Политика и процедуры противодействия отмыванию денег: полное руководство по соблюдению нормативных требований.

Политика и процедуры противодействия отмыванию денег: полное руководство по соблюдению нормативных требований.

Банки — не единственные, кому следует беспокоиться об отмывании денег. Криптовалютные биржи, платежные системы, онлайн-магазины — если ваш бизнес занимается переводом денег, какой-нибудь регулирующий орган рано или поздно спросит, как вы предотвращаете прохождение через него незаконных средств. Ваш ответ должен быть зафиксирован в письменном виде. Это ваша политика противодействия отмыванию денег (AML), и если вы допустите ошибки в политике и процедурах AML , вас ждут штрафы, заморозка счетов и репутационный ущерб, который будет ощущаться и после любого нарушения.

Итак, что же на самом деле входит в состав таких документов? В этом руководстве подробно рассматривается содержание политики противодействия отмыванию денег (AML), почему регуляторы требуют ее наличия и как создать структуру, которая выдержит проверку. Неважно, управляете ли вы банком, финтех-стартапом или компанией, занимающейся криптовалютными платежами — логика остается той же.

Что представляют собой политики и процедуры противодействия отмыванию денег?

Политика противодействия отмыванию денег (AML) — это письменный свод правил вашей организации по выявлению, пресечению и сообщению об отмывании денег и финансировании терроризма. Рассматривайте её как «что» и «почему» — допустимый уровень риска, какие типы клиентов сразу же отклоняются, кто из сотрудников за что отвечает. Вся эта дисциплина называется противодействием отмыванию денег, или AML, и регулирующие органы используют этот термин как сокращение для обозначения практически любого контроля, направленного на предотвращение попадания грязных денег в финансовую систему.

Процедуры описывают «как». Транзакция каким-то образом помечается. Кто-то ее проверяет. Составляется отчет о подозрительной деятельности в соответствии со специфической процедурой. Политика и процедуры вместе составляют часть того, что обычно называют программой соответствия требованиям по борьбе с отмыванием денег, которая также включает в себя обучение, технологии и независимые аудиты.

Люди постоянно путают эти термины, но регулирующие органы этого не делают. Политика, не подкрепленная никакими процедурами, по сути, не подлежит исполнению. Процедуры, не имеющие под собой правовой основы, не имеют никакой юридической силы.

Вот почему это различие действительно важно в повседневной работе: проверяющий не просто проверяет наличие документа с политикой где-то в ящике. Он извлекает реальные транзакции и отслеживает их по вашим процедурам, проверяя, соответствуют ли документы тому, что произошло на самом деле. Многие политики прекрасно выглядят на бумаге, но рушатся, как только кто-то проверяет их по реальным файлам — это один из самых распространенных пробелов, которые аудиторы обнаруживают в малых и средних фирмах.

Почему каждому бизнесу необходима политика противодействия отмыванию денег (AML).

Речь идёт не о каком-то незначительном преступлении. По оценкам ООН, ежегодно отмывается от 2 до 5% мирового ВВП, а только в 2023 году через мировую экономику прошло более 3 триллионов долларов незаконных средств. Каждая компания, которая не контролирует этот поток через свои двери, сознательно или нет, становится частью этой системы.

Регуляторы это знают, поэтому финансовые учреждения, компании, предоставляющие финансовые услуги, и теперь уже криптокомпании — все они сталкиваются с обязательными обязательствами по соблюдению требований по борьбе с отмыванием денег. Наказания варьируются от штрафов до полного лишения лицензии на деятельность. И юридический риск, честно говоря, составляет меньшую половину проблемы — скандал с отмыванием денег надолго остается в памяти клиентов и партнеров.

Аудиторы и регулирующие органы в первую очередь запрашивают документально оформленную политику, прежде чем предъявлять какие-либо другие требования. Отсутствие политики означает невозможность доказать добросовестность, даже если ваши повседневные действия совершенно разумны.

Достаточно взглянуть на историю правоприменения. Регуляторы по всему миру продолжают налагать многомиллионные штрафы за сбои в программах противодействия отмыванию денег, и зачастую само отмывание денег даже не было доказано — штраф налагался из-за пробелов в политике, обучении или мониторинге, которые делали невозможным продемонстрировать предотвращение. Хорошо разработанная политика обходится гораздо дешевле, чем такой риск.

Политика и процедуры противодействия отмыванию денег: полное руководство по соблюдению нормативных требований.

Основные законы и правила по борьбе с отмыванием денег, которые вы должны знать.

Требования к противодействию отмыванию денег различаются в зависимости от юрисдикции, но ряд рамок лежит в основе практически каждой современной политики. Понимание этих рамок — самый быстрый способ узнать, что должен охватывать ваш документ.

Регулирование Область Основное требование
Закон о банковской тайне (BSA) Соединенные Штаты Требуется ведение учета, отчетность о подозрительных транзакциях и наличие письменной программы противодействия отмыванию денег.
Закон США о борьбе с терроризмом, раздел 352 Соединенные Штаты Закон предусматривает четыре основных направления: специалист по соблюдению нормативных требований, обучение, тестирование и внутренний контроль.
Директивы ЕС по борьбе с отмыванием денег (AMLD) Евросоюз Унифицирует правила проверки благонадежности клиентов, определения бенефициарного владельца и отчетности во всех государствах-членах.
Рекомендации FATF Глобальный Устанавливает международный стандарт, на основе которого строятся национальные законы о борьбе с отмыванием денег.

Ни одна из этих рамок не является необязательной. Это базовый уровень, и политика, игнорирующая ту, которая актуальна для вашего региона, не пройдет первую проверку регулирующих органов. В частности, Группа разработки финансовых мер борьбы с отмыванием денег (FATF) устанавливает эталон, на основе которого создаются большинство национальных законов о борьбе с отмыванием денег и финансированием терроризма. Именно поэтому формулировки FATF встречаются в политиках, разработанных в разных уголках мира.

Основные компоненты, которые должна включать каждая политика противодействия отмыванию денег.

Раздел 352 Закона США о борьбе с терроризмом (USA PATRIOT Act) устанавливает четыре обязательных компонента для письменной программы соблюдения требований по борьбе с отмыванием денег, и большинство глобальных нормативных актов в значительной степени их повторяют. Любая политика, в которой отсутствует хотя бы один из этих компонентов, считается неполной по нормативным стандартам:

  • Назначенный сотрудник по вопросам соблюдения нормативных требований, ответственный за повседневный надзор за противодействием отмыванию денег и подготовку отчетности для регулирующих органов.
  • Постоянное обучение сотрудников, охватывающее вопросы выявления тревожных сигналов, обязанностей по отчетности и обновлений в законодательстве.
  • Независимое тестирование или аудит для подтверждения того, что программа работает так, как написано, а не только так, как задумано.
  • Разработаны письменные политики, процедуры и механизмы внутреннего контроля , охватывающие процесс привлечения клиентов посредством мониторинга транзакций.

Современные политики противодействия отмыванию денег, как правило, добавляют к четырем основным компонентам еще два элемента: документированную оценку рисков противодействия отмыванию денег и процесс проверки на соответствие санкциям. Регуляторы все чаще рассматривают оба компонента как обязательные, даже если закон не прописывает их явно.

Распространенная ошибка заключается в том, что эти компоненты рассматриваются как контрольный список, который нужно выполнить один раз, а не как живая система. Например, должность специалиста по соблюдению нормативных требований требует реальных полномочий и бюджета. Должность без того и другого не выдержит критики, если регулирующие органы спросят, кто на самом деле имеет право заблокировать подозрительный счет. Обучение, которое проводится один раз при приеме на работу и больше никогда не повторяется, быстро устаревает и не соответствует новым типологиям и обновленным правилам.

Проверка благонадежности клиентов и процедуры, основанные на оценке рисков.

Проверка благонадежности клиента (Customer due diligence, CDD) — это, по сути, выяснение того, с кем вы на самом деле ведете бизнес, как при регистрации, так и после нее. Это означает подтверждение личности, понимание того, чем на самом деле занимается клиент, и отслеживание всего, что может показаться подозрительным. Оценка рисков в сфере противодействия отмыванию денег (AML) показывает, куда следует направить дополнительные усилия — какие учетные записи требуют быстрой проверки, а какие — тщательного изучения.

Риск распределяется между клиентами неравномерно, и в этом вся суть риск-ориентированного подхода. Политически значимые лица, клиенты, находящиеся в юрисдикциях с высоким риском, счета, перемещающие деньги по странным схемам — все они требуют усиленной проверки. Более глубокие проверки биографических данных. Более частый мониторинг. Согласие вышестоящего лица перед дальнейшим развитием отношений с клиентом. Упустите из виду политически значимого человека, и вы быстро привлечете внимание регулирующих органов, поэтому не включайте эту проверку в общий процесс регистрации — выделите для нее отдельный этап.

Затем следует проверка на соответствие санкциям, проверка новых клиентов (и, честно говоря, транзакций тоже) по государственным спискам, таким как OFAC, прежде чем деньги куда-либо переместятся. Пропуск этого этапа – одна из самых дорогостоящих ошибок, которые может допустить политика противодействия отмыванию денег.

После регистрации все это не прекращается. Клиент, который казался совершенно безопасным в первый день, может таковым не оставаться — увеличение объемов транзакций, появление новых контрагентов в рискованных местах, активность, которая перестает соответствовать тому, что клиент вам говорил о своем бизнесе. Хорошие политики, основанные на оценке рисков, пересматривают рейтинги клиентов по расписанию, а не рассматривают первую проверку как разовый этап.

Пошаговое создание структуры вашей политики противодействия отмыванию денег.

Написать политику противодействия отмыванию денег с нуля проще, если следовать определенной последовательности. Вот порядок действий, который позволит создать обоснованный, готовый к аудиту документ:

  1. Проведите оценку рисков — определите, какие товары, клиенты и географические регионы подвергают вас наибольшему риску отмывания денег.
  2. Назначьте сотрудника по вопросам соблюдения нормативных требований или ответственного за противодействие отмыванию денег — лицо, обладающее полномочиями и ресурсами для повседневного управления программой.
  3. Определите сферу действия политики и допустимый уровень риска — четко укажите, какие типы клиентов и виды деятельности допустимы, ограничены или запрещены.
  4. Настройте триггеры для проверки благонадежности клиента (CDD) и расширенной комплексной проверки — точно укажите, когда стандартные проверки переходят в более глубокий анализ.
  5. Создайте правила мониторинга транзакций — определите пороговые значения и шаблоны, которые запускают внутренние оповещения.
  6. Создайте процедуру сообщения о подозрительной деятельности (SAR) — задокументируйте, кто рассматривает оповещения и как документы направляются регулирующим органам.
  7. Обучите весь соответствующий персонал — не только сотрудников отделов по соблюдению нормативных требований, но и всех, кто работает с клиентами или совершает сделки.
  8. Запланируйте независимые аудиты — внесите регулярную проверку в свой календарь до вступления политики в силу, а не после того, как регулирующий орган запросит ее.

Следование этому порядку позволяет избежать распространенной ошибки: написания подробных инструкций до проведения базовой оценки рисков. Пропуск этого шага обычно приводит к необходимости переписывать половину документа позже.

Большинство компаний могут подготовить рабочий проект этой структуры за четыре-шесть недель, хотя сроки сильно зависят от количества продуктовых линеек и юрисдикций, которые необходимо охватить политикой. Компании, пытающиеся уложиться в несколько дней, обычно используют общие формулировки, заимствованные из шаблонов. Эти формулировки выглядят полными, но не отражают реальный профиль риска, и именно это аудитор заметит в первую очередь.

Мониторинг, аудит и обновление процедур противодействия отмыванию денег.

Эффективность вашей политики напрямую зависит от качества системы мониторинга транзакций. Независимо от того, является ли эта система ручной или автоматизированной, она должна выявлять структурирование операций, необычно быстрое движение средств или активность, не соответствующую обычному профилю клиента.

Когда что-то кажется подозрительным, важен каждый момент. Согласно Закону о банковской тайне, у предприятий обычно есть 30 дней на подачу отчета о подозрительной деятельности, после чего начинают применяться штрафные санкции за задержку. И не выбрасывайте документы после этого — удостоверения личности, журналы транзакций, отчеты о подозрительной деятельности (SAR) — все это должно храниться в течение пяти лет в соответствии с Законом о банковской тайне и директивой ЕС AMLD4.

Необходимо пересматривать не только проводимые через нее транзакции, но и саму политику. Нормативно-правовые нормы меняются, бизнес-модели претерпевают изменения, появляются новые методы отмывания денег. Большинство команд по соблюдению нормативных требований пересматривают свою политику противодействия отмыванию денег как минимум раз в год, а также вносят дополнительные обновления всякий раз, когда нормативные требования или уровень риска изменяются настолько, что это имеет значение.

Вопросы соблюдения международных норм противодействия отмыванию денег

Если вы остаетесь в одной стране, вам необходимо соблюдать только одну нормативно-правовую базу. Пересекая границы, внезапно ваша политика должна соответствовать сразу нескольким нормативным требованиям, не допуская при этом противоречий между ними.

Как правило, большинство команд по обеспечению соответствия занимаются следующим: разрабатывают одну основную глобальную политику, а затем добавляют к ней локальные дополнения для каждой юрисдикции. Основная политика охватывает универсальные вопросы, риск-ориентированный подход, проверку благонадежности клиентов (CDD), проверку на соответствие санкциям. Дополнения касаются локальных форматов отчетности, того, к кому обращаться в регулирующий орган, и пороговых значений, которые различаются в зависимости от страны.

Финтех- и криптокомпании ощущают это давление сильнее всего, поскольку многие из них обслуживают клиентов в десятках юрисдикций еще до того, как отметят свою первую годовщину. Необходимо иметь единый глобальный документ, который централизованно пересматривается и применяется на местном уровне. Именно так можно избежать пробелов, возникающих, когда региональные политики составляются задним числом, а не разрабатываются с самого начала.

Здесь дело не только в документах. Сделка, которая не вызывает подозрений в соответствии с пороговыми значениями одной страны, может повлечь за собой обязательное сообщение в другой. Так кто же принимает решение, когда две системы не совпадают? Обычно это делает один человек — сотрудник по вопросам соблюдения нормативных требований или ответственный за противодействие отмыванию денег, которому необходимо понимать, в чем именно заключаются расхождения в пороговых значениях.

Политика и процедуры противодействия отмыванию денег: полное руководство по соблюдению нормативных требований.

Соответствие требованиям AML для криптовалютных и цифровых платежных систем.

Криптовалюты подвергаются более тщательному контролю в сфере противодействия отмыванию денег, чем большинство традиционных финтех-компаний, и, честно говоря, нетрудно понять почему. Псевдонимные кошельки, переводы, пересекающие границы за считанные секунды, расчеты на основе блокчейна, осуществляемые быстрее, чем банковский перевод — все это повышает ставки для регуляторов, стремящихся предотвратить отмывание денег и финансирование терроризма в цифровых активах. И этот контроль напрямую ложится на тех, кто обрабатывает криптовалютные платежи.

Для того чтобы политика противодействия отмыванию денег (AML) была готова к работе с криптовалютами, необходимо учесть несколько моментов, которые стандартный шаблон для финансовых услуг просто не охватывает:

  • Перед принятием средств адрес кошелька проверяется по базам данных о известной незаконной деятельности и санкциях.
  • Мониторинг транзакций в блокчейне , отслеживающий движение средств на нескольких этапах, а не только у непосредственного отправителя.
  • Четкие процедуры эскалации для транзакций, связанных с миксерами, биржами высокого риска или адресами из черного списка.

Если вы занимаетесь электронной коммерцией и принимаете криптовалюту, создание всей этой инфраструктуры самостоятельно — излишне. Более простой вариант: работайте с платежным процессором, который уже имеет встроенные средства контроля AML и KYC. Plisio обрабатывает проверку кошельков и транзакций в рамках своей инфраструктуры, поэтому продавцы могут принимать криптовалюту, не неся на себе всю ответственность за соблюдение нормативных требований в одиночку.

Этот разрыв гораздо серьезнее, чем кажется на первый взгляд. Продавец, создающий систему обработки платежей с использованием криптовалюты на базе процессора без каких-либо средств контроля за противодействием отмыванию денег, незаметно принимает на себя этот риск — никто этого не замечает, пока регулятор или банковский партнер не начнут задавать серьезные вопросы о наличии незаконных средств. Выберите инфраструктуру, которая уже обрабатывает эти проверки, и у вас будет готов ответ еще до того, как кто-либо задаст вопрос.

Заключительные мысли

Надежная политика противодействия отмыванию денег — это не документ, который вы пишете один раз и откладываете в сторону. Это живая система, требующая мониторинга, аудита и регулярных обновлений по мере развития нормативных актов и рисков. Если правильно заложить основы, провести четкую оценку рисков, определить процедуры должной осмотрительности, назначить ответственного за соблюдение нормативных требований, и любой бизнес, от традиционного банка до платформы криптовалютных платежей, окажется в выигрыше перед большинством проверок регулирующих органов.

Проблемы с соблюдением требований по борьбе с отмыванием денег редко возникают у компаний, которые сталкиваются с действительно новыми рисками — это те, кто рассматривал свою политику как разовую бумажную процедуру, а не как операционную систему. Создание надежных политик и процедур по борьбе с отмыванием денег с самого начала, с учетом реальной ответственности и регулярного пересмотра, обходится гораздо дешевле, чем их перестройка после того, как нарушение вынуждает к этому.

Любые вопросы?

Четыре пункта прописаны непосредственно в Законе США о борьбе с терроризмом (USA PATRIOT Act): ответственный за соблюдение требований, обучение, независимое тестирование, внутренний контроль. Пятый пункт в закон никто не вносил, но документированная оценка рисков стала настолько распространенной, что ее все равно добавляют.

Допустимый уровень риска. Правила CDD. Проверка на соответствие санкциям. Пороговые значения мониторинга. Процесс подачи отчетов о подозрительной деятельности. Требования к обучению. График аудита. И имя человека, которому все это принадлежит.

Краткий ответ: если вы банк, кредитный союз, компания по оказанию финансовых услуг, криптовалютная биржа или казино, то да. Более подробный ответ — регулирующие органы постоянно расширяют список «высокорисковых» организаций, поэтому проверьте требования вашей конкретной юрисдикции, а не предполагайте, что вы освобождены от них.

Как минимум, раз в год. Чаще, если меняются правила, вы выходите на новый рынок или проверка выявляет какие-либо проблемы. Политика, которая не менялась в течение двух лет, по сути, является приглашением для аудитора обнаружить проблемы.

В повседневной работе они рассматривают оповещения и решают, какие из них следует передать на рассмотрение вышестоящим инстанциям. Когда поступает документ от регулирующего органа, он проходит через них. Когда проводится аудит, они являются контактным лицом. Практически во всех основных системах противодействия отмыванию денег эта должность является обязательной.

Степень наказания варьируется. Иногда это штраф и крайний срок для устранения нарушений. Иногда банк незаметно закрывает ваш счет. В худших случаях отзывают лицензии, а отдельные сотрудники несут личную ответственность за умышленную халатность.

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.