此問題評估考生對香港存管服務監管框架的理解，特別是主要監管機構的角色及國際標準的影響。 陳述 I 是正確的。 在香港，提供證券託管服務通常被視為《證券及期貨條例》（SFO）下的受規管活動（例如，第1類 – 證券交易）。 因此，除非獲得豁免，否則提供此類服務的實體必須獲得證券及期貨事務監察委員會（SFC）的發牌，並接受其持續監管，以確保其遵守《操守準則》及其他相關法規。 陳述 II 是正確的。 香港作為國際金融中心，其監管框架深受國際最佳實踐的影響。 國際證券事務監察委員會組織（IOSCO）是全球證券監管機構的合作論壇，其發布的原則和標準（例如關於集體投資計劃資產託管的原則）是證監會制定或更新本地法規和指引時的重要參考，旨在提升投資者保護和市場穩健性。 陳述 III 是不正確的。 《巴塞爾協定 III》主要針對銀行的資本充足率、壓力測試和市場流動性風險。 然而，其關於營運風險管理的框架和原則，對所有金融機構（包括非銀行的存管服務提供者）而言，均是重要的行業最佳實踐參考。 一個穩健的存管機構在其風險管理框架中會考慮這些國際公認的標準，因此聲稱其「完全不適用」是錯誤的。 陳述 IV 是不正確的。 香港的金融監管採用「雙峰」模式。 證監會（SFC）是負責監管持牌法團（Licensed Corporations）的主要機構。 香港金融管理局（HKMA）則主要監管認可機構（Authorized Institutions，即銀行）。 雖然註冊機構（Registered Institutions，即已向證監會註冊從事受規管活動的銀行）會同時受到金管局和證監會的監管，但證監會是為所有從事證券相關受規管活動的實體（包括持牌法團）設定操守標準的主要監管者。 因此，金管局並非「所有」提供證券託管服務機構的主要監管者。 因此，陳述 I 及 II 是正確的。

此問題旨在評估考生對香港存管服務監管框架的理解，特別是證券及期貨事務監察委員會（證監會）與香港金融管理局（金管局）之間的角色分工。 陳述 I 是正確的。 根據《證券及期貨條例》，在香港為他人的證券提供保管或託管服務，如果構成一項業務，通常會被界定為受規管活動（例如第1類 – 證券交易），因此需要向證監會申領牌照，除非符合特定的豁免條件。 陳述 II 是正確的。 金管局是香港銀行體系的監管機構，負責對所有認可機構（持牌銀行、有限制牌照銀行及接受存款公司）進行審慎監管。 這種監管是全面的，涵蓋了銀行的所有業務，包括其提供的存管服務，以確保其財務穩健和系統穩定。 陳述 III 是不正確的。 雖然認可機構主要受信管局的審慎監管，但當它們進行《證券及期貨條例》所界定的受規管活動時（作為「註冊機構」），它們仍必須遵守證監會頒布的相關規則和操守準則，例如《證券及期貨事務監察委員會持牌人或註冊人操守準則》。 不存在完全豁免的情況，這是一個雙重監管的體系。 陳述 IV 是正確的。 這準確地描述了兩家監管機構的分工與合作。 證監會作為市場監管者，其主要職責是保障投資者利益、維持市場公平和秩序，因此其監管重點在於中介人的業務操守。 而金管局作為銀行業的審慎監管機構，其首要任務是維持銀行體系的穩定性，因此更關注資本充足、風險管理、流動性等宏觀審慎指標。 因此，陳述 I、II 及 IV 是正確的。

根據《證券及期貨條例》，任何在香港從事受規管活動的公司都必須獲得證券及期貨事務監察委員會（SFC）的許可，並遵守其監管規定。提供證券託管服務被視為第1類（證券交易）受規管活動的一部分。因此，即使一家機構是受香港金融管理局（HKMA）監管的銀行，其證券託管業務的操守和營運標準仍主要由證監會負責監督。證監會發布的《操守準則》為持牌法團（包括提供託管服務的銀行）的行為設立了標準。正確的答案是，證券及期貨事務監察委員會是監督持牌法團進行受規管活動（如證券託管）的主要機構。香港金融管理局主要負責銀行的審慎監管，例如資本充足率和流動性，但對於證券相關的業務操守，則由證監會主導。香港交易及結算所有限公司是市場營運者，負責市場的日常運作和執行上市規則，而非中介機構的操守監管機構。財經事務及庫務局是政府的政策制定機構，負責制定金融服務業的整體政策框架，而非直接的日常監管機構。.

根據《證券及期貨條例》，證券及期貨事務監察委員會（證監會）是香港證券及期貨市場的主要監管機構。其職能包括監管集體投資計劃（例如基金）的營運，當中包括對為這些計劃持有資產的保管人或受託人的監督。證監會的《單位信託及互惠基金守則》詳細列明了對保管人的資格、職責及獨立性的嚴格要求，以保障投資者的資產。因此，對於提供基金資產保管服務的機構，證監會是其核心的監管者。 香港金融管理局（金管局）雖然負責監管銀行體系，並且許多提供託管服務的機構本身也是銀行（即認可機構），但金管局的主要職責是維持貨幣及銀行體系的穩定。當一家銀行從事受證監會規管的活動（如基金託管）時，它必須同時遵守證監會的相關規則和規定。 財經事務及庫務局是負責制定金融服務業政策和法例的政府決策局，而非直接的日常監管機構。 香港交易及結算所有限公司（香港交易所）是市場營運者，負責監管上市公司及維持市場的公平、有序和高效運作，但它並不直接監管基金保管服務提供者的業務操守。.

此問題旨在評估考生對持牌法團在提供存管服務時，建立有效內部監控與審計框架的理解，這與證監會《操守準則》及《適用於證券及期貨事務監察委員會持牌人或註冊人的管理、監督及內部監控指引》的要求密切相關。 陳述 I 是正確的。 內部審計職能的獨立性是其有效性的基石。 為了進行客觀和無偏見的評估，內部審計團隊必須獨立於其所審計的日常營運活動。 直接向董事會或其審計委員會匯報，能確保審計發現的問題得到最高管理層的關注，並避免營運管理層的不當影響。 陳述 II 是正確的。 客戶資產的對賬是存管服務中一項關鍵的內部監控程序。 定期（例如每日）將公司內部記錄與外部第三方（如中央結算系統、次託管人）的記錄進行核對，是保障客戶資產安全、確保會計記錄準確無誤以及及時發現和糾正潛在錯誤或欺詐行為的核心措施。 陳述 III 是不正確的。 這描述了職責分工 (Segregation of Duties) 的嚴重缺失。 職責分工是內部監控的基本原則，旨在防止單一個人能夠在未經察覺的情況下犯錯或進行欺詐。 將交易的執行、核實和結算職責分配給不同的員工，可以建立制衡機制。 允許同一人處理整個交易流程會顯著增加操作風險和欺詐風險。 陳述 IV 是正確的。 證券借貸和抵押品管理是存管服務中涉及較高信貸風險的活動。 一個健全的風險管理框架必須包括對交易對手方的持續信貸評估。 設定和監控風險限額是控制潛在損失的關鍵工具，這也是內部監控系統不可或缺的一部分。 因此，陳述 I、II 及 IV 是正確的。

此問題旨在評估考生對香港存管服務監管框架的理解，特別是主要本地監管機構（證監會及金管局）的職能分工，以及國際監管標準（如巴塞爾協定 III 和 IOSCO 原則）如何影響本地法規。 陳述 I 是準確的。 根據《證券及期貨條例》，證券及期貨事務監察委員會（SFC）是負責監管持牌法團（包括提供第1類受規管活動中資產託管服務的公司）的主要機構。 證監會的《操守準則》及《客戶款項規則》和《客戶證券規則》明確規定了保障客戶資產的嚴格要求，例如資產分隔和妥善保管。 陳述 II 是準確的。 香港金融管理局（HKMA）是銀行體系的監管機構。 對於同時是註冊機構的銀行而言，金管局負責其審慎監管，確保銀行在資本充足率、流動性風險管理及整體穩健性方面符合規定。 這項監管職能是銀行能安全提供包括存管在內所有服務的基礎。 陳述 III 是不準確的。 《巴塞爾協定 III》是一套針對銀行的國際審慎監管標準。 在香港，這些標準主要是由金管局透過《銀行業（資本）規則》實施於認可機構（即銀行）。 證監會的《財務資源規則》適用於持牌法團，其資本要求與《巴塞爾協定 III》的框架有所不同，且主要針對非銀行類的金融機構。 因此，將《巴塞爾協定 III》的要求說成是主要透過證監會的規則應用於「所有」提供存管服務的機構是錯誤的。 陳述 IV 是準確的。 國際證券事務監察委員會組織（IOSCO）是全球證券監管機構的合作組織，其制定的標準和原則是國際公認的最佳實踐。 作為 IOSCO 的成員，證監會在制定本地法規（例如關於客戶資產保障和託管人責任的規定）時，會大量參考 IOSCO 的框架，以確保香港的監管水平與國際標準接軌。 因此，陳述 I、II 及 IV 是正確的。

根據證監會的《適用於證券及期貨事務監察委員會持牌人或註冊人的管理、監督及內部監控指引》以及有關網絡安全的通函，持牌法團在面對重大營運危機（如網絡安全事件）時，必須有一套清晰的應對策略。 陳述 I 是正確的，因為啟動預設的危機應對計劃並召集相關團隊是確保採取有組織、有效率行動的基礎。 這有助於評估事件的全面影響。 陳述 II 是正確的，因為根據監管規定，任何可能對客戶資產或市場完整性構成重大風險的事件，都必須在合理可行的情況下盡快向證監會報告。 同時，與受影響客戶的透明溝通是維持信任的關鍵。 陳述 IV 也是正確的，因為立即採取技術措施來控制漏洞、保護系統和數據，是防止損害進一步擴大的首要技術任務。 相比之下，陳述 III 雖然出於善意，但在危機初期並非明智之舉。 在未完全了解損失範圍和法律責任之前，貿然承諾賠償可能會帶來不可預見的財務和法律後果。 賠償問題應在全面調查後再作考慮。 因此，陳述 I、II 及 IV 是正確的。

業務連續性計劃 (Business Continuity Plan, BCP) 是持牌法團風險管理框架中的一個關鍵組成部分，旨在確保在發生重大營運中斷時，關鍵業務功能能夠持續運作或在可接受的時間範圍內恢復。 根據證券及期貨事務監察委員會（證監會）的《操守準則》及相關指引，持牌法團有責任建立並維持有效的業務連續性安排。 陳述 I 不正確。 雖然資訊科技系統的恢復至關重要，但一個全面的業務連續性計劃必須涵蓋所有關鍵資源，包括人員、辦公場所、數據和供應商。 過度依賴遙距工作而忽略實體場所的安全和存取問題，可能會帶來新的風險，例如網絡安全漏洞或關鍵人員無法履行職責。 因此，計劃必須是全方位的。 陳述 II 正確。 在服務中斷期間，與所有持份者保持清晰、及時的溝通是至關重要的。 這不僅有助於管理客戶的期望和疑慮，也是一項監管要求。 持牌法團必須有明確的程序，以通報客戶、監管機構（如證監會）以及其他相關市場參與者（如結算所）有關服務中斷的性質、預計持續時間及應對措施。 陳述 III 正確。 未經測試的計劃是不可靠的。 監管機構期望持牌法團能定期對其業務連續性計劃進行測試和演練，以驗證其有效性並找出潛在的弱點。 這些測試應盡可能真實，例如模擬數據中心故障或網絡攻擊，並應涉及負責執行計劃的關鍵人員。 陳述 IV 不正確。 釐定恢復時間目標 (Recovery Time Objective, RTO) 時，對客戶的影響和維護市場穩定的責任是首要考慮因素，而非僅僅是成本。 忽略客戶影響可能導致嚴重的客戶損失和聲譽損害，並可能違反監管機構對保障客戶利益的要求。 成本效益分析是其中一個因素，但絕不能凌駕於客戶責任和市場完整性之上。 因此，陳述 II 及 III 是正確的。

根據證監會發出的《打擊洗錢及恐怖分子資金籌集指引》，當金融機構識別出較高的洗錢或恐怖分子資金籌集風險時，必須採取加強客戶盡職審查（EDD）措施。在此情境中，客戶來自一個反洗錢監管較為寬鬆的司法管轄區，並且其所有權結構異常複雜，這些都是典型的高風險指標。因此，正確的首要步驟是實施加強盡職審查，以深入了解其最終實益擁有人、資金來源及財富來源，從而評估和管理相關風險。正確的答案是，存管服務提供者應實施加強客戶盡職審查，以充分了解其所有權結構、資金來源及財富來源。 立即拒絕客戶申請並非指引建議的首要行動；金融機構的責任是先進行適當的審查以評估風險，而非在未經評估前便規避風險。 採用標準客戶盡職審查是不充分的，因為該客戶的背景已明顯存在高風險因素，這明確要求採取比標準程序更嚴格的審查措施。 在未發現任何具體可疑活動或交易，僅憑客戶的高風險背景就提交可疑交易報告，是不恰當且為時過早的。可疑交易報告應基於對客戶資金或活動的合理懷疑。.

根據證券及期貨事務監察委員會（證監會）發出的《操守準則》及相關通函，持牌法團必須備有周詳的業務連續性計劃（BCP），以應對可能干擾其營運的重大事件。 一個有效的業務連續性計劃應涵蓋多個關鍵範疇，以確保在發生中斷事件時，能將對客戶及市場的影響減至最低。 陳述 I 指出啟動備用數據中心以恢復關鍵營運功能。 這是業務連續性計劃的核心技術元素，旨在確保關鍵系統（如交易結算）能夠在主系統失效時迅速恢復，是恢復服務的首要步驟。 陳述 II 強調根據預先制定的溝通協議，及時通知受影響的客戶及監管機構。 透明及時的溝通是監管機構極為重視的一環。 在發生重大營運中斷時，法團有責任立即通知證監會，並向客戶清楚交代情況、預計恢復時間及任何臨時安排，以維持市場信心。 陳述 III 建議立即對所有員工進行額外的網絡安全培訓。 雖然持續的員工培訓對防範未來事件至關重要，但它並非應對當前系統中斷的即時應變措施。 在危機當下，首要任務是恢復服務、與持份者溝通及控制損害，培訓通常是事後檢討及改進措施的一部分。 陳述 IV 提到評估事件對資本充足率的潛在影響。 業務連續性計劃不僅關乎營運恢復，也涉及財務穩健性。 重大中斷事件可能引致財務損失或額外開支，法團必須評估其對速動資金的影響，並確保在任何時候均符合《證券及期貨（財政資源）規則》所訂的最低資本要求。 這是確保法團在危機中仍能履行其財務責任的關鍵風險管理措施。 因此，陳述 I、II 及 IV 是正確的。

在存管服務中，營運風險管理至關重要，尤其是在處理複雜且時效性強的企業行動時。 有效的內部監控是緩解此類風險的關鍵。 陳述 I 描述的「四眼原則」是一種基本的內部監控措施，要求由第二名員工覆核關鍵操作，從而顯著減少人為錯誤。 陳述 II 提出的自動化流程，可以從多個可靠來源獲取企業行動信息並與客戶持倉進行核對，這不僅提高了效率，也減少了因手動輸入或遺漏信息而產生的錯誤。 陳述 IV 強調建立清晰的升級處理程序，確保在出現異常或延誤時能夠及時通知管理層並採取糾正措施，這是控制潛在損失擴大的重要風險管理步驟。 然而，陳述 III 提出的僅依賴客戶指示而不進行獨立驗證，實際上會增加而非緩解風險。 存管人有責任根據市場公告等可靠來源核實信息的準確性，以保護客戶利益並履行其受信責任。 因此，陳述 I、II 及 IV 是正確的。

根據《證券及期貨條例》，證券及期貨事務監察委員會（證監會）是香港證券及期貨市場的主要監管機構。提供證券保管及存管服務屬於受規管活動（例如第1類－證券交易），因此從事此類業務的實體，不論其是否為銀行，都必須遵守證監會的規則和守則，特別是《證券及期貨事務監察委員會持牌人或註冊人操守準則》。因此，證監會是負責監督持牌法團在提供證券存管服務方面操守的主要機構。 香港金融管理局（金管局）是負責維持香港銀行體系穩定及貨幣穩定的監管機構。雖然它監管銀行（認可機構）的整體業務，但對於銀行屬下的證券業務，其日常操守及合規事宜則主要由證監會負責監管，這體現了香港的雙重監管體系。 財經事務及庫務局是香港政府的一個決策局，負責制定金融服務業的政策和法律框架，但它不直接對市場參與者進行日常的行為監管。 香港交易及結算所有限公司（香港交易所）是市場營運者，負責監管上市公司及交易所參與者的交易活動，其職能不包括監督存管服務提供者與客戶之間的服務及操守關係。.

在香港的監管框架下，證券及期貨事務監察委員會（證監會）是負責監管證券及期貨市場的主要機構。根據《證券及期貨條例》，提供資產託管服務，特別是為集體投資計劃（基金）提供此類服務，被視為受規管活動。因此，任何希望提供這類服務的實體，除非獲得豁免，否則必須向證監會申請適當的牌照，並在營運過程中遵守證監會頒布的守則和指引，接受其持續監管。香港金融管理局（金管局）主要負責監管銀行體系，雖然許多銀行也提供存管服務，但對於非銀行的金融機構，其證券相關的業務是由證監會監管。財經事務及庫務局是政府的政策制定機構，負責制定金融服務業的整體政策和法律框架，但不行使直接的日常監管職能。香港交易及結算所有限公司（香港交易所）是市場營運者，負責管理股票市場的交易和結算，並監管上市公司及交易所參與者的合規情況，但它不負責對存管服務提供者這類中介機構進行發牌或整體監管。.

此問題旨在評估考生對存管服務中營運風險緩解策略的理解。 有效的風險管理不僅僅是轉移風險，更重要的是建立強大的內部監控流程來預防和偵測風險事件。 I. 為高價值的企業行動處理實施雙重控制（dual-control）制度，是行業內一項基本的內部監控措施。 此舉能有效減少因人為錯誤或未經授權操作而導致的風險，確保交易的準確性和完整性。 II. 將與次級託管人的資產對賬頻率從每月增加到每週，能夠更及時地發現和解決差異。 頻繁的對賬縮短了錯誤或舞弊行為未被發現的時間窗口，從而降低了潛在的財務損失。 III. 購買保險是一種風險轉移（risk transfer）策略，而非風險緩解（risk mitigation）策略。 雖然保險可以在發生損失時提供財務補償，但它並不能防止風險事件的發生。 監管機構（如證監會）期望持牌法團建立健全的內部監控系統作為首要防線，而不是單純依賴保險來彌補監控不足。 IV. 自動化來自主要資訊來源（如證券交易所）的企業行動公告數據，可以顯著減少手動輸入數據時可能發生的人為錯誤。 這提高了數據的準確性和處理效率，是緩解營運風險的有效技術手段。 綜合以上分析，有效的風險緩解策略包括實施雙重控制、增加對賬頻率以及推動流程自動化。 因此，陳述 I、II 及 IV 是正確的。

此問題評估考生對香港存管服務監管框架中主要監管機構角色的理解。 陳述 I 是正確的。 根據《證券及期貨條例》，證券及期貨事務監察委員會（證監會）是負責監管香港證券及期貨市場的主要機構。 任何從事受規管活動（例如第1類 – 證券交易）的法團，除非獲得豁免，否則必須向證監會申領牌照。 提供託管服務通常是持牌法團在進行其主要受規管活動時附帶提供的服務，因此受到證監會的持續監管，並須遵守其發布的《操守準則》及其他相關規定。 陳述 II 是正確的。 香港金融管理局（金管局）是負責維持香港貨幣及銀行體系穩定的主要機構。 根據《銀行業條例》，金管局負責監管所有認可機構（即持牌銀行、有限制牌照銀行及接受存款公司）。 當這些認可機構作為註冊機構提供存管服務時，金管局會對其進行審慎監管，確保它們在資本充足、風險管理及營運穩健性方面符合標準。 陳述 III 是不正確的。 對認可機構（銀行）的審慎監管，包括確保其資本充足率，是金管局的主要職責，而非證監會。 證監會對作為註冊機構的銀行進行的監管，主要集中在其證券相關業務的操守方面，以確保其遵守《證券及期貨條例》下的行為準則。 陳述 IV 是不正確的。 國際證監會組織 (IOSCO) 是一個國際性的標準制定機構，其發布的原則旨在促進全球證券市場的合作與高標準監管。 然而，這些原則本身對個別市場的參與者（如香港的存管服務提供者）不具有直接的法律約束力。 香港證監會作為 IOSCO 的成員，會將這些國際標準納入本地的法律法規框架中，並由證監會負責在本地執行。 IOSCO 本身並不直接在香港執行其原則。 因此，陳述 I 及 II 是正確的。

內部審計在持牌法團的風險管理框架中扮演著關鍵的第三道防線角色，其主要職能是提供獨立和客觀的保證。 陳述 I 準確描述了內部審計的核心職責，即獨立評估公司風險管理流程和內部監控系統的設計是否充分以及運作是否有效。 陳述 II 同樣正確，因為確保營運活動符合《證券及期貨條例》、證監會發出的《操守準則》及其他相關法規，是內部審計的重要審查範圍，旨在識別合規差距。 陳述 IV 指出了內部審計的匯報責任，審計部門必須將其發現的問題、風險及改善建議，直接向審計委員會及高級管理層匯報，以確保問題得到適當的關注和處理。 然而，陳述 III 是不正確的。 設計和實施第一線的風險緩解策略是業務部門（第一道防線）和風險管理職能（第二道防線）的責任。 內部審計作為第三道防線，必須保持其獨立性，不應直接參與控制措施的設計與執行，否則會損害其客觀性。 因此，陳述 I、II 及 IV 是正確的。

一個健全的危機管理框架對於存管服務提供者至關重要，以應對營運中斷並維護客戶信任及監管合規性。 在網絡安全攻擊等危機事件中，有效的應對措施應包含多個關鍵階段。 陳述 I 是正確的。 立即啟動危機溝通計劃是首要步驟之一。 向客戶提供透明的資訊有助於管理他們的疑慮和期望，而及時向香港證券及期貨事務監察委員會（證監會）等監管機構通報，則是履行《證券及期貨條例》及相關守則下的監管責任。 陳述 II 是正確的。 啟動業務連續性計劃（BCP）是確保核心服務（如交易結算、資產保管和估值）能夠盡快恢復的關鍵。 這展示了機構的營運韌性，並最大限度地減少對客戶和市場的影響。 陳述 III 是正確的。 危機管理不僅僅是應對當前事件。 事後進行徹底的審查，以分析事件的根本原因和應對措施的成效，對於防止未來類似事件的發生和持續改進危機管理流程至關重要。 陳述 IV 是不正確的。 在危機期間，首要任務應是穩定系統、保護客戶資產及恢復核心營運功能。 雖然市場形象很重要，但將資源優先分配給非核心的增值服務，而非關鍵的保安和結算功能，將會是一個錯誤的優先級排序，可能加劇風險。 因此，陳述 I、II 及 III 是正確的。

根據證券及期貨事務監察委員會（SFC）的監管期望，持牌法團（包括存管服務提供者）必須制定並維持有效的業務連續性計劃（BCP），以應對可能中斷其關鍵業務運作的事件。BCP 的首要目標是確保在發生重大事故時，能夠及時恢復關鍵業務功能，以保障客戶資產、維持市場穩定性並履行其受託責任。在發生嚴重網絡攻擊導致主要數據中心癱瘓的情況下，最關鍵的即時行動是啟動災難恢復程序，將關鍵系統和操作轉移至備用站點，從而盡快恢復服務。這項行動直接處理了業務中斷的核心問題，並致力於將對客戶和市場的影響降至最低。雖然立即向證監會報告事件是強制性的監管要求，但通常是在啟動初步應對措施以控制局勢之後或與之同時進行。業務連續性計劃的執行是操作上的優先事項。同樣地，展開全面的法證調查以確定攻擊來源是至關重要的，但這是在穩定營運並恢復服務之後的步驟。在完全評估損害程度和恢復運作之前，與客戶討論賠償方案為時過早，且可能會傳達不準確的信息。.

業務連續性計劃 (BCP) 是持牌法團風險管理框架中不可或缺的一環，旨在確保在發生重大營運中斷事件時，關鍵業務功能能夠及時恢復，從而將對客戶和市場的影響降至最低。 根據香港證券及期貨事務監察委員會（證監會）發布的相關指引，例如《證券及期貨事務監察委員會持牌人或註冊人操守準則》及有關營運穩健性的通函，一個有效的 BCP 應具備多個關鍵要素。 陳述 I 是正確的。 BCP 不能僅僅是一份文件，必須透過定期測試和演習來驗證其可行性和有效性。 測試有助於識別計劃中的潛在缺陷、確保員工熟悉應變程序，並驗證備用系統和設施是否能按預期運作。 陳述 II 是正確的。 恢復時間目標 (RTO) 指的是業務功能必須恢復運作的最長可容忍時間，而恢復點目標 (RPO) 則指可容忍的最大數據丟失量。 為關鍵業務（如交易結算、資產託管）設定明確的 RTO 和 RPO，對於在危機中確定恢復工作的優先次序至關重要。 陳述 III 是不正確的。 將備用數據中心設於與主數據中心相同的建築物內，會造成單點故障風險。 如果該建築物發生火災、停電或結構性問題，主備系統將同時失效，這完全違背了 BCP 的核心原則，即地理位置分散以增強系統的韌性。 陳述 IV 是正確的。 在營運中斷期間，與內外部持份者進行清晰、及時的溝通至關重要。 一個全面的 BCP 必須包含詳細的溝通計劃，說明如何、何時以及向誰（包括客戶、證監會等監管機構及關鍵服務供應商）發布信息，以有效管理期望和維持市場信心。 因此，陳述 I、II 及 IV 是正確的。

根據香港的《打擊洗錢及恐怖分子資金籌集條例》（AMLO），當金融機構（包括存管服務提供者）的職員，例如洗錢報告主任（MLRO），懷疑任何財產是犯罪得益或與恐怖主義活動有關時，其首要法律責任是盡快向聯合財富情報組（JFIU）提交可疑交易報告（STR）。這是強制性的監管要求，旨在協助執法機構偵查和預防金融犯罪。延遲或未能提交報告均屬違法。正確的做法是內部評估懷疑的合理性，並在確定後立即向當局報告。其他行動，如與客戶溝通或凍結賬戶，必須謹慎處理，以免構成「通風報信」（tipping off）的罪行，即向客戶或第三方披露正在進行的調查或已提交的報告。直接聯絡客戶要求解釋可疑交易，可能會驚動客戶，使其轉移資產或銷毀證據，從而妨礙調查，這本身就是一項嚴重的罪行。單方面凍結客戶賬戶並非標準的首要程序，除非有執法機構的指示或明確的法律依據，否則可能會引致與客戶的法律糾紛。僅僅加強內部監察而不向外部報告，是沒有履行法規所訂明的舉報責任，無法滿足監管要求。.

根據證券及期貨事務監察委員會（證監會）的《單位信託及互惠基金守則》及《基金經理操守準則》，為證監會認可基金提供服務的存管人（或稱受託人/保管人）擔當著關鍵的監督角色，其職責遠超於單純的資產保管。 存管人對基金的投資者負有受信責任。 陳述 I 不正確。 存管人並非僅僅執行基金經理的指令。 其核心職責之一是監督基金經理的運作，確保其遵守基金章程文件（如信託契約）及相關監管規定。 若指令可能導致違規，存管人有責任提出質疑而非盲目執行。 陳述 II 正確。 存管人必須核實基金的投資和借貸活動是否符合基金章程文件及《單位信託及互惠基金守則》所訂明的限制。 這是其監督職能的基礎，旨在保護投資者的利益。 陳述 III 正確。 如果存管人察覺或有理由相信基金經理的行為違反了基金章程文件或相關法規，導致損害投資者利益，其有責任採取行動，包括向證監會匯報該等違規行為。 陳述 IV 不正確。 評估投資的風險水平及潛在回報，並作出投資決策，是基金經理的職責。 存管人的角色是確保該投資決策在合規的框架內進行，而不是就投資的優劣作出判斷或為基金的投資表現負責。 因此，陳述 II 及 III 是正確的。

根據《證券及期貨條例》，在香港提供證券託管服務屬於受規管活動。證券及期貨事務監察委員會（證監會）是負責向進行受規管活動的法團發牌並對其進行監管的法定機構。由於情境中的公司並非銀行，並計劃提供證券託管服務，它必須向證監會申請牌照（通常是第1類牌照—證券交易），並遵守證監會的持續監管規定，包括《證券及期貨(客戶款項)規則》和《證券及期貨(客戶證券)規則》。 香港金融管理局（金管局）是負責監管認可機構（即銀行）的機構。雖然許多大型託管服務提供者是銀行，並因此受到金管局的監管，但金管局的職權範圍不適用於非銀行機構。 強制性公積金計劃管理局（積金局）的職責是規管強制性公積金（MPF）計劃，包括核准MPF計劃的受託人和保管人。其監管範圍僅限於MPF相關的服務，而非情境中所述的向一般資產管理公司提供的廣泛託管服務。 公司註冊處負責處理香港所有公司的成立註冊事宜。雖然成立公司是經營業務的先決條件，但公司註冊處並非金融監管機構，不負責監管或發牌給從事金融服務（如證券託管）的公司。.

此問題評估考生對存管服務提供者所面臨的各類風險及其適當緩解策略的理解。 陳述 I 是正確的。 營運風險是存管服務的核心風險之一，涵蓋了因內部流程、人員、系統失誤或外部事件導致損失的風險。 交易結算失敗和系統中斷是典型的營運風險事件。 根據證監會的監管期望，持牌法團必須建立並維持有效的內部監控措施和穩健的業務連續性計劃（BCP），以確保在發生中斷時能夠持續提供關鍵服務，從而減輕此類風險。 陳述 II 是正確的。 存管服務提供者的信貸風險不同於商業銀行。 其主要風險來源於交易對手，例如在委任次級託管人（sub-custodian）時，若該次級託管人破產或違約，可能導致客戶資產損失。 同樣，在證券借貸業務中，借券方可能無法歸還證券，構成信貸風險。 存管人通常不直接向其託管客戶提供大規模信貸，因此其信貸風險主要集中在這些代理和交易對手關係上。 陳述 III 是不正確的。 市場風險是指因市場價格（如股價、利率、匯率）變動而導致投資組合價值下降的風險。 此風險由資產的所有者（即客戶）承擔，並由其投資經理負責管理。 存管人的核心職責是安全保管資產（safekeeping）和執行指令，而非管理客戶資產的市場風險或提供投資建議。 除非有明確的額外服務協議，否則存管人沒有責任為客戶的資產進行對沖保值。 陳述 IV 是正確的。 流動性風險是指存管人可能沒有足夠的現金或可輕易變現的資產來履行其短期支付義務，例如完成證券交易的結算。 這種風險在市場壓力大、資金流動性緊張時尤為突出。 有效的現金管理策略以及與其代理銀行網絡的穩固關係是管理流動性風險的關鍵。 因此，陳述 I、II 及 IV 是正確的。

此問題旨在評估考生對存管服務中營運風險緩解策略的理解。 營運風險是指因內部流程、人員及系統不足或失效，或因外部事件而導致損失的風險。 I. 實施雙重控制原則（或四眼原則）是金融服務業中一項基本的內部監控措施。 它要求至少有兩名員工授權關鍵操作，例如高價值交易或對核心系統的重大更改。 這能有效減少因人為錯誤或欺詐行為所引致的營運風險。 II. 業務連續性計劃 (BCP) 和災難恢復 (DR) 是管理營運中斷風險的關鍵部分。 僅僅制定計劃並不足夠，必須定期進行全面測試，以確保在發生重大事故（如系統故障、自然災害）時，機構能夠迅速恢復關鍵業務功能，將損失減至最低。 這是監管機構（如證監會和金管局）對持牌機構在營運韌性方面的主要期望。 III. 使用衍生工具對沖資產組合的價值波動，是管理市場風險的策略，而非營運風險。 市場風險是指因市場價格（如利率、匯率、股價）變動而導致投資組合價值下跌的風險。 雖然這是一種重要的風險管理技巧，但它並不直接處理因內部流程或系統失效所引致的營運風險。 IV. 人為失誤是營運風險的主要來源之一。 為員工提供關於標準操作流程、合規要求及新興威脅（如網絡釣魚、社交工程）的強制性持續培訓，能顯著提高員工的風險意識和操作準確性，從而降低因疏忽或缺乏知識而引發營-運事故的可能性。 因此，陳述 I、II 及 IV 是正確的。

根據證監會的《單位信託及互惠基金守則》，基金的存管人（或受託人）在基金管理中扮演著至關重要的獨立監督角色，以保障投資者的利益。 陳述 I 正確地指出了存管人的核心職責之一，即獨立地保管基金的資產，並確保這些資產與基金管理公司自身的資產完全分開，以防止資產被挪用。 陳述 II 描述了存管人的另一項關鍵監督職能，即監察基金經理的活動，確保其投資行為遵守基金章程文件（如信託契約）中訂明的投資目標和限制。 陳述 IV 也是正確的，存管人有責任核實基金單位或股份的價格計算，確保其發行、贖回和註銷的價格是按照基金章程文件規定的方法準確計算，從而保障所有投資者的公平性。 然而，陳述 III 是不正確的。 存管人的職責是監督和保管，而非向最終投資者提供投資建議。 提供投資建議是基金經理或分銷商的角色，若存管人參與其中，將會產生嚴重的利益衝突。 因此，陳述 I、II 及 IV 是正確的。

根據香港的金融監管框架，證券及期貨事務監察委員會（證監會）是負責監管香港證券及期貨市場的主要機構。其職責包括為集體投資計劃（例如單位信託及互惠基金）的受託人／保管人設定監管要求。根據《證券及期貨條例》以及證監會發布的相關守則，例如《單位信託及互惠基金守則》，為證監會認可的基金提供資產保管服務屬於受規管活動，因此直接受證監會的監督。證監會確保保管人具備足夠的資源、內部監控及獨立性，以妥善保管基金資產，保障投資者利益。 香港金融管理局（金管局）是負責維持貨幣及銀行體系穩定的政府機構，主要監管對象為認可機構（即銀行）。雖然許多提供保管服務的機構本身是銀行，但其為集體投資計劃提供保管服務的職能，則主要受證監會的規則所規管。 香港交易及結算所有限公司（港交所）是香港證券及衍生產品市場的營運者，並作為上市公司的前線監管機構，但它並不直接監管基金保管人的操守或其保管職能。 財經事務及庫務局是香港政府負責制定金融服務業政策及法例的決策局，而非日常運作的監管機構。.

此問題旨在評估考生對在香港為證監會認可的集體投資計劃提供存管服務的發牌規定的理解。 陳述 I 是正確的。 根據《2022年證券及期貨及公司法例（修訂）條例》，為證監會認可的集體投資計劃（CIS）擔任存管人（即保管人或受託人）的活動，已被界定為新的第13類受規管活動（RA13）「提供存款服務」。 因此，任何希望從事此類活動的機構，除非獲得豁免，否則必須向證券及期貨事務監察委員會（證監會）申請並持有RA13牌照。 陳述 II 是不正確的。 雖然根據《銀行業條例》註冊的認可機構（AI）主要受香港金融管理局（金管局）監管，但如果它們從事《證券及期貨條例》所定義的受規管活動，它們仍需向證監會註冊。 就RA13而言，即使是認可機構，也必須向證監會註冊成為「註冊機構」，才能為證監會認可的CIS提供存管服務。 其業務會受到證監會和金管局的共同監管。 陳述 III 是不正確的。 根據《證券及期貨（財政資源）規則》，持牌法團必須維持規定的最低實繳股本和最低速動資金。 雖然具體金額取決於其牌照類型和業務性質，但「無須遵守任何流動資本規定」的說法是錯誤的。 維持足夠的速動資金是確保持牌法團財政穩健的關鍵監管要求。 陳述 IV 是正確的。 根據證監會的《勝任能力的指引》，申請牌照的法團必須委任至少兩名負責人員（RO），其中至少一名必須是執行董事。 這些負責人員必須符合有關學歷、行業經驗及管理經驗的規定，以有效監督該受規管活動的運營。 因此，陳述 I 及 IV 是正確的。

根據《證券及期貨條例》，在香港從事受規管活動的公司必須獲得證券及期貨事務監察委員會（證監會）的許可。為集體投資計劃提供保管和受託服務屬於受規管活動的範疇，特別是與資產管理和證券交易相關的活動。證監會負責發牌、監督和執行適用於持牌法團的規則，以確保投資者得到保障和市場的廉潔。證監會的《單位信託及互惠基金守則》亦對認可基金的受託人／保管人設定了具體資格和持續責任要求。因此，為證監會認可基金提供存管服務的機構，其主要監管機構是證監會。 香港金融管理局（金管局）是負責監管銀行業務和維持貨幣及銀行體系穩定的政府機構。雖然許多提供託管服務的機構是銀行，並因此受到金管局的監管，但就其證券相關的業務而言，它們仍需作為「註冊機構」遵守證監會的規則和規定。對於非銀行的存管服務提供者，證監會是其唯一的金融服務監管機構。 公司註冊處負責香港公司的註冊成立和法定文件的存檔，並不負責金融服務的行為監管。 香港交易及結算所有限公司（港交所）負責營運和監管香港的證券及衍生產品市場。雖然存管人會與其結算系統（如中央結算系統）進行互動，但港交所並非負責發牌或監督存管服務提供者整體業務操守的主要監管機構。.

在香港，金融服務的監管框架是按職能劃分的，不同的監管機構負責監督不同類型的金融活動。就存管服務而言，主要的監管機構取決於所服務的產品類型。正確的答案是，該公司需要同時接受證券及期貨事務監察委員會（證監會）和強制性公積金計劃管理局（積金局）的監管。證監會根據《證券及期貨條例》負責監管證券及期貨市場，包括為證監會認可的集體投資計劃（基金）提供託管服務的機構。這類活動通常需要相關的牌照。另一方面，強制性公積金（強積金）計劃有其專門的監管機構，即積金局。積金局負責規管和監督強積金制度的運作，包括審批和監察為強積金計劃提供服務的核准受託人及保管人。因此，一家同時為這兩類計劃提供服務的公司，其為基金提供的服務會受到證監會的監管，而其為強積金計劃提供的服務則會受到積金局的監管。其他選項不正確，因為香港金融管理局（金管局）主要負責監管銀行體系，而該公司並非銀行；財經事務及庫務局負責制定政策而非直接進行日常監管。認為證監會負責其所有活動的說法忽略了積金局在強積金領域的專門法定職能。香港交易及結算所有限公司是市場營運者，而公司註冊處負責公司成立事宜，兩者均不負責對存管服務提供者進行持續的審慎監管。.

業務連續性計劃 (Business Continuity Plan, BCP) 是金融機構風險管理框架的關鍵組成部分，旨在確保在發生重大營運中斷時，能夠及時恢復關鍵業務功能，從而最大限度地減少對客戶、市場及機構本身的影響。 根據香港證券及期貨事務監察委員會（證監會）的相關指引，一個穩健的BCP應具備多個核心元素。 陳述 I 正確地指出了BCP的首要目標，即確保關鍵業務（如交易結算、資產保管、估值等）能夠在預先設定的可接受時間範圍內恢復。 這對於保護客戶資產和維持市場穩定至關重要。 陳述 II 同樣正確。 在危機期間，有效的溝通是控制局勢、維持客戶信任和履行監管義務的關鍵。 BCP必須包含一個周詳的溝通策略，明確界定與內部員工、受影響客戶以及監管機構（如證監會和香港金融管理局）的溝通渠道、內容和時間表。 陳述 III 是不正確的。 雖然從中斷事件中學習並加強預防措施是整體風險管理的一部分，但BCP本身的主要目標是「應對和恢復」(response and recovery)，而不是「預防」(prevention)。 BCP假設中斷事件已經發生，其重點在於如何有效地應對並從中恢復，而非保證未來不再發生類似事件。 將預防作為其「主要目標」是對BCP角色的誤解。 陳述 IV 是正確的。 BCP並非一份一成不變的文件。 監管機構要求持牌法團定期對其BCP進行測試（例如桌面演練或全面模擬），以驗證其有效性。 此外，還必須根據測試結果、內部業務變化或外部環境（如新的網絡威脅）的演變，對計劃進行檢討和更新。 因此，陳述 I、II 及 IV 是正確的。