Подготовка документации для регуляторов
Документация для регулятора — это не просто пакет бумаг. Это демонстрация того, что вы понимаете риски своего бизнеса и управляете ими. Регуляторы отказывают не тем, кто имеет какие-то риски — а тем, кто не может объяснить как с ними справляется.
Что требует большинство регуляторов
Несмотря на различия юрисдикций, core пакет документов схож:
Business Plan: описание деятельности, бизнес-модель, revenue streams, целевые рынки, конкурентный анализ, финансовые прогнозы на 3 года. Регулятор должен понять: зачем этот бизнес существует, как он зарабатывает, устойчив ли он финансово.
Corporate Structure Chart: схема владения — кто конечный beneficiary owner, все юридические лица в группе, их юрисдикции и доли. Регуляторы требуют transparency до физических лиц с долей > 10-25%.
AML/CFT Policy (Anti-Money Laundering / Counter Financing of Terrorism): описание всей AML программы компании. Ключевые разделы:
- Risk Assessment (оценка рисков клиентов, продуктов, географии)
- Customer Due Diligence (CDD) процедуры
- Enhanced Due Diligence (EDD) для high-risk клиентов
- Transaction Monitoring
- SAR (Suspicious Activity Report) процедуры
- Record Keeping
- Training программа
Compliance Officer CV и назначение: большинство лицензий требуют выделенного Compliance Officer с опытом в AML. Его CV и назначение — отдельный документ.
IT Security Policy: описание мер защиты данных, access controls, encryption, incident response. Для бирж и кастодианов — также Penetration Testing отчёт.
Business Continuity Plan (BCP): как компания продолжает работу при технических сбоях, cyber attack, loss of key personnel.
Специфика по юрисдикциям
Эстония (FIU): требует детальное описание transaction monitoring системы с примерами alert rules. FIU Эстонии известен детальными follow-up вопросами — будьте готовы к 2-3 раундам уточнений.
Дубай VARA: Business Plan должен включать UAE-специфичный анализ рынка и описание как бизнес будет использовать UAE как hub. Требует назначение local compliance representative.
Мальта MFSA: самый детальный пакет в EU — включает Internal Audit Framework, Risk Management Framework, отдельная System Audit от независимого IT аудитора.
Литва (FIU): относительно straightforward, но в 2023-2024 значительно ужесточили требования. Теперь требуется demonstration реальной операционной деятельности в Литве.
Типичные ошибки при подготовке
Generic AML Policy: регуляторы отлично распознают скачанные шаблоны. Policy должна описывать вашу конкретную бизнес-модель с реальными примерами risk scenarios.
Нереалистичный Business Plan: финансовые прогнозы без объяснения assumptions. Если вы проектируете $10M revenue в первый год — объясните откуда это возьмётся.
Отсутствие процедур для edge cases: регуляторы спрашивают "что вы делаете если клиент — PEP?", "что делаете при получении средств с высокорисковых адресов?". Ответы должны быть задокументированы.
Неполный beneficial ownership disclosure: попытка скрыть реального владельца через nominee structures — прямая причина отказа и потенциально уголовное преследование.
Подготовка полного пакета документации для лицензии VASP/EMI: 4-8 недель. Включает: консультацию по требованиям, разработку всех политик, review и итерации.