Рамка комплаенса: цели, роли, метрики
Определите границы программы: какие юрисдикции затрагивают сделки, какие санкционные режимы применимы (США/ЕС/Великобритания/ООН/прочие), какие отраслевые ограничения есть (двойного назначения, военные, крипто). Назначьте владельцев: бизнес запрашивает проверку, комплаенс оценивает риск и формирует вердикт, юридический департамент вносит защитные оговорки в договор.
Метрики, которые стоит зафиксировать в SLA: TTO (время онбординга) — базовые контрагенты 2–3 рабочих дня, повышенный риск 5–10 дней; доля ложных совпадений при скрининге (FPR) — цель ≤10%; охват скрининга — 100% по контрагентам и их UBO ≥25%; частота рескрининга — ежедневная по санкциям, ежеквартальная по PEP/адресам/доменам; время на очистку алерта — ≤48 часов.
Due diligence контрагента: пошаговый алгоритм
Стандартный процесс KYB/KYC, который масштабируется от малого заказа до крупной сделки. Фиксируйте каждый шаг в системе (DMS/CRM) с датой и ответственным.
- Предскрининг по названию/стране: быстрый санкционный и негативный медиапоиск (10–15 минут).
- Запрос пакета KYB: устав/регистрация, директоры, структура владения до UBO ≥25%, налоговый номер, адрес, сайт, банковские реквизиты (включая SWIFT/IBAN), контакт ответственного по комплаенсу.
- Сбор внешних доказательств: реестры юрлиц, годовые отчеты, иные корпоративные публикации.
- Идентификация UBO и руководителей: проверка PEP/санкций, дата рождения/гражданство, совпадения по ID-документам, проверка 50 Percent Rule.
- Оценка географического риска: страна регистрации и фактическая деятельность (включая IP‑адреса домена и локацию складов/перевозчиков).
- Проверка товара/услуги: коды ТН ВЭД/HS, наличие dual‑use компонентов, требуемые лицензии/конечное использование.
- Антифрод‑сигналы: домен создан < 6 мес назад, нет стационарного телефона, адрес — виртуальный офис, бенефициары через офшор с закрытым реестром.
- Скоринг риска: шкала 1–5; триггеры EDD — PEP, офшорная структура, страна высокого риска FATF, сложная цепочка собственников (>3 уровней), военные/двойного назначения товары.
- EDD при необходимости: запрос банковской/аудиторской рекомендации, видео‑верификация ответственных, визит/онлайн‑тур объекта, письменное заверение конечного использования.
- Решение и условия: «Одобрить/с ограничениями/Отклонить». Для «с ограничениями» — лимиты суммы (например, ≤250 000 USD/квартал), запрет на предоплату >30%, обязательный эскроу/инспекция партии.
Типичные ошибки: опора только на название без проверки ИНН/регистрационного номера; игнор альтернативных написаний (транслитерация); отсутствие проверки адресов доставки (end‑user). Избегайте их, используя идентификаторы, fuzzy‑matching с порогом 0.85 и верификацию конечного покупателя.
Санкционный скрининг и экспортный контроль
Источники: OFAC (SDN/SSI/NS‑MBS), ЕС (CFSP), UK (OFSI), ООН (1267/1989), Канада, Австралия; по экспортному контролю — BIS (Entity List/MEU/Denied Persons), ЕС Dual‑Use, национальные списки. Сопоставляйте также дочерние и аффилированные структуры.
Настройки скрининга: onboarding + ежедневный рескрининг; fuzzy‑matching 0.80–0.90; правило 50 Percent Rule для США/ЕС; ручная верификация алертов TAT ≤48 ч; документируйте решение и источник, хранение 5–10 лет. Для товаров двойного назначения требуйте self‑certification конечного использования и, при необходимости, лицензии экспортконтроля.
Привлечение внимания
Не полагайтесь на «чистое» название: санкции часто применяются к бенефициарам и компаниям под альтернативными транслитерациями. Проверяйте UBO и связанные лица.
Микро‑кейс: российская компания не в списке, но 60% принадлежит лицу из SDN через два холдинга по 30%. По 50 Percent Rule — фактический запрет. Выявляется при разворачивании структуры собственников до физлиц.
Бенефициары, PEP и AML‑риски
Выявляйте UBO до физических лиц с порогом 25% (иногда 10% для высокорисковых отраслей). Используйте корпоративные реестры, судебные решения, публикации регуляторов, базы PEP и санкций. Для юрисдикций с закрытыми реестрами сопоставляйте директоров и адреса по смежным компаниям.
PEP‑скрининг: классифицируйте уровнями (иностранный/национальный/местный, близкие родственники, близкие связи). Повышайте риск‑оценку на 1–2 пункта при активных PEP, запрашивайте источник благосостояния (SoW) при крупных сделках (>250 000 USD) и подтверждение источника средств (SoF) на транзакцию.
Микро‑кейс: два миноритария по 22% и 18% — не UBO по формальному порогу, но фактически действуют совместно (общий директор и адрес). Складывайте влияние и применяйте усиленный контроль. Если подобные контрагенты — ваши партнёры для международного сотрудничества, фиксируйте письменные заверения о независимости.
Контрактные оговорки и мониторинг
Включайте обязательные положения: заверения и гарантии о соблюдении санкций/AML, уведомление об изменениях статуса ≤24 часов, право на аудит и предоставление данных для скрининга, право немедленного расторжения при попадании в санкционные списки, оговорка о конечном использовании и реэкспорте, запрет субподрядчиков без согласия.
Операционный мониторинг: рескрининг контрагента и ключевых бенефициаров ежедневно; транзакционный мониторинг по правилам (например, платежи из/в страны риска — ручная проверка; расхождение бенефициара в SWIFT — стоп‑платеж); пересмотр риска ежеквартально и при триггерах (смена директора, адреса, банка).
Если в договоре нет права на одностороннее прекращение при санкционных событиях — у вас нет действенного механизма управления внезапным ростом риска. Включайте это условие даже при «низком риске».
Типичные ошибки: «заморозить» провайдера скрининга и не обновлять источники; не согласовать SLA на реакцию (итог — просрочки поставок); хранить решения комплаенса вне DMS — теряется аудируемость.
Инструменты и автоматизация
Подберите стек по масштабу и бюджету. Минимум: централизованное хранилище решений, автоматический ежедневный рескрининг, логирование поисков и алертов. Для API‑интеграций проверяйте лимиты запросов и соответствие GDPR/локальным законам о данных.
| Решение | Стоимость/мес | Покрытие | Ключевые плюсы/минусы |
|---|---|---|---|
| Ручная проверка + открытые реестры | 0–200 USD | Базовые списки/медиа | + Дёшево; − Низкая воспроизводимость, высокий FPR |
| Open‑source + скрипты (API отдельных списков) | 200–800 USD | Санкции/PEP/нега‑медиа | + Гибкость; − Поддержка и комплаенс‑логирование на вас |
| SaaS скрининг‑платформа | 800–3 000 USD | Глобальные списки/адверсы | + SLA/аудит; − Стоимость per‑hit, внимание к оверейджам |
| Enterprise GRC с кейс‑менеджментом | 3 000–10 000 USD | End‑to‑end + отчётность | + Масштаб; − Длённая интеграция (4–12 недель) |
Контроль качества данных и процессов:
- Ежемесячный аудит FPR/TPR по 50 случайным алертам (цель: TPR ≥95%).
- Покрытие UBO: доля контрагентов с UBO до физлица ≥95%.
- Среднее время закрытия алерта ≤24–48 ч; эскалации >72 ч — не более 5%.
- Наличие следа аудита по каждому решению (дата/источник/ответственный) — 100%.
Интеграционные заметки: триггеры рескрининга из ERP/CRM (изменение адреса/банка), веб‑хуки от провайдера для инцидентов, SSO и разграничение ролей (принцип наименьших привилегий).
Дорожная карта на 90 дней по построению комплаенса для сделок
Недели 1–3: карта рисков по странам/товарам, выбор провайдера скрининга (пилот 2–3 варианта), черновик политики KYB/KYC и матрицы риска. KPI: утверждённая политика v1, SLA TTO ≤5 дней.
Недели 4–6: внедрение SaaS/API, настройка ежедневного рескрининга, шаблоны договорных оговорок, обучение продаж/закупок (2 часа + тест). KPI: 90% контрагентов в системе, FPR ≤20% на старте.
Недели 7–9: EDD‑процедуры (SoW/SoF, визиты), запуск мониторинга транзакций, дашборд метрик (TTO, FPR, алерты в работе). KPI: TTO базовых кейсов ≤3 дней, алерты >72 ч — 0.
Недели 10–12: пост‑аудит 20 кейсов, корректировка правил, финализация отчётности для руководства, план тестов на инциденты (санкционное событие, сбой провайдера). KPI: TPR ≥95%, покрытие UBO ≥95%, готовность к внешнему аудиту.
Частые ловушки: отсутствие «плана B» при падении API — используйте локальные кэши списков; игнор экспортконтроля при реэкспорте; нефиксирование решений — потеря доказательной базы для банка/регулятора.