За последние годы суммы штрафов за нарушения AML compliance в ЕС стабильно превышают 6–7 млрд евро ежегодно, при этом значительная доля претензий регуляторов связана не с «криминальными» транзакциями, а с банальными пробелами в документах и слабой подготовкой к AML audit. В COREDO мы регулярно видим, как компании с сильным бизнесом теряют счета, лицензии и месяцами «размораживают» операции только потому, что в момент AML проверки у них нет системного чек-листа документов.
Если вы масштабируетесь в ЕС, выходите в Азию или развиваете бизнес в странах СНГ, ключевой вопрос звучит не как «пройдет ли компания AML audit», а как: «каким будет ущерб, если вы войдете в аудит неподготовленными?» Потерянные месяцы, блокировки, замороженные выплаты партнерам, срыв сделок и переоценка рисков банками, это реальность, с которой моя команда сталкивается в кейсах клиентов каждый квартал.
В этом гайде я разберу, какие документы нужны перед AML аудитом в 2025 году, как выстроить рабочий AML audit checklist под требования FATF AML standards, 6AMLD, AMLR и будущего наднационального регулятора AMLA, и покажу на живых кейсах COREDO, как подготовка к аудиту превращается из формальности в инструмент стратегического управления рисками.
Чек-лист AML audit
Минимальный набор документов, который я ожидаю увидеть у компании перед внутренним или external AML audit в Европе, Азии или СНГ, обычно включает:
— AML / CFT policy и процедуры CDD/EDD
— KYC документы по клиентам (физическим и корпоративным)
— документы по ultimate beneficial owners (UBO) и структуре владения
— beneficial ownership registry / реестр контролирующих лиц (там, где обязателен)
— transaction monitoring logs и правила transaction anomaly detection
— журнал suspicious activity reports (SAR) и переписку с регуляторами/банками
— PEP identification и sanctions watchlist / adverse media отчеты
— результаты risk assessment с описанием risk-based AML approach
— training logs по обучению сотрудников AML-процедурам
— audit trail documentation по ключевым решениям compliance.
В COREDO мы для удобства структурируем это в таблицу (упрощенная версия):
| Документ/артефакт | Цель в AML audit | Риск при отсутствии |
|—————————————|——————————————————|———————————————-|
| AML / CFT Policy | Доказать наличие устойчивого compliance framework | Штрафы, претензии к руководству |
| Процедуры CDD/EDD | Показать, как вы применяете FATF AML standards | Квалификация как high-risk institution |
| KYC файлы по клиентам | Подтвердить корректный onboarding workflow | Блокировка счетов/лицензии |
| Реестр UBO / beneficial owners AML | Раскрытие структуры владения | подозрение в обходе санкций/налогов |
| Transaction monitoring logs | Подтверждение пост-мониторинга | обвинения в невыявлении подозрительных транзакций |
| SAR отчеты | Демонстрация взаимодействия с FIU | вопросы по «молчанию» при явных рисках |
| PEP / sanctions screening отчеты | Проверка high-risk лиц и юрисдикций | санкционные и репутационные риски |
| Risk assessment / risk model | Обоснование risk-based AML approach | «tick-box» обвинения от аудиторов |
| Training & internal audit reports | Подтверждение AML program maturity | выводы о формальном compliance |
Дальше разберем каждый блок глубже.
AML audit: что это и зачем готовить документы
Под AML audit я всегда подразумеваю не только формальную проверку, но и стресс-тест всей вашей системы управления рисками отмывания средств и финансирования терроризма:
— внутренний AML аудит (internal AML audit): ваша собственная проверка или аудит, заказанный у независимого консультанта до прихода регулятора или банка;
— external AML audit: проверка лицензирующего органа, AMLA / национального надзора, центрального банка или аудитора, аккредитованного регулятором.
По сути, AML audit — это проверка, насколько ваш compliance framework соответствует FATF recommendations, 6AMLD requirements, будущим AMLR regulations и национальным AML законам.
— снижает риск ложноположительных алертов (false positives), так как вы можете откалибровать правила, провести risk model пересмотр и объяснить логику фильтров аудитору;
— уменьшает ложноотрицательные риски (false negatives) — на этапе внутренней проверки COREDO часто находит клиентов или транзакции, которые внешние аудиты потом обязательно бы подняли.
По данным европейских банковских ассоциаций, до 40% блокировок счетов бизнеса в ЕС связаны с недостаточно полным KYC и неструктурированными данными клиентов, а не с реальными нарушениями AML. Это та зона, которую грамотная подготовка к AML auditu полностью контролирует.
Документы для AML аудита и KYC
Любой AML audit checklist начинается с KYC документов. Это фундамент, на который опирается вся AML проверка.
Базовый набор KYC verification documents:
— для физических лиц:
— паспорт / ID;
— proof of address (utility bill, bank statement, eID);
— источник дохода / source-of-funds verification (зарплата, дивиденды, продажи активов);
— для компаний:
— учредительные документы, регистрационный сертификат;
— устав / articles of association;
— список директоров и акционеров;
— лицензии (банковские, платежные, инвестиционные, крипто и др.);
— данные по UBO.
Чтобы упростить клиентам структуру, в COREDO используем таблицу:
| Тип клиента | Обязательные файлы | Формат хранения |
|—————————|—————————————————|——————————————|
| Физическое лицо | Паспорт, proof of address, SOF/SOW | PDF/scan + структурированные поля в CRM |
| Корпоративный клиент | Рег. документы, устав, лицензии, UBO данные | DMS + связанная карточка в AML системе |
| Trust / фонд | Trust deed, данные settlor/beneficiaries | DMS + отдельный UBO/beneficial owners AML модуль |
Подготовка к AML аудиту по risk-based подходу
Современный AML audit опирается на risk-based AML approach. Регуляторы и AMLA ожидают, что вы:
— сегментируете клиентов по рискам (с помощью customer risk scoring);
— учитываете geographic risk profiling (high-risk jurisdictions в Азии, офшорные центры, страны с особыми санкционными режимами);
— документируете source-of-funds verification и enhanced Due Diligence (EDD) по повышенным рискам.
Практика COREDO показала: компании, которые документируют risk assessment в отдельном пакете для AML аудита (отдельный файл по модели рисков, протоколы ее пересмотра, minutes комитетов), легче проходят external AML audit. Аудитору проще увидеть не «идеальный мир», а вашу осознанную модель управления риском.
Классический цикл:
- Первичное KYC / CDD при onboarding.
- Повышенная проверка (EDD) для high-risk клиентов (PEP, сложная структура, high-risk jurisdictions).
- Постоянный post-onboarding monitoring (transaction monitoring, adverse media, санкции).
- Периодический risk model пересмотр и обновление KYC документов.
Тренд 2025 года: переход на digital onboarding, eKYC для AML и биометрическая идентификация, особенно в финтехе, платежных компаниях, криптосервисах, онлайн-банкинге.
Отдельный блок, с которым команда COREDO сейчас работает чаще всего: как подготовить KYC документы к AML проверке 2025 с учетом eIDAS, 6AMLD и ожидаемых AMLR:
- обеспечить юридическую значимость eKYC (электронные подписи, проверяемые идентификаторы);
- настроить хранение KYC с корректной data normalization (единые форматы имен, адресов, идентификаторов для последующего screening);
- интегрировать API для AML screening с основными sanctions watchlist и негативными СМИ (adverse media).
eKYC документы для AML аудита небанковских компаний
У небанковских компаний (риелторы, инвестиционные платформы, PSP, венчурные фонды) требования к eKYC документам часто менее формализованы, но практическая ответственность, та же.
В одном из проектов COREDO для крупного риелторского холдинга в ЕС мы строили список документов для внутреннего AML аудита риелторов с учетом eKYC:
— сканы ID + selfie / видео-идентификация;
— проверка адреса через utility APIs;
— подтверждение источника средств для крупных сделок (инвестиционная миграция, покупка через SPV);
— логи верификации через API для AML screening (PEP, санкции, adverse media).
Сравнение подходов:
| Метод | Преимущества | Требования 6AMLD / 2025 |
|——————|————————————————|———————————-|
| Traditional KYC | Понятен регуляторам, прост в аудите | Должна быть оцифровка и trail |
| eKYC | Скорость, масштабируемость, digital onboarding | Надежная идентификация, защита данных, audit trail |
Beneficial owners AML и реестр UBO
— полноте раскрытия ultimate beneficial owners (UBO);
— ведению и обновлению beneficial ownership registry;
— документированию цепочки владения, включая трасты, фонды и SPV.
В COREDO мы часто делаем для клиентов corporate structure audit перед AML audit: строим карту владения, проверяем санкционные риски на каждом уровне, анализируем правило 50% в отношении санкций. Для бизнеса из СНГ нераскрытие UBO в ЕС и Великобритании уже приводит к:
- отказу в открытии счетов;
- отказам в лицензиях;
- блокировке при попытке M&A или инвестиционной миграции.
Ваш AML audit checklist обязательно должен включать:
- актуальные реестры акционеров;
- документы по структуре групп;
- протоколы по обновлению данных UBO;
- соответствие национальным реестрам (там, где они обязательны).
Чек-лист AML compliance для аудита
Для устойчивого бизнеса я всегда разделяю два уровня проверки:
- внутренний AML аудит, регулярная самопроверка, позволяющая увидеть пробелы до регулятора или банка;
- external AML audit / AML compliance audit — аудиты регуляторов, AMLA, центральных банков, лицензирующих органов, а также независимых внешних аудиторов.
Хорошо выстроенный внутренний AML аудит: это инструмент regulatory fine mitigation и роста AML program maturity.
— доля false positives в AML screening и динамика их снижения;
— время обработки алерта и эскалации;
— доля кейсов, по которым формируются suspicious activity reports (SAR);
— среднее время подготовки SAR;
— количество выявленных нарушений при тестовом аудите vs. external AML audit.
Для риелторов, финтех-платформ, платежных компаний внутренний AML аудит мы строим вокруг документов и логов.
| Категория | Примеры документов | Частота проверки |
|——————————|————————————————|————————-|
| Политики и процедуры | AML policy, KYC/CDD/EDD, SAR procedures | Ежегодно / при изменениях |
| Клиентские досье (KYC) | KYC packs, risk scoring, UBO данные | Выборочно ежеквартально |
| мониторинг транзакций | Transaction monitoring logs, velocity checks | Ежемесячно |
| Screening & PEP | PEP screening AML отчеты, sanctions lists | Постоянно + выборка |
| Третьи стороны | third-party risk assessment по провайдерам | Ежегодно |
| Обучение | Training logs, тесты сотрудников | Ежегодно |
| Internal findings | Отчеты внутреннего AML аудита | Ежеквартально |
Отдельно мы закладываем проверку transaction anomaly detection — как настроены правила, какие типы сценариев используются, как документируется ручная дооценка.
Подготовка SAR отчётов перед AML аудитом
Для многих компаний слабое место, блок SAR. Регуляторы и банки смотрят не только на факт подачи suspicious activity reports (SAR), но и на:
— качество описания кейсов;
— обоснование подозрений;
— связку между transaction monitoring logs и принятым решением;
— наличие audit trail documentation по каждому SAR-кейсу.
Задача, с которой к COREDO приходят часто: подготовка отчётов SAR перед внешним AML аудитом и выстраивание стандарта, соответствующего FATF recommendations и требованиям FIU в разных юрисдикциях.
— AI-инструменты и графовые нейронные сети (GNN) для анализа связей и паттернов;
— внедрение velocity checks и поведенческих сценариев;
— калибровку правил для снижения false positives при сохранении низких false negatives.
AML требования 2025: 6AMLD, AMLR, AMLA
— 6AMLD requirements усиливают уголовную ответственность и расширяют перечень predicate offences;
— AMLR regulations переводят часть требований из директив (минимальная гармонизация) в прямые регламенты (единые правила для всех стран ЕС);
— создается AMLA (Anti-Money Laundering Authority), которая получит надзор над крупными финансовыми институтами и будет задавать стандарты AMLA guidelines и AMLA compliance checklist.
Для компаний это значит: чеклист документов перед AML аудитом в ЕС перестает быть локальным — вам нужен единый стандарт, который выдержит проверку сразу в нескольких странах (multi-jurisdictional compliance).
Когда мы в COREDO проводим подготовку к гипотетической AMLA проверке, фокусируемся на изменениях чек-листа:
| Регуляторный блок | Новое требование | Документы в чек-листе |
|————————|————————————-|———————————————|
| 6AMLD | Расширенный список преступлений | Обновленный risk assessment, policy |
| AMLR | Единые минимальные стандарты CDD | Унифицированные процедуры и шаблоны KYC |
| AMLA | Централизованный надзор | Кросс-юрисдикционные отчеты по рискам |
Здесь выигрывают компании, которые уже внедрили:
- единую compliance framework по всем странам присутствия;
- стандартизированный AML audit checklist;
- центральное хранилище данных с качественной audit trail documentation.
PEP screening, AML и санкционные списки
Блок PEP screening AML и проверка санкций, один из первых, который смотрит любой аудитор.
Качественный процесс включает:
- PEP identification с учетом местных и международных списков;
- сквозной screening по sanctions watchlist (OFAC, ЕС, UK, OОН и др.);
- отслеживание adverse media с учетом мультиязычные данные screening (особенно важно для Азии и СНГ);
- использование fuzzy logic screening для поиска вариантов написания имен.
— explainable AI в AML для объяснения, почему система пометила того или иного клиента;
— инструментам, которые помогают снизить ложноположительные алерты без роста слепых зон.
Оптимизация перед AML аудитом
Когда объем транзакций растет, ручное управление AML рисками становится непропорционально дорогим.
На практике команда COREDO комбинирует:
- No-Code AML интеграция — визуальные конструкторы для быстрого изменения правил без вмешательства разработчиков;
- API для AML screening — подключение к санкционным, PEP, adverse media базам;
- continual learning в AML и GNN-модели, адаптация правил по мере поступления новых данных;
- гомоморфное шифрование (FHE): там, где требуется совместная аналитика с партнерами без раскрытия сырых данных.
Задача — одновременно:
- снизить нагрузку на команду;
- сократить ложноположительные алерты;
- подготовить систему к пиковым нагрузкам аудита (запросы регуляторов, проверки банков).
В одной из азиатских финтех-групп, с которой работала команда COREDO, переход на комбинацию No-Code AML и explainable AI в screening позволил:
- уменьшить false positives более чем на 35%;
- при этом сократить время подготовки материалов к AML аудиту примерно вдвое.
Метрики KPI и тестирование AML
Любая автоматизация без метрик быстро теряет управляемость. Перед серьезным регуляторным AML audit мы закладываем:
- метрики KPI для оценки AML процедур перед аудитом:
- False positive rate и динамика;
- среднее время обработки алерта;
- доля алертов, перешедших в SAR;
- SLA по обновлению санкционных списков;
- тестирование AML процедур перед регуляторным аудитом: по сути, репетиция external AML audit.
Как подготовиться к AML аудиту в 2025
Чтобы перевести теорию в понятный план действий, использую структуру, с которой мы в COREDO заходим в проекты по ЕС, Азии и СНГ.
| Шаг | Срок (ориентир) | Ответственный |
|—————————————|—————————|——————————|
| Диагностика текущего AML framework| 2–4 недели | Compliance / внешние консультанты |
| Обновление политик под 6AMLD/AMLR | 2–3 недели | Compliance + юристы |
| Инвентаризация KYC / UBO файлов | 3–6 недель | AML / операционный блок |
| Настройка eKYC и screening | 4–8 недель | IT + AML |
| Оптимизация transaction monitoring| 4–6 недель | AML / риск-менеджмент |
| Пилотный внутренний AML аудит | 3–4 недели | Внутренний аудит / COREDO |
| Корректирующие действия | 4–8 недель | Руководство + функции |
| Подготовка к внешнему аудиту | 2–4 недели | Compliance + внешние консультанты |
На практике в COREDO мы адаптируем этот план под масштаб компании, тип лицензий (крипто, платежные, инвестиционные, форекс, банковские) и юрисдикции (ЕС, Великобритания, Сингапур, Дубай, Чехия, Словакия, Эстония и др.).
Ключевые выводы и рекомендации
Если обобщить десятки проектов, которые команда COREDO реализовала в Европе, Азии и СНГ, картина складывается так:
- Полный и живой AML audit checklist: ваш лучший инструмент против штрафов и блокировок. Он ускоряет регистрации и Лицензирование, снижает риск жестких вопросов от регуляторов и банков.
- Регулярный внутренний AML аудит с четким набором документов и KPI поднимает вашу AML program maturity и делает внешний аудит управляемым событием, а не кризисом.
- Инвестировать в eKYC, No-Code AML и explainable AI в AML сегодня: значит купить себе гибкость и ROI на горизонте 3–5 лет, особенно при росте транзакций в Азии и мультиюрисдикционном бизнесе.
Если вам нужен практический чеклист AML audit под конкретную юрисдикцию или вы планируете лицензирование и масштабирование в ЕС, Сингапур, Дубай или другие регионы, команда COREDO может провести для вас экспресс-диагностику, построить индивидуальный AML checklist и провести тестовый аудит перед регулятором.