迪拜 VARA 发布加密监管新规：VASP 每季须更新风险评估，强制要求董事会批准

迪拜虚拟资产监管局（VARA）于 6 月 12 日发布《VASP 的 AML/CFT 业务风险评估良好实践指南》，明确要求所有持牌虚拟资产服务提供商（VASP）每三个月完成一次 AML/CFT 业务风险评估（BRA）审查，且须获得董事会（或同等治理机构）正式批准——仅高级管理层批准不符合要求。

VARA 第 III.D 条确认的 BRA 法律义务

根据《VARA 合规与风险管理规则手册》第 III.D 条确认的法律要求：

最长审查间隔：不超过三个月（Rule III.D.3）

重大变更触发更新：任何 Rule III.D.2 列明领域的重大变更均须立即更新

成效验证义务：VASP 必须向 VARA 证明 BRA 结果直接指导 AML/CFT 政策、程序、系统和控制的制定与更新（Rule III.D.4）

覆盖范围：BRA 须反映 VASP 的具体业务活动、客户群、产品集、地理分布，以及阿联酋国家风险评估（NRA）所反映的威胁环境

VARA 确认：仅高级管理层批准不能提供等同的独立挑战或治理问责；BRA 须正式由董事会批准，并记录具体批准日期及董事会进行的实质性讨论或挑战内容。

三道防线模型与 MLRO 所有权确认要求

VARA 指南确认的治理架构要求：

第一道防线：合规和 MLRO 功能负责 BRA 的准备和内容所有权

第二道防线：风险职能或董事会提供独立挑战

第三道防线：内部审计独立验证 BRA 方法论及控制有效性；如内部审计能力有限，可委托外部独立方按风险周期执行此功能

指南同时确认：VARA 2026 BRA 主题审查采用双重方法——结构化问卷（涵盖治理与高级管理层问责、范围与方法、数据来源与证据基础等八大主题）及对 VASP 提交的 BRA 文件的详细监管分析。

量化评估方法论与数据整合确认要求

VARA 指南确认的良好实践方法论要求：

量化评分框架：使用数值评分矩阵（通常为五点可能性和后果量表）；控制有效性使用已定义的多层级评分；个别风险类别评分通过记录的热图汇总至整体 BRA 风险评级

资料整合要求：须纳入客户风险评级分布、交易监控警报数据、STR/SAR 趋势与量、制裁筛查结果、产品交易量及地理分布、高风险司法管辖区曝露度

外部参考来源：UAE NRA、FATF 高风险司法管辖区列表、FATF 类型学报告、MENAFATF 指南及 UAE FIU 战略分析文件均须在 BRA 中明确引用

常见问题

VARA 要求的 BRA 季度更新，最迟多久需要完成一次？

根据《VARA 合规与风险管理规则手册》第 III.D.3 条，BRA 的审查间隔不得超过三个月（即每季度至少一次）。此外，如规则 III.D.2 列明领域发生重大变更，则无论距上次审查多久，均须立即更新。

为何仅高级管理层批准 BRA 不符合 VARA 要求？

根据 VARA 指南，董事会的核心作用是对 MLRO 的结论（特别是剩余风险评级、控制有效性假设和风险偏好框架的充分性）提供独立挑战。仅高级管理层批准无法提供相同质量的独立挑战或治理问责，因此不符合要求。

VARA 的 BRA 主题审查是否涵盖所有持牌 VASP？

根据指南说明，VARA 定期对全体持牌 VASP 开展行业范围内的 BRA 主题审查，采用双重方法：结构化问卷（涵盖八个主题领域）及对 VASP 提交 BRA 文件的详细监管分析。本次指南正是基于 2026 年 BRA 主题审查的监管观察所发布。