很多新公司以为AML和KYC要等到有了收入才会真正开始。实际情况往往更早。它可能在公司设立时就出现,也可能在第一次开银行账户、第一次接入支付机构,或者投资人问出一句“到底谁控制这家公司”时立刻出现。所有权文件一薄,问题就会很快暴露。
监管逻辑并不复杂。欧盟2015/849号指令第13条要求尽职调查覆盖客户身份、受益所有人身份、业务关系目的以及持续监控。英国方面,PSC官方指引要求公司在设立时识别并申报具有重大控制权的人,并在信息变化时通知Companies House。对于受监管机构,FCA关于反洗钱与恐怖融资的官方页面也讲得很直白,必须采用基于风险的尽职调查,对高风险情形做更深核查,并进行持续监控。如果你希望把法律文件、股权控制逻辑和onboarding顺序放在一条线上处理,Corpenza可以把审计与合规、公司设立和税务结构一起推进。
新公司的真实AML与KYC文件到底是什么?
它不是一张注册证书加几份护照复印件。真正的AML与KYC文件,是一套能让受监管对手方看明白公司由谁拥有、由谁控制、要做什么、钱从哪里来、结构为什么合理的材料。只有注册证书,远远不够。
很多创始人会把KYC和AML拆开理解。市场不会这样看。银行、EMI、会计服务商、投资人和潜在买方,想看到的是一条完整且自洽的故事线:法律实体、业务活动、最终受益人、控制权安排、预计收付款模式,以及资金来源。
因此,就算公司还没有营收,也可能在审查里被追问很多次。审查方看的不只是规模,更看公司是否“讲得通”。结构干净、文件一致,历史短并不可怕。股权链含糊,哪怕公司本来很简单,也会被看成更复杂的高风险主体。
第一天就该准备好的受益所有权信息有哪些?
最基本的内容包括股权结构表、控制权安排、董事名单,以及最终拥有或控制公司的自然人。无论是AML尽职调查,还是公司透明度要求,这一组信息都处在最核心的位置。
欧盟规则写得很明确。第13条要求识别受益所有人,并采取合理措施核验其身份,同时理解客户的所有权与控制结构。英国则把这件事直接放到公司登记层面。PSC指引要求公司在设立时报告PSC,后续保持信息更新,如果无法识别PSC,也要向Companies House说明。
| 核查节点 | 重点内容 | 官方来源 |
|---|---|---|
| 欧盟尽职调查 | 客户身份、受益所有人、关系目的、持续监控 | 欧盟2015/849号指令第13条 |
| 英国公司透明度 | PSC识别、申报、更新、身份验证链路 | GOV.UK PSC指引 |
| 美国BOI变化 | BOI规则已变,但银行KYC仍然单独存在 | FinCEN BOI页面 |
美国这一块最近变化很大,最容易被误读。FinCEN BOI官方页面写明,在2025年3月26日更新后,美国境内设立的实体及其beneficial owners已不再适用BOI申报,而部分外国reporting companies仍有申报义务。这并不代表银行KYC消失了。它只是改变了一条政府申报路径。
银行和受监管服务商通常会要哪些文件?
大多数新公司都应准备一个基础包:注册文件、章程或同类文件、董事与股东记录、受益所有人身份证明、地址证明,以及一份简短的业务说明。如果公司已经有初步经营痕迹,合同、发票和官网也很快会被拉进审查范围。
不同机构的清单会有差异,但底层逻辑高度重复。审查方想把法律文件和商业叙事对齐。公司说自己要做欧洲SaaS业务,文件却指向另一个地区的现金型活动,这种不一致会立刻触发追问。如果股东本身又是公司,审查往往会继续往上追,直到能看见实际控制的自然人为止。
一个实用的起步包通常包括注册证书、章程文件、股权表、董事登记、PSC或UBO摘要、每位控制人的护照、地址证明、一页纸业务模型说明、预计的收款和付款路径,以及为什么选择该司法辖区的解释。如果公司尚未产生收入,还应该准备一段简洁的资金来源说明。可以短,但不能没有。
资金来源和业务模型的问题什么时候会变深?
当结构更复杂、地区更敏感、行业风险更高,或者声明的业务与文件对不上时,问题就会明显变深。到这一步,流程已经不是普通onboarding,而是风险解释。
这时最怕的是描述太空。创始人喜欢写“咨询”或“贸易”,因为听起来灵活。对AML审查来说,这太薄了。更好的写法是说清楚公司卖什么、谁付款、在哪些国家做、平均交易额大概多少、通过哪些银行或支付轨道收款。具体,反而更省时间。
如果初始资本来自几位个人、上层控股公司、关联方借款、加密资产变现,或近期资产出售,资金来源审查也会更重。这些事实本身并不自动导致拒绝,但每一项都会带来文件路径。如果资金轨迹是真实且干净的,越早把它讲清楚越好,不要等到第三封追问邮件才开始补。
什么时候会进入enhanced due diligence?
当风险画像高于普通开户水平时,就会进入enhanced due diligence。现实里,这通常对应高风险国家、政治公众人物、制裁关联、不寻常的股权层次,或者需要更敏感交易监控的业务活动。
官方来源在这点上是一致的。FCA要求机构采用基于风险的customer due diligence,并指出高风险客户需要更深入的核查,也就是enhanced due diligence。欧盟2015/849号指令第18条同样要求在高风险情形下采取强化措施,包括涉及high-risk third countries的关系。因此,EDD不是“被怀疑有问题”的标签,它首先是风险类别,也是工作量类别。
进入EDD后,变化通常不是问题数量,而是证据深度。更细的所有权证明。更完整的交易对手背景。更清楚的资金来源说明。更明确的预计支付路线。有时还会要求机构内部更高层审批。能够用一套连贯文件回答这些问题的公司,通常能过。只能零散回复的公司,通常会拖。
创始人怎样在不走捷径的情况下加快审查?
速度通常来自一致性,不来自文件数量。一个短而清楚、彼此能对上的onboarding包,比一个装满互相矛盾材料的大文件夹更快。目标是让审查员尽量少做猜测,就能得出清晰结论。
建议先准备一份统一的所有权说明。用简单语言列出实体、董事、股东、最终受益人、控制权以及公司的运营目的。然后按同样顺序放置支撑材料。如果股权表说一套,章程说另一套,审查通常就停在那里。
还有一个很实用的动作,把明显会被问到的问题提前回答掉。为什么选这个司法辖区。为什么选这家银行或EMI。为什么是这些交易对手。为什么涉及这些国家。为什么是这组创始人。能提前回答这五个问题的新公司,往往比只会发送原始公司文件的老公司更让人放心。如果你需要把这套材料按操作纪律整理好,Corpenza可以通过合规支持和顾问团队在第一次重大审查前先搭好框架。
常见问题
只有注册证书就够做KYC吗?
不够。它只能证明公司存在,不能解释谁真正控制公司、公司要做什么、怎么融资,以及交易模式是否合理。
还没营收的创业公司也需要AML文件吗?
需要。文件可以更短,但股权链、业务说明、创始人身份和资金来源逻辑仍然要清楚。
FinCEN BOI规则变化后,美国创始人就可以不管KYC了吗?
不可以。2025年的变化只调整了一条政府申报制度。银行、支付机构和投资人仍然会做自己的客户与受益所有人核查。
什么最容易拖慢onboarding?
股权信息互相打架、业务描述太空、关联方资金没有解释清楚,以及文件指向不同国家或不同业务活动。
什么时候应该引入外部合规支持?
通常是在第一次银行或EMI审查之前,尤其当结构跨境、股权层次不止一层,或者资金来源材料需要认真包装时。
本文仅为一般信息,不构成法律或税务意见。AML规则、登记义务和onboarding标准会变化,正确的文件包取决于你的结构、地区和交易对手。
