杜拜 VARA 發布加密監管新規：VASP 每季須更新風險評估，強制要求董事會批准

杜拜虛擬資產監管局（VARA）於 6 月 12 日發布《VASP 的 AML/CFT 業務風險評估良好實踐指南》，明確要求所有持牌虛擬資產服務提供商（VASP）每三個月完成一次 AML/CFT 業務風險評估（BRA）審查，且須獲得董事會（或同等治理機構）正式批准——僅高級管理層批准不符合要求。

VARA 第 III.D 條確認的 BRA 法律義務

根據《VARA 合規與風險管理規則手冊》第 III.D 條確認的法律要求：

最長審查間隔：不超過三個月（Rule III.D.3）

重大變更觸發更新：任何 Rule III.D.2 列明領域的重大變更均須立即更新

成效驗證義務：VASP 必須向 VARA 證明 BRA 結果直接指導 AML/CFT 政策、程序、系統和控制的制定與更新（Rule III.D.4）

覆蓋範圍：BRA 須反映 VASP 的具體業務活動、客戶群、產品集、地理分佈，以及阿聯酋國家風險評估（NRA）所反映的威脅環境

VARA 確認：僅高級管理層批准不能提供等同的獨立挑戰或治理問責；BRA 須正式由董事會批准，並記錄具體批准日期及董事會進行的實質性討論或挑戰內容。

三道防線模型與 MLRO 所有權確認要求

VARA 指南確認的治理架構要求：

第一道防線：合規和 MLRO 功能負責 BRA 的準備和內容所有權

第二道防線：風險職能或董事會提供獨立挑戰

第三道防線：內部審計獨立驗證 BRA 方法論及控制有效性；如內部審計能力有限，可委託外部獨立方按風險週期執行此功能

指南同時確認：VARA 2026 BRA 主題審查採用雙重方法——結構化問卷（涵蓋治理與高級管理層問責、範圍與方法、數據來源與證據基礎等八大主題）及對 VASP 提交的 BRA 文件的詳細監管分析。

量化評估方法論與數據整合確認要求

VARA 指南確認的良好實踐方法論要求：

量化評分框架：使用數值評分矩陣（通常為五點可能性和後果量表）；控制有效性使用已定義的多層級評分；個別風險類別評分透過記錄的熱圖匯總至整體 BRA 風險評級

資料整合要求：須納入客戶風險評級分佈、交易監控警報數據、STR/SAR 趨勢與量、制裁篩查結果、產品交易量及地理分佈、高風險司法管轄區曝露度

外部參考來源：UAE NRA、FATF 高風險司法管轄區列表、FATF 類型學報告、MENAFATF 指南及 UAE FIU 戰略分析文件均須在 BRA 中明確引用

常見問題

VARA 要求的 BRA 季度更新，最遲多久需要完成一次？

根據《VARA 合規與風險管理規則手冊》第 III.D.3 條，BRA 的審查間隔不得超過三個月（即每季度至少一次）。此外，如規則 III.D.2 列明領域發生重大變更，則無論距上次審查多久，均須立即更新。

為何僅高級管理層批准 BRA 不符合 VARA 要求？

根據 VARA 指南，董事會的核心作用是對 MLRO 的結論（特別是剩餘風險評級、控制有效性假設和風險偏好框架的充分性）提供獨立挑戰。僅高級管理層批准無法提供相同質量的獨立挑戰或治理問責，因此不符合要求。

VARA 的 BRA 主題審查是否涵蓋所有持牌 VASP？

根據指南說明，VARA 定期對全體持牌 VASP 開展行業範圍內的 BRA 主題審查，採用雙重方法：結構化問卷（涵蓋八個主題領域）及對 VASP 提交 BRA 文件的詳細監管分析。本次指南正是基於 2026 年 BRA 主題審查的監管觀察所發布。