Zaudējis spēku - Ieteikumi noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas izveidei un klientu izpētei

Finanšu un kapitāla tirgus komisijas ieteikumi Nr. 169Rīgā 2021. gada 21. decembrī(Finanšu un kapitāla tirgus komisijas padomessēdes protokols Nr. 57 5. p.)

1. Risku novērtējums

1.1. Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska novērtējums

1.2. Sankciju riska novērtējums

2. Iekšējās kontroles sistēma

2.1. Iekšējās kontroles sistēmas neatkarība un efektivitāte

2.2. Trīs aizsardzības līnijas

2.3. Klienta riska skaitliskā novērtējuma sistēma

2.3.1. Klienta riska skaitliskā novērtējuma sistēma un tās mērķis

2.3.2. Klienta riska skaitliskā novērtējuma sistēmas izveides pamatprincipi

2.3.3. Riska faktori un punktu piešķiršana riska faktoriem

2.3.4. Izņēmuma gadījumi (īpatnības) klienta riska skaitliskā novērtējuma sistēmas izveidē

2.4. Pārvaldība (governance)

2.4.1. Par NILLTPFN atbildīgie darbinieki

2.4.2. Atbildīgo darbinieku kvalifikācija un atbilstības novērtēšana

2.4.3. Risku kontroles un darbības atbilstības kontroles funkciju nodalīšana

2.4.4. Komitejas lēmumu pieņemšanai par paaugstināta riska klientiem

2.5. Apmācības

2.6. Iekšējais audits

2.7. Neatkarīgais audits

3. Klientu izpēte

3.1. Klientu izpētes vispārīgie jautājumi

3.1.1. Klientu izpētes prasību piemērošanas tvērums

3.1.2. Klientu izpētes rezultātu atzīšana un pieņemšana

3.1.3. Klientu izpētei nepieciešamās informācijas apjoms un veids

3.1.3.1. Apjoms

3.1.3.2. Veids

3.1.4. Augsta riska trešā valsts un paaugstināta riska jurisdikcija

3.1.5. Saistības ar augsta riska trešo valsti un paaugstināta riska jurisdikciju noteikšana

3.1.6. Saistības ar Latvijas Republiku noteikšana

3.1.6.1. Saistības noteikšana klientam fiziskajai personai

3.1.6.2. Saistības noteikšana klientam juridiskajai personai

3.1.7. Vadības piekrišanas saņemšana sadarbībai ar klientu, kas saistīts ar augsta riska trešo valsti

3.1.8. Avoti, kurus var izmantot valsts riska noteikšanā

3.1.9. Publiski pieejamās informācijas izvērtēšana

3.1.10. Klienta, kuru pārvalda maksātnespējas procesa administrators, izpēte

3.1.11. Čaulas veidojumi

3.2. Klientu identifikācija

3.2.1. Klātienes identifikācija

3.2.1.1. Fizisko personu klātienes identifikācija

3.2.1.2. Juridisko personu klātienes identifikācija

3.2.1.3. Juridisko veidojumu klātienes identifikācija

3.2.1.4. Personu apliecinoša dokumenta pārbaude reģistrā

3.2.1.5. Personu apliecinoša dokumenta datu atjaunošana

3.2.2. Neklātienes identifikācija

3.3. Vienkāršotā klienta izpēte

3.3.1. Vienkāršotās klienta izpētes piemērošanas nosacījumi

3.3.2. Papildu kritēriji vienkāršotajai izpētei

3.4. Klienta padziļinātā izpēte

3.4.1. Padziļinātās izpētes prasības

3.4.2. Padziļinātā izpēte atbilstoši Likuma prasībām

3.4.3. Padziļinātā izpēte atbilstoši klienta riska skaitliskā novērtējuma rezultātiem vai citiem apstākļiem

3.4.3.1. Klienta padziļinātā izpēte

3.4.3.2. Padziļinātā izpēte klientu veikto darījumu izvērtēšanai

3.4.4. Periods, par kādu jāveic padziļinātā izpēte

3.4.5. Padziļinātās izpētes termiņš

3.4.6. Savstarpēji saistītu klientu grupas noteikšana

3.4.7. Savstarpēji saistītu klientu grupas padziļinātā izpēte

3.4.8. Pasākumi padziļinātās izpētes ietvaros

3.4.9. Padziļinātā izpēte, veicot gadījuma rakstura darījumu

3.5. Patiesais labuma guvējs (PLG)

3.5.1. PLG noskaidrošana

3.5.2. Pārliecināšanās par PLG

3.5.3. Sarežģītas klienta struktūras noteikšana

3.5.4. PLG – persona, kura ieņem amatu izpildinstitūcijā

3.5.5. Klientu – biedrību – patieso labuma guvēju noskaidrošana

3.5.5.1. Patiesā labuma guvēja definīcija biedrībās

3.5.5.2. Biedrību patieso labuma guvēju atklāšana Uzņēmumu reģistrā

3.5.5.3. Kredītiestāžu pienākumi, noskaidrojot un pārliecinoties par patiesajiem labuma guvējiem

3.5.6. Noskaidrotais PLG neatbilst Uzņēmumu reģistrā reģistrētajam PLG

3.6. Darījuma attiecības ar klientu, kas ir politiski nozīmīga persona (PNP)

3.6.1. PNP noteikšana

3.6.2. PNP piemērojamais padziļinātās izpētes apjoms

3.7. Līdzekļu izcelsme un labklājības izcelsme

3.8. Dokumentu glabāšana

3.9. Darījuma attiecību uzraudzība

3.10. Korespondējošās attiecības

3.11. Pastiprinātā uzraudzība

3.12. Darījuma attiecību izbeigšanas pamatojuma informācija un finanšu līdzekļu atmaksa klientam

3.13. Informācijas sniegšana klientiem

4. Informācijas tehnoloģiju risinājumi NILLTPF un sankciju riska pārvaldīšanai

5. Ziņošana Komisijai (ceturkšņa atskaites, pieprasījumi)

6. Sankcijas un terorisma un proliferācijas finansēšanas novēršana

6.1. Vispārīgi par sankcijām

6.2. Sankciju veidi

6.2.1. Sankciju veidi, kas tieši saistoši tirgus dalībniekiem

6.2.1.1. Finanšu ierobežojumi

6.2.1.2. Sektorālās sankcijas

6.2.1.3. Citi sankciju veidi

6.3. Sankciju normatīvu hierarhija

6.3.1. Sankciju iedalījums

6.3.2. ES sankcijas

6.3.3. ES vai Ziemeļatlantijas līguma organizācijas dalībvalsts noteiktās sankcijas

6.4. Finanšu sankciju noteikšana

6.4.1. Nacionālās, ANO un ES sankcijas

6.4.2. OFAC sankcijas

6.5. Sektorālās sankcijas un stratēģiskas nozīmes preču aprite

6.5.1. Sektorālās sankcijas

6.5.2. Stratēģiskas nozīmes preču aprite

6.6. Finanšu sankciju piemērošana, pārkāpšana, apiešana, ziņošanas pienākums

6.6.1. Finanšu sankciju piemērošana

6.6.2. Finanšu sankciju pārkāpšana, apiešana, ziņošanas pienākums

6.7. Izņēmumi sankciju piemērošanā

6.8. Sankciju riska pārvaldīšanas iekšējās kontroles sistēma

6.9. Finanšu izlūkošanas dienests

6.10. Terorisma finansēšana

6.10.1. Terorisma finansēšanas jēdziens un tās ierobežošana

6.10.2. Terorisma finansēšanas metodes un riska pārvaldīšana

6.11. Proliferācijas finansēšana

6.11.1. Proliferācijas jēdziens un tās finansēšanas metodes

6.11.2. Proliferācijas finansēšanas riska pārvaldīšana

6.12. Publiski pieejamie avoti, kurus var izmantot, lai pārvaldītu sankciju risku (saraksts kalpo kā piemērs un nav izsmeļošs)

7. Fizisko personu datu apstrāde NILLTPFN un sankciju ievērošanas jomā

Noslēguma jautājums

Ievads

1. Finanšu un kapitāla tirgus komisija (turpmāk – Komisija) ir izstrādājusi ieteikumus kredītiestādēm, maksājumu un elektroniskās naudas iestādēm, privātajiem pensiju fondiem, ieguldījumu brokeru sabiedrībām, ieguldījumu pārvaldes sabiedrībām, alternatīvo ieguldījumu fondu pārvaldniekiem, apdrošināšanas sabiedrībām, ciktāl tās sniedz dzīvības apdrošināšanas vai citus ar līdzekļu uzkrāšanu saistītus apdrošināšanas pakalpojumus, apdrošināšanas starpniekiem, ciktāl tie sniedz dzīvības apdrošināšanas vai citus ar līdzekļu uzkrāšanu saistītus apdrošināšanas pakalpojumus, pārapdrošināšanas sabiedrībām un visu šo subjektu dalībvalstu un trešo valstu filiālēm Latvijas Republikā, kā arī krājaizdevu sabiedrībām (turpmāk visi kopā un katrs atsevišķi – iestāde) noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas (turpmāk – NILLTPFN) un sankciju riska pārvaldīšanas iekšējās kontroles sistēmas (turpmāk – IKS) izveidei un klientu izpētei (turpmāk – rokasgrāmata). Rokasgrāmatā sniegtie skaidrojumi attiecināmi uz katru iestādi tiktāl, cik tie atbilst iestādes darbības specifikai, sniegtajiem pakalpojumiem un produktiem, kā arī ievērojot iestādes darbībai piemītošo risku.

2. Ievērojot Komisijas 12.01.2021. normatīvo noteikumu Nr. 5 "Klientu izpētes, klientu padziļinātās izpētes un riska skaitliskā novērtējuma sistēmas izveides un informācijas tehnoloģiju prasību normatīvie noteikumi" (turpmāk – klientu izpētes noteikumi) prasības, Komisija izdod rokasgrāmatu, lai:

2.1. skaidrotu uz risku balstītas pieejas (risk based approach) īstenošanu atbilstoši klientu izpētes noteikumu prasībām;

2.2. skaidrotu klientu izpētes noteikumos noteiktās prasības klienta riska skaitliskā novērtējuma sistēmas izveidei;

2.3. skaidrotu normatīvajos aktos noteiktos pasākumus, kas veicami klientu izpētes (standarta, vienkāršotās un padziļinātās) ietvaros;

2.4. sniegtu ieteikumus, pamatojoties uz labāko praksi NILLTPFN jomā.

3. Rokasgrāmatas saturs veidots atbilstoši NILLTPFN pamatprincipiem šādās nodaļās un atbilstošās apakšnodaļās:

3.1. pirmā nodaļa "Risku novērtējums" skaidro noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas (turpmāk – NILLTPF) riska un sankciju riska novērtējuma veikšanas nepieciešamību un pamatelementus, lai iestāde izveidotu atbilstošu IKS;

3.2. otrā nodaļa "Iekšējās kontroles sistēma" ietver būtiskākās IKS pamatprasības, apakšnodaļās skaidrojot katra atsevišķā IKS elementa mērķi un nepieciešamās darbības, lai mērķi īstenotu;

3.3. trešā nodaļa "Klientu izpēte" skaidro klientu izpētes veidus – standarta, vienkāršotā un padziļinātā –, ko piemēro atbilstoši klienta riskam. Šīs nodaļas apakšnodaļās ietverti skaidrojumi un piemēri par izpētes pasākumu tvērumu un apjomu atkarībā no riska, kā arī papildus sniegti skaidrojumi par atsevišķiem klientu izpētes pasākumiem, kuru piemērošanā nepieciešama vienota izpratne par pamatprincipiem, par informācijas sniegšanu klientiem un darījuma attiecību izbeigšanu, ja iestāde nevar veikt klienta izpēti;

3.4. ceturtā nodaļa "Informācijas tehnoloģiju risinājumi NILLTPF un sankciju riska pārvaldīšanai" skaidro informācijas tehnoloģiju (turpmāk – IT) risinājumu prasības un ietver ieteikumus IT risinājumiem NILLTPF un sankciju riska pārvaldīšanai;

3.5. piektā nodaļa "Ziņošana Komisijai (cetrukšņa atskaites, pieprasījumi)" ietver jautājumus un atbildes saistībā ar Komisijai sniedzamajiem NILLTPF riska ekspozīcijas pārskatiem;

3.6. sestā nodaļa "Sankcijas un terorisma un proliferācijas finansēšanas novēršana" skaidro sankciju un terorisma un proliferācijas finansēšanas riskus un pazīmes, kā arī sniedz ieteikumus, lai palīdzētu iestādēm pārvaldīt minētos riskus un nodrošināt normatīvajos aktos noteikto prasību ievērošanu;

3.7. septītā nodaļa "Fizisko personu datu apstrāde NILLTPFN un sankciju ievērošanas jomā" skaidro dažādus problēmjautājumus, kas radušies, praksē piemērojot Vispārīgās datu aizsardzības regulas un Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma prasības.

4. Rokasgrāmatas mērķis ir stiprināt uz risku balstītas pieejas īstenošanu, veicot NILLTPFN un sankciju jomas prasību īstenošanu un NILLTPF un sankciju riska pārvaldīšanu. Uz risku balstīta pieeja nozīmē, ka iestāde NILLTPF un sankciju risku (turpmāk arī – risks) identificē, novērtē, izprot un piemēro riska pārvaldīšanas pasākumus atbilstoši riskam, kādam iestāde ir pakļauta, ar mērķi risku efektīvi pārvaldīt. NILLTPFN un sankciju riska pārvaldīšanas pasākumi nosakāmi atbilstoši riska novērtējumam – iestādes darbībai piemītošajam riskam (iestāde, izstrādājot savas darbības stratēģiju (klientu politiku), nosaka, kādās jurisdikcijās tā darbojas, kādus klientus tā piesaista un apkalpo, kādus pakalpojumus un produktus piedāvā, kādus kanālus izmanto pakalpojumu un produktu izplatīšanā) un klientam individuāli piemītošajam riskam (izvērtējot visus risku ietekmējošos apstākļus – klienta risku, valsts un ģeogrāfisko risku, klienta izmantoto pakalpojumu un produktu risku, pakalpojumu un produktu piegādes kanālu risku). Tādējādi, jo zemāks klienta risks, jo mazāks ir izpētes apjoms, savukārt, jo augstāks klienta risks, jo izpētes apjoms ir lielāks. Šis princips ar piemēriem skaidrots attiecīgajās rokasgrāmatas nodaļās. Papildus iestādei nepieciešams izstrādāt efektīvu sistēmu, kas ļautu konstatēt (verificēt), vai iepriekš iegūtie klientu izpētes dati ir patiesi un atbilstoši (piemēram, datu iegūšana no uzņēmumu reģistru datubāzēm un to pārbaude, datu pārbaude publiski pieejamos avotos), kā arī efektīvu darījumu uzraudzības sistēmu, kas ļautu pārliecināties par sākotnēji iegūtās informācijas par saimniecisko vai personisko darbību, darījumu apmēru, līdzekļu un labklājības izcelsmi atbilstību un patiesumu, atbilstoši riska novērtējumam nosakot minēto kontroļu biežumu. Tomēr, ievērojot, ka katrai iestādei ir atšķirīgi piedāvātie produkti un pakalpojumi, tās darbībai piemītošais risks, kā arī klientu bāze un tiem piemītošais risks, vienas iestādes piemērotie pasākumi var atšķirties no citas iestādes piemērotajiem pasākumiem. Rokasgrāmatā sniegtie skaidrojumi un piemēri tiks pilnveidoti un papildināti atbilstoši praksē konstatētajām problēmām.

5. Rokasgrāmatā, lai skaidrotu normatīvo aktu prasības un iestādes sagaidāmo rīcību, ir sniegti vairāki piemēri. Izmantojot piemērus kā skaidrojošu informāciju, tos nevar piemērot visiem gadījumiem vienādi bez izvērtējuma, jo situācijas var būt atšķirīgas. Realitātē faktiskie apstākļi, lai arī sākotnēji varētu šķist līdzīgi apstākļiem, kas minēti piemēros, var atšķirties, tieši izvērtējot faktisko apstākļu detaļas, kā rezultātā var būt situācija, ka iestādei nepieciešams izmantot no piemērā minētajiem atšķirīgus vai papildu pasākumus. Tāpat iestādes rīcību nosaka tās NILLTPF riska novērtējums un risku politika, savukārt rokasgrāmatā norādītie piemēri nav pamatoti ar konkrētu risku novērtējumu un politiku.

1. Risku novērtējums

1.1. Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska novērtējums

6. Lai iestāde izveidotu savam riskam atbilstošu NILLTPFN IKS, tostarp ievērotu uz risku balstītu pieeju un piemērotu riskam atbilstošus klientu izpētes pasākumus, vispirms ir nepieciešams veikt iestādes NILLTPF riska novērtējumu, lai noskaidrotu, novērtētu un izprastu, kādam riskam iestāde ir pakļauta. NILLTPF riska novērtējumā iestāde izvērtē noziedzīgi iegūtu līdzekļu legalizācijas, terorisma finansēšanas un proliferācijas finansēšanas riskus atbilstoši specifikai, kas piemīt tās pakalpojumiem un klientu lokam, pakalpojumu un produktu izplatīšanas ģeogrāfijai (piemēram, ņemot vērā jurisdikcijas, kurās iestādei ir filiāles, pārstāvniecības u.tml.) un pakalpojumu un produktu piegādes kanāliem (piemēram, vai tiek izmantoti aģentu, starpnieku pakalpojumi, vai pakalpojumi un produkti tiek piedāvāti tiešsaistē (online)). Veicot riska novērtējumu, iestāde ņem vērā gan Eiropas Savienības (turpmāk – ES), gan nacionālo risku novērtējumu. Eiropas Banku iestādes Pamatnostādnes par riska faktoriem1 (turpmāk – EBI Pamatnostādnes) var kalpot kā piemērs iestādei piemītošo riska faktoru identificēšanai un izvērtēšanai (tajās sniegts gan riska faktoru, kas piemīt iestādei, gan klientam piemītošo riska faktoru uzskaitījums). Pamatojoties uz NILLTPF riska novērtējuma rezultātiem, iestāde izvērtē un nosaka savu riska apetīti2.

7. Ņemot vērā NILLTPF riska novērtējuma mērķi, NILLTPF riska novērtējumu nepieciešams aktualizēt, regularitāti nosakot atbilstoši piemītošajiem riskiem, bet ne retāk kā reizi trijos gados. Ja iestāde plāno veikt būtiskas izmaiņas, piemēram, iestādes darbības un klientu juridikcijās, pakalpojumu un produktu klāstā vai to piegādes kanālos, tā veic riska novērtējumu attiecībā uz veiktajām izmaiņām pirms izmaiņu īstenošanas. Kredītiestādēm, ņemot vērā to darbībai piemītošo risku, nepieciešams veikt NILLTPF riska novērtējuma aktualizēšanu ne retāk kā reizi 18 mēnešos.

8. Iestādei nepieciešams izvērtēt, vai risks, kādam tā ir pakļauta, ir mainījies – vai ir identificēti jauni apstākļi, kas ietekmē risku –, un veikt NILLTPF riska novērtējuma aktualizēšanu, novērtējot, vai esošie NILLTPF riska pārvaldīšanas pasākumi atbilst riskam. NILLTPF riska novērtējums ļauj iestādei noteikt arī prioritātes NILLTPF riska pārvaldīšanā un efektīvi veikt tai nepieciešamo resursu plānošanu un izmantošanu (piemēram, nepieciešamās IT sistēmas, darbinieki un to kvalifikācija). Iestādei nepieciešams nodrošināt atbilstošus un pietiekamus resursus tai piemītošā riska pārvaldīšanai.

9. Atbilstoši Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likuma (turpmāk – Likums) prasībām iestāde, veicot risku novērtējumu, ņem vērā:

9.1. riskus, kurus identificējusi Eiropas Komisija ES NILLTPF risku novērtējumā3;

9.2. riskus, kuri identificēti nacionālajā NILLTPF risku novērtēšanas ziņojumā, kā arī uzraudzības iestādes riska vērtējumā;

9.3. citus iestādei raksturīgos riskus.

10. Nosakot NILLTPF risku, kādam iestāde pakļauta, novērtē:

10.1. sākotnējo (inherent) risku, kam iestāde pakļauta pirms riska pārvaldīšanas pasākumu piemērošanas;

10.2. NILLTPF riska pārvaldīšanas pasākumu efektivitāti;

10.3. atlikušo (residual) risku, izmantojot formulu:

11. Nosakot iestādei piemītošo sākotnējo risku, iestāde novērtē vismaz šādas kategorijas:

11.1. klienta risks (piemēram, klientu, kas uzskatāmi par politiski nozīmīgām personām (turpmāk arī – PNP), kredīta apgrozījums4; klientu, kuru saimnieciskās vai personiskās darbības veids uzskatāms par augsta riska, kredīta apgrozījums u.tml.);

11.2. valsts un ģeogrāfiskais risks (piemēram, klientu, kuru rezidences vai reģistrācijas valsts ir paaugstināta riska valsts, kredīta apgrozījums; klientu saņemtie maksājumi no paaugstināta riska valstīm u.tml.);

11.3. klienta izmantoto pakalpojumu un produktu risks (piemēram, klientu, kuri izmanto privātbaņķiera pakalpojumus, apgrozījums; klientu, kuri izmanto uzticības (trasta) vai fiduciāro darījumu pakalpojumus, apgrozījums u.tml.);

11.4. pakalpojumu un produktu piegādes kanālu risks (piemēram, neklātienē identificēto klientu kredīta apgrozījums; klientu, kurus identificējis iestādes aģents, kredīta apgrozījums; klientu, kas ir e-komersanti, kredīta apgrozījums; klientu – finanšu iestāžu, kas reģistrētas ārpus ES, kredīta apgrozījums u.tml.).

12. Papildus 11. punktā minētajiem var tikt noteikti vēl citi rādītāji. Katrā kategorijā iestāde vērtē risku paaugstinošos faktorus, atbilstoši kuru vērtējumam nosaka kategorijai piemītošo risku. Iegūstot katras kategorijas vērtējumu, iestāde nosaka algoritmu kopējā sākotnējā riska noteikšanai.

13. Nosakot iestādes NILLTPF riska pārvaldīšanas pasākumu efektivitāti, iestāde izvērtē pasākumus, ko tā piemēro NILLTPF riska pārvaldīšanā, lai novērstu NILLTPF un nodrošinātu, ka tiek identificēti riska faktori (piemēram, IT sistēmas, kuras tiek izmantotas, politiku un procedūru prasības, to aktualizēšana, kvalitātes nodrošināšanas mehānismi, personālresursu pietiekamība un kvalitāte, vadības informētība un iesaiste, audita rekomendāciju ieviešanas savlaicīgums u.tml.). Katram pasākumam iestāde piešķir vērtējumu (piemēram, atbilstošs, nebūtiski uzlabojams, būtiski uzlabojams, neatbilstošs). Iegūstot katra individuālā pasākuma vērtējumu, iestāde nosaka kopējo pasākumu efektivitāti.

14. Atlikušais risks tiek noskaidrots pēc tam, kad ir novērtēts sākotnējais risks un ņemti vērā piemērotie NILLTPF riska pārvaldīšanas pasākumi un to efektivitāte. Būtiski atzīmēt, ka, aprēķinot atlikušo risku pēc 10. punktā minētās formulas, sākotnējam riskam ir piešķirams lielākais svars, jo, lai arī cik efektīva būtu IKS, tā pastāvošo jeb sākotnējo risku nevar samazināt līdz nullei.

15. Veicot NILLTPF riska novērtējumu, iespējams piemērot dažādas detalizācijas riska novērtējuma matricas, piemēram: