Опыт проверки регулятором местного сервис-провайдера. Или как нас проверял CySec на Кипре

Проверки регистрационных агентов cо стороны регуляторов – дело обычное для любой юрисдикции. Наши офисы пережли уже, как минимум, с десяток различных проверок. И мы даже подробно рассказывали о некоторых из них на наших вебинарах.

Публикация

Кипрский офис оставался последним, куда не ступала нога регулятора, несмотря на то, что работаем мы на Кипре с 2007 года, а под лицензией CySec – с конца 2014 года. И вот – это случилось. Как это было? Об этом наша статья-репортаж.

28 февраля 2020 г. (пятница). УВЕДОМЛЕНИЕ И ПОДГОТОВКА

• 17:29 – пришел факс (на греческом) от регулятора – Кипрской Комиссии по ценным бумагам и биржам (Cyprus Securities and Exchange Commission, далее – CySEC) – о том, что сотрудники комиссии посетят наш офис с целью проверки через неделю – 9 марта 2020 в 9:00
• 18:03 – готов перевод уведомления на английский, из которого становится ясно, что к 5 марта необходимо предварительно предоставить регулятору следующие данные:
  • Excel таблица из 25 столбцов (полей), заполненная по ВСЕМ компаниям на обслуживании:

• руководство по внутренним процедурам компании и управлению рисками
• протоколы собраний Cовета Директоров касательно борьбе с отмыванием денежных средств (AML)
• диаграмма группы компаний GSL
• финансовая отчетность и баланс GSL (на 31.12.2019)
•    21:54 – готов  д о п о л н и т е л ь н ы й  список документов (18 шт.), которые необходимо иметь на момент прохождения проверки. Среди них:

• ежегодный отчет комплаенс-офицера (MLCO Annual Report)
• руководство по оценке риска (Risk Assessment Manual)
• ежемесячный журнал контрольных мероприятий по предотвращению отмывания денежных средств (Monthly Prevention Statements)
• статистический ежеквартальный опросник (RBSF Questionnaire)
• внутренний отчет о подозрительных операциях (Internal Suspicious Reports)
• внешний отчет о подозрительных операциях (MOKAS Report(s))
• выписки по счетам клиентов (Clients’ Bank Account Statements)
• распределение прав доступа к CRM системе (Administration Rights in CRM / Server)
• перечень третьих лиц (интродьюсеров), отвечающих за меры надлежащей осмотрительности в отношениях с клиентами (List of Eligible Third Parties That Reliance Was Placed for Customer Due Diligence)
• ПО для оценки риска (Risk Assessment Software)
• ПО для проверки DD (Background Check Software)
• ПО для контроля за операциями клиентов (Transaction Monitoring Software)
• презентация о компании (Power Point Presentation)

Известен перечень документов, которые будут истребованы во время инспекции в первую очередь:

• TОП-10 крупных клиентов (в соответствии с ранее поданной статистикой)
• PEP-клиенты
• клиенты со статусом «high risk»
• клиенты, по которым подавался репорт в МОКАS
• клиенты, обвиненные когда-либо в финансовых преступлениях
• клиенты под санкциями в рамках ЕС, США, ООН
• перечень клиентов, которые так и не стали клиентами
• перечень клиентов, с которыми были прекращены отношения

5 марта 2020 г. (четверг).ПОСЛЕДНИЕ ПРИГОТОВЛЕНИЯ

• 14:31 – отправляем в CySEC первую порцию документов
• 16:57 – отправляем в CySEC вторую порцию документов
• 17:47 – отправляем в CySEC третью порцию документов

9 марта (понедельник). ДЕНЬ ПЕРВЫЙ

К утру 9 марта подготовлено 325 документов/ сообщений/ электронных писем с суммарной длительностью более 16 часов (в действительности, гораздо больше). В подготовке принимало участие 7 сотрудников на Кипре и 13 сотрудников (разной степени вовлеченности) в Москве.

• 08:50 – позвонили, спросили, где парковаться
• 09:10 – пришли трое проверяющих, трое из четырех, с кем предварительно переписывались. Один из них аудитор, член ICPAC. Все трое практически одного возраста – 30-35 лет.  Говорят, что проверка будет длиться два-три дня. По итогам – заключительное совещание (Exit Meeting)
• 09:15 – cлушают презентацию о нас (как часть Due Diligence и KYC). Смотрят нашу электронную базу данных и таким образом получают представление о порядке работы, вопросов по руководству по комплаенс и политике оценки рисков (Compliance Manual, Risk Policy) и другим предоставленным документам не задают

• 09:30 – нацелены на установление источника происхождения средств (Source of Funds – далее SOF) (впервые за всю историю проверок в других странах, где больше интересовались вопросами установления бенефициарного владения, корректностью заверения документов и т.п.). Внимательно посмотрели ASP форму (аналог опросника на клиента, регулируемого законодательством), сравнили указанные там цифры активов с поданными в качестве подтверждения дохода налоговыми декларациями.
• 09:40 – вопросы: а обслуживаем ли мы ХХХ (его имя мы сообщали, выслав заполненную таблицу по всем клиентов), потому что он представлен в «Панамском архиве»?
• 09:45 – сказали, что будут смотреть балансы и выборочно – первичные документы.
• 09:46 – А доверенности генеральные?    - Нет, специальные, на сделку.
• 09:46 – «А как часто вы делаете  п о л н ы й  обзор клиентских файлов (Client Review)»?

• 09:47 – озвучили список компаний, по которым хотят посмотреть полные файлы: KYC, корпоративные документы, а также «первичку» и финансовую отчетность (бухгалтерские документы и «первичку» нас еще нигде ни разу не просили в процессе проверки на AML. Возможно, что вследствие специализации руководителя проверки).

• 09:48 - запросили информацию по 16 компаниям:
  • 6 – со статусом «high risk»;
  • 5 – из списка ТОП-10 крупных клиентов;
  • 2 компании, зарегистрированные в 2018 г.;
  • 2 – в 2019 г.;
  • 1 – в 2001 г.; одну ликвидированную компанию;
  • 2 – компании с PEP и
  • 1 траст.
  • Спросили, есть ли у нас файлы по компаниям, с которыми отношения прекращены.

• 10:20 – пока выгружаем запрошенные документы в электронном виде на флэшке, развлекаем их рассказами о том, как проходят проверки регуляторов в других странах.
• 12:40 – передали первую четверть гигабайта электронных документов по 4 компаниям из 16. Сидим, качаем оставшиеся. Проверяющие сказали, что если им понадобятся уточнения, они нам напишут или позовут. Заказали еду на обед, сказали, что будут работать до 16.30.
• 14:39 – запросили по e-mail 12 инвойсов, выставленных нами (проверяемой компанией) клиентам.
• 14:40 – запросили баланс и финансовую отчетность по компании из первоначального списка, зарегистрированной в августе 2019 года, то есть по которой еще не подошли сроки подготовки отчетности.
• 14:43 – запросили документы/ пояснения по вопросу делегирования полномочий по заверению документов связанному интродьюсеру (для тех, кто в теме) для того, чтобы убедиться,  что уполномоченное лицо: 1) применяет DD и ведет учет в соответствии с Европейской директивой 2) подлежит регулированию в своей стране по нормам, соотносимым с Европейской директивой.

• 14:45 – к 16 компаниям, по которым запросили файлы, добавили еще 4 новых, с которыми отношения прекращены
• 15:16 – поступает прекрасный совет-комментарий: «Если у вас каких-то документов недостает, не хватает, вы можете дослать нам в течение трех-четырех дней».
• 15:17 – «Мы здесь не для того, чтобы выявлять проблемы с заверением документов, а для того, чтобы убедиться, что все [банковские] переводы были целесообразны и имели подтвержденные основания».
• 15:20 – обнаружили, что один из проверяющих ушел
• 15:30 – поступил вопрос по e-mail: «Проанализировав финансовую отчетность компании «М», мы видим займ размером 2+ миллиона евро от своих акционеров, поступивший в 2013 году. Однако мы не видим документов, подтверждающих соответствующий доход у акционера».
• 15:38 – продолжение e-mail вопросов: «Касательно онлайн мониторинга счетов клиентов – мы не обнаружили вашего отчета/ протокола о ваших планируемых действиях в связи с тем, что вы обнаружили расхождения в заявленных и реальных операциях клиента: тайминг, дополнительные процедуры».
• 16:50 – проверяющие (оставшиеся двое) ушли, сообщив, что продолжат завтра с 9:00.

10 марта (вторник). ДЕНЬ ВТОРОЙ

• 08:16 – вопросы начались с утра: «Правильно ли мы понимаем, что в 2014-2015 году компания «R» получила от компании «K» займ в сумме 4 млн, которые в 2018 году были конвертированы в эмиссионный доход (share premium)? Пожалуйста, подтвердите, что у этих компаний ОДИН И ТОТ ЖЕ бенефициар и представьте в отношении него документы, подтверждающие происхождение этих средств».
• 08:41 – «Правильно ли мы понимаем, что 10% компании «М» были приобретены за 10 000 евро? Есть ли связь, между бенефициарами компаний покупателя и продавца?»
• 08:48 – «Пожалуйста, сообщите, компании «Т» и «N», которые перевели компании «M» за последние годы более 2 млн принадлежат тому же бенефициару, что и «М»? А есть ли у вас какие-то ЕЩЕ подтверждения его состояния (source of wealth), кроме наличествующих в файле выписок по счетам бенефициара в EUROBANK и CIM Bank»?
• 09:04 – «Правильно ли мы понимаем, что в течение 2014 года компания «KZ» приобрела 50% российского «ООО» за 214 000 EUR? Пожалуйста, сообщите, кто был бенефициаром российского «ООО» на дату покупки. А также примерную оценку пакета акций на дату приобретения» (дословно!).
• 09:24 – «Правильно ли мы понимаем, что компания «M» получила от компании «Y» в течение 2014 года 6 млн и 5,7 млн в качестве share premium?  1) у компаний «M» и «Y» один и тот же бенефициар? 2) Пожалуйста, представьте SOF/ SOI на этого бенефициара в объеме, обеспечивающем его возможности по финансированию его кипрской компании».
• 9:50 – по нашей просьбе обещают провести завершающее собрание сегодня в 14.30 и представить нам основные результаты проверки (key findings). Оставшиеся вопросы продолжат задавать письменно.
• 09:52 – «Верно ли, что компания «Ь» получила от компаний «Ы» и «Ъ» за последние годы сумму около 67 млн долларов? Верно ли, что все компании принадлежат одному лицу Mr.X?. Какие были ваши действия во время онлайн мониторинга? Что было предпринято в онлайн и по факту получения этих средств для выяснения целесообразности операций и риска отмывания денежных средств»?
• 10:18 – «Компания «S» за 2015-2016 год получила около 8 млн. Предоставьте, пожалуйста, ваши протоколы мониторинга за деятельностью этой компании».
• 11:10 – А как у Вас проводится оценка риска?

- Она у нас описана в руководстве пользователя по комплаенс.
- Нет, я имею в виду оценку риска по запрошенным компаниям.
- Мы пришлем принт-скрины матрицы оценки риска (Risk Rating Matrix) для каждой компании.

• 13:00 – заключительное совещание (Exit Meeting).

16:30 – перезвонили и сказали, что все-таки больше не придут, оставшиеся вопросы зададут по e-mail.

11 марта (среда). ДЕНЬ ТРЕТИЙ

11:09 – «Правильно ли мы поняли, что в отношениях с профессиональными посредниками вы используете их только для целей заверения документов»?

Итак, проверка подошла к концу, хотя еще есть несколько компаний, по которым мы не получали вопросов 2-ой итерации. В итоге она длилась ДВА ДНЯ

В течение ДВУХ дней во время проверки:

• было предоставлено в электронном виде: 2.539(!) файлов общим объемом 1.59 GB (!)
  1. сканы корпоративных документов (учредительные, протоколы, сертификаты, реестры и др.)
  2. сканы KYC документов (паспорта, квитанции, справки, различные подтверждающие доход документы, схемы организационных структур и пр.)
  3. сканы бухгалтерских (аудиторских) документов (балансы, финансовые отчеты)
  4. сканы коммерческих документов (банковские выписки, инвойсы, контракты)
• было получено – 17 уточняющих электронных писем
• на запросы было подготовлено 17 ответных электронных писем, содержащих 200+ файлов
• с нашей стороны в проверке участвовали 20+ сотрудников: 7 на Кипре и 13 в Москве. В том числе: 5 сотрудников KYC и комплаенс, 5 бухгалтеров (аудиторов), 5 консультантов, а также сотрудники бэк-офиса и др.
• общее количество внутренних переписок: 250+

ВЫВОДЫ

1. Это первая проверка на нашей памяти (из тех, в которых мы принимали участие в 5 юрисдикциях), где задаются вопросы о происхождении средств, экономической целесообразности операций, документарного подтверждения транзакций, установления личности бенефициаров, то есть вопросы по существу AML, а не «замыливающие» основную цель формалистикой и малозначительным деталями/ процедурами.
2. Это первая проверка, где проверяющие «залезали в балансы», запрашивали и анализировали финансовую отчетность с целью «накопать» подозрительные крупные операции и проанализировать их на предмет AML. Возможно, это связано с профессиональной компетенцией  д а н н о й  команды проверяющих – они аудиторы по своему профессиональному бэкграунду.
3. Вопросы по формалистике тоже присутствовали (проверка мануалов, оценка профессиональных посредников, контроль критериев риск-матрицы), но соотношение их к вопросам по клиентским файлам 1:6, то есть около 15%. По нашим оценкам, аналогичное соотношение по проверкам в других юрисдикциях составляет 60%-70% в пользу формальной стороны AML.

4. Сложилось впечатление, что главная цель проверки – обязать провайдера корпоративных услуг становиться подписантом по клиентским банковским счетам, что, собственно, и было объявлено на заключительной встрече.

Еще комментарии для тех, кто в теме:

== ПРО ДОСТУП к КЛИЕНТСКИМ СЧЕТАМ

О подобном требовании со стороны регулятора мы знали всегда (почти сразу после известий о первых проверках, которые были в августе 2013 года). Тогда стало известно, что первыми «под раздачу» попали Jr и Tr, которые сразу же после проверки отказались от практики продажи компаний БЕЗ доступа к счету. Когда стало понятно, что данного требования избежать нельзя, мы сделали ставку на минимальный вариант реализации этого требования – на ПАССИВНЫЙ доступ директоров к счетам клиентов и на полную АВТОМАТИЗАЦИЮ этого процесса (когда выписки на еженедельной основе скачиваются в базу и крепятся в карточку клиента – но это работало только для кипрских банков). В оставшихся случаях выписки запрашиваются вручную, ежеквартально.

И вот, в час ИКС, выясняется, что данный способ мониторинга за счетами клиентов (monitoring of clients’ accounts) считается недостаточным, и регулятор планирует обязать нас получить ПОЛНЫЙ доступ к счетам. Мы попробуем покрутить эту ситуацию, чтобы вышло «и вашим, и нашим», попробуем согласовать вариант с высокопоставленным сотрудником CySEC (его, кстати, интервьюировал Moneyval во время недавней проверки Кипра). Попробуем получить юридическое заключение на предмет того, что наш вариант мониторинга является достаточным. Но надо признать, что это самое неприятное (и вообще единственное) последствие нашей проверки регулятором.