Проверка личности и оценка рисков: что такое KYC и AML
Условия современного банкинга предполагают отказ от анонимности операций. Финансовые организации борются за прозрачность транзакций, а кредит можно взять только при предъявлении нескольких документов. Покупка иностранной валюты тоже производится по паспорту. В этой связи в деловом обороте появились аббревиатуры KYC и AML. РБК Тренды разобрались, что это за принципы и как они работают.
Что такое KYC
KYC (Know Your Customer или Know Your Client, Знай своего клиента) — принцип работы финансовых институтов, который обязывает их идентифицировать личность человека перед тем, как тот сможет проводить операции. Эта идентификация служит многим целям: пониманию своей клиентуры, мониторингу операций, снижению рисков, борьбе со взяточничеством и коррупцией.
Понятие KYC появилось в официальных документах Департамента Казначейства по борьбе с финансовыми преступлениями FinCEN США в 2016 году. Именно он ввел формальные требования KYC. Однако то, какие именно данные запрашивать от клиента, решают сами сервисы, так как единого стандарта не существует. К примеру, криптобиржи обычно запрашивают ФИО, дату рождения, почту, номер телефона, страну и адрес проживания, ID (паспорт, права или другой документ).
Примерами процедур KYC можно считать лимиты на снятие наличных со счета или верификацию личности клиента по коду из SMS.
Благодаря этому принципу банк определяет, кто может стать его клиентом, а также может получить базовые данные о клиенте, отслеживать и оценивать его транзакции, повышать безопасность этих транзакций.
Российские банки вводят процедуры биометрического распознавания клиентов. ВТБ, Газпромбанк, Альфа-банк, Россельхозбанк, Промсвязьбанк, Тинькофф Банк, Почта Банк, «Московский кредитный банк» и другие работают с «Ростелекомом» над развитием Единой биометрической системы, которая позволит клиентам этих банков получать все услуги удаленно по образцу лица и голоса. Система Smart-ID уже работает в Эстонии, Литве и Латвии. Она позволяет предоставлять 99% государственных услуг в интернете, а также помогает местным жителям намного быстрее проходить проверки KYC, голосовать онлайн, платить налоги в цифровом виде, покупать криптовалюты и т. д.
В России требования принципа KYC прописаны в ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также в «Положении об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Контроль за исполнением принципа ведет комитет по финансовому мониторингу Минфина.
Как работает KYC
Софт для KYC работает по принципу сбора информации для составления базы данных. Специализированное программное обеспечение помогает фирмам управлять процессом проверки личности, позволяя им автоматически определять клиентов с высоким уровнем риска, сокращая при этом вероятность человеческой ошибки и ложных срабатываний.
Процедуры KYC представляет собой многоэтапную операцию, включающую сбор и анализ личной информации клиентов. Чтобы проверить эти данные, учреждения отправляют информацию множеству независимых сторонних проверяющих. Эти организации сравнивают ее с официальными базами данных, чтобы подтвердить, что информация верна и совпадает по всем параметрам. Проверяющие также сопоставляют информацию о человеке с глобальными базами преступников.
С помощью этих процедур финансовые организации и поставщики услуг могут определить уровень риска для каждого клиента.
В начале 2021 года FinCEN предложила участникам рынка криптовалют и цифровых активов проверять личности клиентов. Так, Coinbase, которая работает с более чем 10 млн пользователей, требует от них предоставить персональные данные, удостоверяющие личность, чтобы подтвердить отсутствие подозрительной деятельности. Взамен биржа предлагает безопасность сделок. А новая криптовалюта AML Bitcoin (Anti-Money laundering Bitcoin) разработана с учетом политик KYC и AML, а также требований американского «Патриотического акта» и Американской межбанковской ассоциации. Данная цифровая валюта полностью открыта для банков и правительств за счет биометрической идентификации ее владельцев.
Соблюдение политики KYC и AML позволяет пользователям и биржам быстрее конвертировать криптовалюту в реальные деньги.
Что такое AML
AML (Anti-Money Laundering, Противодействие отмыванию денег) — это принципы противодействия отмыванию денег, полученных преступным путем, финансированию терроризма и созданию оружия массового уничтожения. Процедура включает в себя идентификацию, хранение и обмен информацией о пользователях, их доходах и транзакциях между организациями и ведомствами.
Финансовые институты используют принцип AML для проверки бизнеса, который работает с наличными расчетами или имеет активы в наличности, держит деньги на разных счетах и в нескольких банках, переводит их за границу, покупает фьючерсы, опционы или другие инструменты для наличного расчета, инвестирует в ценные бумаги через брокеров или дилеров.
Понятие AML закрепилось после создания Группы разработки финансовых мер борьбы с отмыванием денег — FATF. Это произошло в 1989 году в Париже. Она разрабатывает международные стандарты по предотвращению отмывания денег и способствует их внедрению, а также борется с финансированием терроризма.
Другой организацией в борьбе с отмыванием денег выступает Международный валютный фонд. МВФ требует от своих 189 стран-членов соблюдать международные стандарты для предотвращения финансирования терроризма. Одно из правил требует, чтобы период замораживания средств на депозитах был не менее пяти дней для борьбы с отмыванием денег.
Как работает AML
AML использует различные алгоритмы для связи базы данных KYC и других источников информации. Связь между AML и KYC должна быть постоянной и обратной. Модули KYC могут использоваться для адаптации программы AML к уникальным потребностям конкретного бизнеса, уточнения рисков клиентов и повышения эффективности соблюдения нормативных требований.
Идентификация клиента (KYC) является лишь частью противодействия отмыванию денег (AML). Другими его элементами выступают CDD — Customer Due Diligence (надлежащая проверка клиента), EDD — Enhanced Due Diligence (углубленная или расширенная проверка клиента), политика AML, основанная на рисках, текущая оценка рисков и постоянный мониторинг, программы обучения персонала, внутренний контроль и внутренний аудит.
Отчеты EDD составляют специальные фирмы, которые работают по стандартам компании PwC в соответствии с международным стандартом ISAE 3000. Обычно это работа по сбору дополнительной информации о клиентах с повышенными рисковыми рейтингами. К примеру, компания Refinitiv предлагает как продукт свои отчеты Enhanced Due Diligence с информацией по KYC из глобальных источников.
Подобные отчеты могут предоставлять также сами клиенты финансовых учреждений. Вся информация в них должна быть открытой и подкрепленной достоверными источниками.
Различия KYC и AML
KYC относится к процессу проверки личности и оценки рисков, а AML представляет собой спектр методов борьбы с отмыванием денег, используемых для защиты от финансовых преступлений, выявления и сообщения о них. Однако многие финансовые организации не могут полностью реализовать один или оба этих аспекта, ошибочно полагая, что они выполняют одну и ту же задачу.
KYC выступает одним из принципов, которые нужно соблюдать, чтобы соответствовать правилам AML. Причем, отказ от проверки KYC станет поводом для уголовного преследования, даже если организация работает легально и честно.
AML, по сути, это процесс соответствия, который состоит из анализа информации о клиентах, чтобы соответствовать требованиям FATF. При этом одним из источников информации о компании является документ KYC, который включает качественную и количественную информацию.
Андрей Симаков, руководитель продукта «Риски и комплаенс» компании «Диасофт», отмечает, что KYC и AML дополняют друг друга. По его словам, когда современные крупные банки объявляют конкурс, они включают отдельные блоки и по выявлению сомнительных операций AML и KYC. Однако, когда речь идет о банках с недостаточным капиталом, KYC может быть не предусмотрена. Симаков поясняет, что в этом случае банки предпочитают ориентироваться на открытые справочники и неавтоматизированную идентификацию.
Эксперт отметил, что в России идентификация клиента регламентируется Положением Банка России от 15 октября 2015 года № 499-П, а для его проверки можно использовать открытые перечни, реестры, а также СМИ и другие источники.
«AML — это, в основном, техника соблюдения законодательства в определенной стране. В 2021 году в нашей стране ЦБ и Росфинмониторинг ввели много новых правил контроля операций и исключили некоторые устаревшие. Кроме того, нормой AML стала блокировка операций клиентов, которые имеют совпадения с различными перечнями (их список недавно пополнил реестр запрещенных ресурсов от Роскомнадзора). Таким образом, самым успешным игроком становится тот, кто хорошо разбирается в российском законодательстве. Это, как правило, местные игроки», — рассказал Симаков.
Термины KYC и AML встречаются только в тех странах, где есть законодательные ограничения. В офшорах таких требований нет.
Приложение 1. Принцип «Знай своего клиента»
1. Одним из основных элементов управления банковскими рисками, в том числе правовым риском и риском потери деловой репутации кредитной организации, является принцип «Знай своего клиента» (далее — принцип ЗСК). В целях соблюдения принципа ЗСК кредитной организации рекомендуется предусматривать разработку адекватной политики и процедур, включающих порядок осуществления банковских операций и других сделок, программы идентификации клиентов, установления и идентификации выгодоприобретателей, мониторинг движения денежных потоков по банковским счетам (вкладам) и управление банковскими рисками.
Выполнение кредитной организацией принципа ЗСК рекомендуется осуществлять в целях обеспечения соблюдения законодательства Российской Федерации, в том числе по вопросам противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, соответствия деятельности кредитной организации обычаям делового оборота и принципам профессиональной этики, а также обеспечения стабильности финансового положения кредитной организации.
2. Принцип ЗСК предусматривает порядок осуществления банковских операций и других сделок с клиентами и контрагентами, в том числе с клиентами и контрагентами-нерезидентами, включая банковские операции и другие сделки с повышенной степенью риска.
Решение о проведении банковских операций и других сделок с повышенной степенью риска рекомендуется принимать органом управления кредитной организации в соответствии с полномочиями, предусмотренными учредительными и внутренними документами.
3. Принцип ЗСК включает мониторинг движения и изменения объемов денежных потоков по банковским счетам (вкладам), в том числе в результате осуществления операций с повышенной степенью риска, и мониторинг движения денежных средств и иного имущества, находящихся в доверительном управлении кредитной организации, а также иных операций клиентов и контрагентов, осуществляемых кредитной организацией, для принятия своевременных мер по минимизации типичных банковских рисков (например, кредитного, рыночного, операционного, ликвидности, правового и других), для выявления подозрительных операций, в том числе операций, связанных с легализацией (отмыванием) доходов, полученных преступным путем, и финансированием терроризма.
4. Основной процедурой реализации принципа ЗСК является идентификация клиентов кредитной организации (изучение, проверка информации, максимально возможное подтверждение и обоснование имеющихся сведений о клиенте, его операциях и других сделках, установление и идентификация выгодоприобретателей по ним).
Кредитной организации рекомендуется создавать и осуществлять программы идентификации клиентов в целях обеспечения условий для осуществления предупредительных мер по минимизации правового риска и риска потери деловой репутации, то есть принимать соответствующие меры до установления с клиентом правовых отношений.
Идентификация клиентов, установление и идентификация выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в соответствии с Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» осуществляется согласно порядку, определенному Положением Банка России от 19 августа 2004 года N 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», зарегистрированным Министерством юстиции Российской Федерации 6 сентября 2004 года, N 6005 («Вестник Банка России» от 10 сентября 2004 года N 54).
Реализация принципа ЗСК в кредитной организации (в том числе в целях минимизации банковских рисков, в первую очередь правового риска и риска потери деловой репутации) предусматривает: тщательную проверку достоверности сведений, предоставляемых клиентами и контрагентами, учредителями (участниками); анализ документов, определяющих правовой статус клиента и контрагента, а также полномочий лиц, заключающих договоры; определение сферы деятельности клиентов и контрагентов, анализ информации об их деловой репутации, анализ изменения показателей отчетности, изменение сферы деятельности постоянных клиентов и контрагентов. При этом целесообразно уделять повышенное внимание программам идентификации клиентов, использующих дистанционное банковское обслуживание, в том числе интернет-банкинг.
Принцип ЗСК предполагает формирование методики привлечения клиентов и программ их идентификации в зависимости от характера и особенностей осуществляемых банковских операций и других сделок (например, привлечение и размещение денежных средств во вклады), от предполагаемой продолжительности договорных отношений с клиентом, от предполагаемого объема денежных потоков по банковскому счету (размера банковского вклада) и других критериев.
5. Кредитным организациям рекомендуется обращать особое внимание на идентификацию клиента при установлении отношений с юридическими лицами — нерезидентами. Установление взаимоотношений с нерезидентами требует знания нормативных правовых актов страны местонахождения (места регистрации) нерезидента. Особенно это важно при идентификации нерезидента — банка или финансовой организации.
При установлении отношений с юридическими лицами кредитной организации рекомендуется предпринимать обоснованные и доступные меры по установлению и идентификации лиц, имеющих возможность оказывать прямо или косвенно (через третье лицо) существенное влияние на решения, принимаемые органами управления кредитной организации.
6. Кредитной организации, имеющей филиалы на территории иностранного государства, рекомендуется устанавливать для них требования по соблюдению принципа ЗСК в соответствии с требованиями законодательства Российской Федерации, если нормативными правовыми актами иностранного государства, на территории которого действует филиал кредитной организации, предусмотрен более благоприятный правовой режим в отношении таких правил, в том числе направленных на борьбу с легализацией (отмыванием) доходов, полученных преступным путем, и финансированием терроризма.
Платформа «Знай своего клиента» от Центробанка
1 июля 2022 произошли изменения в Законе № 115-ФЗ. В России появилась новая процедура оценки, в рамках которой ЦБ определяет уровень риска совершения предпринимателями подозрительных операций, связанных с отмыванием доходов и финансированием терроризма.
Эта оценка получила название «Знай своего клиента» или ЗСК. Оценке подлежат юридические лица и индивидуальные предприниматели.
Как работает платформа ЗСК?
Банк России на основе собственных аналитических данных распределяет юрлиц и ИП на три категории по уровню риска:
- низкий (зеленый),
- средний (желтый),
- высокий (красный).
Решение принимается по совокупности критериев, которые размещены на сайте ЦБ. Банки получают от Банка России информацию о том, к какой группе риска отнесено юрлицо или ИП, и используют это в своей работе, опираясь на нормы 115-ФЗ.
Что означают эти 3 категории?
Клиенты из «зеленой» категории считаются добросовестными. Однако этот статус не означает, что риски полностью отсутствуют. Если в рамках внутреннего контроля банк придет к выводу, что клиент совершает операции в противозаконных целях, операция не пройдет. Кроме того, повысится уровень риска юрлица или ИП. К таким же последствиям может привести работа предпринимателя с сомнительными контрагентами.
Клиентов со средним уровнем риска будут проверять чаще. В эту группу обычно входят предприниматели, которые ведут реальную хозяйственную деятельность, но при этом участвуют в сомнительных схемах. Например, незаконно минимизируют НДС. Такие предприниматели рискуют столкнуться с отказами в проведении конкретных операций. Но ограничительные меры в виде полной блокировки операций им не грозят.
А вот работа банков с предпринимателями из группы высокого риска серьезно ограничена. Таким клиентам нельзя:
- снимать наличные со счетов;
- проводить безналичные расчеты с контрагентами;
- проводить практически все безналичные платежи, за небольшим исключением;
- переводить средства между своими счетами;
- получать остаток средств со счета или перечислять эти деньги на другой счет при закрытии счета;
- переводить деньги через Систему быстрых платежей;
- проводить какие-либо операции через интернет-банк и мобильное приложение.
Кроме того, банк, вероятнее всего, откажет в открытии счета или депозита клиенту с высоким уровнем риска.
Список разрешенных операций для «красной» категории минимален. Но даже по этим операциям возможен отказ.
Может быть разрешено:
- оплачивать налоги и сборы, таможенные платежи, страховые взносы и иные обязательные бюджетные платежи;
- выплачивать зарплату, если сотрудники получали ее и до отнесения к группе высокой степени риска. При этом размер выплат не может превышать выплаты за предыдущий месяц;
- снимать денежные средства на обеспечение жизнедеятельности ИП до 30 000 рублей в месяц;
- совершать операции по оплате кредита, который был выдан до отнесения к группе высокого риска;
- в рамках банкротства и ликвидации: списание со счета или вклада, выдача наличных, списание электронных средств;
- при исключении из ЕГРЮЛ и ЕГРИП и выплатах в пользу участников и физлиц: списание со счета, выдача наличных, списание электронных средств (с 01.10.2022).
Банк не вправе разглашать клиенту, в какую группу риска он попал, если это не группа высокой степени риска (красная).
Как быть, если вас отнесли к группе высокого риска?
О том, что ЦБ отнес юрлицо или ИП к группе высокой степени риска, банк уведомит вас в течение 5 рабочих дней.
В течение 6 месяцев со дня получения уведомления от банка вы можете обратиться в Межведомственную комиссию при Банке России (МВК). Нужно будет подать заявление об отсутствии оснований для применения ограничительных мер.
Как обратиться в МВК?
- Зайдите на сайт интернет-приемной Банка России по ссылке.
- Выберите тему «Обращение в Межведомственную комиссию, созданную в соответствии со 115-ФЗ» и тип проблемы «Меры, предусмотренные п. 5 ст. 7.7 115-ФЗ».
- В самом обращении используйте формулировки, указанные в законе. Это позволит МВК оперативно и правильно определить причину и цель обращения. К обращению обязательно приложите: уведомление о применении банком ограничительных мер и документы, подтверждающие ведение хозяйственной деятельности. В противном случае МВК с большой долей вероятности вернет обращение без решения и запросит эти документы. Так сроки рассмотрения лишь увеличатся.
При положительном решении от МВК Банк России и ваш банк изменят уровень риска, также снимутся ограничения, установленные на основании п. 5 ст. 7.7 115-ФЗ.
Если решение комиссии будет не в вашу пользу, его можно оспорить в суде.
Что будет, если не обратиться в МВК?
Если не успеть подать обращение в срок до 6 месяцев с момента получения уведомления от банка или не обжаловать решение МВК в суде, вас исключат из ЕГРЮЛ или ЕГРИП. Все средства на счетах будут возвращены собственникам бизнеса (учредителям) только после ликвидации.
Если вы ведете реальную хозяйственную деятельность, переживать не стоит. По оценке Банка России, около 99% юрлиц и ИП принадлежат к «зеленой» группе риска. К «желтой» относят 0,7%, к «красной» — 0,3%. И мы, проанализировав реестры ЗСК, можем подтвердить, что Банк России придерживается озвученного прогноза.
Минимизировать риски можно, прислушиваясь к рекомендациям банков. Регулярно проверяйте своих контрагентов, платите налоги вовремя, оформляйте сотрудников в штат и не нарушайте закон.
Получение какой информации позволяет банку соблюдать принцип знай своего клиента
РАБОТА С БАНКОМ
4 МИН
Как «светофор» ЦБ влияет на бизнес: новое в практике
1 июля 2022 года Центральный банк запустил платформу «Знай своего клиента». Регулятор присвоил всем юридическим лицам и индивидуальным предпринимателям один из трёх уровней риска проведения подозрительных операций по принципу «светофора»: высокий — красный, средний — жёлтый или низкий — зелёный.
Центробанк определяет уровень риска компаний на основе анализа операций, налоговой нагрузки и другой информации о бизнесе. Полный перечень критериев, по которым оцениваются юридические лица и ИП, регулятор разместил на своем сайте.
Что «светофор» означает для бизнеса
Для компаний с низким уровнем риска новости хорошие. Теперь банки не вправе отказать в совершении операции между «зелёными» клиентами, если отсутствуют подозрения в том, что операция совершается в целях легализации (отмывания) доходов, полученных преступным путём, или финансировании терроризма. Если такие подозрения есть, банк по-прежнему вправе отказать в проведении платежа.
Если регулятор и обслуживающий банк одновременно отнесут компанию к «красным» клиентам, банк обязан применить меры к её счёту: отключить дистанционное банковское обслуживание и заблокировать банковские карты. Клиенту запретят проводить практически все виды операций с денежными средствами и имуществом, за исключением прямо разрешенных законом, таких как:
- бюджетные платежи;
- выплата зарплаты работникам, но только тем, которые получали её до применения банком ограничений, и в пределах прежних сумм;
- пенсии, стипендии, алименты, возмещение вреда жизни, здоровью и выплаты в связи со смертью кормильца.
Полный перечень ограничительных мер для клиентов с высоким уровнем риска указан в п. 5 ст. 7.7 115-ФЗ, а перечень разрешённых операций — в п. 6 ст. 7.7. Банки обязаны информировать клиентов о применении мер по данной статье.
Что делать, если компания оказалась в «красной» зоне
Уведомление об ограничении дистанционного банковского обслуживания, операций и блокировке карт — это не приговор. Для отмены применённых мер можно пройти процедуру реабилитации:
Обратитесь в межведомственную комиссию (МВК) при Центральном Банке, чтобы начать процедуру реабилитации. Заявление нужно успеть подать в течение 6 месяцев после получения уведомления от банка. Если МВК не увидит оснований для применённых мер, регулятор и банк понизят уровень риска клиента, и ограничения будут отменены.
Если межведомственная комиссия согласится с оценкой регулятора и банка, то её решение можно обжаловать в суде.
Суд — вторая ступень в процедуре реабилитации. Он рассматривает только те обращения, которые не удовлетворила межведомственная комиссия. Сразу подавать заявление в суд, минуя МВК, не имеет смысла: оно не будет рассмотрено.
Компанию, вовремя не прошедшую процедуру реабилитации, исключают из государственных реестров — ЕГРЮЛ или ЕГРИП. Это означает, что вести бизнес она не сможет.
Как оставаться в «зелёной» зоне
Добросовестному бизнесу не сложно оставаться в зоне низкого риска. Достаточно придерживаться основных правил:
Работать по выбранному ОКВЭД. Если сфера деятельности изменилась, вовремя вносить изменения в документы и информировать банки;
При совершении платежа указывать полное его назначение;
Проверять партнёров до начала сотрудничества. Избегать взаимодействия с недобросовестными контрагентами;
Сохранять первичную документацию — чеки, товарно-транспортные накладные, акты о проделанных работах и т. д.;
Вовремя платить налоги и внебюджетные платежи;
Не игнорировать запросы банка и отвечать на них в срок.
Больше о безопасной работе бизнеса в рамках 115-ФЗ — в разделе «Как избежать ограничения операций по счёту».