面协议形式记录,包含审计权条款,并须经过正式的供应商风险评估。检查内容包括外包登记册是否为最新版本、过去12个月内是否已开展供应商风险评估,以及审计权条款是否已被行使,或是否具备可信的可行使性。
监管报告
立陶宛的EMI必须提交以下报告:季度资本充足率报告、季度支付业务统计报告、年度财务报表,以及针对重大事件的临时通报。申报迟延或数据不准确,是轻微问题的持续来源。最常见的失误出现在季度支付业务统计报告上——该报告所需的数据颗粒度,往往超出多数EMI报告系统的原生产出能力,导致首年常常出现申报迟延或数据不准确的情况,直到报告基础设施逐步跟上要求为止。
24个项目中的共性规律
在我们经历首年监管的24个EMI项目中,首次检查平均发现问题3.2项,且无一项被列为重大问题。反复出现的中等严重程度问题包括:预警处置积压(24个项目中的16个)、客户风险重新评级的文件缺口(24个中的14个),以及外包登记册缺口(24个中的9个)。表现持续良好的领域包括:资本充足率计算(24个项目中仅2个存在问题)、股权与治理架构(24个中仅1个),以及STR/CTR申报及时性(24个中仅3个)。这一规律揭示了检查前应重点投入准备的方向:预警管理基础设施与客户风险重新评级的执行纪律,是回报率最高的两个领域。