Beancount.io LogoBeancount.io

小微企业的 OFAC 制裁合规指南:SDN 筛选、50% 规则及自愿自查披露

阅读需 4 分钟Mike ThriftMike Thrift
小微企业的 OFAC 制裁合规指南:SDN 筛选、50% 规则及自愿自查披露

加利福尼亚州的一家在线销售乐器的吉他制造商最近支付了 41,591 美元,以解决 OFAC 的指控。而它所面临的法定最高罚款额是多少?3,313,224 美元 —— 约高出 80 倍。这种差异归结为一个决定:该公司在监管机构发现违规行为之前主动披露了违规情况。

这个比例正是 2026 年制裁执法现状的缩影。美国财政部海外资产控制办公室 (OFAC) 不再仅仅盯着华尔街的银行。在过去的 18 个月里,房地产投资者、金融科技初创公司、电商卖家、乐器进口商和加密钱包提供商都出现在了执法名单上。根据《国际紧急经济权力法案》(IEEPA),目前单次违规的最高民事罚款为 377,700 美元,或交易价值的两倍,以较高者为准 —— 且 OFAC 适用严格责任原则,这意味着违规并不要求具备主观意图。

如果你的业务涉及美国境外的客户、供应商或交易对手 —— 甚至是在美国境内 —— 你就已经暴露在风险之中。对于一家没有专门合规部门的公司来说,一个有效的 OFAC 项目应该是这样的。

为什么小微企业突然进入了 OFAC 的视线

在 OFAC 的大部分历史中,执法重点都在银行。但在过去五年里,情况发生了变化。该机构公开表示,执法将“从传统银行业转向金融科技和加密货币等新型高风险行业”,最近的行动也证实了这一点:

  • Exodus Movement(加密钱包):涉及超过 254 起明显违反《伊朗交易和制裁条例》的行为,其中包括 12 起严重的且未主动披露的违规。
  • Poloniex:760 万美元和解金。
  • Payoneer:150 万美元和解金。
  • BitPay:507,375 美元和解金。
  • Kraken:362,158 美元和解金。
  • 某单一房地产投资者:470 万美元民事处罚。
  • 2026 年年初至今:仅通过三项已公布的执法行动,罚款总额就达到了 6,607,661 美元。

模式很清晰。任何涉及跨境资金、货物或服务的业务 —— 甚至只是托管了一个制裁对象可以付费的网站 —— 都需要一个制裁合规计划。这包括 Shopify 商店、向国际客户开具发票的 SaaS 公司、自由职业者市场、支付处理器、加密货币交易所、从外国业主处收取租金的房地产公司,以及为持有离岸资产的客户提供服务的会计师事务所。

OFAC 到底限制了什么

OFAC 管理着 30 多个不同的制裁项目。它们大致分为两类。

全面禁运(针对国家的全面禁令)

截至 2026 年,四个国家面临着与美国人进行贸易、金融交易和服务几乎完全禁止的限制:

  • 古巴
  • 伊朗
  • 朝鲜 (DPRK)
  • 叙利亚

乌克兰被占领的克里米亚、顿涅茨克和卢甘斯克地区也属于全面制裁范围。在这些司法管辖区开展业务或与之开展业务需要获得 OFAC 的特定许可 —— 否则即属违法。

定向及部门制裁

俄罗斯是当今世界上受制裁最严重的国家,但它并未受到全面禁运。相反,OFAC 在能源、金融、国防和技术领域实施了分层定向禁令,此外还有数千个针对个人和实体的指定。委内瑞拉、白俄罗斯和缅甸也都带有显著的定向制裁制度。

除了国别项目外,OFAC 还维护基于名单的制裁,针对毒品走私者、恐怖分子、侵犯人权者、网络行为者和腐败的外国官员,无论其国籍如何。

你真正需要筛查的制裁名单

说“我们检查了 SDN 名单”是最常见的合规捷径 —— 也是最常见的合规失败点。OFAC 发布了多个名单,漏掉其中任何一个都可能导致罚款堆积。

名单涵盖范围何时必须拦截
特别指定国民 (SDN) 名单个人、实体、船只和飞机。SDN 的财产必须被冻结。始终
综合制裁名单 (Consolidated Sanctions List)汇总了所有非 SDN 名单的主文件始终
部门制裁识别 (SSI) 名单俄罗斯能源、金融和国防部门的目标取决于指令内容
外国制裁规避者 (FSE) 名单协助规避美国制裁的人员始终
基于菜单的非 SDN 制裁 (NS-MBS) 名单定向措施,通常依据 CAATSA根据适用的菜单项
巴勒斯坦立法委员会 (NS-PLC) 名单参加选举的 PLC 成员始终拦截

你可以在 OFAC 制裁名单查询工具 (sanctionssearch.ofac.treasury.gov) 免费搜索所有这些内容,但该免费工具专为单次查询设计,而非批量筛查。生产环境通常使用商业筛查提供商、自动化 API 或内部工具,以接入 OFAC 每日发布的增量文件。

50% 规则:为什么仅凭名称匹配是不够的

这里有一条规则几乎会让每家企业都措手不及:

任何由一个或多个被封锁人员直接、间接或合计拥有 50% 或以上股份的实体,即使其未出现在任何 OFAC 名单上,其本身也被视为被封锁。

这包含两个重要的含义:

  1. 跨 SDN 的合并计算。 如果 SDN A 拥有某开曼控股公司 30% 的股份,而 SDN B 拥有 25%,那么该控股公司即被封锁——尽管没有任何一个所有者的持股比例单独达到 50%。
  2. 间接所有权计算。 如果目标个人持有母公司 60% 的权益,而该母公司又持有子公司 60% 的股份,则该子公司被视为被封锁,尽管直接链条计算(60% × 60% = 36%)的结果并非如此。OFAC 将母公司视为完全被封锁,这意味着其对子公司的全部所有权都会渗透下去。

这就是为什么纯粹的名称筛选会失败。一家名为“Atlas Logistics LLC”的供应商不会出现在 SDN 名单上。但如果其最终受益所有人是通过三层壳公司合计持股 51% 的受制裁俄罗斯寡头,那么你支付他们的发票就违反了美国制裁法。

小企业的实际应对措施:

  • 要求供应商和高价值客户披露受益所有权 (Beneficial Ownership),最好与 UBO(最终受益所有人)认证挂钩。
  • 使用能够解析所有权关系而不仅仅是匹配名称的筛选服务商。
  • 对于高风险辖区(英属维尔京群岛 BVI、开曼、阿联酋、塞浦路斯、香港、俄罗斯、中港跨境结构)的交易对手,要求提供穿透至自然人级别的工商登记提取物。
  • 定期重新筛选,而不仅仅是在准入时筛选——OFAC 每周都会增加新的 SDN。

OFAC 的五大支柱:合规计划必须具备的要素

美国财政部发布了其《OFAC 合规承诺框架》(Framework for OFAC Compliance Commitments),明确了一个“有效”的制裁合规计划 (SCP) 所包含的内容。该框架包含五个组成部分,OFAC 在计算罚款时会明确衡量其中的每一项。

1. 管理层承诺

高级领导层必须批准该计划并提供资源。对于小公司,这意味着创始人、CEO 或 CFO 签署书面政策,任命一名合规负责人,并至少每年审查一次计划的有效性。象征性的签发是不够的;OFAC 期望看到领导层参与的证据。

2. 风险评估

记录你的业务面临的具体 OFAC 风险。一家在全球销售的 SaaS 公司与一家国内房地产公司或跨境支付处理器的风险敞口是完全不同的。评估应涵盖:

  • 客户群体 —— 地理位置、行业、受益所有权模式。
  • 产品和服务 —— 任何涉及跨境路由或非美元计价的项目。
  • 分销渠道 —— 直接销售、市场、第三方转售商、关联公司。
  • 地理足迹 —— 客户、供应商、员工或交易对手经营所在的辖区。
  • 合作伙伴和中间人 —— 代理商、经纪人、支付处理器。

当你的业务模式发生变化时(如新市场、新支付通道、新收购渠道),请更新评估。

3. 内部控制

这是计划转入操作层面的地方。内部控制包括:

  • 书面政策和程序。
  • 记录在案的筛选工作流(何时筛选、使用哪些名单、阈值是多少、由谁审查匹配项)。
  • 出现潜在匹配时的明确上报路径。
  • 记录保存 —— OFAC 要求对于封锁或拒绝的交易保留 五年的交易和筛选记录
  • 封锁机制 —— 可以隔离资金的银行账户,可以冻结履约的订单系统。
  • 提交强制性报告的报告流程(每年 9 月 30 日前提交被封锁财产年度报告,在十个工作日内提交被封锁或拒绝交易的初始报告)。

4. 测试与审计

独立测试验证计划是否切实有效。对于小公司,这可以是季度自测(将虚拟的 SDN 名称输入你的筛选工具)加上年度外部审查。发现的问题必须予以记录并整改。

5. 培训

所有职责涉及制裁风险的员工都必须接受培训 —— 销售、客户准入、财务、应收/应付账款、供应商管理以及构建筛选逻辑的工程团队。OFAC 期望至少每年进行一次培训,并在新计划启动或新的制裁计划生效时进行特定角色的培训。

当你发现匹配项时:封锁或拒绝的决策

在筛选过程中发现明显的匹配项会触发一系列严格的义务。

第 1 步:确认匹配。 误报是常态 —— “John Smith”和“Vladimir Petrov”都会产生很多匹配项。利用出生日期、地址、护照号码、经营场所及 OFAC 公布的其他任何识别数据进行比对。

第 2 步:如果确认匹配,决定是封锁还是拒绝。

  • 封锁 (Block):当目标出现在 SDN 名单上,或由 SDN 持股 50% 以上时 —— 你必须将财产/资金冻结在独立的计息账户中,并在十个工作日内报告。
  • 拒绝 (Reject):当交易本身是被禁止的,但不涉及 SDN 财产时(例如,一项尚未汇款的、未经许可的伊朗交易) —— 你拒绝处理并在十个工作日内报告。

第 3 步:提交报告。 被封锁或拒绝交易的初始报告通过“OFAC 报告与许可申请表”门户提交。被封锁财产的年度报告在每年的 9 月 30 日前截止。未按要求提交报告本身就是一项单独的违规行为。

第 4 步:如果需要,申请许可。 许多原本被禁止的交易可以根据特定许可或通用许可获得授权 —— 如人道主义物资、某些个人汇款、农产品和医疗出口、新闻业、互联网通信服务。

主动披露的决策

当你发现违规行为已经发生时——例如,在筛查截获之前已向受制裁的交易对手完成支付、货物已发往被禁运的管辖区、或者误将由 SDN(特别指定国民)拥有的客户入驻——你将面临 OFAC 合规中最重大的决策。

披露,还是不披露?

主动披露 (VSD) 能为你带来什么

根据 OFAC 的《经济制裁执法指南》(31 CFR 第 501 部分附录 A),合规的主动披露(VSD)可以:

  • 在严重和非严重案件中,均可将基本罚款计算金额削减 50%
  • 在非严重案件中,将基本金额限制在交易价值的一半,且每项违规上限为 188,850 美元
  • 在 OFAC 的最终罚款裁定中,被视为主要的减轻处罚因素

结合其他减轻因素(如完善的合规计划、补救措施、配合调查),最终的和解金额可能比法定最高限额低一个数量级。以 Córdoba Music Group 案为例(法定最高限额为 330 万美元,最终和解金额为 41,591 美元),这极具说明性。

“主动”的实际含义

只有在 OFAC 或其他联邦、州或地方机构发现明显的违规行为或“实质相似”的行为之前,由企业自行发起的披露才被视为“主动”。如果交易对手的银行已经提交了提及该笔交易的可疑活动报告 (SAR),你的披露可能就不符合资格。如果竞争对手或举报人已经举报了你,该披露也不符合资格。

这就是为什么速度至关重要。一旦你怀疑存在违规行为,就必须争分夺秒。

2026 年新款 VSD 门户网站

2026 年 2 月,OFAC 在 disclosure.ofac.treasury.gov 上线了在线主动披露门户网站 (Voluntary Self-Disclosure Portal)。它取代了主导数十年的邮件提交和传真这种零散的方式。该门户网站提供了更安全的渠道、结构化的字段和收件确认——但实质性规则并未改变:

  • 初始通知:简要说明发生了什么
  • 详细的后续报告:需在 180 天内提交,涵盖根本原因、范围、补救措施以及涉及的人员

公司在进行初始提交之前仍需法律顾问介入。门户网站并未改变法律风险,它只是改变了递送方式。

罚款计算:你面临的真实风险

根据 IEEPA(管理大多数现代制裁计划的法规),2026 年每项违规的民事罚款为:

  • 法定最高限额:377,700 美元(每年根据通货膨胀进行调整)
  • 或交易价值的两倍(以较高者为准)

每一笔交易都可以构成一项单独的违规。一名客户在两年内下单四十次,就代表了四十项违规。

OFAC 的罚款计算分为三个步骤:

  1. 基本金额——取决于案件是否严重、是否适用 VSD 以及交易价值(法定附表)
  2. 调整——针对加重因素(动机、认知、对制裁计划目标的损害、成熟当事方、缺乏合规计划)和减轻因素(配合、补救行动、首次违规、规模较小、财务状况)进行调整
  3. 最终提议罚款——在《预处罚通知》(Pre-Penalty Notice) 中发布,当事人可以对此提出异议

对于故意违规行为,还会叠加刑事处罚:每项违规最高 100 万美元罚款,个人最高可判处 20 年监禁

针对小企业的实用合规清单

将此清单作为起点。它不能替代法律建议,但涵盖了该机构在已公布的执法调查结果中反复强调的内容。

基础架构

  • 由高级管理层签署的书面制裁合规政策
  • 指定合规负责人(可以是创始人或 CFO;请勿让该职位空缺)
  • 记录在案的风险评估,并在业务发生重大变化时更新
  • 与业务相关的受制裁管辖区和人员的清单

筛查

  • 在入驻时对所有客户、供应商、收款人和交易对手进行筛查
  • 每日或每周对照更新的 SDN/综合/SSI 列表进行重新筛查
  • 对高风险交易对手要求披露受益所有权
  • 记录在案的评估潜在匹配项的程序(区分误报与正报)
  • 在网络平台上对已知的受禁运管辖区进行地理位置/IP 过滤

交易

  • 冻结或拒绝的决策树,具有明确的停止履行权限
  • 为任何被冻结资金准备好独立的计息账户
  • 针对可能符合条件的交易制定 OFAC 许可证申请流程

记录保存与报告

  • 筛查记录和交易记录保存五年
  • 在十个工作日内提交初始冻结/拒绝交易报告
  • 在 9 月 30 日前提交年度被冻结财产报告
  • 为每次筛查命中及处理结果保留审计追踪

测试与培训

  • 每季度进行自测(通过筛查工具运行虚拟数据)
  • 年度独立审查(外部律师或合规顾问)
  • 对所有相关员工进行年度培训,并记录考勤

事故响应

  • 预先确定熟悉 OFAC 事务的外部律师
  • 记录在案的 VSD 决策协议——谁负责决策、什么证据触发决策、谁起草提交材料

导致强制执行的常见错误

已公布的 OFAC 处罚案例中的模式几乎总是包含以下一项或多项:

  1. “我们只筛查 SDN 名单。” 遗漏综合名单(Consolidated List)、SSI(行业制裁清单)、FSE(外国逃避制裁者清单)或 NS-MBS 名单是常见发现。
  2. 静态筛查。 仅在入驻时进行检查会失败,因为 SDN 名单每周都会更新。一月份筛查合格的客户可能在六月份就被列入名单。
  3. 忽视受益所有权。 交易对手的名字显示正常,但其向上穿透两层、持股 60% 的所有者却处于受制裁状态。
  4. 地理围栏漏洞。 某个网络平台屏蔽了来自伊朗的 IP,但允许 VPN 流量无阻碍通行;OFAC 在金融科技案件中曾引用过此类案例。
  5. 缺乏针对潜在匹配项的书面程序。 面对客户的员工在没有上报指南的情况下,自行做出临时判断。
  6. 未提交要求的报告。 即使相关交易已被正确拦截,如果漏掉了十日报告或每年的 9 月 30 日申报,其行为本身也是一种违规。
  7. 培训不足。 销售人员因从未接受过 OFAC 培训,而向被禁运的司法管辖区承诺提供服务。
  8. 披露迟缓。 在发现违规后压而不报,直到被其他机构独立发现——这会导致失去自愿自我披露(VSD)资格以及 50% 的罚款减免机会。

确保你的财务记录符合 OFAC 要求

制裁合规的成败在于记录。在五年的审计窗口期内,OFAC 可能会索取任何被拦截的交易、每一笔被拒绝的付款、每一项筛查决定或每一份许可证申请。如果记账系统将这些分录隐藏在黑盒式的账本界面之后,将会减慢你应对传票的速度。

Beancount.io 采用截然不同的方法:纯文本记账(Plain-text accounting)。每一条分录都是清晰可读的文本行,每一次更改都经过版本控制,每个账户都可以针对可能引起 OFAC 关注的跨境活动进行标记。当你的审计员——或正在准备自愿自我披露的外部法律顾问——要求提供支付给特定交易对手的完整历史记录时,你可以在几分钟内(而非几天)生成报告。免费开始使用,让你的财务管理具备 OFAC 对你的合规计划所期望的透明度。