Внутренний контроль: изменения в 2023 году

В целях противодействия легализации преступно полученных доходов банки и некоторые другие организации должны идентифицировать своих клиентов, а также в отдельных случаях — выгодоприобретателей по сделке при переводе клиентом денежных средств.

Внутренний контроль клиентов должны осуществлять не только банки, но и ряд других специализированных организаций: профессиональные участники рынка ценных бумаг,  операторы инвестиционных и (или) финансовых платформ, страховые организации, лизинговые компании и др.

Идентифицируют сведения о своих клиентах и выгодоприобретателях кредитные и некредитные организации по-разному. Некредитные финансовые организации руководствуется при проверке Положением об идентификации НФО Банка России от 12.12.2014 № 444-П, а банки — Положением об ИКО Банка России от 15.10.2015 № 499-П).

Программа идентификации (порядок ее проведения, сроки и особенности) устанавливается в правилах внутреннего контроля организации, на которую законом возложена обязанность проведения проверки.

Правила внутреннего контроля включают в себя:

• порядок установления сведений о выгодоприобретателе и принципы проверки достоверности данных;
• проверку причастности выгодоприобретателя к экстремистской деятельности или терроризму.

Сведения собирают до приема клиента на обслуживание, после чего периодически обновляют в ходе работы с ним.

При проведении идентификации банк должен оценивать также уровень риска своих клиентов: низкий, средний, высокий (пп. 3.1 и 3.2 п. 1 ст. 7 закона № 115-ФЗ). Для оценки степени риска проводят анализ характера и вида деятельности клиента и особенность используемых им продуктов и (или) услуг. Включить организацию или ИП в группу высокого риска банк может, если обнаружит, что клиент совершил ряд подозрительных операций.

Требования к правилам внутреннего контроля банков утверждены Положением Банка России от 02.03.2012 № 375-П. В нем есть отдельный раздел, посвященный перечню сомнительных операций. Также перечень сомнительных операций и признаков необычных сделок содержится в Приказе Росфинмониторинга от 08.05.2009 № 103.

В зависимости от того, к какой группе риска относится клиент, определяют периодичность, с которой банк должен обновлять информацию о выгодоприобретателях клиента. Если клиент находится в низкой группе риска, идентификация может проводиться раз в три года, для остальных групп – раз в год. Но если у банка появляются сомнения в достоверности и точности ранее полученной информации, то проверка проводится в течение 7 рабочих дней, следующих за днем возникновения опасений у банка.

Порядок определения степени риска совершения клиентами подозрительных операций устанавливается каждым банком самостоятельно в правилах внутреннего контроля, разрабатываемых в соответствии с п. 2 ст. 7 закона № 115-ФЗ. Клиенту банка недоступны критерии, по которым оценивается его деятельность и проводимые операции, он не может перепроверить данные, на основании которых был включен в ту или иную группу риска. Более того, банк не должен сообщать своему клиенту, к какой категории риска тот относится.

В рамках идентификации клиента и его выгодоприобретателя банк может проводить ряд мероприятий, в том числе истребовать у своего клиента сведения и документы в отношении проводимой сделки.

Выгодоприобретателем признается лицо, в интересах которого действует клиент. Под пристальное внимание попадают посредники и переводы агентских вознаграждений, выплаты по договорам поручения, комиссии и доверительного управления. Но в зоне риска могут оказаться не только операции с посредниками.

По сделкам с физическими лицами раскрытию в рамках идентификации подлежат: Ф.И.О., гражданство, дата рождения, реквизиты документа, удостоверяющего личность, адрес места жительства (регистрации) или места пребывания, ИНН и др. В отношении юридических лиц — наименование, организационно-правовая форма, ИНН, ОГРН, адрес юридического лица, и др. (пп. 1 п. 1 ст. 7 закона № 115-ФЗ).

Статья 6.1, п. 14 ст. 7 закона № 115-ФЗ возлагают на юридических лиц обязанность знать своих бенефициарных владельцев и выгодоприобретателей, раскрывать информацию о них в соответствии с установленным порядком и предоставлять банкам запрашиваемые сведения и документы.

При проведении идентификации клиента или обновлении данных банк также может использовать информацию из открытых информационных систем органов государственной власти, размещенных в Интернете либо полученных в рамках межведомственного электронного взаимодействия.

Дополнительно для получения сведений банк может воспользоваться информационными продуктами российских и иностранных организаций, занимающихся сбором данных. Например, информационным агентством ЗАО «Интерфакс» (система СПАРК, «Центр раскрытия корпоративной информации»), АО «Финмаркет» (X-Complia№ce), Orbis (www.orbis.bvdinfo.com) и др.

Собранные идентификационные данные банк хранит в специальном досье на каждого клиента, которое может быть оформлено в бумажном виде или на электронном носителе. Эти сведения хранятся в течение всего периода работы банка с клиентом, а также не менее пяти лет со дня прекращения отношений.

Законодательные изменения, которые распределили организации и ИП по группам риска совершения подозрительных операций, вступили в силу с 1 июля 2022 года. Определение подозрительных операций дано в ст. 3 закона № 115-ФЗ. Из него следует, что для отнесения операции к подозрительной банку не нужен зафиксированный факт совершения клиентом противоправного деяния (решение суда или акт правоохранительного или иного органа власти), достаточно оценочного суждения сотрудника банка, что проводимая сделка направлена на отмывание доходов, полученных преступным путем.

Банки оценивали правомерность деятельности своих клиентов и раньше — при старой редакции закона № 115-ФЗ. Кредитные учреждения всегда имели рычаги воздействия на недобросовестных клиентов (им могли приостановить проведение операций или закрыть счет). Но с июля 2022 года банки не только фиксируют уровень риска своих клиентов, но и передают свои подозрения Банку России (п. 3.1 ст. 7, п. 1 ст. 7.6 закона № 115-ФЗ, п. 5 ст. 4 Федерального закона от 21.12.2021 № 423-ФЗ).

Банк России аккумулирует данные об организациях и ИП, полученные из разных кредитных учреждений, связывает их со сведениями из Росфинмониторинга и ФНС и присваивает каждому лицу определенную категорию риска: низкую, среднюю или высокую (п. 18.8 ст. 4, ст. 9.1 закона № 86-ФЗ). После чего статус каждого юридического лица и ИП спускается к кредитным учреждениям. При этом если ЦБ РФ установит высокий уровень риска для конкретного лица, то банк не сможет снизить его (п. 7 ст. 7.7 закона № 115-ФЗ).

Банкам рекомендовано пользоваться перечнем ЦБ РФ при работе с клиентами и оценке проводимых операций. Если банк обнаружит подозрительные операции, проводимые клиентами, уже имеющими высокий уровень риска по данным ЦБ РФ, то он может заблокировать расчетный счет клиента, ограничив проведение расходных операций до возможности перечисления только налогов, страховых взносов, заработной платы и некоторых других платежей (п. 5 ст. 7.7 закона № 115-ФЗ). При этом выплатить зарплату с заблокированного расчетного счета получится в отношении только тех работников, с которыми ранее уже был заключен трудовой договор, и в сумме, сопоставимой с прежними перечислениями до блокировки счета  (п. 6 ст. 7.7 закона № 115-ФЗ).

В отношении ИП лимит на снятие денежных средств по заблокированному счету определен в размере 30 тыс. рублей. Сверх лимита можно будет перечислить платежи, предусмотренные кредитным договором, если договор был заключен до блокировки счета. При закрытии расчетного счета, который заблокирован, остаток по счету клиенту не выдадут, перевести его в другой банк тоже не получится (п. 5 ст. 7.7 закона № 115-ФЗ).

Если клиент банка не согласен с присвоенным ему статусом и действиями кредитного учреждения, он имеет право подать жалобу в межведомственную комиссию Банка России. Жалоба направляется через интернет-приемную Банка России на официальном сайт www.cbr.ru.

Рассмотрение комиссией жалобы проходит заочно, без присутствия заявителя. Поэтому жалоба должна быть полной, раскрывающей все особенности ведения предпринимательской деятельности, которая позволит подтвердить доводы заявителя о правомерности его деятельности.

Если жалоба не будет удовлетворена, организация или ИП с заблокированным счетом могут обратиться в суд (п. 3 ст. 7.8 закона № 115-ФЗ). Возможность подать жалобу и после ее рассмотрения обратиться в суд действует в течение шести месяцев с момента блокировки счета (п. 1 ст. 7.8 закона № 115-ФЗ). Если по истечении полугода с даты блокировки счета организация или ИП не восстановят свой статус, то ЦБ РФ передаст данные такого лица в ФНС для исключения организации из ЕГРЮЛ, а ИП – из ЕГРИП (п. 4 ст. 7.8 закона № 115-ФЗ). Остаток на заблокированом счете передадут после ликвидации собственнику компании.

С тринадцатого июля 2021 года установлен запрет для банков и других специализированных организаций принимать на обслуживание юридических лиц и осуществлять по их поручению операции с денежными средствами или иным имуществом, если:

• у лица отсутствует лицензия, которая необходима в рамках осуществляемой им деятельности, заявленной в ЕГРЮЛ;
• доменное имя и (или) указатель страницы сайта, с использованием которого оказываются услуги в сети Интернет, включены в Единый реестр запрещенных в РФ ресурсов.

Данные требования изложены в пункте 15 ст. 7 закона № 115-ФЗ.

Росфинмониторинг в информационном письме от 22.09.2021 № 64 объяснил, что наличие лицензии обязательно не для всех видов деятельности, заявленных в ЕГРЮЛ, а только в отношении фактически осуществляемой. То есть если организация установила в дополнительных видах деятельности в ЕГРЮЛ какой-то род занятий, который предполагает наличие лицензии, но фактически она этим не занимается, то организация может не иметь на нее лицензию. В этом случае меры, предусмотренные абз. 1 п. 15 ст. 7 федерального закона № 115-ФЗ, не применяются.

Также Росфинмониторинг пояснил, что сведения о доменных именах и адресах сайтов могут предоставляться банку клиентом. Проверка данных  осуществляется через форму, размещенную на сайте Роскомнадзора. При выявлении факта включения доменного имени сайта, указателя страницы сайта в Единый реестр запрещенных в РФ ресурсов после приема юридического лица на обслуживание, организация обязана прекратить проведение операций по поручению такого лица.

Обновлять соответствующую информацию о клиентах банки и другие организации должны как минимум 1 раз в год, а в случае обнаружения недостоверных сведений – в течение 7 рабочих дней.

С тринадцатого января 2022 года расширен перечень лиц, которые должны разрабатывать правила внутреннего контроля в рамках закона № 115-ФЗ. В него вошли адвокаты, нотариусы, лица, оказывающие юридические или бухгалтерские услуги, аудиторские компании и индивидуальные аудиторы.

Постановление Правительства РФ от 14.07.2021 № 1188 утвердило отдельные требования к правилам внутреннего контроля для вышеперечисленных лиц. Старые правила нужно было привести в соответствие с новыми требованиями не позднее 13 февраля 2022 года.

Новые требования связаны с разработкой правил внутреннего контроля для следующих операций с денежными средствами или иным имуществом, которые осуществляют указанные лица:

• операции с недвижимым имуществом;
• управление счетами и ресурсами клиентов в кредитных и финансовых организациях;
• привлечение ресурсов для создания компании, ее обеспечения или управления;
• создание (купля-продажа) юридических лиц и иностранных структур без образования юридического лица, обеспечение их деятельности или управления ими.

Правила оформляются на бумажном носителе либо в электронном виде с применением квалифицированной электронной подписи.