What is the expectation for company secretaries in conducting their institutional risk assessment (IRA)? Can the IRA be thematic and how frequent must it be conducted?
Answer:
Paragraph 8 of the SSM’s guidelines require company secretaries to identify, assess and understand their ML/TF risk in relation to the following parameters:
(i) customers;
(ii) countries or geographical areas;
(iii) products, services, transactions or delivery channels; and
(iv) other relevant risk factors.
Company secretaries’ first IRA must be comprehensive, covering all the above-mentioned parameters i.e. customers, countries/geographical areas and products/ services/ transactions and delivery channel, at minimum. Company secretaries may choose to update the IRA on a thematic basis.
Company secretaries may consider to set the frequency of the IRA on a specific period e.g. every 1 to 2 years or where circumstances have changed that may warrant a refresh of the IRA, e.g. material changes in risk profile, significant internal audit finding, changes in business direction, new typologies suggested by authorities or the Financial Action Task Force (FATF), or when embarking in new technologies, etc.
公司秘书在进行机构风险评估(Institutional Risk Assessment, IRA)方面有哪些要求?IRA 是否可以采用专题方式(Thematic Basis)进行?应多久进行一次?
答案:
根据马来西亚公司委员会(SSM)指引第 8 段(Paragraph 8),公司秘书必须识别、评估及了解其面临的洗黑钱及恐怖融资风险(ML/TF Risk),并至少涵盖以下风险因素:
(i)客户风险(Customers)
包括但不限于:
- 客户类型;
- 实益拥有人(Beneficial Owner);
- 客户背景及业务性质;
- 客户风险等级。
(ii)国家或地理区域风险(Countries or Geographical Areas)
包括:
- 客户所在国家;
- 资金来源国家;
- 高风险司法管辖区;
- 受制裁国家或地区。
(iii)产品、服务、交易及交付渠道风险(Products, Services, Transactions or Delivery Channels)
包括:
- 公司注册服务;
- 提供注册地址服务;
- 代名董事服务;
- 代名股东服务;
- 受托人服务;
- 非面对面客户(Non-Face-to-Face Clients);
- 电子化或线上服务渠道。
(iv)其他相关风险因素(Other Relevant Risk Factors)
包括:
- 新兴商业模式;
- 新科技应用;
- 行业风险;
- 监管机构发布的新风险警示;
- 其他与业务相关的风险因素。
首次 IRA 的要求
公司秘书首次进行 IRA 时,必须进行全面性评估(Comprehensive Assessment)。
换言之,首次 IRA 至少应涵盖:
✅ 客户风险(Customers)
✅ 国家 / 地区风险(Countries / Geographical Areas)
✅ 产品、服务、交易及交付渠道风险(Products / Services / Transactions / Delivery Channels)
IRA 是否可以采用专题方式进行?
可以。
在完成首次全面风险评估后,公司秘书可选择采用**专题方式(Thematic Basis)**更新 IRA。
例如:
- 仅针对外国客户风险进行评估;
- 仅针对代名董事服务进行评估;
- 仅针对高风险国家客户进行评估;
- 仅针对非面对面开户风险进行评估;
- 仅针对新技术或线上服务模式进行评估。
IRA 应多久进行一次?
SSM 并未规定固定期限。
公司秘书可根据自身业务情况制定适当周期,例如:
何时应提前更新 IRA?
若出现以下情况,即使未到既定周期,也应重新进行或更新 IRA:
📌 风险状况发生重大变化
例如:
- 外国客户比例大幅增加;
- 新增高风险行业客户;
- 客户群体明显改变。
📌 内部审计发现重大问题
例如:
- KYC 缺陷;
- AML/CFT 控制不足;
- 合规程序未落实。
📌 业务方向改变
例如:
- 新增代名董事服务;
- 提供受托人服务;
- 提供跨境企业架构服务。
📌 监管机构发布新风险提示
例如:
- SSM 通告;
- Bank Negara Malaysia 指引;
- FATF(金融行动特别工作组)新发布的风险类型(Typologies)。
📌 引入新科技或新业务模式
例如:
- 线上身份验证系统;
- 远程客户注册服务;
- AI 自动化客户尽调工具;
- 数码签署平台。
总结
公司秘书首次进行 IRA 时,必须全面评估客户、国家/地区、产品/服务/交易及交付渠道等风险因素。其后可采用专题方式(Thematic Basis)更新 IRA。SSM 并无规定固定更新周期,但一般建议每 1 至 2 年进行一次,或在业务模式、风险状况、监管要求或技术环境发生重大变化时及时更新。
Based in Kuala Lumpur, Malaysia, DSA & KW FONG offers one-stop corporate services for both local and international clients, making business registration to operations seamless. We provide strong support to help entrepreneurs thrive in the dynamic market.
Posted by DSA Corporate Secretarial Services Sdn Bhd on 9 Jun 26
Malaysia
