Какие существуют тренды развития и перестройки комплаенса в системе в целом и применительно к Группе «ДЕЛОВОЙ ПРОФИЛЬ»?
Российский бизнес вынужден адаптироваться к работе в условиях санкций, которые непрерывно расширяются и оказывают на него не только прямое, но и косвенное воздействие.
Перестраиваются бизнес-процессы: например, введенные в качестве господдержки льготы для IT-компаний сподвигли многие компании выделить IT-функционал в самостоятельную структуру, со своими комплаенс-процедурами.
Пересматриваются системы комплаенса: введение валютных ограничений и ужесточение валютного регулирования повысили комплаенс-риски валютных операций, изменили систему оценки подобных рисков.
Внедряются новые виды контроля: сбой цепочек поставок, вызванный санкциями или связанными с ними логистическими проблемами, заставил бизнес искать за рубежом новых контрагентов и расширил сферу применения санкционного комплаенса.
Расширяются границы комплаенса: потеря европейских рынков сбыта требует переориентации товарных потоков на рынки Азии и на Восток, где действует иное национальное законодательство и правовые барьеры, преодолеть которые помогает международный комплаенс.
Повышаются требования для специалистов комплаенс-контроля: усиление влияния комплаенс-рисков, появление новых, с которыми бизнес раньше не сталкивался, требуют квалифицированного управления комплаенс-менеджментом.
Растет спрос на услуги комплаенс-консалтинга: многие компании не имеют в штате квалифицированных комплаенс-менеджеров и для проверки соблюдения действующего законодательства обращаются к сторонним экспертам.
Внутренний комплаенс стал «выборочным»: уход из России крупнейших IT-гигантов привел к тому, что бизнес вынужден использовать «пиратское» программное обеспечение. Однако российское законодательство в отношении незаконного использования авторского права при этом не смягчилось. Поэтому многие компании, которые не нашли замену ушедшим из России поставщикам программного обеспечения, вынуждены использовать нелицензионные продукты, несмотря на грозящую административную или уголовную ответственность.
Лицензирование деятельности
13. ФСТЭК России представила для общественного обсуждения проекты ведомственных приказов об утверждении порядка лицензирования следующих видов деятельности:
14. ФСТЭК России представила для общественного обсуждения проекты приказов об утверждении форм документов, используемых ведомством в процессе лицензирования следующих видов деятельности:
-
;
15. ФСТЭК России утвердила требования по безопасности информации к средствам контейнеризации. Информационное сообщение регулятора об этом и выписка из требований опубликованы на сайте ведомства.
Регулятор определил минимально необходимые требования по безопасности информации, предъявляемые к:
-
уровню доверия средства контейнеризации;
-
хостовой операционной системе, в среде которой функционирует средство контейнеризации;
-
составу функций безопасности средства контейнеризации;
-
изоляции контейнеров;
-
выявлению уязвимостей в образах контейнеров;
-
проверке корректности конфигурации контейнеров;
-
контролю целостности контейнеров и их образов;
-
регистрации событий безопасности;
-
управлению доступом;
-
идентификации и аутентификации пользователей;
-
централизованному управлению образами контейнеров и контейнерами в средстве контейнеризации.
Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается шесть классов защиты. Самый низкий класс – шестой, самый высокий – первый.
Новости в области стандартизации
16. Минтруд России своим приказом № 739н от 28.11.2022 утвердил профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере».
В стандарте описаны трудовые функции специалиста:
-
обеспечение функционирования систем и средств защиты информации в организациях кредитно-финансовой сферы (КФС);
-
управление инцидентами информационной безопасности в организациях КФС;
-
аналитическое и организационное сопровождение деятельности по управлению рисками информационной безопасности в организациях КФС;
-
методологическое обеспечение процессов информационной безопасности в организациях КФС;
-
контроль обеспечения информационной безопасности и обеспечение операционной надежности (киберустойчивости) в организациях КФС;
-
организация процессов обеспечения информационной безопасности в организациях КФС.
17. Представлены официальные тексты национальных стандартов РФ по управлению компьютерными инцидентами, ориентированные на субъектов КИИ:
-
ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
-
ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»;
-
ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»;
-
ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Стандарты вступают в силу с 1 февраля 2023 года.
18. Технический комитет по стандартизации «Криптографическая защита информации» подготовил проекты рекомендаций по стандартизации в области криптографии:
-
Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 (IKEv2)»;
-
Рекомендации по стандартизации «ИТ.КЗИ. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи».
Отраслевые изменения
22. Правительство РФ своим распоряжением № 4088-р от 22.12.2022 утвердило Концепцию формирования и развития культуры информационной безопасности граждан России. Её реализацию поручено обеспечить Минцифры России совместно с другими заинтересованными федеральными органами исполнительной власти. Исполнительным органам субъектов РФ рекомендуется учитывать положения Концепции при формировании и осуществлении региональных программ в сфере ИБ.
23. Официально опубликовано постановление Правительства РФ от 08.12.2022 № 2250 «О внесении изменения в Положение о защите информации в платежной системе».
24. Опубликован приказ Главного управления специальных программ Президента РФ от 22.10.2022 № 163, устанавливающий перечень информации об отнесенных к ведению Главного управления специальных программ Президента РФ пунктах управления государством и Вооруженными Силами РФ, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требования к защите данной информации.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция» компании «РТК-Солар»
Как работать ИП и ООО, чтобы банк не заблокировал счёт
Центробанк составил список рекомендаций для предпринимателей, которые помогут избежать блокировки счёта. При этом у разных банков свои механизмы контроля за соблюдением 115-ФЗ и требования к клиентам. Мы составили расширенный список рекомендаций, который избавит ИП и ООО от вопросов банка в большинстве случаев. Вот что нужно делать, чтобы снизить риск блокировки счёта.
Правильно заполняйте платёжные документы. В платёжном поручении должны быть указаны номер договора и счёта, подробное назначение платежа, сумма. Например, «Оплата за строительные материалы (щебень, песок) по Договору № 1 от 11.01.2021 по счёту № 3 от 30.03.2021, включая НДС». Заполняйте платёжные поручения максимально подробно и попросите это делать контрагентов.
Работайте с проверенными контрагентами. Перед тем, как подписывать договор и переводить деньги новому партнёру по бизнесу, убедитесь в его положительной деловой репутации. Проверьте контрагента на сайте налоговой, в базе судебных решений и других ресурсах. Подробно о том, как проверить контрагента, мы рассказывали в нашем материале «Как составить договор, чтобы контрагент вас не подвёл».
Следите за налоговой нагрузкой. Адекватная налоговая нагрузка без учёта социальных отчислений в бюджет составляет 1% от дебетового оборота по счёту за отчётный период (обычно это квартал). Если банк увидит, что компания платит меньше налогов, может заблокировать счёт.
Следите за оборотом наличных. Все операции с наличными на сумму 600 тыс. руб. и более подлежат обязательному контролю.
Выполняйте разные виды расчётов. Операции по счёту должны включать расчёты с контрагентами, уплату налогов и других отчислений в бюджет, выплату заработной платы, арендные платежи. Такие операции признак того, что вы занимаетесь реальным бизнесом. Если компания регулярно получает деньги от контрагентов, но не платит налоги и зарплату, банк может усомниться в экономической обоснованности таких операций и запросить подтверждающие документы.
Аргументируйте и документально подтверждайте расчёты с физическими лицами. Если вы регулярно переводите деньги сотрудникам в рамках трудовых отношений, то у вас одновременно с выплатой заработной платы должна проходить уплата НДФЛ. В случае расчётов с физическими лицами банк может запросить штатное расписание с указанием фонда оплаты труда, приказы на выдачу командировочных и на выдачу денег в подотчёт, договоры гражданско-правового характера. Будьте готовы предоставить эти документы.
Оперативно предоставляйте банку документы по запросу. Заметив что-то подозрительное, банк не блокирует счёт сразу — он запрашивает документы, которые могут обосновать ведение бизнеса. Предоставлять такие документы в срок в интересах клиента. Если этого не сделать, банк предпримет более решительные меры вплоть до установления лимитов и блокировки карт, привязанных к счёту фирмы.
Не дробите бизнес. Если на одного предпринимателя зарегистрировано несколько ООО или ИП, это сигнал для банка: скорее всего, фирма участвует в отмывании доходов, уходит от налогов или использует другие мошеннические схемы.
Экспресс-дайджест
Центробанк ужесточил антиотмывочные требования для банков с апреля 2021 года. Теперь банки, у которых объём операций с безналичными и наличными деньгами превышает 0,5 млрд руб. в квартал, будут считаться участниками сомнительных операций. Их обяжут пристальнее проверять своих клиентов — компании, ИП и физических лиц.
Новое требование Центробанка усложнит жизнь и банкам, и клиентам
Банки будут более внимательно контролировать операции по счетам клиентов, а клиенты должны будут выполнять больше условий, чтобы счёт не заблокировали.
Особое внимание банков привлекут операции по счетам новых организаций, расчёты с ненадёжными контрагентами, операции по снятию наличных, переводы физическим лицам и ИП, транзитные операции.
Чтобы избежать блокировки счёта, сообщайте банку об изменениях в учредительных документах, подробно заполняйте платёжные документы, работайте с надёжными контрагентами, следите за объёмом оборота наличных и налоговой нагрузкой, оперативно предоставляйте документы банку по запросу.
Зачем нужна единая система маркировки подозрительных клиентов
Банк России объявил о планах создать единую платформу для оценки риска проведения сомнительных операций в банковской системе в 2018 году. Осенью 2019 года стали известны первые очертания концепции: платформа будет называться ЗСК («Знай своего клиента» — по аналогии с международной аббревиатурой KYC, know your customer). Предполагалось, что ЦБ станет проводить скоринг банковских клиентов по критериям риска и относить их к трем зонам по принципу светофора (красной, желтой и зеленой). Кредитные организации должны будут учитывать оценку регулятора при работе с компаниями.
Документ вызвал критику участников рынка и Счетной палаты. Как писал «Коммерсантъ», их, в частности, не устроили возможность безусловной блокировки средств клиентов из красной зоны, а также изъятие замороженных средств в бюджет. Этот механизм противоречит Конституции, поскольку никто не может быть лишен имущества иначе как по решению суда, говорилось в отзыве Счетной палаты.
После доработки из нового документа исключили распределение клиентов в группы по цвету, оставив лишь уровень риска (высокий, средний, низкий). А в тексте появилась формулировка о том, что кредитные организации вправе использовать оценку ЦБ в качестве дополнительного фактора. Изначально предполагалось, что отнесение клиента к красной группе Банком России влечет обязательный отказ в проведении операции.
В ЦБ считают, что платформа ЗСК позволит снизить нагрузку на добросовестный бизнес, а также расходы банков на контроль сомнительных операций.
Планы ФСТЭК на 2023 год
21. ФСТЭК России представила План разработки нормативных правовых актов на 2023 год. Некоторые документы, планируемые к разработке:
-
Проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в РФ»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка осуществления ФСТЭК России лицензирования деятельности по технической защите конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 17 июля 2017 г. № 134 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации»»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка осуществления ФСТЭК России лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 17 июля 2017 г. № 133 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации»»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка аттестации экспертов органов по сертификации и специалистов испытательных лабораторий»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по разработке и производству средств защиты конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 90 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации»»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка организации и осуществления Федеральной службой по техническому и экспортному контролю федерального государственного контроля за обеспечением защиты государственной тайны»;
-
Проект приказа ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Передача идентификации клиентов
Нормативный акт: Федеральный закон от 30.12.2021 № 483-ФЗ, ст. 7 115-ФЗ
С какого числа действует: 29 июня 2022 года
Для кого важно: для лизинговых компаний, агентств недвижимости, отдельных категорий операторов связи. Суть изменений. Расширили список субъектов 115-ФЗ, которые на основании договора могут поручать банкам идентификацию своих клиентов
Такая возможность появилась у лизинговых компаний, агентств недвижимости и отдельных категорий операторов связи. Важно заключить договор с банком, по которому он будет идентифицировать клиентов и возвращать данные организации
Суть изменений. Расширили список субъектов 115-ФЗ, которые на основании договора могут поручать банкам идентификацию своих клиентов. Такая возможность появилась у лизинговых компаний, агентств недвижимости и отдельных категорий операторов связи
Важно заключить договор с банком, по которому он будет идентифицировать клиентов и возвращать данные организации
Изменения 115-ФЗ вступающие в силу с 10.01.2023 года
- Приказ Росфинмониторинга от 28.12.2022 N 353 “Об утверждении Порядка издания Федеральной службой по финансовому мониторингу постановления о приостановлении операций с денежными средствами или иным имуществом, включая его образец, и доведения указанного постановления до организаций, осуществляющих операции с денежными средствами или иным имуществом”;
- Приказ Росфинмониторинга от 28.12.2022 N 354 “Об утверждении Порядка и сроков доведения Федеральной службой по финансовому мониторингу до сведения организаций, осуществляющих операции с денежными средствами или иным имуществом, других юридических лиц, а также физических лиц информации о решении суда о приостановлении операций с денежными средствами или иным имуществом”.
Обслуживание клиентов в зависимости от степени их рискованности
Компании, отнесенные к низкой степени риска, в принципе не должны заметить на себе никаких изменений от ужесточения «антиотмывочного» законодательства. Напротив, как отмечают авторы законопроекта в пояснительной записке к нему, административная нагрузка на такие компании в результате законодательных изменений только снизится.
Так, в отношении нерискованных клиентов банки будут не вправе отказать в осуществлении перевода денежных средств на счет (вклад, депозит), открытый в том же или любом другом банке на территории РФ.
Если компания отнесена к среднему риску, то у такой компании банк будет уже запрашивать документы и пояснения в отношении проводимых операций. Если клиент предоставит такие пояснения/документы, то подозрения в отношении операции снимут и препятствовать ей не станут.
Если же организации или ИП был присвоен высокий уровень рискованности, то в отношении таких клиентов банк будет обязан (будущая ст. 7.7 Федерального закона от 07.08.2001 № 115-ФЗ):
- отказать в совершении операций с денежными средствами или иным имуществом;
- отказать в выдаче остатка денежных средств на счете либо его перечислении на другой счет клиента или на счет третьего лица при расторжении договора банковского счета по инициативе клиента;
- отказать в осуществлении переводов денежных средств с использованием сервиса быстрых платежей, а также прекратить использование таким клиентом электронного средства платежа.
При этом ряд операций рискованных клиентов банк все же будет обязан совершать в порядке исключения. К таким операциям относятся (п. 5 будущей ст. 7.7 Федерального закона от 07.08.2001 № 115-ФЗ):
- операции, направленные на уплату налогов, сборов, таможенных платежей, страховых взносов и иных обязательных платежей в бюджетную систему РФ;
- операции, направленные на оплату труда персонала в соответствии с трудовым законодательством при условии, что с выплат в пользу работников платятся все полагающиеся налоги и страховые взносы;
- операции, направленные на денежные выплаты, связанные с предоставлением работникам гарантий и компенсаций, предусмотренных ТК РФ, за исключением компенсаций расходов на проезд и найм жилого помещения;
- снятие и перевод денежных средств в целях обеспечения жизнедеятельности ИП и его семьи, но не более 30 000 рублей в месяц на человека;
- операции, направленные на выплату пенсий, стипендий и иных социальных выплат, алиментов, возмещение вреда, причиненного жизни и здоровью, возмещение вреда в связи со смертью кормильца;
- операции, связанные с оплатой расходов, необходимых для ликвидации организации/ИП;
- операции, связанные с исполнением обязательств по кредитным договорам.
Таким образом, счета высокорисковых клиентов будут заморожены, и никакие операции, кроме вышеуказанных, провести будет невозможно.
Анализ операций
Банк России дает положительный прогноз по снижению нагрузки на банки после принятия поправок в закон. «Изменения направлены на снижение регуляторной нагрузки на кредитные организации. В частности, предполагается, что банки автоматизируют процесс выявления таких операций. Соответственно, количество запросов информации со стороны кредитных организаций у своих клиентов снизится, сократится и количество отказов, в том числе по причине непредставления документов», — сообщают в пресс-службе ЦБ.
Банк «Тинькофф», в свою очередь, отмечает, что целесообразно не столько сообщать обо всех операциях с наличными на сумму свыше 600 тыс. рублей, сколько оповещать о действиях, которые действительно связаны с обналичиванием на основании экспертизы банка.
«У нас есть собственная система финансового мониторинга, основанная на автоматическом анализе операций. Каждый предприниматель, в том числе может видеть свои бизнес-процессы на предмет соответствия 115-ФЗ в нашем внутреннем сервисе «Репутация», — комментируют ситуацию в пресс-службе «Тинькофф».
Также в банке подчеркнули, что счета своих клиентов они не блокируют и никогда не блокировали: «В совсем редких, единичных случаях ограничиваем дистанционное банковское обслуживание, когда есть серьезные подозрения и нужно детально разобраться, но при этом многие базовые операции достаются доступны владельцу счета».
Представители банка «Открытие» тоже соглашаются и считают, что законопроект с новыми поправками «не предполагает возникновения каких-либо сложностей для клиентов при проведении операций с наличными денежными средствами». Кроме того, данный вопрос уже давно стоит на контроле во всех финансовых организациях, «клиенты достаточно хорошо осведомлены» о повышенных комиссиях, лимитах и прочих ограничениях по операциям с наличными.
Дополнительный контроль
Впрочем, для предпринимателей нововведения сулят прохождение дополнительных мероприятий контроля. Так, сооснователь компании EcoBox Владимир Садков считает, что теперь даже добросовестным предпринимателям придется уделять гораздо больше времени и внимания юридическому оформлению операций. «Но с другой стороны, это действительно позволит сократить количество незаконных операций. Поэтому в целом это правильная инициатива», — считает Садков.
По мнению директора ООО «Мастерс» Дмитрия Тортева, занимающегося предоставлением услуг и товаров госкомпаниям, закон скорее носит положительный характер.
«Неучтенная наличность массово выводится в зарубежные страны для приобретения низкокачественных товаров, которые потом всплывают в госзакупках под видом российских. Наличные — это кроме «черного» импорта — питательная среда для нелегальной миграции. Поэтому если сделка или перечисление наличных денег расценивается как совершенные с целью налоговой экономии, они однозначно должны администрироваться финансовой разведкой», — отмечает Тортев.
Одна анкета клиента вместо четырех
Нормативный акт: Приказ Росфинмониторинга от 20.05.2022 № 100
С какого числа действует: 1 июля 2022 года
Для кого важно: для всех субъектов 115-ФЗ, кроме поднадзорных Центробанку. Суть изменений. В приказе много точечных поправок
Самая заметная — теперь можно составить единую анкету на клиента, его выгодоприобретателя, представителя и бенефициарного владельца. То есть вместо четырех документов вести один (Приложение № 1, № 2 к Приказу № 100). Поэтому нужно разработать новую редакцию правил внутреннего контроля с обновленными анкетами в приложении
Суть изменений. В приказе много точечных поправок. Самая заметная — теперь можно составить единую анкету на клиента, его выгодоприобретателя, представителя и бенефициарного владельца. То есть вместо четырех документов вести один (Приложение № 1, № 2 к Приказу № 100). Поэтому нужно разработать новую редакцию правил внутреннего контроля с обновленными анкетами в приложении.
Поля в анкете остались прежние, но формулировки некоторых из них изменились. Заполнение части информации по клиентам с низким и средним уровнями риска стало необязательным. Можно не фиксировать сведения о финансовом положении, источниках происхождения денег, характере деловых отношений (Приложение № 1 к Приказу № 100).
Также по клиентам с низким уровнем риска можно обновлять информацию реже — раз в три года, а не раз в год, как это было раньше (пп. 3 п. 1 ст. 7 115-ФЗ). По клиентам среднего и высокого уровня риска — раз в год.