Політики та процедури боротьби з відмиванням коштів: повний посібник з дотримання вимог
Банки — не єдині, кому потрібно турбуватися про відмивання грошей. Криптовалютні біржі, платіжні системи, онлайн-продавці — якщо ваш бізнес переміщує гроші, регулятор десь зрештою запитає, як ви запобігаєте незаконному протіканню коштів через нього. Ваша відповідь має бути у письмовій формі. Це ваша політика боротьби з відмиванням грошей, а якщо ви неправильно дотримуєтеся політик і процедур боротьби з відмиванням грошей , вас чекають штрафи, замороження рахунків і репутаційний безлад, який триватиме довше, ніж будь-яке порушення, яке його спричинило.
Отже, що ж насправді входить до одного з цих документів? У цьому посібнику пояснюється, що містить політика боротьби з відмиванням коштів, чому регуляторні органи вимагають її та як створити систему, яка витримає аудит. Незалежно від того, чи ви керуєте банком, фінтех-стартапом чи бізнесом криптовалютних платежів — логіка, що лежить в основі, однакова.
Що таке політика та процедури боротьби з відмиванням коштів?
Політика боротьби з відмиванням грошей (AML) – це письмовий збірник правил вашої організації щодо виявлення, припинення та повідомлення про відмивання грошей та фінансування тероризму. Уявіть собі це як питання «що» та «чому» – схильність до ризику, яким типам клієнтів відмовляють одразу, хто зі співробітників за що відповідає. Вся ця дисципліна називається боротьбою з відмиванням грошей, або AML, і регуляторні органи використовують цей термін як скорочення для будь-якого контролю, спрямованого на запобігання потраплянню брудних грошей у фінансову систему.
Процедури охоплюють питання «як». Транзакцію якимось чином позначають. Хтось її переглядає. Звіт про підозрілу діяльність подається відповідно до певної процедури. Політика та процедури разом складають частину того, що зазвичай називають програмою дотримання вимог AML, яка також включає навчання, технології та незалежні аудити.
Люди постійно плутають ці терміни, але регуляторні органи — ні. Політика без процедур, що її підкріплюють, по суті, не має юридичної сили. Процедури без політичної підтримки не мають юридичної сили.
Ось чому ця відмінність насправді важлива щодня: експерт не просто перевірятиме, чи документ про політику існує десь у шухляді. Він витягне реальні транзакції та відстежить їх через ваші процедури, перевіряючи, чи відповідають документи тому, що насправді сталося. Багато політик чудово читаються на папері та руйнуються в той момент, коли хтось перевіряє їх на реальних файлах — це один із найпоширеніших недоліків, які аудитори виявляють у малих та середніх фірмах.
Чому кожному бізнесу потрібна політика боротьби з відмиванням коштів
Ми говоримо не про якийсь маргінальний злочин. ООН оцінює щорічне відмивання 2–5% світового ВВП, і лише у 2023 році через світову економіку пройшло понад 3 трильйони доларів незаконних коштів. Кожен бізнес, який свідомо чи ні, не контролює цей потік через власні двері, стає частиною цього каналу.
Регулятори знають про це, тому фінансові установи, компанії, що надають грошові послуги, а тепер і криптокомпанії, стикаються з обов'язковими зобов'язаннями щодо дотримання правил боротьби з відмиванням грошей. Штрафи варіюються від штрафів до повної позбавлення ліцензії на діяльність. І юридичний ризик, чесно кажучи, є меншою половиною проблеми — скандал із відмиванням грошей залишається в пам'яті клієнтів і партнерів на роки.
Аудитори та регуляторні органи спочатку запитують задокументовану політику, перш ніж будь-що інше. Відсутність політики означає відсутність способу довести сумлінність, навіть якщо те, що ви насправді робите щодня, цілком розумно.
Просто погляньте на історію правозастосування. Регулятори по всьому світу продовжують накладати багатомільйонні штрафи за збої в програмах боротьби з відмиванням грошей, і часто саме відмивання грошей навіть не було доведено — штраф випливав із прогалин у політиці, навчанні чи моніторингу, що унеможливлювало запобігання. Добре розроблена політика коштує набагато менше, ніж такий вид викриття.

Ключові закони та правила боротьби з відмиванням коштів, які ви повинні знати
Вимоги щодо боротьби з відмиванням коштів різняться залежно від юрисдикції, але майже кожну політику, що пишеться сьогодні, формує лише кілька нормативних актів. Розуміння цих документів – це найшвидший спосіб дізнатися, що саме має охоплювати ваш документ.
| Регулювання | Регіон | Основна вимога |
|---|---|---|
| Закон про банківську таємницю (BSA) | Сполучені Штати | Вимагає ведення обліку, звітування про підозрілі транзакції та письмової програми боротьби з відмиванням коштів |
| Закон США «Патріот», розділ 352 | Сполучені Штати | Має чотири основні принципи: відповідальний за дотримання вимог, навчання, тестування та внутрішній контроль |
| Директиви ЄС щодо боротьби з відмиванням грошей (AMLD) | Європейський Союз | Гармонізує правила належної перевірки клієнтів, бенефіціарної власності та звітності в державах-членах |
| Рекомендації FATF | Глобальний | Встановлює міжнародний стандарт, на якому базуються національні закони про боротьбу з відмиванням коштів |
Жодна з цих структур не є необов'язковим доповненням. Вони є базовими, і політика, яка ігнорує ту, що стосується вашого регіону діяльності, не пройде перший регуляторний перегляд. Зокрема, Група з розробки фінансових заходів боротьби з відмиванням грошей (FATF) встановлює орієнтир, на якому змодельовано більшість національних законів про боротьбу з відмиванням грошей та фінансуванням тероризму. Саме тому формулювання FATF зустрічається в політиках, написаних за океанами одна від одної.
Основні компоненти, які має включати кожна політика боротьби з відмиванням коштів
У розділі 352 Закону США «Патріот» визначено чотири обов’язкові основи письмової програми дотримання правил боротьби з відмиванням коштів, і більшість глобальних рамкових документів точно відображають їх. Будь-яка політика, в якій відсутній один із цих елементів, вважається неповною згідно з регуляторними стандартами:
- Призначений співробітник з дотримання вимог, відповідальний за щоденний нагляд за боротьбою з відмиванням коштів та звітність регуляторних органів
- Постійне навчання співробітників, що охоплює тривожні сигнали, обов'язки щодо звітності та оновлення нормативних актів
- Незалежне тестування або аудит для підтвердження того, що програма працює так, як написано, а не просто так, як було розроблено
- Письмові політики, процедури та внутрішній контроль, що охоплюють адаптацію клієнтів шляхом моніторингу транзакцій
Сучасні політики боротьби з відмиванням грошей зазвичай додають ще два компоненти на додаток до чотирьох основних складових: задокументовану оцінку ризиків боротьби з відмиванням грошей та процес перевірки санкцій. Регулятори все частіше ставляться до обох компонентів так, як очікується, навіть якщо закон прямо не вказує на них.
Частою помилкою є ставлення до цих компонентів як до контрольного списку для одноразового виконання, а не до живої системи. Наприклад, посада відповідального за дотримання вимог потребує реальних повноважень та бюджету. Посада без жодного з них не витримає, якщо регуляторні органи запитують, хто насправді має право заморожувати підозрілий рахунок. Навчання, яке проводиться один раз під час адаптації та ніколи більше не проводиться, також швидко виходить з ладу з новими типологіями та оновленими правилами.
Процедури належної перевірки клієнтів та оцінки ризиків
Перевірка клієнта, або CDD, означає просто з'ясувати, з ким ви насправді маєте справу, як під час реєстрації, так і після неї. Це означає підтвердження особи, розуміння того, що клієнт насправді робить, і спостереження за всім, що виглядає незвично. Оцінка ризиків AML підкаже вам, куди докласти додаткових зусиль — які облікові записи потребують двохвилинної перевірки, а які заслуговують на ретельну увагу.
Ризик розподіляється нерівномірно між клієнтами, і в цьому полягає вся суть ризик-орієнтованого підходу. Політично значущі особи, клієнти з юрисдикцій високого ризику, рахунки, що переміщують гроші дивними способами — усі вони потребують посиленої належної перевірки. Глибшої перевірки біографічних даних. Частішого моніторингу. Схвалення від когось із керівництва перед подальшим веденням рахунку. Якщо ви пропустите політично значущу особу, ви швидко привернете увагу регуляторних органів, тому не робіть цю перевірку загальною адаптацією — виділіть цьому окремий крок.
Потім є перевірка на відповідність санкціям, перевірка нових клієнтів (і, чесно кажучи, транзакцій також) на відповідність урядовим спискам, таким як OFAC, перш ніж гроші кудись перемістяться. Пропустіть це, і ви зробите одну з найдорожчих помилок, які може містити політика боротьби з відмиванням коштів.
Нічого з цього не припиняється після реєстрації. Клієнт, який виглядав цілком безпечним у перший день, може таким не залишитися — більші обсяги транзакцій, нові контрагенти в ризикованих місцях, активність, яка перестає відповідати тому, що вони вам казали про свій бізнес. Гарні політики, що ґрунтуються на ризиках, передбачають перегляд рейтингів клієнтів за графіком, а не ставлення до першої перевірки як до одноразового кроку.
Крок за кроком: створення вашої системи політики боротьби з відмиванням коштів
Написання політики AML з чистого аркуша легше, якщо дотримуватися фіксованої послідовності. Ось порядок, який дозволяє створити документ, що підлягає захисту та готовий до аудиту:
- Проведіть оцінку ризиків — визначте, які продукти, клієнти та географічні регіони наражають вас на найвищий ризик відмивання грошей.
- Призначте відповідального за дотримання вимог або MLRO — людину, яка має повноваження та ресурси для щоденного управління програмою.
- Визначте сферу дії політики та схильність до ризику — чітко вкажіть, які типи клієнтів та дії є прийнятними, обмеженими або забороненими.
- Встановіть тригери належної перевірки клієнта (CDD) та посиленої перевірки — точно вкажіть, коли стандартні перевірки переходять до поглибленого розгляду.
- Створіть правила моніторингу транзакцій — визначте порогові значення та шаблони, які запускають внутрішні сповіщення.
- Встановіть процес звітування про підозрілу діяльність (SAR) — задокументуйте, хто переглядає сповіщення та як документи подаються до регуляторних органів.
- Навчіть усіх відповідних співробітників — не лише команди з дотримання вимог, а й усіх, хто працює з клієнтами або має справу з транзакціями.
- Плануйте незалежні аудити — вносьте періодичні перевірки до календаря перед тим, як політика набуде чинності, а не після того, як про це запитує регулятор.
Дотримання цього порядку дозволяє уникнути поширеної помилки: написання детальних процедур до проведення базової оцінки ризиків. Пропускаючи цей крок, ви зазвичай переписуєте половину документа пізніше.
Більшість підприємств можуть завершити робочий варіант цієї структури за чотири-шість тижнів, хоча терміни значною мірою залежать від того, скільки продуктових лінійок та юрисдикцій має охоплювати політика. Фірми, які намагаються стиснути це до кількох днів, зазвичай отримують загальні формулювання, запозичені з шаблонів. Такі формулювання виглядають завершеними, але вони не відображають їхній фактичний профіль ризику, і саме це аудитор помітить першим.
Моніторинг, аудит та оновлення процедур боротьби з відмиванням грошей
Ваша політика ефективна настільки, наскільки ефективна система моніторингу транзакцій, що стоїть за нею. Незалежно від того, чи ця система ручна, чи автоматизована, вона повинна виявляти структурування, надзвичайно швидкий рух коштів або активність, яка просто не відповідає звичайному профілю клієнта.
Вибір часу має значення, коли щось виглядає підозрілим. Згідно із Законом про банківську таємницю, підприємства зазвичай мають 30 днів, щоб подати звіт про підозрілу діяльність, перш ніж набувають чинності штрафи за затримку. І не викидайте документи після цього — документи, що посвідчують особу, журнали транзакцій, звіти про дотримання правил, все це має зберігатися протягом п’яти років згідно із Законом про банківську таємницю та EU AMLD4.
Сама політика також потребує перегляду, а не лише транзакції, що проходять через неї. Змінюються правила, змінюються бізнес-моделі, з'являються нові тактики відмивання коштів. Більшість команд з дотримання вимог переглядають свою політику боротьби з відмиванням коштів принаймні раз на рік, а також вносять додаткові оновлення, коли правила або рівень ризику змінюються настільки, що стають важливими.
Міркування щодо дотримання міжнародних вимог щодо боротьби з відмиванням коштів
Залишайтеся в одній країні, і у вас буде одна регуляторна база, якій потрібно відповідати. Якщо ж ви перетинаєте кордони, то раптом ваша політика має відповідати кільком базам одночасно, щоб жодна з них не суперечила одна одній.
Що насправді робить більшість команд з комплаєнсу: пише одну основну глобальну політику, а потім додає до неї місцеві додатки для кожної юрисдикції. Основна політика охоплює універсальні питання, підхід на основі ризиків, належну перевірку клієнтів, скринінг на предмет санкцій. Додатки стосуються форматів місцевої звітності, до кого звертатися в регуляторі та порогових значень, які змінюються в різних країнах.
Фінтех- та крипто-бізнеси відчувають цей тиск найбільше, оскільки багато з них обслуговують клієнтів у десятках юрисдикцій ще до того, як відзначать свою першу річницю. Зберігайте політику як єдиний глобальний документ, який переглядається централізовано та застосовується на місцевому рівні. Саме так ви уникаєте прогалин, які виникають, коли регіональні політики формуються постфактум, а не розробляються таким чином з самого початку.
Це не тільки паперова робота. Транзакція, яка не піднімає жодних ознак нижче порогових значень однієї країни, може призвести до обов'язкового звітування деінде. Тож хто приймає рішення, коли дві структури розходяться? Зазвичай це доручається одній людині – відповідальному за дотримання вимог або MLRO, який повинен насправді розуміти, де розходяться порогові значення.

Відповідність вимогам AML для криптовалютних та цифрових платіжних компаній
Криптовалюта піддається більшій перевірці з точки зору боротьби з відмиванням грошей, ніж більшість традиційних фінтех-компаній, і, чесно кажучи, неважко зрозуміти, чому. Псевдонімні гаманці, перекази, що перетинають кордони за лічені секунди, розрахунки в блокчейні, що здійснюються швидше, ніж банківський переказ, — все це підвищує ставки для регуляторів, які намагаються запобігти відмиванню грошей та фінансуванню тероризму подалі від цифрових активів. І ця перевірка безпосередньо спрямована на тих, хто обробляє криптоплатежі.
Політика AML, готова до роботи з криптовалютами, потребує кількох речей, які стандартний шаблон для фінансових послуг просто не охоплює:
- Перевірка адреси гаманця на наявність відомої незаконної діяльності та баз даних санкцій перед прийняттям коштів
- Моніторинг транзакцій у мережі , який відстежує потоки коштів через кілька переходів, а не лише безпосереднього відправника
- Чіткі шляхи ескалації для транзакцій, що включають міксери, високоризикові біржі або адреси з чорного списку
Якщо ви займаєтесь електронною комерцією та приймаєте криптовалюту, створювати всю цю інфраструктуру самостійно – це зайве. Простіший шлях: співпрацюйте з платіжним процесором, який вже має вбудовані засоби контролю AML та KYC. Plisio обробляє перевірку гаманців та транзакцій як частину своєї інфраструктури, тому продавці можуть приймати криптовалюту, не беручи на себе весь тягар дотримання вимог самостійно.
Цей розрив більший, ніж здається на перший погляд. Торговець, який будує криптовалютну касову систему на процесорі з нульовим контролем AML, успадковує цей ризик непомітно — ніхто цього не помічає, доки регулятор або банківський партнер не почне ставити складні запитання щодо впливу незаконних коштів. Виберіть інфраструктуру, яка вже займається скринінгом, і у вас буде готова відповідь ще до того, як хтось запитає.
Заключні думки
Міцна політика боротьби з відмиванням коштів – це не документ, який ви пишете один раз і зберігаєте. Це жива структура, яка потребує моніторингу, аудиту та регулярних оновлень у міру розвитку правил та ризиків. Правильно встановіть основи, проведіть чітку оцінку ризиків, визначте процедури належної перевірки, призначте відповідального за дотримання вимог, і будь-який бізнес, від традиційного банку до платформи криптовалютних платежів, зрештою випередить більшість регуляторних перевірок.
Підприємства, які мають труднощі з дотриманням правил боротьби з відмиванням коштів, рідко стикаються з по-справжньому новими ризиками — це ті, хто ставиться до своєї політики як до одноразової паперової роботи, а не як до операційної системи. Створення надійних політик і процедур боротьби з відмиванням коштів з самого початку, з реальним відповідальністю та регулярним переглядом, набагато дешевше, ніж їх перебудова після того, як порушення призведе до проблеми.