一条警报在队列里躺了三天。等到有人打开它的时候,资金已经离开。
这是 2025 到 2026 年亚太反洗钱执法中反复出现的模式。政策都在。系统都在运转。报告也都在生成。只是工作流没有及时接住风险。
监管机构正在相应调整审视方式。在新加坡、中国香港、菲律宾以及更多市场,监管重点正在从「控制措施是否存在于纸面」转向「当风险出现时,这些控制是否作为一条连接起来的工作流真正运转」。
合规失败,正在越来越多地表现为流程上的失败。
亚太关键执法信号
下表呈现的是 WIDTH 在 2026 年 5 月对新加坡、中国香港、菲律宾、印度尼西亚和马来西亚近期反洗钱执法行动的梳理。一个共同趋势正在显现:监管重点正在从「控制措施是否存在于纸面」转向「控制措施是否作为可连接、可审计的工作流在生产环境中真实运转」。
| 辖区 | 执法行动 | 处罚 | 反复出现的主题 |
|---|---|---|---|
| 新加坡 — MAS | 与 30 亿新元洗钱案相关的九家金融机构 | 2,745 万新元(2025 年 7 月) | 客户风险评级、财富来源验证、可疑交易处理 |
| 新加坡 — MAS | 主要支付机构 | 2025 年披露处罚 | 即时支付环境下的 CDD、制裁筛查、电汇控制 |
| 中国香港 — HKMA | 对三家银行采取纪律处分 | 1,620 万港元(2025 年 7 月) | 交易监控架构 — 交易数据捕获与加载进入监控引擎的过程存在盲区 |
| 中国香港 — SFC | Saxo Capital Markets HK Limited | 执法行动(2026 年 1 月) | 线上适当性评估 — 流于程序的问卷,未对客户认知、产品风险与适当性进行实质性评估 |
| 菲律宾 — BSP | 多家受监管机构 | 2025 年系列行动 | 反洗钱项目执行;KYC 与持续尽职调查环节存在缺口 |
| 印度尼西亚与马来西亚 | 针对银行与支付机构的多项执法行动 | 2025–2026 | 客户尽职调查有效性;STR / SAR 报送完整性 |
监管在检验什么
新加坡 30 亿新元洗钱案,已成为亚太地区观察复杂非法资金如何穿透成熟金融体系的重要参照。2025 年 7 月,MAS 就该案相关 AML 违规,对 9 家金融机构处以合计 2745 万新元罚款。公开报道指出,问题集中在客户风险评估、客户财富来源验证以及可疑交易处理等方面,对财富管理业务和高风险客户开户环节尤为相关。
监管传递的信号是关于执行的:这些机构都拥有完整的 AML 框架,但运营链条中的关键环节没有以足够一致的方式运转。几个薄弱点尤其值得关注:
- 客户风险评级未能始终反映底层风险画像。
- 财富来源验证缺乏深度。
- 可疑交易跟进不足。
- 强化尽职调查存在流程化倾向,尤其在复杂架构、代名人安排和异常财富流动需要专业判断的场景中。
同样的逻辑也适用于银行以外的机构。MAS 在 2025 年针对主要支付机构的执法行动显示,支付机构同样必须在客户尽职调查(CDD)、制裁筛查与电汇控制方面维持稳健、可审计的工作流。在即时支付环境中,延迟审查会迅速削弱控制有效性。
中国香港则补充了关于系统架构的一课。2025 年 7 月,HKMA 对三家银行采取纪律处分,处以合计 1620 万港元罚款。其中一项值得关注的认定涉及交易监控架构,包括交易数据如何被捕获并加载进监控系统的环节存在缺口。当相关数据没有进入监控引擎时,工作流在数据入口层就出现了盲区。
香港证监会 2026 年 1 月针对 Saxo Capital Markets HK Limited 的行动在数字分销场景下进一步印证了同一点。线上适当性评估一旦变成程序性而非实质性的环节,就会带来风险。问卷本身不足以构成合规,机构必须能够证明客户认知、产品风险与适当性被实质性地评估过。
没有判断力的自动化,最终会成为机构的负债。
从「控制失败」到「流程失败」
传统意义上的「控制失败」框架,已不再是监管检查的起点。监管机构正以工作流的视角阅读执法结论:数据有没有进来,评级有没有更新,案件有没有携带上下文,审核者有没有他/她需要的全部材料,决策能否被还原。
| 维度 | 控制失败(传统视角) | 流程失败(当前现实) |
|---|---|---|
| 表象 | 某项必要控制缺失或不够稳健 | 控制存在,但在压力下没有串联起来 |
| 发现方式 | 审计发现某项政策或规则缺失 | 监管指向某一具体决策中断的位置 |
| 证据 | 政策文件与框架描述 | 每个案件可还原的决策链路 |
| 整改 | 新增或修订某项控制 | 重新设计工作流,让控制以链路的方式运行 |
| 标准 | 有据可查的控制 | 可被验证的执行 |
为什么流程完整性如此重要
传统 AML 项目建立在定期复核、静态风险评级和阈值警报之上。这套模型正在越来越难以匹配今天的风险环境:资金即时跨境流动,客户跨渠道交互,财富结构跨越多个司法辖区,金融犯罪手法快速演化。
流程完整性的重要性,源于风险变化的速度已经超过静态复核周期:
- 风险评级必须随行为变化而更新。
- 案件审核必须提供完整上下文。
- 审计能力必须原生内嵌于工作流。
在遗留系统环境中,这些上下文往往散落在客户数据、交易历史、财富来源文件、筛查结果和案件笔记之间。分析师把大量时间花在重建事实上,而不是真正用于专业判断。
这也是为什么亚太地区围绕合规科技的讨论正在发生迁移:从「只做筛查」的单点工具,走向同时承载监控、案件管理、工作流编排和审计能力的整合平台。AI 辅助案件审核可以通过总结警报、连接风险指标、整理证据和起草案件叙述提供帮助,而最终决定仍然由具备资质的人类审核人员作出。
最强的 AML 项目会在工作发生的同时捕获每一个风险事件、评分变化、案件动作、分析师笔记和升级。审计包应在工作流推进过程中被自动生成,在监管机构提出要求之前就已准备就绪。
2026 展望:执法重点接下来会移向哪里
支付机构与 VASP 将面临更聚焦于「执行」的审查。
跨境支付、即时结算、虚拟资产、Travel Rule 义务和 KYT(Know Your Transaction)要求,都依赖实时运营控制。监管机构会越来越倾向于检验这些控制在生产环境中是否真正起作用,而不仅仅停留在审查它们在政策文件中是如何被描述的。
私人银行与高净值客户开户将持续承压。
复杂架构、代名人安排、离岸实体和财富来源问题将继续吸引监管注意。机构应预期 EDD 决策如何被作出、记录与更新的全过程会被更深入地审视。
监管会要求「可还原的决策」。
下一阶段的 AML 监管,将聚焦机构能否重现决策链条本身:当时有哪些数据可用、适用了什么风险逻辑、谁审核了案件、为什么这个决策在当时是可辩护的。
对合规负责人而言,含义是直接的:下一次监管检查可能从「某个具体客户、某笔具体交易、某个具体日期」开始,要求机构当场展示控制措施在那一刻实际是如何运转的。
从静态工作流,走向可执行的合规基础设施
下一代 AML 合规,将以「机构的各项控制在压力下能否协同运转」作为衡量标准。
如果数据源不完整,筛查工具就在失去价值。如果警报无法被有效分诊,监控引擎就在失去价值。如果客户已经变了,评级却没变,风险评级就在失去价值。如果证据散落在工作流之外,案件管理系统就在失去价值。如果没有人能够证明政策如何被执行,政策本身也在失去价值。
合规系统需要从静态工作流走向可执行的合规基础设施。这意味着:风险评级在行为或敞口变化时动态更新;案件审核在一条结构化工作流中推进,证据与升级逻辑内嵌其中;审计轨迹在工作发生的同时被原生捕获。
在一个连接起来的架构中,这些能力会形成一个闭环:
- 发现风险
- 更新评分
- 构建案件
- 支持审核
- 记录决策
- 保存证据
APAC 监管机构正在让标准变得清晰:机构必须能够展示合规控制在真实运营条件下究竟如何起作用。衡量标准正在从「有据可查的控制」,转向「可被验证的执行」。
流程完整性正在成为新的 AML 标准
WIDTH 的观察是:合规设计的基本单元,应该是「决策」。
控制措施仍然重要,但监管机构正越来越多地审视每一个高风险决策是否能连同它所基于的数据、逻辑、审核人和理由被完整还原。长期以来,AML 项目是按「控制清单」来衡量的 — 拥有多少个筛查工具、多少条监控规则、多少份政策文件。
APAC 执法方向正在推动出一种新的衡量标准:每一个高风险决策,是否都能连同它所基于的数据、逻辑、审核人和理由被完整还原。
这也是 WIDTH 正在构建一个 AI 原生合规平台的原因 — 围绕动态风险评分、结构化案件审核、人在回路决策和原生审计轨迹来组织合规工作。AI 帮助合规人员总结案件、连接风险指标、整理证据,而问责权仍然归属于机构本身及其指定的审核人员或合规负责人。
可辩护的合规,既需要风险被检测出来,也需要「风险如何被审核、升级、决定和记录」留下清晰可还原的轨迹。这正是亚太执法正在收敛的标准,也是现代 AML 基础设施应当围绕之构建的方向。