Новости

Описание кейса

К сотрудникам компании COREDO обратился клиент, который с целью сохранения анонимности будет далее обозначаться как «Клиент А». Данный клиент является эмитентом электронных денег с возможностью предоставлять платежные услуги, который на момент обращения в компанию COREDO еще не начал вести свою деятельность и был заинтересован в разработке полноценной AML системы, которая бы соответствовала всем требованиям регуляторов и выполняла свою основную функцию – защищала бы компанию клиента от рисков, что её услуги будут использоваться для незаконных целей.

Так как Клиент А не имел никаких ранее настроенных AML процессов или политик, перед сотрудниками компании COREDO стояла задача создать полноценную и эффективную AML систему «с нуля».

Оценка рисков деятельности клиента и рисков, связанных с пользователями клиента

Основополагающим подходом для противодействия рискам, связанным с ОД/ФТ, является так называемый «риск-ориентированный подход», или «подход, основанный на оценке рисков». Основная идея заключается в том, что компетентные органы и финансовые учреждения должны выявлять и оценивать риски ОД/ФТ, которым они подвержены и принимать меры, соответствующие этим рискам. Проще говоря, устанавливается приоритетность рисков. Данный подход помогает разумно распределить имеющиеся ресурсы и избежать ущерба, связанного с наиболее вероятными рискам, которым подвержена деятельности организации.

При разработке AML системы для Клиента А мы руководствовались именно риск-ориентированным подходом, поэтому в первую очередь была проведена детальная оценка рисков, которая состояла из следующих этапов:AML system development from scratch

  1. Определение объёма и структуры деятельности клиента. 

На данном этапе мы получили от Клиента А подробное описание его бизнеса, организационной структуры и услуг, которые он предоставляет.

  1. Оценка потенциальных рисков присущих деятельности клиента.

На основе информации, полученной от клиента, а также собранных в ходе собственного исследования материалах, мы провели оценку его бизнеса. Такая оценка включала в себя:

  • выявление факторов риска использования продуктов и услуг Клиента А для ОД/ФТ,
  • выявление факторов риска, которые несут пользователи продуктов и услуг Клиента А,
  • определение риск-аппетита, то есть приемлемого уровня риска, который Клиент А готов принять на себя для достижения своих стратегических целей.
  1. Определение механизмов контроля и противодействия рискам. 

Этот этап включал в себя определение и планирование основных мер по противодействию выявленным рискам и установлению эффективных механизмов защиты. С учетом ранее заявленных пожеланий Клиента А, мы предложили ему:

  • Настроить процесс онбординга, включая методологию проведения идентификации, надлежащих проверок и оценки рисков пользователей.
  • Разработать процесс мониторинга пользователей и их деятельности в период предоставления продуктов и услуг Клиентом А.
  • Выстроить систему взаимодействия сотрудников Клиента А в соответствии с моделью трёх линий защиты, а также разработать методологию обучения и оценивания знаний данных сотрудников.
  • Настроить методы внешних и внутренних проверок, а также составления отчётов для эффективного управления со стороны руководства компании.
  • Разработать внутренние AML процедуры и политики Клиента А, для эффективного применения ранее перечисленных методов.
  1. Утверждение назначенной стратегии.

После уточнения всех нюансов, клиент ознакомился с результатами оценки рисков и утвердил предложенную стратегию разработки AML системы.

Настройка процесса онбординга

Онбординг — это процесс, предшествующий установлению деловых отношений с клиентом, или предоставлению заинтересовавших его продуктов и услуг. На протяжении процесса онбординга перед организацией стоят две основные задачи: познакомить клиента с желаемым продуктом и самим «познакомиться» с клиентом. В контексте сферы AML, первостепенной целью является именно вторая задача, то есть, знакомство с клиентом с применением принципа «знай своего клиента».

Мы настраивали процесс онбординга таким образом, чтобы Клиент А мог чётко понимать кто является пользователем его продукта и чем он занимается, какие риски для Клиента А может представлять данный пользователь, как и с какой целью он будет использовать желаемый продукт и откуда поступают средства для финансирования сделки.

Сотрудничество с Клиентом А включало следующие этапы:

  1. Установление методов и инструментов идентификации пользователей.

Так как Клиенту А было необходимо получать развернутую информацию о пользователях, нами была разработана KYC анкета, которая является одним из наиболее эффективных методов сбора структурированных данных.

Мы рекомендуем своим клиентам те методы идентификации, которые разрешены с точки зрения AML закона в юрисдикции, где их бизнес зарегистрирован. В данном случае клиенту были предложены на выбор три метода идентификации: «face-to-face» идентификация, удаленная идентификация и идентификация с помощью технологий. Клиент А решил, что будет использовать все три способа идентификации пользователей, поэтому мы определили порядок действий для каждого метода.

Далее необходимо было определить, какие источники информации будут считаться валидными для подтверждения идентификационных данных пользователей, поэтому мы составили список требований к запрашиваемым документам.

Стоит отдельно выделить очень важный этап идентификации пользователей – это скрининг на предмет санкционных ограничений или обладания статусом политически значимой персоны (PEP). Несмотря на то, что обычно AML законы не ограничивают организации каким-то определённым методом скрининга, мы рекомендуем нашим клиентам использовать специальные сервисы, которые значительно ускоряют и автоматизируют процесс проверки. Поэтому в данном случае мы предложили Клиенту А несколько сервисов на выбор.

  1. Разработка мер должной осмотрительности клиентов.

Должная осмотрительность, или due diligence это комплекс мер направленный на проведение всесторонней проверки клиентов на предмет потенциальных рисков с точки зрения ОД/ФТ.

Методология проведения due diligence для Клиента А создавалась в соответствии с риск-ориентированным подходом, когда чем выше потенциальный риск пользователя, тем тщательнее будет проверка и тем большее количество документов и информации необходимо получить. То есть мы разработали меры для обычной проверки клиентов с низким и средним риском ОД/ФТ и углублённой проверки для пользователей с высоким риском.

Также Клиенту А были предложены следующие инструменты проведения due diligence:

  • Анкета, которую должен заполнять сотрудник комплаенса и которая служит своеобразным чек-листом для информации о конкретном пользователе. Она помогает структурировать данные и провести общее исследование того, что Клиенту А известно о пользователе, включая развернутый анализ его деятельности и источники финансирования данной деятельности. Также это отличный способ архивирования сведений для последующих проверок.
  • Список документов, которые необходимо запросить при подтверждении имеющихся данных о пользователе, а также список других источников информации, которые можно считать валидными для этих целей.
  • Способы оценки репутации пользователей, путём анализа различных независимых источников информации, а также специализированные сервисы для мониторинга публичной информации.
  • Чек-лист для проведения web compliance, который содержит в себе чёткие требования к интернет-платформам пользователей и помогает провести оценку соответствия данных платформ.
  1. Разработка системы оценки рисков пользователей.

Как было упомянуто ранее, выбор мер due diligence основан на риск-ориентированном подходе, поэтому для Клиента А была разработана система оценки рисков отдельных пользователей.

Мы предложили оценивать риски с помощью специализированного опросника, который автоматически рассчитывает рисковый профиль пользователей в зависимости от количества набранных баллов. Данный опросник учитывает такие рисковые факторы как, например:

  • местоположение пользователя или географическую область, в которой ведется его деятельность;
  • тип деятельности и оборот пользователя;
  • является ли пользователь политически значимой персоной или лицом, на которое наложены санкции;
  • сложность структуры управления и владения, в случае если пользователь — это компания;
  • сложность дистрибуционного канала и т.д.

Чем выше количество рисковых факторов, свойственных пользователю, тем выше будет его балл. Далее, в зависимости от этого балла определяется его рисковый профиль: низкий, средний и высокий, или же так называемый «Reject» — рисковый профиль при получении которого Клиент А не устанавливает деловые отношения с пользователем и не предоставляет никаких продуктов или услуг.

Разработка методов мониторинга

Процесс мониторинга состоит из двух компонентов: мониторинга информации о клиентах организации, выполняемого с помощью повторных проверок, и мониторинг деятельности – отслеживание транзакций клиентов.

Мы предложили Клиенту А схемы определённых сценариев, которые могут возникнуть на протяжении деловых отношений и типы проверок, которые должны быть проведены в случае их наступления. То есть, проще говоря, были разработаны меры, которые Клиент А должен применить, в случае если:

  • пользователь сообщает об изменении ранее заявленной идентификационной информации;
  • пользователь заявляет об изменении ранее заявленной деятельности;
  • пользователь сообщает об изменениях в его структуре управления или владения;
  • пользователь проявляет признаки подозрительного поведения и т.д.

Также мы создали базовый набор мер, которые Клиент А будет использовать при проведении обязательных регулярных повторных проверок, которые в соответствия c требованиями регуляторов, обязаны проводиться с определённой периодичностью для актуализации информации о пользователях.

AML system development from scratchКак описано выше, второй компонент непрерывного мониторинга пользователей, это мониторинг транзакций, который включает в себя ручное или автоматизированное сканирование транзакций на основе заранее заданных параметров и сценариев, а также с учетом определённых триггеров.

Цель такого наблюдения — определить, соответствует ли фактическая деятельность пользователя тому, что о нём известно, и своевременно отреагировать в случае, если клиент начинает проявлять признаки подозрительной активности.

По запросу Клиента А мы настраивали именно автоматизированный тип мониторинга, а также соответствующую систему триггеров. Так как разработка собственного программного обеспечения для мониторинга требует больших инвестиций, мы предложили клиенту воспользоваться услугами уже существующего сервиса, который был более для него доступен.

Выгодой данного сервиса является то, что техническая база под мониторинг уже готова, однако все равно потребовалась помощь наших специалистов в настройке сценариев и триггеров, которые бы корректно обслуживали деятельность пользователей с учётом индивидуальных особенностей.

Распределение обязанностей и обучение сотрудников

Для эффективного противодействия ОД/ФТ все сотрудники, которые несут прямую или косвенную ответственность за соблюдение установленных мер, должны чётко понимать свои роли и обязанности.

Мы распределяли роли работников Клиента А в соответствии с «Моделью трёх линий», или же «Моделью трёх линий защиты», которая помогает организациям координировать процессы управления рисками за счёт чёткого распределения их функций и обязанностей. Такой подход не только повышает эффективность труда, но и помогает избежать конфликта интересов, что является одним из наиболее распространенных внутренних рисковых факторов с точки зрения AML.

Не менее важным элементом является грамотный подход к обучению сотрудников, поэтому Клиенту А была предложена система обучения и оценки нового персонала с учётом его деятельности и структуры. В соответствии с местным AML законом, обучение необходимо проводить не реже, чем раз в год, поэтому мы также предложили клиенту возможность прохождения ежегодного курса с последующей сертификацией у компании COREDO.

Настройка системы внешней и внутренней отчётности

Необходимой составляющей любой AML системы является настройка внешней и внутренней отчётности организации. Внешняя отчётность обычно заключается в подаче SAR (англ. Suspicious Transaction Report) – уведомления о подозрительной активности пользователя, которое направляется в соответствующие государственные органы.

Для корректного выполнения данного обязательства, организациям необходимо настроить эффективную систему мониторинга транзакций и разработать адекватные процедуры, в которых будет детально описан процесс подачи SAR и, самое главное, признаки подозрительной активности пользователей. Поэтому мы внесли необходимую информацию в AML политику Клиента А и включили методологию выявления подозрительной деятельности и подачи SAR в обучающую программу для работников. Обучение включало, в том числе, разбор отдельных кейсов из практики сотрудников COREDO.

Под внутренней отчётностью подразумевается подача докладов о результатах операционной деятельности в AML сфере руководству организации. Целью является информирование высшего менеджмента о текущей ситуации для введения дальнейших улучшений и, при необходимости, избавления от существующих недостатков.

Так как есть ряд требований к таким отчётам, клиенту был предложен шаблон для составления подобных докладов, а также в AML политику компании были внесены правила, регулирующие детальность и регулярность отчётности.

Настройка системы контроля

Базовыми инструментами для контроля работы AML системы является проведение внешних и внутренних аудитов, которые поддерживают третью линию защиты организации. Внутренний аудит зачастую проводится высшим руководством организации за неимением отдельной должности аудитора в компании, а внешний – независимым аудитором. Внешний аудит необходим для избежания уже ранее упомянутого конфликта интересов.

Мы создали для руководства клиента методологию проведения внутренних аудитов и шаблон для документирования результатов проверок. Также клиенту была предложена помощь в прохождении будущих внешних аудитов, включая поддержку в случае прохождения проверки у регулятора.

Разработка AML политик и методов хранения информации

Политика AML представляет собой документ, описывающий правила внутреннего контроля в отношении отмывания денег и финансирования терроризма и является обязательными для каждой компании, деятельность которой регулируется AML законом. Данный документ представляет собой практическое руководство для сотрудников организации, поэтому зачастую к нему выдвигаются следующие требования: предписания должны соответствовать AML закону и описывать установленные законом процедуры, и, вместе с этим, предписания должны иметь форму понятного практического руководства. То есть AML политика не является формальным документом.

AML system development from scratchЗачастую организации недооценивают роль предписаний и разрабатывают шаблонный документ, который представляет собой сокращённое цитирование законодательных актов, без подробного описания применяемых AML процедур. К сожалению, данный подход не являются верным, так как предписания попросту не выполняют свою функцию.

Для Клиента А были созданы предписания, которые описывали основные элементы и процессы сформированной AML системы и методологию оценки рисков. Дополнительно мы разработали ряд руководств, которые более детально регулировали отдельные процессы и имели характер прикладных инструкций для каждого сотрудника компании.

Не менее важным требованием к AML системам, является правильное хранение информации в соответствии с принципом ретроспективной восстанавливаемости – то есть все процессы должны быть задокументированы и сохранены таким образом, чтобы даже по прошествию какого-либо периода времени были понятны причины возникновения и ход реализации процесса, какие ресурсы были задействованы, кто являлся ответственными лицами, какие выводы были сделаны и т.д. Чем более детально можно воссоздать ход тех или иных событий, тем это лучше с точки зрения AML сферы.

Именно поэтому разработка AML системы для Клиента А включала, в том числе, настройку системы хранения данных, а именно форму хранения (печатная, электронная, на облачных носителях и т.д.), настройку доступов к данной информации для избежания разглашения личных данных, срок хранения и методы систематизации сведений.

Содействие Клиента А

Ключевым элементом создания по-настоящему эффективной AML системы являлось желание Клиента А внедрить все предложенные процессы в соответствии с нашими рекомендациями, а также последующее соблюдение установленных процедур. С самого начала сотрудничества клиент сообщил нам всю запрашиваемую информацию и в дальнейшем, при необходимости, активно предоставлял дополнительные сведения.

После утверждения ранее предложенных процессов, Клиенту А была оказана поддержка в их внедрении. Мы провели ряд консультаций для сотрудников комплаенса на которых подробно разбирали все шаги по взаимодействию с клиентом на этапе онбординга, в частности:

  • какую информацию и документацию необходимо получить от пользователей для проведения корректной идентификации;
  • как использовать сервисы для скрининга пользователя на предмет санкций или наличия статуса PEP;
  • какую информацию и документацию необходимо получить при проведении due diligence и каким образом оформлять данный запрос;
  • как заполнять анкету для due diligence, чек-лист по web compliance и опросник для определения рискового профиля клиента;
  • как меняются вышеописанные процедуры в случае проведения повторных проверок;
  • какой протокол действий в нестандартных ситуациях, например, когда пользователь по результатам оценки рисков получает статус «Reject», не хочет сотрудничать или же заявленная ранее информация оказалась ложной и т.д.;
  • куда и каким образом сохранять материалы по делам пользователей.

Также на этапе настройки системы мониторинга транзакций, как упоминалось ранее, наши сотрудники предложили Клиенту А варианты сценариев и триггеров, которые бы сигнализировали о подозрительной активности. При их разработке, мы учитывали индивидуальные характеристики деятельности клиента и его потенциальных пользователей. В ходе настройки Клиент А вносил свои пожелания и предложения, которые мы всегда учитывали. Далее система проходила ряд тестирований до тех пор, пока и клиент, и наши сотрудники не были удовлетворены результатом. После чего, снова проводилось обучение персонала.

При внедрении “Модели трёх линий” для всех сотрудников клиента были обозначены их рабочие обязанности и позиции, которые они занимают в определённых линиях защиты, а также функции этих линий. Клиент А был заинтересован в действенном внедрении этой модели, поэтому мы разработали отдельное руководство для работников, чтобы они понимали её основные принципы.

После начала работы AML системы, мы активно помогали сотрудникам клиента и проводили регулярные консультации.

Так как настроенные процессы реализовывались в соответствии с нашими рекомендациями, первое время мы оказывали помощь только с обучением, однако со временем, ввиду внешних факторов, необходимо было актуализировать некоторые процессы, поэтому мы продолжили сотрудничать с Клиентом А на долгосрочной основе, постепенно обновляя и дополняя его AML систему.

Особо отметим, что разработанные для Клиента А процессы оказалась такими эффективными, в том числе и потому, что все наши рекомендации были соблюдены в полной мере и клиент на данный момент продолжает их придерживаться.

Резюме

Благодаря плодотворной совместной работе компания, не имевшая ранее опыта взаимодействия с AML процессами или политиками, получила полноценную AML систему, включающую все необходимые элементы. Для неё были разработаны и внедрены KYC анкета, специальные методы мониторинга информации о клиентах и их деятельности, была настроена система внешней и внутренней отчётности, система хранения данных, а также были разработаны все соответствующие AML политики.

Клиент А сотрудничает с нами уже более двух лет, за эти годы его бизнес расширился, больше десятка сотрудников получили знания и навыки в AML сфере, смогли улучшить качество работы и повысить безопасность предоставляемых услуг. Благодаря продуманному подходу, роли и обязанности персонала чётко распределены, что исключает возникновение внутренних конфликтов и повышает эффективность работы.

Продуктивное сотрудничество с Клиентом А продолжается и в данное время, постоянное обновление и дополнение AML системы позволяет компании в полной мере соответствовать изменяющимся требованиям регулятора, выполнять все требования и задачи по ПОД/ФТ с наибольшей скоростью, эффективностью и точностью.