“К нам едет ревизор!” Как регистрационный агент проходит проверку у регулятора. Опыт в четырех странах

- Особенности проверок у регуляторов в разных странах (БВО, Сейшелы, Гонконг, Великобритания).

- Сравнительный опыт прохождения проверки: количество запрашиваемых файлов компаний, время на подготовку, задаваемые вопросы, предметы интереса.

- Результаты проверки: сроки ожидания результатов проверки, форма их предоставления, ответственность за выявленные нарушения.

Наталья Христофис (Н.Х.): Добрый день, наши слушатели и зрители! Сегодня в студии я, Наталья Христофис, и Александр Алексеев, управляющий партнёр GSL Law&Consulting. Наша беседа с вами займёт ближайшие 20-30 минут. Сегодняшняя тема названа очень интересно: «К нам приехал ревизор». К кому, к нам? И что за ревизор такой приехал?

Александр Алексеев (А.А.): В данном случае, к нам – это к GSL Law&Consulting. Кто такой ревизор? Это регулятор, который проверяет нас, наши компании, находящиеся в тех юрисдикциях, которые я ещё назову, на легитимность нашей деятельности, на соответствие нашей деятельности местному законодательству. Что я хочу сказать: вообще, может эта тема кажется узкоспециализированной и интересной узкому кругу лиц. В конце концов, сколько таких вот регулируемых организаций в оффшорных юрисдикциях? На Кипре, наверное, штук тридцать российских компаний можно насчитать (которые регулируемые). А ещё мы сидим на BVI. На BVI мы единственная русская компания. А ещё мы сидим на Сейшелах. На Сейшелах сидят три-пять русских компаний. В Гонконге может быть с десяток, в Великобритании пару десятков. Т.е. я хочу сказать, что с одной стороны кажется, что наш сегодняшний вебинар ориентирован на аудиторию порядка ста компаний. Но это не совсем так, - мне кажется, это полезно послушать и посмотреть нашим клиентам для того, чтобы они понимали, почему мы с них регулярно требуем определённые документы, задаём неудобные вопросы, - т.е. это объясняет нашу логику поведения. Поэтому я надеюсь, что сейчас я пробегусь по основным критериям, и это будет интересно более широкой аудитории, чем заявлено изначально.

Н.Х.: Насколько строги в каждой из этих стран, которые Вы упомянули (Гонконг, Сейшелы, БВО, Великобритания), регуляторы, и есть ли у Вас возможность выбрать…

А.А.: Между регуляторами? Хороший вопрос. Раз на раз не приходится. Перечислим юрисдикцию за юрисдикцией. Гонконг: регистрационную деятельность регулирует единственный регулятор, это - Company Registrar. Кстати, интересная ситуация, когда именно Регистрационная Палата регулирует регистрационную деятельность. Мне кажется, это самый логичный вариант, в то время когда на Сейшелах это регулирует FCA (Financial Services Authority), а на BVI - FSC (Financial Services Commission), т.е. комиссия по финансовым рынкам. И эти регуляторы регулируют не только регистрационную деятельность, у них круг деятельности много шире. И отсюда мы получаем в этих юрисдикциях, как мне кажется, некоторые излишние требования, потому что по названию регулятора нас приравнивают к финансовым организациям. Это почти банк. И, собственно, иногда от нас требуют то, что обычно требуют с банка. Вот отсюда у клиентов наверняка возникает разумное возмущение: А отчего так много с нас спрашивают? Идём дальше: выбрать регулятора на BVI и Сейшелах нельзя, в Гонконге – тоже нельзя. Великобритания: подробно поговорим на вебинаре, посвящённому проверке в каждой стране, и тогда я скажу, что в Великобритании проверяли нас больше всего количественно и больше всего органов. Даже Вам я ещё не говорил, что там нас проверяли очень любопытные органы, а предмет проверки был практически один и тот же. В Великобритании регулятором является налоговая инспекция, и, соответственно, выбрать его тоже нельзя – она сама себя выбрала. Кто у нас остаётся? Кипр. А вот Кипр, - поэтому Вы задавали этот вопрос,- пожалуй, единственная юрисдикция, где можно выбрать. Регистрационной деятельностью на Кипре можно заниматься под регулированием трёх организаций. Первая – это CYSEC (Cyprus Securities and Exchange Commission), как раз эту лицензию мы и получили, вторая - Cyprus Bar Association – это коллегия адвокатов Кипра, и третья – АССА – это ассоциация присяжных бухгалтеров. Соответственно, если ты занимаешься юридической, бухгалтерской или инвестиционной деятельностью, тогда можно выбрать, если у тебя в составе сотрудников есть непосредственно барристер из Cyprus Bar Association или бухгалтер из ACCA. С одной стороны кажется, что здесь есть вариативность, и поэтому больше положительного, но мы проверяли и пробовали рассмотреть вариант ухода из-под CYSEC регулирования под регулирование Cyprus Bar Association. В этом случае нужно приглашать юриста, а это совсем другие деньги. Затем ему, как правило, компенсируют сбор, который он платит в Cyprus Bar Association. Почему мы это делали? Прошёл слух, что регулирование от Cyprus Bar Association легче, чем от CYSEC. И сначала мы «купились» на этот слух, но потом все-таки ещё раз внимательно всё изучили и увидели, что все регуляторы строят своё законодательство на некоторых международных принципах, и в конечном итоге разницы в этих принципах не существует. Возможно, существует разница локальная, местная, вот прямо сейчас Bar Association не столь жёсток, но наверняка идёт тенденция к уравниванию. Поэтому мы отказались от этой идеи.

Н.Х.: Понятно, спасибо. Но я думаю, что когда мы будем проводить вебинары по каждой из этих юрисдикций, вы подробней расскажете о специфике каждого регулятора. А вот сама процедура: наверняка же она похожа во всех странах?

А.А.: Совершенно верно.

Н.Х.: И есть какие-то общие критерии, которые их характеризуют? Ну, например, за какой срок предупреждают регуляторы о своём прибытии к Вам в офис?

А.А.: Хорошо, сейчас проговорим. Да, безусловно, процедуры, в общем-то, одинаковые, по той причине, которую я уже озвучил: те принципы, те законодательные государственные акты, которые регулируют вопросы compliance, вопросы борьбы с отмыванием денег, - они международные, и поэтому часто регуляторы, чтобы не устраивать себе лишней «головной боли», просто копируют законодательство. И если таким образом поступят регуляторы в нескольких странах, то в каждой из них мы столкнёмся с одним и тем же законодательством. Отличается, фактически, правоприменение. Критерии действительно одни и те же, но, как обычно, «дьявол в деталях», и, собственно, эти детали мы сейчас и разбираем. Первый критерий: за какой срок вам сообщают, что к вам едет ревизор? Начинаем вспоминать. Первая проверка, которую мы проходили, была в 2013 году на БВО. Нам сообщили за 3 недели. Следующий раз мы проходили проверку в Великобритании, это был, кажется, декабрь 2013 года. Там было любопытно: нам сообщили, по-моему, тоже за три недели, но мне очень хотелось самому присутствовать на этой проверке, а у меня не было английской визы, я не успевал её сделать и мы написали управляющему о том, что хочет приехать бенефициар, и они дали нам отсрочку, кажется, на полтора месяца. И в итоге с последних чисел декабря эта проверка переехала на первые числа марта 2014 года. В следующий раз, когда английская проверка произошла через 2 года, нам уже не дали приехать и просто сообщили за те самые три недели. Какие у нас ещё страны? Сейшелы и Гонконг. По Сейшелам у нас такая практика: там есть два вида проверок: неофициальная, когда они просто стучатся в дверь, и задают вопросов минимальное количество очень быстрых и простых, и более серьёзнея проверка, по которой отправляют стандартный запрос за те же три недели. С Гонконгом: вообще, в Гонконге ввели законодательство, регулирующее эту деятельность, совсем недавно, в 2018 году, и мы получили лицензию только этим летом. И к нам уже пришла проверка. И пришла она по варианту «постучались в дверь». Я пишу руководителю нашего гонконгского офиса: «Это нормально?», на что он отвечает, что в том законодательном акте, который регулирует на сегодняшний день, прописано, что можно прийти без уведомления. Но, с другой стороны, если ты так приходишь, не давая подготовиться, то ты, таким образом, не то, чтобы признаешь право, а формулируешь модель проверки «по верхам», т.е. если ты хочешь проверить качественно, ты должен предложить той стороне хотя бы привезти что-то из архивов, например. У нас была практика хранения документов не в офисе, а в архивной организации в Лондоне, и там надо было хотя бы несколько дней, пока они нам эти пачки привезут. По поводу архивов: очень интересная вещь у нас была. Я её приберегу на вебинар про Великобританию. Соответственно, если ты приходишь, постучавшись в дверь, ты проверяешь элементарные вещи. Об этом мы расскажем на вебинаре про Гонконг. Для того, чтобы нам хоть в какие-то рамки ужаться, я буду сам себя ограничивать. Об этом критерии все.

Н.Х.: Хорошо. Т.е. они предупредили, пришли. Какое количество файлов они запрашивают? Или клиентских дел? Или как это происходит?

А.А.: Так и есть, файл или клиентское дело, - это одно и то же. Это очень важный критерий. Сейчас буду рассказывать. На БВО у нас запросили 68 файлов. На Сейшелах у нас запросили около 200 файлов. В Великобритании у нас запросили 8 файлов. В Гонконге у нас запросили 11 файлов.

Н.Х.: Они файлы запрашивают просто количеством или с указанием перечня компаний?

А.А.: Очень хороший вопрос. В Гонконге – перечень компаний, на БВО – перечень компаний, на Сейшелах – перечень компаний, а в Великобритании нам было дано указание самим выбрать 8 файлов, чтобы он 2-3 из них посмотрели. Чудесная ситуация. Правда, они пришли и просмотрели все 8. Я бы на их месте посмотрел 2-3 из выбранных, а потом ещё и 5-6 случайных. Об этом будем дальше говорить. Соответственно, видите? Принципы везде одни и те же, но правоприменение до такой степени разнится. Отчего так серьёзно отличается количество? Понятно, что если ты проверяешь много файлов, то ты не проверишь много критериев по каждому из них. А если проверяешь небольшое количество, то в каждом можно рыться и проверять сто критериев. Вот такая логика. Но она так не действует. На БВО у нас запросили много файлов и каждый проверили по ста двадцати критериям. Покажу эти файлоопросники, когда будем про БВО говорить. В Гонконге проверяли всего 11 файлов, но проверяли их по меньшему количеству критериев. Мне кажется, знаете, с чем это связано? Вот на БВО сколько таких компаний существует, как мы? 150 штук. На Сейшелах 50 штук. Их проверять проще. А в Гонконге? На секундочку, 6,5 тысяч. Поэтому пока ты там всех проверишь. Поэтому там и проверяют самые очевидные вещи и устраняют нарушения, которые лежат на поверхности. Давайте к следующему критерию.

Н.Х.: Я вот представила: если 68 файлов, 120 критериев – это сколько же они дней проверяли?

А.А.: Совершенно верно, ужас сколько дней и часов. Это ещё зависит от того, сколько народу пришло. В Гонконге к нам пришёл один человек, на БВО – 4 человека. И приходили они неделю. И то, обещали, что закончат к пятнице, но закончили в понедельник. Мне пришлось менять билеты. Да, совершенно верный вопрос, но решается он количеством человеко-часов, т.е. в проверке большого объёма участвует большее количество людей. Кстати, мы говорим про четыре юрисдикции и не упоминаем нашу пятую, Кипр. Это потому, что у нас ещё не было проверки. Т.е. мы получили лицензию в 2014 году, в декабре, и до сих пор ждём. Как я думаю, мы со всех сторон уже к ней подготовились, мы уже видели, как это проходит у конкурентов, мы видели эти листы-опросники (нам это предложили по инсайдерским каналам). Тут тоже интересно: когда Кипр начал лицензировать, у них тоже не хватало персонала в отделе проверок CYSEC, и они отдали это на аутсорсинг. Те. это проверяли, в том числе, компании Большой четвёрки. Соответственно, информация уплывала немного дальше и мы наслышаны, как проходит эта проверка. Но все равно мы не включили в вебинар эту юрисдикцию, т.к. если быть до конца честными – проверки у нас не было. Мы знаем, как она проходит, но на себе ещё это не проверили.

Н.Х.: Ясно. А что непосредственно в файле проверяет регулятор? Только клиентскую информацию или и агентскую тоже? Вас, как агента, проверяют?

А.А.: Это тоже индивидуально по каждой стране. В целом, и то и другое. Я помню, на BVI и в Великобритании проверяли и наш Compliance Manual, и Risk Rating Matrix, и схему деятельности. В Великобритании спрашивали, куда платят клиенты, откуда эти клиенты. И вот, кстати, в Великобритании любопытно было: на самой первой проверке, когда они узнали, что лондонский офис, который они проверяли, не видит клиентов, и клиенты платят не в лондонский офис, то они подумали и сказали: «Может, вы вообще не попадаете под регулирование?» Этот вопрос достаточно долго решался. Конечно, он решился положительно, - попадаем, попадаем, - иначе был бы просто нонсенс какой-то. Но вопросы в отношении того, как мы строим свою деятельность, безусловно, присутствуют. Вплоть до реестра тренингов; в ряде стран интервьюировали сотрудников, как они знают правила, связанные с Compliance и т.д., проходят ли она независимые тесты, проходят ли они обучение, проходят ли они аттестацию. Т.е. да, конечно, нас тоже проверяют, но это опосредованные вещи, в основном проверяют то, как мы ведём клиентские файлы. В конце концов, мы можем быть все из себя образованные, но не следовать этой практике. Поэтому главное для них – файлы. А вот что проверяют по клиентским файлам – об этом я буду говорить индивидуально на каждом вебинаре. Вкратце: проверяют самые разные критерии. В основном проверяют наличие документов, причём речь идёт не только о корпоративных документах. В первую очередь, это идентифицирующие документы бенефициаров. В Англии, например, проверяют реестры контролирующих лиц, в Гонконге проверяют реестры контролирующих лиц. Затем, проверяют способ заверения этих идентифицирующих документов: копии паспорта и адреса проживания, способ перевода: смотрят, чтобы перевод был на адекватный английский язык. Т.е. вообще говоря, пока проверяют технологическую, простейшую фактическую информацию и до вопросов, которые нам важнее всего, для клиентов важнее всего, - это источник происхождения средств, суть деятельности компании, география деятельности компании, -до них почти не доходят. Ближе к делу, по каждой стране проговорим, что, по-моему, в Гонконге, где у нас была последняя проверка, они вроде бы заглянули в нашу систему и убедились, что эти поля просто заполнены. Однако в Великобритании, я помню, они открыли один конкретный файл, да, нужно сказать, что они проверяют high risk и проверяют normal risk. В большинстве юрисдикций говорят, что по high risk будут проверять все файлы. Т.е. когда выбирают количество проверяемых файлов, то могут отсчитать сколько-то, но отсчитывают обычных. Говорят: «Дайте нам все high risk». Ещё 35 взяли обычных. Т.е. всего у нас получилось 68.

Н.Х.: Вы говорили, насколько они проверяют клиентов и не уходят в детали.

А.А.: Я действительно озадачивался и переживал, что будут входить в детали бизнеса. И я помню, что входили в детали бизнеса только в Великобритании и то только на первой проверке (у нас их было уже четыре). Вот на последней они видимо как-то уже отработали свой алгоритм, а в самом начале он строился достаточно неформально, как мне казалось, проверяющие сами выстраивали логику беседы исходя из собственного понимания этих принципов. Соответственно, я помню, что они вытащили одного high risk клиента и его изучали очень подробно. Слава Богу, что этот high risk клиент оказался в Википедии, и не только русской, но и английской, и про него много чего можно было рассказать. Все документы были на местах, даже вручную нарисованная им схема владения была: скан схемы первой консультации у нас был первым документом в файле с его компанией. И то, мне показалось, что они не были абсолютно удовлетворены, т.е. у них остались вопросы, на которые, как им казалось, я не до конца ответил. Но впоследствии такая глубина уже не подтверждалась.

Н.Х.: А было такое, например в Великобритании: уже четыре раза приходили, мы их уже знаем, можно как-то в полруки проверять? Вы себя зарекомендовали с хорошей стороны?

А.А.: До этой ситуации мы не дошли, потому что в первый раз они проверяли одну компанию, а вот второй раз мы от другой компании ездили. Т.е. поэтому тут не получалось, что два раза одно и то же проверяют. Затем, третья проверка была совсем другим органом (надо вспомнить, как он называется) – какой-то локальный департамент самого city, не федеральное. Т.е. приходили разные органы, поэтому здесь не прокатит вариант, что нас и так все хорошо знают и мы себя хорошо зарекомендовали. Если уж на то пошло, то на BVI нас проверяли дважды, потому что второй раз мы исправляли ошибки, допущенные предыдущим Compliance.

Н.Х.: Кстати, об ошибках. Вот прошла проверка. Когда присылают результаты со своим заключением?

А.А.: Сейчас буду вспоминать. Хорошо я помню только самую первую проверку на BVI, ещё и потому, что когда они пришли, то перед началом проверки сообщили, что по регламенту мы должны предоставить вам результаты проверки в течение 4-6 недель после её окончания. «Но, обычно, мы не успеваем»,- сразу сказала руководитель этой маленькой комиссии. Насколько они не успели? Они не успели на полтора года. Если я не ошибаюсь, нас проверяли в августе 2013 года, а результат мы получили в январе 2015. Когда нас повторно проверяли на BVI, такой сильной задержки не было. Там проверяли только критерии, которые нужно было исправить. По-моему, там было около пары месяцев, - уже хороший результат. Проверка в Гонконге была у нас на позапрошлой неделе: проверяли три критерия, по одному из них предъявили некоторые претензии, которые мы тут же исправили и тут же исправления отправили, но нам пока не сказали ответ. Но вроде бы речь идёт о совсем небольшом промежутке времени, которое считается неделями. Не думаю, что здесь о месяцах даже идёт речь. Но опять же, в Гонконге по-другому не может быть, потому что я же уже упоминал: там семь с половиной регулируемых организаций. Нельзя растягивать на полтора года по каждой. Поэтому, наверное, достаточно быстро будет. По другим юрисдикциям не помню. В отношении Сейшел, мне кажется, речь идёт о паре месяцев.

Н.Х.: Ясно. Если были выявлены какие-то нарушения, какой-то период даётся на их устранение? Или что происходит дальше? Какие-то предписания делаются регулятором?

А.А.: Сначала выносят inforcement action и дают время на исправление. И после следующей проверки там будет уже следующий inforcement action. По итогам исправлено-не исправлено. Соответственно, если мы говорим о вариантах ответственности за нарушения, то их, по сути, можно разделить на четыре группы. На БВО их пять, но мы даже не очень разобрались с первыми двумя: они достаточно похожи, как нам кажется. Но, по сути, они могут быть следующие: предупреждение, финансовые санкции, отзыв лицензии и предписание прекратить бизнес, т.е. закрыть компанию. Между этими четырьмя вариантами все, наверное, и балансируют. По результатам оценки существуют те же 4 варианта: твою деятельность считают non-compliant, poorly compliant, largely compliant и compliant. Т.е. такая советская система оценки: двойка, тройка, четвёрка и пятёрка. И мне кажется, что с этого среднего балла ты куда-то попадаешь, т.е. тебе соответственно дают warning, либо penalty, либо revocation of license, либо сease and desist order.

Н.Х.: Ну а в целом как? Хорошо сдали?

А.А.: Хороший вопрос. Хуже всего у нас на BVI. Промахнулись мы немножко с первым Compliance, который нам запорол работу и текущий Compliance её исправляла. Она её реально исправила, но следы нарушений, допущенных в первый раз, оказались, во-первых, на сайте, во вторых, на этот сайт регулярно заходит World-Check, а, значит, они оказались и там. И поэтому это все видно. Когда мы куда-то подаёмся, например, на открытие счета, где нас проверяет сторонняя организация, мы очень часто видим результаты этой проверки, которая прошла аж 2013 году, и мы от этого страдаем, иногда явно, иногда неявно. Нам могут отказать, а о причинах отказов мы можем только догадываться. Возможно, это связано с тем, что когда-то на нас нашли что-то неправильное.

Н.Х.: Понятно. Мы завершаем нашу беседу. Последний вопрос: мы использовали в названии вебинара фразу Гоголя из названия произведения комедийного жанра. Ваши проверки в целом каким бы жанром Вы охарактеризовали? Похоже это на комедию?

А.А.: Ближе всего, конечно это драма. Но с элементами комедии. Слава Богу, трагедий наверное нет, но могла быть и трагедия: когда у нас была проверка на BVI, там, в том числе, перед проверкой наш персонал пытался и ремонт какой-то сделать, и понятно, что они все это не успевали, и какие-то плитки вешали в последний момент, и в итоге одна плитка отвалилась. Слава Богу, она отвалилась через полчаса после того, как проверяющая ушла. Я видел: там до этого сидела председатель комиссии. И если бы эта плитка свалилась ей на голову, была бы трагедия. А так остановились на комедии.

Н.Х.: Спасибо.

А.А.: Не за что. Будем встречаться. И по этой теме в том числе. Будем готовиться и планировать вебинары о том, как проходили проверки в каждой из этих юрисдикций. На этом мы прощаемся. Спасибо. До свидания.