Національний банк України (далі - Національний банк), керуючись частиною восьмою статті 18 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі -Закон про ПВК/ФТ), статтею 66 Закону України "Про банки і банківську діяльність", за результатами перевірок окремих банків та небанківських фінансових установ щодо заходів, пов'язаних з клієнтами, які (або кінцевими бенефіціарними власниками яких) є політично значущими особами, членами їх сімей та особами, пов'язаними з політично значущими особами (далі - PEPs), у доповнення до листів від 06.02.2024 № 25-0005/9103, 06.07.2023 № 250007/48533 та від 08.07.2024 № 25-0007/52018 надає рекомендації та роз'яснення щодо застосування ризик-орієнтованого підходу до PEPs та приклади практичної реалізації цих заходів.

1. Роль організації внутрішньої системи фінансового моніторингу, включаючи корпоративне управління (для банків) та навчання, у забезпеченні застосування належного ризик-орієнтованого підходу до PEPs.

Наглядова рада банку (далі - Рада) та керівництво банку відіграють вирішальну роль в організації побудови системи фінансового моніторингу та ефективного контролю у процесі виконання функцій суб'єктом первинного фінансового моніторингу (далі - СПФМ), у тому числі у процесі встановлення ділових відносин та обслуговування PEPs, формують культуру банку в сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - ПВК/ФТ). Рада визначає та затверджує загальні принципи банку щодо дотримання вимог законодавства України з питань ПВК/ФТ в окремому внутрішньому документі у формі політики (далі - політика банку з питань ПВК/ФТ). Це передбачає формування чіткого розуміння очікувань Ради щодо:

належної організації та функціонування внутрішньобанківської системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками відмивання коштів / фінансування тероризму (далі - ВК/ФТ);

виділення достатніх ресурсів для дотримання вимог ПВК/ФТ;

регулярну перевірку ефективності системи ПВК/ФТ банку.

Крім того, Рада та керівництво банку повинні бути обізнані щодо нових ризиків та регуляторних змін, щоб забезпечити надійність та відповідність практики банку в сфері ПВК/ФТ законодавчим вимогам.

Аудит та комплаєнс також відіграють важливу роль у частині належного дотримання банком вимог законодавства у сфері ПВК/ФТ, підтримуючи стратегічний напрям, визначений радою та керівництвом банку.

Як зазначалося в листах Національного банку від 06.07.2023 № 250007/48533 та від 08.07.2024 № 25-0007/52018, а також за результатами нагляду було виявлено недоліки, які значною мірою пов'язані з тим, що немає належного контролю з боку Ради та керівництва банків, а саме:

Формальна / декларативна політика у сфері ПВК/ФТ:

Політики окремих банків у сфері ПВК/ФТ, у тому числі стосовно заходів щодо PEPs, часто є формальними та декларативними, що не сприяє ефективному управлінню ризиками ВК/ФТ. Вони переважно повторюють вимоги, викладені в Положенні про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 19.05.2020 № 65 (зі змінами) (далі - Положення № 65), не надаючи практичних рекомендацій.

Недостатнє обґрунтування лімітів ризик-апетиту:

Ризик-апетит, описаний у внутрішніх документах СПФМ, часто є неналежним чином обґрунтованим, не охоплює всі суттєві ризики та не відповідає ризик-профілю СПФМ та його спроможності управляти ризиками ВК/ФТ.

Неналежне звітування перед радою та правлінням:

Звіти відповідального працівника за проведення фінансового моніторингу (далі - відповідальний працівник) раді та правлінню банку часто не містять детальної інформації про ризики ВК/ФТ, у тому числі притаманні PEPs (невелика за обсягом інформація, узагальнена, без деталізації проблемних питань, не містить результати оцінки ризик-профілю банку), та не включають пропозицій щодо заходів з управління ризиками.

Також керівництво окремих банків (Рада, правління) не інформується про потенційні наслідки порушень законодавства у сфері ПВК/ФТ.

Така звітність може призвести до нерозуміння керівництвом банку існуючих та потенційних ризиків, на які наражається / може наражатися банк, та до невжиття відповідних адекватних заходів щодо їх мінімізації та потенційних наслідків порушень законодавства у сфері ПВК/ФТ.

З огляду на зазначене Національний банк надає такі рекомендації:

1) забезпечити належне (деталізоване, своєчасне, достовірне) інформування керівництва банку, в тому числі щодо PEPs, які обслуговуються в банку, для прийняття відповідних рішень з питань ПВК/ФТ та здійснення контролю за їх виконанням.

Приклади даних / інформації, які(у) доцільно включати до звітів відповідального працівника стосовно заходів щодо PEPs:

Приклад 1: щомісячний звіт відповідального працівника голові правління банку.

У звіті зазначається кількість PEPs на кінець звітного періоду, а також кількість PEPs, які були виявлені банком протягом звітного періоду. Додатково в додатку до звіту зазначено перелік PEPs, які протягом звітного періоду були виявлені банком, а саме:

прізвище, власне ім'я, по батькові (за наявності) (для фізичних осіб), найменування та код клієнта (для юридичний осіб, у яких КБВ є PEPs);

ознака належності до PEPs (РЕР, член сім'ї, юридична особа, КБВ якої є РЕР);

рівень ризику PEPs;

коментар (зокрема щодо підстав віднесення особи до категорії PEPs).

Приклад 2: квартальний звіт відповідального працівника правлінню банку.

У звіті визначені питання, пов'язані зі встановленням ділових відносин з PEPs та/або їх обслуговуванням, зокрема:

кількість клієнтів, які впродовж кварталу було виявлено та віднесено до категорії PEPs;

динаміка виявлення PEPs протягом кварталів звітного року (скільки і в якому кварталі було виявлено PEPs);

динаміка кількості клієнтів, які відносяться до PEPs по кварталам (кількість PEPs, які обслуговуються в банку, в розрізі кварталів);

кількість PEPs у розрізі рівнів ризику.

Також у звіті зазначені проблемні питання, пов'язані зі встановленням ділових відносин з PEPs та/або їх обслуговуванням, зокрема:

детальна інформація стосовно ситуації, яка виникла під час обслуговування PEPs;

інформація про отримання банком акта про результати безвиїзного нагляду / довідки про виїзну перевірку щодо порушення вимог законодавства у сфері ПВК/ФТ та інформація про захід впливу, який може бути застосовано до банку за порушення;

про здійснені банком заходи з метою недопущення в майбутньому порушень вимог законодавства у сфері ПВК/ФТ працівниками банку, наприклад: проведено навчання (теми та період навчання); внесено зміни у внутрішні документи банку.

Приклад 3: річний звіт відповідального працівника Раді банку.

Щодо проблемних питань, пов'язаних зі встановленням ділових відносин з PEPs та/або їх обслуговуванням, у звіті зазначено:

детальну інформацію стосовно ситуації, яка виникла під час обслуговування PEPs;

інформацію про отримання банком акта про результати безвиїзного нагляду / довідки про виїзну перевірку про порушення вимог законодавства у сфері ПВК/ФТ та інформацію про захід впливу, який може бути застосовано до банку за порушення;

про здійснені банком заходи з метою недопущення в майбутньому порушень законодавства у сфері ПВК/ФТ працівниками банку, наприклад: проведено навчання (теми та період навчання); внесено зміни у внутрішні документи банку;

2) надавати Раді інформацію про потенційні наслідки порушень законодавства у сфері ПВК/ФТ з деталізацією щодо:

визначених законодавством заходів впливу за недотримання вимог законодавства у сфері ПВК/ФТ;

статистичних даних / інформації щодо заходів впливу, застосованих Національним банком до банків у формі штрафів за останні періоди.

Недостатність професійних кадрів та навчальних заходів:

Основні недоліки в навчанні працівників банку з питань законодавства у сфері ПВК/ФТ, включаючи заходи щодо PEPs:

немає навчальних заходів для окремих працівників / категорій працівників (у тому числі працівників підрозділу аудиту);

немає обов'язкового тестування рівня знань працівників після проходження навчання;

немає процедури проведення додаткового / позапланового навчання працівників у разі невиконання або неналежного виконання ними своїх обов'язків;

навчальні / презентаційні матеріали не охоплюють практичні аспекти належної перевірки клієнтів, включаючи моніторинг ділових відносин / фінансових операцій, включаючи PEPs, а лише посилаються на правові норми;

звіти керівництву банку не містять детальної інформації про навчання працівників у сфері ПВК/ФТ та результатів проведеного тестування (в розрізі працівників).

З огляду на вищезазначене Національний банк надає такі рекомендації:

1) забезпечити проходження працівниками банку внутрішнього / зовнішнього навчання та участь у семінарах з питань ПВК/ФТ;

2) забезпечити періодичне / регулярне навчання та перевірку результатів для працівників підрозділу внутрішнього аудиту з питань ПВК/ФТ (з урахуванням міжнародних стандартів та тенденцій у сфері ПВК/ФТ, у тому числі щодо PEPs) відповідно до їхніх обов'язків / повноважень;

3) проводити тестування працівників банку після навчання;

4) встановити процедури додаткового / позапланового навчання працівників у випадках невиконання або неналежного виконання ними своїх обов'язків, у тому числі щодо PEPs, унесення змін до законодавства з питань ПВК/ФТ та/або внутрішніх документів банку (у тому числі зміни / впровадження нових банківських продуктів);

5) забезпечити наповнюваність навчальних презентаційних матеріалів для керівників / працівників банку вичерпною інформацією про практичні аспекти та вимоги щодо належної перевірки клієнтів, включаючи моніторинг ділових відносин / фінансових операцій, у тому числі щодо PEPs, з прикладами достатнього / недостатнього вжиття заходів, передбачених законодавством у сфері ПВК/ФТ;

6) звіти керівництву банку повинні містити інформацію про навчання працівників у сфері ПВК/ФТ із зазначенням кількості працівників, які пройшли навчання, результатів навчання, включаючи загальну оцінку, а також інформацію про потребу в повторному навчанні.

Недоліки у проведенні внутрішнього аудиту з питань дотримання банком вимог законодавства у сфері ПВК/ФТ:

аудиторські перевірки не враховують масштаби та сферу діяльності банку, види та канали надання продуктів / послуг, що пропонуються клієнтам, у тому числі з потенційними ризиками ПВК/ФТ;

аудиторський звіт не відображає якісних висновків за результатами внутрішніх перевірок за окремими напрямами, в тому числі щодо PEPs, та не містить дієвих рекомендацій щодо усунення виявлених проблем чи недоліків;

аудиторська перевірка не охоплює всі актуальні напрями, наприклад, заходів щодо PEPs, адекватність та ефективність упровадженої системи автоматизації тощо;

окремі банки практикують проведення аудиторських перевірок з питань ПВК/ФТ з періодичністю один раз на три роки, що має ознаки формального підходу, оскільки така періодичність не забезпечує своєчасного виявлення проблем та недоліків у діяльності з ПВК/ФТ. Такий підхід банку до планування аудиторських перевірок з питань ПВК/ФТ не забезпечує своєчасної оцінки ефективності внутрішньої системи ПВК/ФТ;

не забезпечується своєчасне інформування всіх працівників підрозділу внутрішнього аудиту про зміни в законодавстві у сфері ПВК/ФТ;

не забезпечується регулярне / періодичне навчання працівників внутрішнього аудиту з питань ПВК/ФТ з урахуванням їхніх обов'язків / повноважень, у тому числі з перевіркою рівня знань після навчання.

З огляду на вищезазначене Національний банк надає такі рекомендації:

1) під час планування аудиторських перевірок враховувати масштаб та сферу діяльності банку, всі види та канали надання продуктів / послуг, що пропонуються клієнтам, у тому числі з потенційними ризиками ВК/ФТ;

2) переглянути періодичність проведення аудиторських перевірок з урахуванням ризик-орієнтованого підходу для забезпечення своєчасного виявлення проблем та недоліків у діяльності з ПВК/ФТ, у тому числі щодо PEPs, а також своєчасної оцінки ефективності внутрішньої системи ПВК/ФТ.

3) під час проведення аудиторських перевірок приділяти належну увагу дотриманню законодавства у сфері ПВК/ФТ, у тому числі щодо PEPs, включаючи обов'язкову перевірку достатності та ефективності впровадженої системи автоматизації, з детальним відображенням у звітах якісних висновків та дієвих рекомендацій щодо усунення виявлених проблем та недоліків.

4) забезпечити своєчасне інформування всіх працівників підрозділу внутрішнього аудиту про зміни в законодавстві у сфері ПВК/ФТ.

5) забезпечити регулярне / періодичне навчання працівників підрозділу внутрішнього аудиту з питань ПВК/ФТ з перевіркою рівня знань після навчання.

2. Приклади практичної реалізації заходів, пов'язаних з PEPs, виявлені Національним банком під час здійснення нагляду.

1) перевірка нових та існуючих клієнтів на предмет виявлення PEPs:

Приклад: банк здійснив аналіз (скринінг) клієнтської бази щодо належності клієнтів до PEPs з базою даних PEPs, якою користується банк. Згодом він здійснював аналіз (скринінг) своєї клієнтської бази з оновленнями у відповідній базі даних PEPs, коли такі оновлення ставали доступними. Крім того, деякі PEPs не були виявлені під час встановлення ділових відносин через помилки працівників.

Висновок: підхід щодо аналізу (скринінгу) банком власної клієнтської бази з базою даних PEPs та з подальшими оновленнями в зазначеній базі даних PEPs дає змогу своєчасно виявляти PEPs у своїй клієнтській базі у випадках, коли такі клієнти не були PEPs під час встановлення ділових відносин. Це сприяє ефективному використанню ресурсів банку для виявлення клієнтів, які не були PEPs під час встановлення ділових відносин, але надалі набули такого статусу. Крім того, банк обов'язково має вживати додаткових заходів для запобігання помилкам, що призвели до невиявлення PEPs під час встановлення ділових відносин, у тому числі шляхом посилення системи внутрішнього контролю, наприклад впровадження подвійного / наступного контролів;

2) встановлення ділових відносин або проведення операцій з PEPs:

неналежні процедури виявлення PEPs: встановлення ділових відносин з окремими клієнтами PEPs та проведення фінансових операцій без дозволу керівника банку у визначених законодавством випадках через неналежні процедури виявлення.

Приклад: у банку працівники підрозділу ПВК/ФТ перевіряють інформацію, отриману від клієнтів з метою визначення їхнього статусу PEPs лише після встановлення ділових відносин з клієнтом. У деяких випадках такі клієнти були визначені як PEPs навіть вже після проведення фінансових операцій.