塞浦路斯企业反洗钱合规服务
选择一个固定套餐,可在10个工作日内提供符合监管要求的政策,并在90天内全面上线;由在欧盟金融监管领域拥有10年以上经验的认证专家负责。
价格:3,900欧元(启动),7,500欧元(增长),12,900欧元(完整)。服务级别协议:首个草案在5天内提供;响应时间在24-48小时内;应要求在5天内进行现场访问。除非要求,否则不收取保留费。
范围:企业级风险图;反洗钱政策;KYC/KYB核对表;交易规则;制裁/PEP筛查;SAR/STR模板;记录保存计划(5年);董事会文件包;年度审查计划。
与第六版欧盟反洗钱指令和FATF 40项建议保持监管一致;评估期间与当地金融情报单位(FIU)联络;UBO登记处设置;在24小时内处理可疑活动。
技术栈:World-Check, Dow Jones, OFAC, EU/UN列表;与核心系统的API链接;警报调整以在30天内达到低于5%的误报率;具有基于角色的访问权限的可审计案件日志。
培训:2小时的英语/希腊语现场课程;入职和复习课程;考试合格分数80%;当天颁发证书。
税收和当地情况:企业税率15%;许多离岸股息无需预扣;提供实质性指导(岛上的办公室、员工、董事会会议)。
立即预订30分钟的准备情况检查;在24小时内获得差距快照;在3个工作日内启动。本周有空位。
塞浦路斯反洗钱计划设置:企业风险评估、政策套件和向MOKAS提交STR的程序
任命一名具有书面授权的MLRO;在15个工作日内,完成符合188(I)/2007号法律和部门指令的企业风险图和政策套件,并建立一个快速向MOKAS提交STR的通道。
企业级风险评估
按客户细分(零售、企业、PEP)、产品(账户、支付、电子货币、虚拟资产)、分销渠道(远程、代理)、地理区域、交易对手和技术栈进行审查范围界定。
方法:按维度对固有风险进行1-5分评分;对控制强度进行1-5分评分(筛选、入职验证、监控、培训、治理)。计算剩余风险:剩余=固有×(1-控制/5)。等级:≤1.5低;1.6-3.0中等;≥3.1高。记录数据集、假设和责任人;保留版本历史。
数据输入:入职属性、制裁/PEP/负面媒体的命中率、警报量、STR计数、监管机构通知、FATF和MOKAS的典型案例、执法请求以及QA/测试结果。
更新周期:年度周期以及触发因素(新市场、新产品、新分销模式、重大事件或重大控制变更)。产出:热力图、主要风险及责任人、包含截止日期和预算的补救计划、以及KPI/KRI设定(警报→ISAR ≤24小时;ISAR→MLRO决定 ≤48小时;STR提交在决定后1个工作日内完成,除非适用同意制度)。需要董事会批准的会议纪要。
政策套件和向MOKAS提交STR的工作流程
另见:巴拿马IBC公司。
核心文件:风险偏好声明;尽职调查/加强尽职调查标准;制裁和PEP筛查规则;入职和验证核对表;交易监控规则;升级矩阵;记录保存标准;培训计划;独立审查协议。
另请参见:遵守塞浦路斯反洗钱法规的步骤。
客户尽职调查:个人 – 政府身份证、活体/自拍、地址证明 ≤3 个月;法人实体 – 注册摘录、25% 或控制权以下的 UBO、董事、授权链。根据可靠来源(注册表、信用机构、公证文件)进行验证。对 PEP、高风险地区、复杂所有权或负面媒体应用 EDD。
筛查:在入职时以及此后的每一天进行制裁、PEP、负面媒体筛查。调整模糊匹配阈值以减少误报;记录每次处置的理由。对白名单决策执行双重控制。
监控:覆盖接近报告限额的结构化、无明确目的的第三方支付、高风险地区之间的快速转移、虚拟资产的充值/提现、“休眠到活跃”的激增、商户退款滥用以及异常的现金强度等场景。通过回溯测试、精确率/召回率指标和报警后 QA 进行校准。
内部上报:员工在产生怀疑后立即向 MLRO 提交 ISAR,附上交易记录、对手方、理由和支持文件。强制执行保密义务;禁止泄露信息。
决策和外部申报:MLRO 记录分析、指标和法律依据;如果怀疑仍然存在,请立即向 MOKAS 提交 STR。包括标识符(姓名、出生日期、地址、身份证、账号、IBAN/BIC)、交易数据(金额、货币、日期/时间、渠道、对手方)、解释警示标志和预期与观察到的活动的叙述、相关方之间的链接以及附件(PDF、CSV、屏幕截图)。也要记录尝试的交易。使用英语或希腊语;如有必要,请翻译关键附件。
同意和暂停:如果需要事先同意,请暂停执行,记录请求和时间戳,并按照主管部门的指示行事。记录任何冻结措施和后续行动。
记录保存:在关系结束或单笔交易结束后 5 年内保存 KYC、监控输出、ISAR/STR 包、系统日志和监管机构的通信记录,并在收到监管机构的请求时延长。应用 GDPR 控制:目的限制、访问控制和安全删除计划。
培训:入职后 10 天内进行入职培训,每年进行一次复训,并在事件发生后进行有针对性的培训。通过基于场景的测验测试知识;跟踪通过率和补救措施。
独立审计:年度审查,涵盖治理、ERA 方法、监控模型、STR 的及时性和质量。向董事会报告行动、负责人和到期日期。通过关键绩效指标衡量质量,例如平均提交时间、因数据丢失而退回的比例、误报率以及上报警报的比例。
KYC 和 UBO 验证:入职清单、风险评分和受益所有人注册申报
另请参见:合规法规的变化及其对塞浦路斯企业意味着什么(2025 年)。
在身份、地址和所有权证据通过筛查(制裁、PEP、负面媒体)并记录风险接受后,才批准入职。
入职清单和风险评分
个人:护照或国民身份证(照片 + MRZ)、自拍活体检测、地址证明(有效期 ≤ 3 个月,如水电费账单、银行对账单、租赁协议)、税务 ID、资金来源和财富来源证明(工资单、12 个月银行对账单、销售合同、股息凭证)。运行制裁、PEP 和负面媒体筛查;保存屏幕截图或供应商参考。
法人实体:注册证书、章程、董事和股东登记册、LEI(如有)、税务编号、近期财务报表或管理账目,以及向下追溯至拥有 ≥25% 所有权或通过投票权或董事任命权进行控制的自然人的组织结构图。如果无人达到该门槛,则记录高级管理人员。
特殊情况:信托 – 识别委托人、受托人、保护人(如有)、受益人、任何行使控制权的人员;基金会 – 创始人、理事会成员、受益人;合伙企业 – 拥有控制权或享有 ≥25% 利润份额的合伙人。
100 点模型建议:地理位置 25%(FATF 高风险 +35;受制裁国家 +50),客户类型 20%(国有企业 +25;慈善机构 +15),交付渠道 15%(非面对面 +15;由中介介绍 +10),产品/用例 15%(跨境支付 +20;现金密集型活动 +20),所有权/控制权复杂性 15%(层级 >3 或不记名股票 +25),政治公众人物/负面媒体 10%(+10 至 +40)。等级:0–30 低,31–60 中,61–100 高。
按等级划分的行动:高 – 高管审批,两次独立的财富证明,入职时设定较低限额,人工监控设置;中 – 一份额外文件,经理签字,定期检查;低 – 标准流程。刷新周期:低 36 个月,中 24 个月,高 12 个月或在触发事件时(新政治公众人物信息,制裁变更,所有权变更,异常活动)。
受益所有人登记申报
受益所有人登记通常需要的数据集:公司名称、注册号、地址、法律类型、活动代码(NACE/NAICS)、最终受益所有人姓名、出生日期、国籍、居住国、身份类型/编号、所有权和控制权百分比、成为最终受益所有人日期、控制方式、联系邮箱。保留支持性证据:注册摘录、股东名单、信托契据、股本表、董事会会议记录。
提交期限:公司成立后 30 天内,每次变更后 30 天内;每年 12 月 31 日前确认。维护可审计记录:谁验证,何时验证,查阅的来源,评分结果,获得的批准。保留期:关系结束后 5 年。
流程技巧:最终受益所有人姓名与护照完全匹配;确保直接和间接所有权总额等于 100%;附上显示每个环节的结构图;映射控制权(否决权、董事任命权);对每个公司股东进行注册查询;核对文件中的拼写;在公开数据库截屏时进行时间戳标记;提交前执行“四眼原则”检查。
常见错误和制裁:缺少所有权链证明,过期身份证件,总额低于或高于 100%,未及时更新。许多注册机构会处以每日罚款,阻止法定申报,并可能将案件上报给监管机构;董事可能面临个人责任。
筛查配置技巧:使用联合国、欧盟、OFAC、HMT 和本地名单;应用 85-90% 相似度的模糊姓名匹配以及语音算法;将出生日期和国籍设为硬过滤条件;自动清除低质量的匹配结果;要求分析师审查政治公众人物类别 1-2 和负面媒体类别 A-B。
治理:记录风险理由,保留所有决策副本,并按角色分配负责人;应用职责分离(制作者-检查者)并自动提醒审查日期。