GSL / Пресс-центр / Бумажные и Интернет СМИ / Опыт проверки регулятором местного сервис-провайдера. Или как нас проверял CySec на Кипре

Проверки регистрационных агентов cо стороны регуляторов – дело обычное для любой юрисдикции. Наши офисы пережли уже, как минимум, с десяток различных проверок. И мы даже подробно рассказывали о некоторых из них на наших вебинарах.
Нужна консультация от специалиста?
Кипрский офис оставался последним, куда не ступала нога регулятора, несмотря на то, что работаем мы на Кипре с 2007 года, а под лицензией CySec – с конца 2014 года. И вот – это случилось. Как это было? Об этом наша статья-репортаж. 28 февраля 2020 г. (пятница). УВЕДОМЛЕНИЕ И ПОДГОТОВКА
  • 17:29 – пришел факс (на греческом) от регулятора – Кипрской Комиссии по ценным бумагам и биржам (Cyprus Securities and Exchange Commission, далее – CySEC) – о том, что сотрудники комиссии посетят наш офис с целью проверки через неделю – 9 марта 2020 в 9:00
  • 18:03 – готов перевод уведомления на английский, из которого становится ясно, что к 5 марта необходимо предварительно предоставить регулятору следующие данные:
    • Excel таблица из 25 столбцов (полей), заполненная по ВСЕМ компаниям на обслуживании:
Поля: ФИО бенефициаров, гражданство бенефициаров, статус РЕР (Politically Exposed Person = влиятельное политическое лицо), Sanction Status (находится ли под санкциями), Panama Papers Status (упоминается ли в «Панамском архиве»(!)), оценка риска, HNWI Status (является ли клиент лицом с высоким уровнем дохода), описание деятельности, обороты, MOKAS Status (рапортовался ли в подразделение по борьбе с отмыванием денежных средств), SAR статус и др.
  • руководство по внутренним процедурам компании и управлению рисками
  • протоколы собраний Cовета Директоров касательно борьбе с отмыванием денежных средств (AML)
  • диаграмма группы компаний GSL
  • финансовая отчетность и баланс GSL (на 31.12.2019)
  •    21:54 – готов  д о п о л н и т е л ь н ы й  список документов (18 шт.), которые необходимо иметь на момент прохождения проверки. Среди них:
  • ежегодный отчет комплаенс-офицера (MLCO Annual Report)
  • руководство по оценке риска (Risk Assessment Manual)
  • ежемесячный журнал контрольных мероприятий по предотвращению отмывания денежных средств (Monthly Prevention Statements)
  • статистический ежеквартальный опросник (RBSF Questionnaire)
  • внутренний отчет о подозрительных операциях (Internal Suspicious Reports)
  • внешний отчет о подозрительных операциях (MOKAS Report(s))
  • выписки по счетам клиентов (Clients’ Bank Account Statements)
  • распределение прав доступа к CRM системе (Administration Rights in CRM / Server)
  • перечень третьих лиц (интродьюсеров), отвечающих за меры надлежащей осмотрительности в отношениях с клиентами (List of Eligible Third Parties That Reliance Was Placed for Customer Due Diligence)
  • ПО для оценки риска (Risk Assessment Software)
  • ПО для проверки DD (Background Check Software)
  • ПО для контроля за операциями клиентов (Transaction Monitoring Software)
  • презентация о компании (Power Point Presentation)
Известен перечень документов, которые будут истребованы во время инспекции в первую очередь:
  • TОП-10 крупных клиентов (в соответствии с ранее поданной статистикой)
  • PEP-клиенты
  • клиенты со статусом «high risk»
  • клиенты, по которым подавался репорт в МОКАS
  • клиенты, обвиненные когда-либо в финансовых преступлениях
  • клиенты под санкциями в рамках ЕС, США, ООН
  • перечень клиентов, которые так и не стали клиентами
  • перечень клиентов, с которыми были прекращены отношения
5 марта 2020 г. (четверг).ПОСЛЕДНИЕ ПРИГОТОВЛЕНИЯ
  • 14:31 – отправляем в CySEC первую порцию документов
  • 16:57 – отправляем в CySEC вторую порцию документов
  • 17:47 – отправляем в CySEC третью порцию документов
9 марта (понедельник). ДЕНЬ ПЕРВЫЙ К утру 9 марта подготовлено 325 документов/ сообщений/ электронных писем с суммарной длительностью более 16 часов (в действительности, гораздо больше). В подготовке принимало участие 7 сотрудников на Кипре и 13 сотрудников (разной степени вовлеченности) в Москве.
  • 08:50 – позвонили, спросили, где парковаться
  • 09:10 – пришли трое проверяющих, трое из четырех, с кем предварительно переписывались. Один из них аудитор, член ICPAC. Все трое практически одного возраста – 30-35 лет.  Говорят, что проверка будет длиться два-три дня. По итогам – заключительное совещание (Exit Meeting)
  • 09:15 – cлушают презентацию о нас (как часть Due Diligence и KYC). Смотрят нашу электронную базу данных и таким образом получают представление о порядке работы, вопросов по руководству по комплаенс и политике оценки рисков (Compliance Manual, Risk Policy) и другим предоставленным документам не задают
  • 09:30 – нацелены на установление источника происхождения средств (Source of Funds – далее SOF) (впервые за всю историю проверок в других странах, где больше интересовались вопросами установления бенефициарного владения, корректностью заверения документов и т.п.). Внимательно посмотрели ASP форму (аналог опросника на клиента, регулируемого законодательством), сравнили указанные там цифры активов с поданными в качестве подтверждения дохода налоговыми декларациями.
  • 09:40 – вопросы: а обслуживаем ли мы ХХХ (его имя мы сообщали, выслав заполненную таблицу по всем клиентов), потому что он представлен в «Панамском архиве»?
  • 09:45 – сказали, что будут смотреть балансы и выборочно – первичные документы.
  • 09:46 – А доверенности генеральные?    - Нет, специальные, на сделку.
  • 09:46 – «А как часто вы делаете  п о л н ы й  обзор клиентских файлов (Client Review)»?
Речь идет не о проверке в World-Check, которую мы делаем вполне регулярно, а о полном повторном получении документов, утративших силу, и повторном задании тех же DD и KYC вопросов, но относящихся к другому периоду деятельности клиента. 
  • 09:47 – озвучили список компаний, по которым хотят посмотреть полные файлы: KYC, корпоративные документы, а также «первичку» и финансовую отчетность (бухгалтерские документы и «первичку» нас еще нигде ни разу не просили в процессе проверки на AML. Возможно, что вследствие специализации руководителя проверки).
  • 09:48 - запросили информацию по 16 компаниям:
    • 6 – со статусом «high risk»;
    • 5 – из списка ТОП-10 крупных клиентов;
    • 2 компании, зарегистрированные в 2018 г.;
    • 2 – в 2019 г.;
    • 1 – в 2001 г.; одну ликвидированную компанию;
    • 2 – компании с PEP и
    • 1 траст.
    • Спросили, есть ли у нас файлы по компаниям, с которыми отношения прекращены.
То есть прошлись равномерно, чтобы досталось «каждой твари по паре». Глубина запрашиваемых документов – 7 лет.
  • 10:20 – пока выгружаем запрошенные документы в электронном виде на флэшке, развлекаем их рассказами о том, как проходят проверки регуляторов в других странах.
  • 12:40 – передали первую четверть гигабайта электронных документов по 4 компаниям из 16. Сидим, качаем оставшиеся. Проверяющие сказали, что если им понадобятся уточнения, они нам напишут или позовут. Заказали еду на обед, сказали, что будут работать до 16.30.
  • 14:39 – запросили по e-mail 12 инвойсов, выставленных нами (проверяемой компанией) клиентам.
  • 14:40 – запросили баланс и финансовую отчетность по компании из первоначального списка, зарегистрированной в августе 2019 года, то есть по которой еще не подошли сроки подготовки отчетности.
  • 14:43 – запросили документы/ пояснения по вопросу делегирования полномочий по заверению документов связанному интродьюсеру (для тех, кто в теме) для того, чтобы убедиться,  что уполномоченное лицо: 1) применяет DD и ведет учет в соответствии с Европейской директивой 2) подлежит регулированию в своей стране по нормам, соотносимым с Европейской директивой.
Вот типичный пример замены реального подхода формальным – когда проверяющий отвлекается от процесса на детали. Т о ч н о такой же запрос мы получали во время проверки нашего офиса на БВО. 
  • 14:45 – к 16 компаниям, по которым запросили файлы, добавили еще 4 новых, с которыми отношения прекращены
  • 15:16 – поступает прекрасный совет-комментарий: «Если у вас каких-то документов недостает, не хватает, вы можете дослать нам в течение трех-четырех дней».
  • 15:17 – «Мы здесь не для того, чтобы выявлять проблемы с заверением документов, а для того, чтобы убедиться, что все [банковские] переводы были целесообразны и имели подтвержденные основания».
  • 15:20 – обнаружили, что один из проверяющих ушел
  • 15:30 – поступил вопрос по e-mail: «Проанализировав финансовую отчетность компании «М», мы видим займ размером 2+ миллиона евро от своих акционеров, поступивший в 2013 году. Однако мы не видим документов, подтверждающих соответствующий доход у акционера».
  • 15:38 – продолжение e-mail вопросов: «Касательно онлайн мониторинга счетов клиентов – мы не обнаружили вашего отчета/ протокола о ваших планируемых действиях в связи с тем, что вы обнаружили расхождения в заявленных и реальных операциях клиента: тайминг, дополнительные процедуры».
  • 16:50 – проверяющие (оставшиеся двое) ушли, сообщив, что продолжат завтра с 9:00.
10 марта (вторник). ДЕНЬ ВТОРОЙ
  • 08:16 – вопросы начались с утра: «Правильно ли мы понимаем, что в 2014-2015 году компания «R» получила от компании «K» займ в сумме 4 млн, которые в 2018 году были конвертированы в эмиссионный доход (share premium)? Пожалуйста, подтвердите, что у этих компаний ОДИН И ТОТ ЖЕ бенефициар и представьте в отношении него документы, подтверждающие происхождение этих средств».
  • 08:41 – «Правильно ли мы понимаем, что 10% компании «М» были приобретены за 10 000 евро? Есть ли связь, между бенефициарами компаний покупателя и продавца?»
  • 08:48 – «Пожалуйста, сообщите, компании «Т» и «N», которые перевели компании «M» за последние годы более 2 млн принадлежат тому же бенефициару, что и «М»? А есть ли у вас какие-то ЕЩЕ подтверждения его состояния (source of wealth), кроме наличествующих в файле выписок по счетам бенефициара в EUROBANK и CIM Bank»?
  • 09:04 – «Правильно ли мы понимаем, что в течение 2014 года компания «KZ» приобрела 50% российского «ООО» за 214 000 EUR? Пожалуйста, сообщите, кто был бенефициаром российского «ООО» на дату покупки. А также примерную оценку пакета акций на дату приобретения» (дословно!).
  • 09:24 – «Правильно ли мы понимаем, что компания «M» получила от компании «Y» в течение 2014 года 6 млн и 5,7 млн в качестве share premium?  1) у компаний «M» и «Y» один и тот же бенефициар? 2) Пожалуйста, представьте SOF/ SOI на этого бенефициара в объеме, обеспечивающем его возможности по финансированию его кипрской компании».
  • 9:50 – по нашей просьбе обещают провести завершающее собрание сегодня в 14.30 и представить нам основные результаты проверки (key findings). Оставшиеся вопросы продолжат задавать письменно.
  • 09:52 – «Верно ли, что компания «Ь» получила от компаний «Ы» и «Ъ» за последние годы сумму около 67 млн долларов? Верно ли, что все компании принадлежат одному лицу Mr.X?. Какие были ваши действия во время онлайн мониторинга? Что было предпринято в онлайн и по факту получения этих средств для выяснения целесообразности операций и риска отмывания денежных средств»?
  • 10:18 – «Компания «S» за 2015-2016 год получила около 8 млн. Предоставьте, пожалуйста, ваши протоколы мониторинга за деятельностью этой компании».
  • 11:10 – А как у Вас проводится оценка риска?
- Она у нас описана в руководстве пользователя по комплаенс. - Нет, я имею в виду оценку риска по запрошенным компаниям. - Мы пришлем принт-скрины матрицы оценки риска (Risk Rating Matrix) для каждой компании.
  • 13:00 – заключительное совещание (Exit Meeting).
« …Нет, это все-таки будет промежуточная встреча – завтра мы еще придем, но я могу уже сказать о том единственном моменте, который меня не устраивает. Если мы завтра обнаружим какое-то СЕРЬЕЗНОЕ нарушение, то мы вызовем Совет Директоров на совещание CySEC. В противном случае, мы заканчиваем проверку, выпуская наши «Рекомендации» (Letters of Recommendations).
 
Так вот, единственное, что нас не устраивает, это ваш метод проведения мониторинга по счетам клиентов. Мы видим, что вы реализуете контроль на уровне просмотра к счетам клиентов или ежеквартальный запрос выписок. Однако, такой допуск не дает эффективной возможности противодействовать инициативам клиентов совершать подозрительные банковские операции. Вы наблюдаете сам факт операции сразу после ее совершения. Мы же хотим, чтобы вы имели эффективную возможность ее предотвратить. Поэтому мы рекомендуем вам, как директорам, получать право подписи (единоличной или совместной) по счетам клиентов».
16:30 – перезвонили и сказали, что все-таки больше не придут, оставшиеся вопросы зададут по e-mail. 11 марта (среда). ДЕНЬ ТРЕТИЙ 11:09 – «Правильно ли мы поняли, что в отношениях с профессиональными посредниками вы используете их только для целей заверения документов»?
Это было единственное сообщение за третий день.
Итак, проверка подошла к концу, хотя еще есть несколько компаний, по которым мы не получали вопросов 2-ой итерации. В итоге она длилась ДВА ДНЯ В течение ДВУХ дней во время проверки:
  • было предоставлено в электронном виде: 2.539(!) файлов общим объемом 1.59 GB (!)
    1. сканы корпоративных документов (учредительные, протоколы, сертификаты, реестры и др.)
    2. сканы KYC документов (паспорта, квитанции, справки, различные подтверждающие доход документы, схемы организационных структур и пр.)
    3. сканы бухгалтерских (аудиторских) документов (балансы, финансовые отчеты)
    4. сканы коммерческих документов (банковские выписки, инвойсы, контракты)
  • было получено – 17 уточняющих электронных писем
  • на запросы было подготовлено 17 ответных электронных писем, содержащих 200+ файлов
  • с нашей стороны в проверке участвовали 20+ сотрудников: 7 на Кипре и 13 в Москве. В том числе: 5 сотрудников KYC и комплаенс, 5 бухгалтеров (аудиторов), 5 консультантов, а также сотрудники бэк-офиса и др.
  • общее количество внутренних переписок: 250+
ВЫВОДЫ
  1. Это первая проверка на нашей памяти (из тех, в которых мы принимали участие в 5 юрисдикциях), где задаются вопросы о происхождении средств, экономической целесообразности операций, документарного подтверждения транзакций, установления личности бенефициаров, то есть вопросы по существу AML, а не «замыливающие» основную цель формалистикой и малозначительным деталями/ процедурами.
  2. Это первая проверка, где проверяющие «залезали в балансы», запрашивали и анализировали финансовую отчетность с целью «накопать» подозрительные крупные операции и проанализировать их на предмет AML. Возможно, это связано с профессиональной компетенцией  д а н н о й  команды проверяющих – они аудиторы по своему профессиональному бэкграунду.
  3. Вопросы по формалистике тоже присутствовали (проверка мануалов, оценка профессиональных посредников, контроль критериев риск-матрицы), но соотношение их к вопросам по клиентским файлам 1:6, то есть около 15%. По нашим оценкам, аналогичное соотношение по проверкам в других юрисдикциях составляет 60%-70% в пользу формальной стороны AML.
Любопытно, что задаваемые вопросы презюмируют значительную ширину спектра компетенций сотрудников KYC и комплаенс-офицеров: задаваемые вопросы предполагают, что сотрудники разбираются и в вопросах аудита, и бухгалтерского учета, должны уметь читать балансы (причем, желательно в соответствии с национальными и зарубежными бухг. стандартами), могут провести рыночную оценку стоимости акций компании из стран СНГ.
  1. Сложилось впечатление, что главная цель проверки – обязать провайдера корпоративных услуг становиться подписантом по клиентским банковским счетам, что, собственно, и было объявлено на заключительной встрече.
Еще комментарии для тех, кто в теме: == ПРО ДОСТУП к КЛИЕНТСКИМ СЧЕТАМ О подобном требовании со стороны регулятора мы знали всегда (почти сразу после известий о первых проверках, которые были в августе 2013 года). Тогда стало известно, что первыми «под раздачу» попали Jr и Tr, которые сразу же после проверки отказались от практики продажи компаний БЕЗ доступа к счету. Когда стало понятно, что данного требования избежать нельзя, мы сделали ставку на минимальный вариант реализации этого требования – на ПАССИВНЫЙ доступ директоров к счетам клиентов и на полную АВТОМАТИЗАЦИЮ этого процесса (когда выписки на еженедельной основе скачиваются в базу и крепятся в карточку клиента – но это работало только для кипрских банков). В оставшихся случаях выписки запрашиваются вручную, ежеквартально. И вот, в час ИКС, выясняется, что данный способ мониторинга за счетами клиентов (monitoring of clients’ accounts) считается недостаточным, и регулятор планирует обязать нас получить ПОЛНЫЙ доступ к счетам. Мы попробуем покрутить эту ситуацию, чтобы вышло «и вашим, и нашим», попробуем согласовать вариант с высокопоставленным сотрудником CySEC (его, кстати, интервьюировал Moneyval во время недавней проверки Кипра). Попробуем получить юридическое заключение на предмет того, что наш вариант мониторинга является достаточным. Но надо признать, что это самое неприятное (и вообще единственное) последствие нашей проверки регулятором.
Хорошо, что проверка прошла через ШЕСТЬ лет после получения нами лицензии, и мы будем вводить это требование одними из последних, кто находится под регулированием CySEC. Хотя есть еще юристы и аудиторы, которые находятся под регулированием Cyprus Bar Association и ICPAC, но после проверки Moneyval обещают и их перевести под регулирование CySEC.
== В самом деле, требования CySEC больше напоминают требования к банкам (происхождением средств должны интересоваться именно они). Возможно, причина этих требований состоит в том, что закон, принятый в декабре 2012 г., на основании которого лицензируются ASP (Administrative Services Providers), списан с аналогичного для финансовой сферы и называется что-то вроде “Regulation … for Financial Organizations”. То есть нас фактически приравняли к финансовым организациям.
== Есть еще один аспект применительно к онлайн-мониторингу счетов клиентов, который вызывает неудобство. Проверяющие попросили нас (как ни странно, всего два раза) представить внутренние протоколы / записи совещаний, где мы, обнаружив оповещение нашей внутренней системы о движении средств, не соответствующее ранее заявленным (не укладывающееся в описание деятельности, отраженное в ASP - форме), проводим внутреннее обсуждение. Возможно, мы связываемся с клиентом, получаем объяснения, анализируем их, считаем их разумными и приемлемыми (с указанием оснований) и, в конечном счете, принимаем решение о допустимости данной операции. Как вы понимаете, такие записи должны вестись по каждой компании и не только в начале отношений, не раз в год при составлении отчетности, а КАЖДЫЙ РАЗ при совершении операции, например, достаточно крупной (больше 250K). Как соблюсти ЭТО требование, не доводя при этом клиента до истерики, какими силами и ресурсами, и как автоматизировать этот документооборот – вот это представляется даже более сложной задачей, нежели просто стать подписантом по клиентскому счету.
Причем, есть опасение, что второе требование вовсе не исключает первое. То есть, даже будучи подписантом по счету, мы будем обязаны фиксировать процесс принятия решения при мониторинге счета клиента.
== Пока представляется, что вся эта суета вокруг вопросов о происхождении средств и записей о принятии решений в отношении крупных операций выглядит второстепенной, может даже отвлекающей. Есть ощущение, что регулятор не собирается наказывать за отсутствие адекватных ответов на эти вопросы. Пока нам задают вопросы, но претензий по ответам на них не высказывают (особо). А также дают возможность и время ответить на них в полном объеме, подсказывая, даже намекая, что мы можем отсутствующие документы успеть дозапросить / подготовить, и это регулятора устроит. То есть нам намеренно дают «списать» на экзамене, а не требуют наличия знаний /информации /документов ДО проверки.
Отсюда и неожиданная презумпция, что сотрудники комплаенс-отдела вполне владеют функционалом оперативника детективного агентства, системного аналитика, оценщика, бухгалтера-аудитора, специалиста рынка ценных бумаг, сотрудника налоговой службы и предпринимателя с двадцатилетним стажем и опытом ведения бизнеса в разных странах.
Коллективный разум регулятора и международных надзирающих организаций не может предполагать такое. Это выглядит перверсией конкретной команды проверяющих и вряд ли отражается в единых для всех опросниках проверки (которые к нам попадали ранее в виде инсайда, и там не было ничего такого конкретного). Да и отношение проверяющих было очень дружелюбным и даже уважительным, особенно, когда они видели нашу внутреннюю систему. Говорили, что еще ни разу не встречались с такой нигде, с интересом слушали наши рассказы о том, как проходят проверки регуляторов в других странах.
== Итог проверки был, в целом, ожидаем, судя по трем семинарам, проведенные советником CySEC, который, похоже, сначала обучает проверяющих, а затем рассказывает о том же самом проверяемым. Собственно, наша команда шпарила по материалам семинара, как по методичке. Да и они вторили ему, сообщая, что первая проверка – всегда «устанавливающая правила и обучающая». По ее итогам никогда не выписывают штрафов, а только присылают письмо с рекомендациями, если, конечно, не обнаруживают СЕРЬЕЗНЫХ нарушений (как, например, у ХХХ, обслуживающей первых лиц черного списка из «Панамского архива»). Кстати, возможно, поэтому нам и был адресован один из первых вопросов, не обслуживаем ли мы конкретное лицо из списка Mossack Fonseca (наверное, список представленных бенефициаров проверили по ряду «черных баз данных», и «Панамский архив» среди них – в первую очередь, как будто это список разыскиваемых Интерполом).
Впрочем, многое из вышесказанного – это наши личные выводы и предположения. Также проверяющие написали, что может быть еще придут к нам (кажется, вряд ли). Ну, и в любом случае,  ждем их «Рекомендации» (Letter or Recommendations) через четыре месяца и повторной проверки через год.
Поделиться в социальных сетях:

Добавить комментарий

Нажимая кнопку «Отправить», Вы соглашаетесь на обработку персональных данных в соответствии с условиями политики конфиденциальности

Метки

Кипр проверка

Автор

Научный руководитель международной налоговой практики, Академик
RU EN