Національний банк України (далі - Національний банк), керуючись частиною восьмою статті 18 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі -Закон) та статтею 66 Закону України "Про банки і банківську діяльність", повідомляє таке.

Щороку, ґрунтуючись на положеннях документів Європейського банківського органу щодо організації єдиної процедури та методології процесу наглядових перевірок та оцінки (англійською мовою Supervisory Review and Evaluation Process, SREP ), що регламентують установлення єдиних підходів до оцінки ризиків та управління ризиками в банках, Національний банк здійснює наглядову оцінку банків. Одним із складових елементів цієї оцінки є оцінка рівня організації корпоративного управління та внутрішнього контролю банку, яка здійснюється шляхом аналізу інформації щодо функціонування системи внутрішнього контролю банку та щодо діяльності банку, отриманої, зокрема, за результатами нагляду за банками у сфері протидії відмиванню коштів / фінансуванню тероризму (далі - ПВК/ФТ).

У межах здійснення загальної оцінки за цим напрямом Департамент фінансового моніторингу Національного банку здійснив оцінку заходів банків, спрямованих на виконання ними обов'язків суб'єктів первинного фінансового моніторингу (далі - СПФМ), зокрема таких, що найбільшим чином можуть відображати рівень організації корпоративного управління та внутрішнього контролю банку, у тому числі щодо розподілу функцій і обов'язків між керівниками банку, трьома лініями захисту, з метою дотримання банками вимог законодавства у сфері ПВК/ФТ (далі - оцінка у сфері ПВК/ФТ).

Насамперед акцентуємо, що за результатами здійснення оцінки у сфері ПВК/ФТ станом на 01.01.2023 Національний банк надіслав банкам лист від 06.07.2023 № 25-0007/48533, у якому наведено опис виявлених недоліків та надано рекомендації щодо їх усунення. Також деякі банки додатково отримали листи з деталізованими рекомендаціями Національного банку.

Варто зазначити, що під час здійснення оцінки у сфері ПВК/ФТ станом на

01.01.2024 встановлено, що не всіма банками враховані надані рекомендації або враховані не в повному обсязі. Інформуємо, що такий підхід негативно оцінений Національним банком та вплинув на загальну оцінку окремих банків у сфері ПВК/ФТ, що здійснювалася станом на 01.01.2024.

За результатами аналізу інформації / копій документів, зокрема заповнених анкет, внутрішніх документів з питань ПВК/ФТ, наданих банками(1), з метою оцінки виконання ними обов'язків СПФМ Департамент фінансового моніторингу Національного банку виявив недоліки в організації банками внутрішньобанківської системи ПВК/ФТ, проведенні первинного фінансового моніторингу, забезпеченні функціонування системи управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення (далі - ризики ВК/ФТ), організації належного внутрішнього контролю за дотриманням банками вимог законодавства України у сфері ПВК/ФТ.

Звертаємо увагу на основні проблемні питання, які характерні для багатьох банків та потребують усунення шляхом внесення змін до відповідних внутрішніх документів з питань ПВК/ФТ, удосконалення процесів та процедур у сфері ПВК/ФТ.

1. Окремими банками не було враховано взагалі або враховано частково рекомендації Національного банку, надані в листі від 06.07.2023 № 25-0007/48533, у тому числі щодо необхідності:

доопрацювання внутрішніх документів банків з питань ПВК/ФТ (далі -ВДБ);

здійснення внутрішніх аудиторських перевірок з питань дотримання банками вимог законодавства у сфері ПВК/ФТ, у тому числі функціонування систем автоматизації(2) (СА) банків та детального відображення інформації в звітах про результати внутрішнього аудиту з перевірки дотримання банками вимог законодавства у сфері ПВК/ФТ.

За результатами аналізу з'ясовано наявність практики окремих банків здійснювати внутрішні аудиторські перевірки з питань ПВК/ФТ з періодичністю один раз на три-чотири роки. На думку Національного банку, такий підхід до організації внутрішнього контролю є формальним, оскільки зазначена періодичність аудиторської перевірки не забезпечує своєчасності виявлення проблемних питань та недоліків у діяльності банків у сфері ПВК/ФТ. Під час планування періодичності внутрішніх аудиторських перевірок не враховувалися масштаб і обсяги діяльності банку, види продуктів, що надаються клієнтам, у тому числі ті, що несуть потенційний ризик ВК/ФТ. Наголошуємо, що ризик-орієнтований підхід банків до планування внутрішніх аудиторських перевірок з питань ПВК/ФТ має забезпечувати своєчасну оцінку ефективності функціонування внутрішньобанківської системи у сфері ПВК/ФТ;

доопрацювання скорингової ризик-моделі оцінки ризиків ділових відносин з клієнтами з проведенням розрахунку інтегрованого показника (score) на основі питомої ваги притаманних клієнтам критеріїв ризику; інших рекомендацій, наданих у зазначеному листі.

Вищезазначені проблеми підкреслюють недостатність дієвих адекватних заходів контролю з боку керівників банків за належним виконанням рекомендацій, наданих Національним банком.

2. Залишається проблемним питання щодо ВДБ. Порядки / процедури, описані у ВДБ, здебільшого мають декларативний (формальний) характер, оскільки в переважній більшості містять лише дослівно переписані норми вимог Закону та Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 19.05.2020 № 65 (зі змінами) (далі - Положення № 65), зокрема:

1) наявні у ВДБ порядки не містять детального опису здійснення конкретних дій та прийняття рішень у межах здійснення:

посилених заходів належної перевірки клієнтів (далі - ПЗНП), зокрема в разі встановлення клієнту високого рівня ризику;

моніторингу ділових відносин / фінансових операцій клієнтів;

заходів з метою підтвердження / спростування того, що юридична особа (потенційний клієнт або наявний клієнт) є компанією-оболонкою в разі виявлення критеріїв компанії-оболонки (далі - критерії КО).

Так, у ВДБ має бути наявний опис:

переліку посад працівників відповідних підрозділів банку (чіткого розподілу повноважень), які здійснюють заходи з моніторингу ділових відносин / фінансових операцій, приймають рішення про вибір конкретних заходів ПЗНП, заходів у разі виявлення критеріїв КО з визначеного їх переліку, підстави для їх вибору;

документів, у яких працівники банків фіксують інформацію про здійснені заходи та результати таких заходів з моніторингу ділових відносин / фінансових операцій, обрані заходи ПЗНП, заходи в разі виявлення критеріїв КО для конкретного клієнта (доповідна, анкета, окремий звіт / висновок тощо) з обґрунтуванням підстав для їх вибору;

документів / інформації, які мають бути запитані в клієнта в розрізі кожного з можливих заходів ПЗНП / заходів у разі виявлення критеріїв КО;

чітких термінів здійснення моніторингу ділових відносин / фінансових операцій, здійснення кожного з можливих заходів ПЗНП / заходів у разі виявлення критеріїв КО, які забезпечать оперативність отримання банком інформації та здійснення аналізу.

Також майже у всіх банків у ВДБ зазначено про "збільшення частоти та обсягу дій з моніторингу ділових відносин та фінансових операцій клієнта, що здійснюються в процесі таких відносин ". Водночас банки не конкретизують, як саме "збільшується частота", тобто яка періодичність такого моніторингу, від чого вона залежить, у чому саме полягає "збільшення обсягу дій".

Відповідно до абзацу другого частини другої статті 11 Закону банк має визначити обсяг дій при здійсненні кожного із заходів НПК з урахуванням їх ризик-профілю, зокрема рівня ризику, мети ділових відносин,суми здійснюваних операцій, регулярності або тривалості ділових відносин.

Зауважуємо, що ВДБ здебільшого не містять положень, що визначають / конкретизують, який має бути обсяг дій залежно від ризик-профілю клієнта, зокрема рівня ризику,мети ділових відносин, суми здійснюваних операцій, регулярності або тривалості ділових відносин, а також які заходи необхідно обирати під час здійснення ПЗНП залежно від ризиків, притаманних діловим відносинам із клієнтом, які заходи будуть пропорційними таким ризикам та в якому документі (чи в СА) фіксується прийняте уповноваженою особою банку рішення про ПЗНП та перелік обраних заходів для конкретного клієнта.

Водночас з урахуванням вимог пункту 17 частини другої статті 8 Закону під час здійснення НПК банк має здійснити документування заходів, вжитих з метою виконання вимог законодавства у сфері ПВК/ФТ, у такий спосіб, щоб бути здатним довести суб'єкту державного фінансового моніторингу, що рішення, прийняті з метою дотримання вимог законодавства у сфері ПВК/ФТ, зокрема, щодо здійснення НПК (у тому числі ПЗНП) ґрунтуються на змістовних фактах та результатах комплексного і належного аналізу.

Звертаємо увагу на неприпустимість використання банками формальних підходів до моніторингу ділових відносин / фінансових операцій клієнтів, вжиття заходів ПЗНП / заходів у разі виявлення критеріїв КО у вигляді отримання певного пакета окремих документів без проведення їх аналізу або без отримання додаткових відомостей. Наприклад, якщо банк отримав від клієнта договір оренди приміщень / обладнання, необхідного для здійснення господарської діяльності, доцільно отримати підтвердження здійснення сплати орендних платежів відповідно до укладених угод.

Принагідно зазначаємо про недопустимість використання банками підходу до вжиття заходів з метою підтвердження / спростування того, що юридична особа є КО, лише в разі виявлення, наприклад, більше двох критеріїв КО.

Підкреслюємо, що зазначені заходи мають здійснюватися банками навіть за наявності одного критерію КО.

Також наголошуємо на важливості приділення банками достатньої уваги аналізу джерел походження коштів, які надходять клієнту з його власних рахунків, відкритих в інших банках. Оскільки такі надходження можуть свідчити про спробу приховати від банку суть операцій та використовуватися клієнтами для "розриву ланцюга" низки пов'язаних фінансових операцій, які сукупно можуть мати ознаки підозрілих або свідчити про підозрілу діяльність клієнта;

2) у ВДБ банки часто зазначають про виконання певних заходів "із застосуванням ризик-орієнтованого підходу ", водночас у ВДБ немає опису, у чому саме полягає ризик-орієнтованість та як цей підхід у конкретному випадку застосовують банки, який порядок його документування.

Звертаємо увагу банків, що відповідно до пункту 36 розділу IV Положення № 65 банк документує процес застосування ризик-орієнтованого підходу таким чином, щоб бути здатним продемонструвати його суть (зокрема те, у чому полягає різниця в підходах), прийняті банком рішення під час його застосування та обґрунтованість таких рішень.

Таким чином, декларування банками застосування ризик-орієнтованого підходу під час виконання обов'язків СПФМ, певних заходів має супроводжуватись описом різниці в підходах, порядку його застосування працівниками банку та правил документування;

3) ВДБ банків не містять детальних порядків здійснення внутрішнього контролю за виконанням працівниками своїх обов'язків у сфері ПВК/ФТ на різних рівнях.

У пункті 21 Положення № 65 визначено, що рада банку визначає та затверджує загальні принципи банку щодо дотримання вимог законодавства України з питань ПВК/ФТ в окремому внутрішньому документі у вигляді політики (далі - політика банку з питань ПВК/ФТ).

У пункті 22 Положення № 65 визначено, що політика банку з питань ПВК/ФТ доводиться радою банку до відома правління банку та відповідального працівника банку з метою формування чіткого розуміння очікувань ради банку, зокрема щодо функціонування внутрішнього контролю з питань ПВК/ФТ.

Відповідно до пункту 23 Положення № 65 банк, дотримуючись визначеної радою банку політики у сфері ПВК/ФТ, розробляє та затверджує внутрішні документи з метою виконання вимог законодавства України у сфері ПВК/ФТ, які повинні містити дієві ризик-орієнтовані процедури, порядки, достатні для належної організації та функціонування внутрішньобанківської системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ.

У пункті 24 Положення № 65 зазначено, що внутрішні документи банку з питань ПВК/ФТ розробляються банком з урахуванням вимог законів України, що регулюють питання ПВК/ФТ, Положення № 65, нормативно-правових актів Національного банку, Міністерства фінансів України, прийнятих для виконання та відповідно до цих законів, рекомендацій FATF, Базельського комітету з банківського нагляду, результатів національної оцінки ризиків та ризик-профілю банку, рекомендацій Національного банку та типологічних досліджень спеціально уповноваженого органу (далі - СУО).

Згідно з пунктом 25 Положення № 65 одним із принципів розроблення та реалізації внутрішніх документів банку з питань ПВК/ФТ є наявність належного внутрішнього контролю (за різними видами послуг / продуктів, типами клієнтів, рівнем ризиків клієнтів, сумою фінансових операцій) та визначення працівників банку, які приймають рішення на різних етапах контролю відповідно до їхніх функціональних обов'язків, забезпечуючи принцип "вища посада - більші повноваження та відповідальність".

Відповідно до пункту 6 частини третьої статті 9 Закону до повноважень відповідального працівника належать організація розроблення, подання для затвердження, забезпечення постійного оновлення, а також контроль за виконанням внутрішніх документів з питань фінансового моніторингу.

Частиною четвертою статті 9 Закону визначено, що керівник та інші працівники суб'єкта первинного фінансового моніторингу зобов'язані сприяти виконанню відповідальним працівником своїх функцій.