一條警報在佇列裡躺了三天。等到有人開啟它的時候,資金已經離開。
這是 2025 到 2026 年亞太反洗錢執法中反覆出現的模式。政策都在。系統都在運轉。報告也都在生成。只是工作流沒有及時接住風險。
監管機構正在相應調整審視方式。在新加坡、中國香港、菲律賓以及更多市場,監管重點正在從「控制措施是否存在於紙面」轉向「當風險出現時,這些控制是否作為一條連線起來的工作流真正運轉」。
合規失敗,正在越來越多地表現為流程上的失敗。
亞太關鍵執法訊號
下表呈現的是 WIDTH 在 2026 年 5 月對新加坡、中國香港、菲律賓、印度尼西亞和馬來西亞近期反洗錢執法行動的梳理。一個共同趨勢正在顯現:監管重點正在從「控制措施是否存在於紙面」轉向「控制措施是否作為可連線、可審計的工作流在生產環境中真實運轉」。
| 轄區 | 執法行動 | 處罰 | 反覆出現的主題 |
|---|---|---|---|
| 新加坡 — MAS | 與 30 億新元洗錢案相關的九家金融機構 | 2,745 萬新元(2025 年 7 月) | 客戶風險評級、財富來源驗證、可疑交易處理 |
| 新加坡 — MAS | 主要支付機構 | 2025 年披露處罰 | 即時支付環境下的 CDD、制裁篩查、電匯控制 |
| 中國香港 — HKMA | 對三家銀行採取紀律處分 | 1,620 萬港元(2025 年 7 月) | 交易監控架構 — 交易資料捕獲與載入進入監控引擎的過程存在盲區 |
| 中國香港 — SFC | Saxo Capital Markets HK Limited | 執法行動(2026 年 1 月) | 線上適當性評估 — 流於程式的問卷,未對客戶認知、產品風險與適當性進行實質性評估 |
| 菲律賓 — BSP | 多家受監管機構 | 2025 年系列行動 | 反洗錢專案執行;KYC 與持續盡職調查環節存在缺口 |
| 印度尼西亞與馬來西亞 | 針對銀行與支付機構的多項執法行動 | 2025–2026 | 客戶盡職調查有效性;STR / SAR 報送完整性 |
監管在檢驗什麼
新加坡 30 億新元洗錢案,已成為亞太地區觀察複雜非法資金如何穿透成熟金融體系的重要參照。2025 年 7 月,MAS 就該案相關 AML 違規,對 9 家金融機構處以合計 2745 萬新元罰款。公開報道指出,問題集中在客戶風險評估、客戶財富來源驗證以及可疑交易處理等方面,對財富管理業務和高風險客戶開戶環節尤為相關。
監管傳遞的訊號是關於執行的:這些機構都擁有完整的 AML 框架,但運營鏈條中的關鍵環節沒有以足夠一致的方式運轉。幾個薄弱點尤其值得關注:
- 客戶風險評級未能始終反映底層風險畫像。
- 財富來源驗證缺乏深度。
- 可疑交易跟進不足。
- 強化盡職調查存在流程化傾向,尤其在複雜架構、代名人安排和異常財富流動需要專業判斷的場景中。
同樣的邏輯也適用於銀行以外的機構。MAS 在 2025 年針對主要支付機構的執法行動顯示,支付機構同樣必須在客戶盡職調查(CDD)、制裁篩查與電匯控制方面維持穩健、可審計的工作流。在即時支付環境中,延遲審查會迅速削弱控制有效性。
中國香港則補充了關於系統架構的一課。2025 年 7 月,HKMA 對三家銀行採取紀律處分,處以合計 1620 萬港元罰款。其中一項值得關注的認定涉及交易監控架構,包括交易資料如何被捕獲並載入進監控系統的環節存在缺口。當相關資料沒有進入監控引擎時,工作流在資料入口層就出現了盲區。
香港證監會 2026 年 1 月針對 Saxo Capital Markets HK Limited 的行動在數字分銷場景下進一步印證了同一點。線上適當性評估一旦變成程式性而非實質性的環節,就會帶來風險。問卷本身不足以構成合規,機構必須能夠證明客戶認知、產品風險與適當性被實質性地評估過。
沒有判斷力的自動化,最終會成為機構的負債。
從「控制失敗」到「流程失敗」
傳統意義上的「控制失敗」框架,已不再是監管檢查的起點。監管機構正以工作流的視角閱讀執法結論:資料有沒有進來,評級有沒有更新,案件有沒有攜帶上下文,審核者有沒有他/她需要的全部材料,決策能否被還原。
| 維度 | 控制失敗(傳統視角) | 流程失敗(當前現實) |
|---|---|---|
| 表象 | 某項必要控制缺失或不夠穩健 | 控制存在,但在壓力下沒有串聯起來 |
| 發現方式 | 審計發現某項政策或規則缺失 | 監管指向某一具體決策中斷的位置 |
| 證據 | 政策檔案與框架描述 | 每個案件可還原的決策鏈路 |
| 整改 | 新增或修訂某項控制 | 重新設計工作流,讓控制以鏈路的方式執行 |
| 標準 | 有據可查的控制 | 可被驗證的執行 |
為什麼流程完整性如此重要
傳統 AML 專案建立在定期複核、靜態風險評級和閾值警報之上。這套模型正在越來越難以匹配今天的風險環境:資金即時跨境流動,客戶跨渠道互動,財富結構跨越多個司法轄區,金融犯罪手法快速演化。
流程完整性的重要性,源於風險變化的速度已經超過靜態複核週期:
- 風險評級必須隨行為變化而更新。
- 案件審核必須提供完整上下文。
- 審計能力必須原生內嵌於工作流。
在遺留系統環境中,這些上下文往往散落在客戶資料、交易歷史、財富來原始檔、篩查結果和案件筆記之間。分析師把大量時間花在重建事實上,而不是真正用於專業判斷。
這也是為什麼亞太地區圍繞合規科技的討論正在發生遷移:從「只做篩查」的單點工具,走向同時承載監控、案件管理、工作流編排和審計能力的整合平臺。AI 輔助案件審核可以透過總結警報、連線風險指標、整理證據和起草案件敘述提供幫助,而最終決定仍然由具備資質的人類審核人員作出。
最強的 AML 專案會在工作發生的同時捕獲每一個風險事件、評分變化、案件動作、分析師筆記和升級。審計包應在工作流推進過程中被自動生成,在監管機構提出要求之前就已準備就緒。
2026 展望:執法重點接下來會移向哪裡
支付機構與 VASP 將面臨更聚焦於「執行」的審查。
跨境支付、即時結算、虛擬資產、Travel Rule 義務和 KYT(Know Your Transaction)要求,都依賴即時運營控制。監管機構會越來越傾向於檢驗這些控制在生產環境中是否真正起作用,而不僅僅停留在審查它們在政策檔案中是如何被描述的。
私人銀行與高淨值客戶開戶將持續承壓。
複雜架構、代名人安排、離岸實體和財富來源問題將繼續吸引監管注意。機構應預期 EDD 決策如何被作出、記錄與更新的全過程會被更深入地審視。
監管會要求「可還原的決策」。
下一階段的 AML 監管,將聚焦機構能否重現決策鏈條本身:當時有哪些資料可用、適用了什麼風險邏輯、誰審核了案件、為什麼這個決策在當時是可辯護的。
對合規負責人而言,含義是直接的:下一次監管檢查可能從「某個具體客戶、某筆具體交易、某個具體日期」開始,要求機構當場展示控制措施在那一刻實際是如何運轉的。
從靜態工作流,走向可執行的合規基礎設施
下一代 AML 合規,將以「機構的各項控制在壓力下能否協同運轉」作為衡量標準。
如果資料來源不完整,篩查工具就在失去價值。如果警報無法被有效分診,監控引擎就在失去價值。如果客戶已經變了,評級卻沒變,風險評級就在失去價值。如果證據散落在工作流之外,案件管理系統就在失去價值。如果沒有人能夠證明政策如何被執行,政策本身也在失去價值。
合規系統需要從靜態工作流走向可執行的合規基礎設施。這意味著:風險評級在行為或敞口變化時動態更新;案件審核在一條結構化工作流中推進,證據與升級邏輯內嵌其中;審計軌跡在工作發生的同時被原生捕獲。
在一個連線起來的架構中,這些能力會形成一個閉環:
- 發現風險
- 更新評分
- 構建案件
- 支援審核
- 記錄決策
- 儲存證據
APAC 監管機構正在讓標準變得清晰:機構必須能夠展示合規控制在真實運營條件下究竟如何起作用。衡量標準正在從「有據可查的控制」,轉向「可被驗證的執行」。
流程完整性正在成為新的 AML 標準
WIDTH 的觀察是:合規設計的基本單元,應該是「決策」。
控制措施仍然重要,但監管機構正越來越多地審視每一個高風險決策是否能連同它所基於的資料、邏輯、審核人和理由被完整還原。長期以來,AML 專案是按「控制清單」來衡量的 — 擁有多少個篩查工具、多少條監控規則、多少份政策檔案。
APAC 執法方向正在推動出一種新的衡量標準:每一個高風險決策,是否都能連同它所基於的資料、邏輯、審核人和理由被完整還原。
這也是 WIDTH 正在構建一個 AI 原生合規平臺的原因 — 圍繞動態風險評分、結構化案件審核、人在迴路決策和原生審計軌跡來組織合規工作。AI 幫助合規人員總結案件、連線風險指標、整理證據,而問責權仍然歸屬於機構本身及其指定的審核人員或合規負責人。
可辯護的合規,既需要風險被檢測出來,也需要「風險如何被審核、升級、決定和記錄」留下清晰可還原的軌跡。這正是亞太執法正在收斂的標準,也是現代 AML 基礎設施應當圍繞之構建的方向。