Политика в отношении обработки персональных данных
ОсОО «Эникоин»
Версия 1.0
Дата введения: 02.03.2026
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана ОсОО «Эникоин» (далее - Компания) в целях установления обязательных требований к обработке персональных данных и обеспечения защиты прав и свобод физических лиц при осуществлении Компанией своей деятельности как оператора обмена виртуальных активов. Политика направлена на обеспечение законности, прозрачности и контролируемости процессов обработки персональных данных, а также на минимизацию рисков нарушения прав субъектов персональных данных.
1.2. Настоящая Политика определяет цели, правовые основания, объем, порядок и условия обработки персональных данных, а также меры по обеспечению их безопасности и конфиденциальности. Политика применяется ко всем структурным подразделениям Компании и распространяется на всех работников, а также на лиц, обрабатывающих персональные данные по поручению Компании.
1.3. Компания признается оператором персональных данных и самостоятельно определяет цели обработки, состав обрабатываемых персональных данных и действия, совершаемые с ними, в пределах, установленных законодательством Кыргызской Республики.
1.4. Обработка персональных данных осуществляется Компанией в соответствии с законодательством Кыргызской Республики, включая Закон Кыргызской Республики «Об информации персонального характера», Закон Кыргызской Республики «О виртуальных активах», Закон Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов», а также иные нормативные правовые акты, регулирующие деятельность операторов персональных данных.
1.5. Компания исходит из того, что защита персональных данных является неотъемлемой частью системы внутреннего контроля, информационной безопасности и комплаенс-функции, реализуемой в рамках общей системы управления рисками.
2. Принципы обработки персональных данных
2.1. Компания осуществляет обработку персональных данных на основе принципов законности, добросовестности и справедливости. Персональные данные обрабатываются только при наличии правовых оснований и в объеме, необходимом для достижения конкретных, заранее определенных и законных целей.
2.2. Обработка персональных данных ограничивается достижением целей, непосредственно связанных с осуществлением деятельности Компании, включая предоставление услуг, проведение процедур идентификации и верификации клиентов, осуществление финансового мониторинга, исполнение договорных обязательств, выполнение требований регуляторов и государственных органов Кыргызской Республики, а также обеспечение информационной безопасности.
2.3. Компания соблюдает принцип минимизации данных, согласно которому объем обрабатываемых персональных данных не должен быть избыточным по отношению к заявленным целям. При изменении целей обработки Компания проводит анализ необходимости дальнейшего хранения ранее полученных данных.
2.4. Компания принимает меры по обеспечению точности и актуальности персональных данных. В случае выявления неточностей персональные данные подлежат уточнению либо блокированию до момента их исправления.
2.5. Персональные данные не подлежат хранению дольше, чем это требуется для достижения целей обработки либо установлено законодательством Кыргызской Республики.
3. Правовые основания обработки персональных данных
3.1. Обработка персональных данных осуществляется Компанией при наличии одного или нескольких законных оснований, предусмотренных законодательством Кыргызской Республики.
3.2. Такими основаниями являются согласие субъекта персональных данных, необходимость исполнения договора, стороной которого является субъект персональных данных, выполнение обязанностей, установленных законодательством, включая требования по финансовому мониторингу и хранению документов, а также защита законных интересов Компании при условии соблюдения прав и свобод субъекта персональных данных.
3.3. В случаях, когда обработка осуществляется на основании согласия субъекта, такое согласие оформляется в письменной или электронной форме, позволяющей подтвердить факт его получения. Электронное согласие фиксируется в информационных системах Компании с возможностью последующего подтверждения.
3.4. Обработка персональных данных без согласия субъекта допускается в случаях, прямо предусмотренных законодательством Кыргызской Республики, включая случаи предоставления информации государственным органам по их законному требованию.
4. Категории субъектов и объем обрабатываемых персональных данных
4.1. Компания обрабатывает персональные данные клиентов - физических лиц, представителей клиентов и контрагентов - юридических лиц, работников Компании, кандидатов на трудоустройство, а также иных лиц, вступающих в правовые отношения с Компанией.
4.2. В рамках своей деятельности Компания может обрабатывать идентификационные данные, контактные сведения, сведения о финансовых операциях, данные о профиле риска клиента, сведения, полученные в рамках процедур KYC/AML/KYT, а также технические данные, формируемые при использовании информационных систем Компании.
4.3. Обработка специальных категорий персональных данных допускается исключительно в случаях, предусмотренных законодательством, и при условии применения усиленных мер защиты.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется с использованием средств автоматизации либо без использования таких средств, в зависимости от характера соответствующего бизнес-процесса.
5.2. Компания обеспечивает учет операций с персональными данными и разграничение доступа к ним на основе принципа необходимости знания. Доступ к персональным данным предоставляется только работникам, чьи должностные обязанности непосредственно связаны с их обработкой.
5.3. Персональные данные хранятся в информационных системах Компании либо на материальных носителях с соблюдением требований законодательства Кыргызской Республики. В случаях, предусмотренных законом, базы данных, содержащие персональные данные граждан Кыргызской Республики, размещаются и используются с учетом требований к их локализации.
5.4. Сроки хранения персональных данных определяются с учетом целей обработки и требований законодательства, в том числе требований в сфере финансового мониторинга и деятельности операторов виртуальных активов.
5.5. По достижении целей обработки либо при истечении установленного срока хранения персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законодательством.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право получать информацию о факте обработки его персональных данных, целях и правовых основаниях обработки, составе обрабатываемых данных, сроках хранения, а также об источнике их получения.
6.2. Субъект вправе требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными либо обработка осуществляется с нарушением законодательства.
6.3. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в случаях, когда обработка осуществляется на основании согласия, если иное не предусмотрено законодательством.
6.4. Компания рассматривает обращения субъектов персональных данных в разумные сроки и обеспечивает документирование таких обращений.
7. Передача персональных данных и поручение обработки
7.1. Компания вправе поручить обработку персональных данных третьим лицам на основании договора, предусматривающего обязательство соблюдения конфиденциальности и принятия необходимых мер по обеспечению безопасности персональных данных.
7.2. Передача персональных данных государственным органам осуществляется исключительно в случаях и порядке, предусмотренных законодательством Кыргызской Республики.
7.3. Лица, получившие доступ к персональным данным по поручению Компании, несут ответственность за соблюдение требований законодательства и настоящей Политики.
8. Обеспечение безопасности персональных данных
8.1. Компания принимает необходимые правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования или распространения.
8.2. Система защиты персональных данных является частью системы информационной безопасности Компании и включает разграничение доступа, учет действий пользователей, применение средств защиты информации, проведение внутреннего контроля и обучение работников.
8.3. При выявлении инцидента, связанного с нарушением безопасности персональных данных, Компания принимает меры по его локализации, расследованию и минимизации последствий в соответствии с внутренними процедурами.
9. Заключительные положения
9.1. Настоящая Политика подлежит пересмотру не реже одного раза в год, а также при изменении законодательства Кыргызской Республики либо при существенном изменении процессов обработки персональных данных в Компании.
9.2. Контроль за исполнением настоящей Политики возлагается на ответственного за обработку персональных данных, назначаемого приказом Генерального директора.
9.3. Настоящая Политика вступает в силу с даты утверждения и действует до ее отмены или принятия новой редакции.
Политика кибербезопасности
1. Общие положения
1.1. Настоящая Политика кибербезопасности и управления информационной безопасностью (далее - Политика) устанавливает системный подход ОсОО «Эникоин» (далее - Компания) к обеспечению защиты информационных активов, цифровых записей, персональных данных, комплаенс-информации и технологической инфраструктуры, используемой при осуществлении деятельности оператора виртуальных активов.
1.2. Политика разработана в соответствии с законодательством Кыргызской Республики, включая Закон Кыргызской Республики «О кибербезопасности Кыргызской Республики», Закон Кыргызской Республики «О виртуальных активах», Закон Кыргызской Республики «Об информации персонального характера», требования законодательства в сфере ПФТД/ЛПД, а также с учетом международных практик построения систем управления информационной безопасностью.
1.3. Настоящая Политика формирует основу системы управления информационной безопасностью Компании и применяется как к текущей модели деятельности, так и к будущему расширенному онлайн-формату, включая дистанционную идентификацию клиентов, автоматизированные AML/KYT-процессы и интеграции с внешними сервисами.
1.4. Компания исходит из того, что внедрение и развитие онлайн-платформы увеличивает уровень технологических, операционных и регуляторных рисков, в связи с чем требования настоящей Политики носят опережающий характер и ориентированы на долгосрочную масштабируемость инфраструктуры.
2. Стратегические цели кибербезопасности
2.1. Целью обеспечения кибербезопасности является поддержание устойчивости деятельности Компании, обеспечение доверия клиентов и партнеров, соблюдение требований регулятора и предотвращение ущерба, связанного с компрометацией информации или нарушением доступности сервисов.
2.2. Компания рассматривает кибербезопасность не как техническую функцию, а как элемент стратегического управления рисками, влияющий на финансовую устойчивость, репутацию и правовую защищенность.
2.3. Обеспечение кибербезопасности направлено на защиту трех базовых характеристик информации - конфиденциальности, целостности и доступности, при одновременном обеспечении прослеживаемости действий и доказуемости операций.
3. Принципы обеспечения кибербезопасности
3.1. Принцип законности означает, что все процессы обеспечения информационной безопасности строятся в строгом соответствии с законодательством Кыргызской Республики и условиями лицензии оператора виртуальных активов. Любые технические решения и организационные меры должны учитывать правовые требования в части защиты данных, финансового мониторинга и хранения информации.
3.2. Принцип системности предполагает, что кибербезопасность рассматривается как совокупность взаимосвязанных процессов, включающих управление рисками, контроль доступа, мониторинг, реагирование на инциденты, обучение персонала и аудит. Компания не ограничивается отдельными техническими средствами защиты, а выстраивает комплексную систему управления.
3.3. Принцип комплексности защиты означает сочетание организационных, методических и технических мер. Защита достигается не только использованием программно-технических средств, но и четким распределением ответственности, регламентацией процессов, обучением персонала и постоянным внутренним контролем.
3.4. Принцип минимизации доступа предполагает, что каждый работник получает доступ исключительно к тем информационным ресурсам, которые необходимы для выполнения его должностных обязанностей. Данный принцип особенно важен в условиях расширения онлайн-платформы и увеличения количества пользователей и интеграций.
3.5. Принцип разделения полномочий направлен на предотвращение конфликта интересов и злоупотреблений. Критические операции, включая изменение прав доступа, администрирование систем, выгрузку данных и изменение настроек AML/KYT-контуров, не должны концентрироваться в руках одного лица без контроля.
3.6. Принцип непрерывности защиты означает, что процессы кибербезопасности функционируют на постоянной основе и не носят разовый характер. Мониторинг, анализ логов, проверка резервного копирования и пересмотр прав доступа осуществляются регулярно.
3.7. Принцип соразмерности и разумной достаточности предполагает, что меры защиты должны соответствовать уровню риска и характеру обрабатываемых данных. Компания избегает как избыточных, так и недостаточных мер, обеспечивая баланс между безопасностью и эффективностью бизнес-процессов.
3.8. Принцип проактивности означает, что Компания ориентируется не только на реагирование на инциденты, но и на их предупреждение, включая регулярную оценку уязвимостей, анализ новых угроз и обновление технической инфраструктуры.
3.9. Принцип персональной ответственности закрепляет, что каждый работник несет ответственность за соблюдение требований информационной безопасности в пределах своих полномочий. Нарушение требований Политики рассматривается как нарушение внутреннего режима и может повлечь дисциплинарные меры.
3.10. Принцип масштабируемости предусматривает, что архитектура информационной безопасности должна быть готова к увеличению числа пользователей, расширению онлайн-сервисов, подключению новых провайдеров удаленной идентификации и автоматизированных систем мониторинга.
4. Управление рисками информационной безопасности
4.1. Компания применяет риск-ориентированный подход к управлению информационной безопасностью, предусматривающий регулярную идентификацию, анализ и оценку рисков.
4.2. Оценка рисков проводится с учетом характера деятельности оператора виртуальных активов, объема обрабатываемых персональных данных, наличия удаленной идентификации и автоматизированного AML/KYT-мониторинга.
4.3. По результатам оценки рисков принимаются решения о внедрении дополнительных мер защиты либо о признании остаточного риска допустимым при наличии документированного обоснования.
4.4. Результаты оценки рисков рассматриваются руководством Компании и используются при планировании бюджета на информационную безопасность.
5. Управление доступом и идентификация
5.1. Компания внедряет ролевую модель управления доступом и обеспечивает разграничение прав пользователей в информационных системах.
5.2. Для критических и административных доступов применяется многофакторная аутентификация.
5.3. Все действия, связанные с управлением доступом, документируются и подлежат регулярной проверке.
5.4. При запуске и развитии онлайн-платформы Компания обеспечивает отдельное логирование действий пользователей и администраторов, что позволяет восстановить хронологию событий при расследовании инцидентов.
6. Логирование и прослеживаемость
6.1. Компания обеспечивает централизованное логирование событий безопасности, включая попытки несанкционированного доступа, изменение прав пользователей, операции с данными и интеграционные события с внешними сервисами.
6.2. Логи защищаются от изменения и уничтожения, а доступ к ним ограничивается.
6.3. Хранение логов осуществляется в сроки, достаточные для выполнения требований законодательства и расследования инцидентов, включая случаи, связанные с AML/KYT-контуром.
7. Управление киберинцидентами
7.1. Киберинцидентом признается любое событие, способное повлиять на конфиденциальность, целостность или доступность информационных активов Компании.
7.2. Компания внедряет процедуру реагирования, включающую регистрацию инцидента, оценку критичности, локализацию, анализ причин, восстановление работоспособности и внедрение корректирующих мер.
7.3. Инциденты документируются в реестре, а их анализ используется для совершенствования системы защиты.
7.4. В случае возникновения обязанности по уведомлению государственных органов Компания действует в соответствии с требованиями законодательства Кыргызской Республики.
8. Непрерывность деятельности и устойчивость
8.1. Компания обеспечивает разработку и актуализацию планов непрерывности деятельности и восстановления после инцидентов.
8.2. Для критических сервисов определяются допустимые параметры времени восстановления и допустимой потери данных.
8.3. Проверка готовности к восстановлению осуществляется на регулярной основе.
9. Обучение и контроль
9.1. Все работники проходят обязательный инструктаж по информационной безопасности до получения доступа к системам.
9.2. Повторное обучение проводится ежегодно либо при существенном изменении процессов.
9.3. Руководство Компании рассматривает отчеты о состоянии кибербезопасности не реже одного раза в год.
10. Заключительные положения
10.1. Настоящая Политика подлежит пересмотру не реже одного раза в год либо при изменении законодательства, технологической архитектуры или регуляторных требований.
10.2. Изменения утверждаются приказом Генерального директора.
Положение о хранении
УТВЕРЖДЕНО
Приказом Генерального Директора
ОсОО «Эникоин»
№ ___ от «02» марта 2026 г.
ПОЛОЖЕНИЕ
о хранении документов и сведений ОсОО «Эникоин»
Версия 1.0
Дата введения: 02.03.2026
1. Общие положения
1.1. Настоящее Положение о хранении документов и сведений (далее - Положение) является внутренним нормативным документом ОсОО «Эникоин» (далее - Общество или Оператор), устанавливающим единые требования к организации хранения, комплектования, учета и использования документов, образующихся в процессе деятельности Общества. Целью Положения является обеспечение сохранности документов, имеющих правовое, финансовое, историческое и практическое значение, а также выполнение требований законодательства Кыргызской Республики в части обязательного хранения информации.
1.2. Правовой основой настоящего Положения являются Закон Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» (ПФТД/ЛПД), Закон Кыргызской Республики «О виртуальных активах», Закон Кыргызской Республики «Об информации персонального характера», Закон Кыргызской Республики «О бухгалтерском учете», Налоговый кодекс Кыргызской Республики, а также иные нормативные правовые акты, регламентирующие вопросы архивного дела и делопроизводства.
1.3. Действие настоящего Положения распространяется на все виды документов Общества, независимо от вида носителя (бумажные, электронные) и способа их создания, включая документы в сфере ПФТД/ЛПД, бухгалтерскую и налоговую отчетность, кадровую документацию, корпоративные решения, техническую документацию и переписку с контрагентами и государственными органами. Соблюдение требований Положения является обязательным для всех работников Общества.
1.4. Ответственность за организацию надлежащего хранения документов возлагается на Генерального директора Общества. Ответственность за сохранность и своевременную передачу документов в архив по направлениям деятельности несут: Комплаенс-офицер (AML/KYT-офицер) - за документы в сфере ПФТД/ЛПД и идентификации клиентов; Главный бухгалтер - за бухгалтерские и налоговые документы; ответственный сотрудник по кадрам - за кадровую документацию; ответственный за информационную безопасность - за электронные архивы и логи информационных систем.
2. Основные понятия и принципы
2.1. В целях настоящего Положения используются следующие основные понятия:
Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Электронный документ - документ, информация которого представлена в электронной форме и который может быть воспринят человеком с использованием электронных вычислительных машин, а также передан по информационно-телекоммуникационным сетям.
Архив - совокупность документов, образовавшихся в деятельности Общества, сохраняемых в силу их значимости для граждан, общества и государства, а также для обеспечения текущей деятельности организации.
Срок хранения - период времени, в течение которого документ должен сохраняться в неизменном виде в соответствии с требованиями законодательства или внутренних нормативов.
2.2. Система хранения документов в Обществе строится на следующих принципах:
Законность: строгое соответствие сроков и условий хранения требованиям законодательства Кыргызской Республики.
Полнота: обеспечение хранения полного комплекса документов, необходимых для подтверждения фактов хозяйственной деятельности и принятых решений.
Доступность: организация хранения таким образом, чтобы обеспечить возможность оперативного поиска и предоставления документов по запросам уполномоченных органов.
Конфиденциальность: защита документов от несанкционированного доступа третьих лиц, особенно в части, содержащей персональные данные и коммерческую тайну.
Целостность: обеспечение физической сохранности носителей и неизменности содержания документов.
Систематизация: упорядоченное хранение документов в соответствии с номенклатурой дел и хронологией.
3. Категории документов и сроки хранения
3.1. Документы ПФТД/ЛПД и комплаенса
Документы, связанные с исполнением законодательства о противодействии легализации преступных доходов, подлежат хранению в течение не менее 5 (пяти) лет с даты прекращения деловых отношений с клиентом или даты совершения разовой операции. К данной категории относятся:
- Анкеты (досье) клиентов - физических и юридических лиц;
- Копии документов, удостоверяющих личность, и учредительных документов;
- Сведения о бенефициарных владельцах и структуре собственности;
- Документы, подтверждающие источник происхождения средств (Source of Funds) и благосостояния (Source of Wealth);
- Журналы и результаты санкционных проверок;
- Журналы AML/KYT-проверок транзакций и адресов виртуальных кошельков;
- Реестры операций, подлежащих обязательному контролю;
- Реестры подозрительных операций и принятых по ним решений;
- Журналы отказов в обслуживании и расторжения договоров;
- Заключения Комплаенс-офицера по результатам анализа рисков;
- Копии сообщений, направленных в орган финансовой разведки (ГСФР), и квитанции о приеме;
- Переписка с уполномоченными государственными органами по вопросам ПФТД/ЛПД;
- Отчеты и заключения по результатам внутреннего и независимого аудита системы ПФТД/ЛПД.
3.2. Документы по операциям с виртуальными активами
Сведения и документы, фиксирующие детали операций с виртуальными активами, хранятся в течение не менее 5 (пяти) лет после завершения операции. В состав хранимой информации входят:
Детальные сведения о каждой транзакции (TxID, адреса отправителя и получателя, суммы, виды активов, дата и время);
Отчеты специализированных провайдеров аналитики блокчейна (СКК «Ранекс» и аналоги);
Скриншоты и электронные подтверждения успешности блокчейн-операций;
Журналы технических операций с корпоративными кошельками (горячими и холодными);
Логи информационных систем платформы, фиксирующие действия пользователей и администраторов.
3.3. Бухгалтерские и налоговые документы
Первичные учетные документы, регистры бухгалтерского учета и отчетность хранятся в течение сроков, установленных Законом о бухгалтерском учете и Налоговым кодексом, но не менее 5 (пяти) лет после отчетного года. К ним относятся:
- Первичные документы (акты, накладные, счета-фактуры);
- Регистры бухгалтерского учета (оборотно-сальдовые ведомости, журналы-ордера);
- Финансовая отчетность (бухгалтерские балансы, отчеты о прибылях и убытках);
- Налоговые декларации, расчеты и приложения к ним;
- Акты сверки расчетов с контрагентами;
- Платежные поручения, выписки по банковским счетам и кассовые документы.
- 3.4. Кадровые документы
- Документы по личному составу имеют длительные сроки хранения в целях обеспечения социальных прав работников:
- Трудовые договоры, дополнительные соглашения - 75 лет;
- Приказы по личному составу (о приеме, переводе, увольнении, поощрении) - 75 лет;
- Личные дела и личные карточки уволенных работников - 75 лет;
- Трудовые книжки (невостребованные) - 75 лет (или до востребования);
- Приказы о предоставлении отпусков, командировках (краткосрочных) - 5 лет;
- Документы по обучению и аттестации персонала в сфере ПФТД/ЛПД - 5 лет;
- Журналы ознакомления работников с локальными нормативными актами - 5 лет.
3.5. Корпоративные документы
Основополагающие документы Общества подлежат постоянному хранению в течение всего срока существования организации:
- Устав Общества, учредительный договор, изменения и дополнения к ним;
- Свидетельство о государственной регистрации (перерегистрации);
- Лицензии и разрешительные документы (включая отозванные или с истекшим сроком);
- Протоколы и решения Общих собраний участников (учредителей);
- Приказы и распоряжения Генерального директора по основной деятельности.
3.6. Внутренние политики и регламенты
Локальные нормативные акты хранятся постоянно, при этом в архиве сохраняются как действующие, так и утратившие силу редакции для обеспечения возможности ретроспективного анализа. К таким документам относятся: Политика ПФТД/ЛПД, AML/KYT и риск-скоринга; Политика обработки персональных данных; Политика кибербезопасности; Положение о внутреннем контроле; Положение о санкционном контроле; Положение о Комплаенс-офицере и Регламент его работы; Правила внутреннего контроля ПФТД/ЛПД; Комплект утвержденных форм и анкет.
3.7. Документы по информационной безопасности
Документация, фиксирующая события в информационных системах, хранится не менее 5 (пяти) лет:
- Журналы регистрации инцидентов информационной безопасности;
- Логи доступа пользователей и администраторов к информационным системам;
- Результаты аудитов информационной безопасности и пентестов;
- Акты служебных расследований инцидентов ИБ.
4. Формы хранения документов
4.1. Бумажные документы (оригиналы) хранятся в специально оборудованных помещениях или шкафах, обеспечивающих их защиту от хищения, порчи, воздействия света, влаги и пыли. Документы систематизируются в папки-дела в соответствии с утвержденной номенклатурой дел. Особо важные документы (уставные, правоустанавливающие) хранятся в несгораемых сейфах.
4.2. Электронные документы хранятся на защищенных серверах Общества с обязательным регулярным резервным копированием. Система хранения электронных документов должна обеспечивать их целостность (применение контрольных сумм, электронных цифровых подписей), защиту от несанкционированного доступа (шифрование, разграничение прав доступа) и возможность их воспроизведения и конвертации в читаемый формат в течение всего срока хранения, даже при смене программного обеспечения.
4.3. Допускается смешанное хранение документов, при котором оригиналы на бумажных носителях дублируются электронными скан-копиями, загружаемыми в CRM или иные информационные системы. Электронные копии бумажных документов признаются равнозначными оригиналам только при наличии надлежащего заверения (электронной подписью). В оперативной работе приоритет отдается электронным копиям для ускорения процессов, при этом бумажный оригинал остается эталоном.
5. Порядок формирования архива
5.1. Документы, завершенные делопроизводством, подлежат передаче в архив. Процесс включает формирование дел согласно номенклатуре, составление внутренней описи документов дела, нумерацию листов, прошивку (для документов постоянного и длительного хранения) и опечатывание. На обложке дела указываются наименование организации, индекс дела, заголовок, крайние даты документов и количество листов. Передача дел оформляется актом приема-передачи.
5.2. Все архивные дела подлежат строгому учету. Ведется Журнал учета архивных дел, в котором каждому делу присваивается уникальный архивный номер. В журнале также фиксируется местонахождение дела (номер шкафа, полки, коробки) для обеспечения быстрого поиска.
6. Порядок доступа к архивным документам
6.1. Право доступа к архивным документам строго регламентировано. Полный доступ ко всем документам имеет Генеральный директор. Комплаенс-офицер имеет доступ к документам ПФТД/ЛПД, досье клиентов и материалам проверок. Главный бухгалтер имеет доступ к финансовым документам, ответственный за кадры - к личным делам сотрудников. Иные работники могут получить доступ к архивным документам только по письменному распоряжению Генерального директора.
6.2. Выдача дел из архива для служебного пользования производится на основании письменного запроса работника с обоснованием цели. Факт выдачи регистрируется в Журнале выдачи архивных документов под роспись получателя. Срок выдачи не может превышать 10 рабочих дней. При возврате дела проверяется его целостность и комплектность.
6.3. Предоставление документов внешним пользователям (государственным органам, судам, аудиторам) осуществляется исключительно на основании официальных письменных запросов, оформленных в соответствии с законодательством. Оригиналы документов выдаются только органам дознания, следствия, прокуратуры и судам на основании постановления/определения о выемке. В остальных случаях предоставляются заверенные копии. Выдача документов органу финансовой разведки (ГСФР) производится в приоритетном порядке в сроки, установленные законодательством о ПФТД/ЛПД.
7. Обеспечение сохранности документов
7.1. Помещения для хранения документов (архив) должны быть изолированными, сухими и безопасными. Окна помещений (при наличии) оборудуются решетками. Помещения оснащаются металлическими стеллажами или шкафами, средствами пожаротушения и охранной сигнализацией. Доступ посторонних лиц в архив категорически запрещен.
7.2. Для защиты электронных документов и баз данных применяется ежедневное автоматическое резервное копирование. Резервные копии хранятся на обособленных носителях или облачных ресурсах, физически или логически отделенных от основной системы. Обязательно использование лицензионного антивирусного программного обеспечения и межсетевых экранов. Доступ к электронному архиву протоколируется.
7.3. Документы, содержащие персональные данные работников и клиентов, хранятся в запираемых металлических шкафах или сейфах. Доступ к ключам имеют только уполномоченные сотрудники. При хранении электронных баз персональных данных применяются методы обезличивания или шифрования.
8. Проверка наличия и состояния документов
8.1. В целях контроля сохранности документов Общество проводит плановые проверки (инвентаризации) архива не реже одного раза в год. В ходе проверки осуществляется сверка фактического наличия дел с учетными данными описей и журналов, а также оценка физического состояния носителей. По результатам составляется акт проверки.
8.2. При обнаружении утраты или повреждения документов незамедлительно назначается служебное расследование для установления причин и виновных лиц. Комиссия принимает меры по розыску документов или их восстановлению (запрос дубликатов, восстановление из резервных копий). Виновные лица привлекаются к дисциплинарной и материальной ответственности.
9. Уничтожение документов
9.1. Документы, срок хранения которых истек и которые утратили практическую ценность, подлежат уничтожению. Отбор документов к уничтожению производится экспертной комиссией, назначаемой приказом директора. В состав комиссии обязательно включается Комплаенс-офицер и Главный бухгалтер.
9.2. На отобранные к уничтожению документы составляется Акт о выделении к уничтожению, в котором указываются названия дел, период, количество, сроки хранения и статьи перечня, на основании которых документы уничтожаются. После утверждения акта Генеральным директором документы уничтожаются физически (измельчение в шредере, сожжение) или программно (безвозвратное удаление файлов) с оформлением Акта об уничтожении.
9.3. Категорически запрещается уничтожение документов, если срок их хранения не истек, если они затребованы судебными или следственными органами, или если по ним проводится проверка ГСФР или налоговая проверка, даже если формальный срок хранения уже завершился. В таких случаях срок хранения продлевается до завершения соответствующих процедур.
10. Особенности хранения документов ПФТД/ЛПД
10.1. В соответствии со статьей 29 Закона о ПФТД/ЛПД, Общество обеспечивает хранение всех документов и сведений, касающихся идентификации клиентов и совершаемых операций, в течение не менее пяти лет. Система хранения должна быть организована таким образом, чтобы обеспечить возможность оперативного (в течение не более 3 рабочих дней) предоставления полной информации по запросу органа финансовой разведки.
10.2. Досье клиента должно содержать полную историю взаимоотношений, включая все версии анкет, обновленные сведения, результаты всех проведенных проверок (риск-скоринг, санкции, KYT) и переписку. Хранению подлежат не только итоговые решения, но и аналитические материалы, послужившие основанием для их принятия.
10.3. Информация об операциях должна храниться в объеме, достаточном для полной реконструкции (восстановления деталей) каждой отдельной операции, включая данные о сумме, валюте, участниках, назначении платежа и технических параметрах транзакции (хеши, IP-адреса), что необходимо для использования в качестве доказательства при судебных разбирательствах.
11. Контроль за исполнением Положения
11.1. Общий контроль за соблюдением настоящего Положения осуществляет Генеральный директор. Текущий контроль за порядком хранения документов в своих подразделениях осуществляют руководители соответствующих направлений: Комплаенс-офицер, Главный бухгалтер, Начальник отдела кадров, IT-директор.
11.2. Соблюдение требований Положения подлежит регулярной оценке в рамках внутреннего аудита. Аудитор проверяет наличие и комплектность архива, условия хранения, соблюдение сроков передачи документов на хранение и правомерность уничтожения. Результаты проверки и рекомендации по устранению нарушений докладываются руководству Общества.
12. Заключительные положения
12.1. Настоящее Положение вступает в силу с «02» марта 2026 года и действует бессрочно до его отмены или утверждения новой редакции.
12.2. Положение подлежит пересмотру и актуализации по мере необходимости, но не реже одного раза в год, а также при изменении законодательства Кыргызской Республики в области архивного дела, бухгалтерского учета или ПФТД/ЛПД.
12.3. С настоящим Положением должны быть ознакомлены все работники Общества под личную подпись при приеме на работу. Ответственность за ознакомление возлагается на кадровую службу.
Положение о системе внутреннего контроля
УТВЕРЖДЕНО
Приказом Генерального Директора
ОсОО «Эникоин»
№ ___ от «16» февраля 2026 г.
ПОЛОЖЕНИЕ
о системе внутреннего контроля ОсОО «Эникоин»
Версия 1.0
Дата введения: 02.03.2026
1. Общие положения
1.1. Настоящее Положение о системе внутреннего контроля (далее - Положение) представляет собой основополагающий внутренний нормативный документ ОсОО «Эникоин» (далее - Общество или Оператор), разработанный в целях установления единых требований к организации, функционированию и оценке эффективности системы внутреннего контроля. Документ регламентирует порядок осуществления контрольных процедур, направленных на обеспечение соблюдения законодательства Кыргызской Республики, минимизацию рисков, связанных с оборотом виртуальных активов, защиту имущественных интересов Общества и его клиентов, а также обеспечение достоверности финансовой и управленческой отчетности.
1.2. Правовой основой разработки настоящего Положения являются Конституция Кыргызской Республики, Гражданский кодекс Кыргызской Республики, Закон Кыргызской Республики «О виртуальных активах», Закон Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» (ПФТД/ЛПД), Закон Кыргызской Республики «Об информации персонального характера», нормативные правовые акты уполномоченного государственного органа в сфере финансовой разведки и регулятора рынка виртуальных активов, а также Устав Общества и утвержденные внутренние политики, включая Политику в сфере ПФТД/ЛПД (AML/CFT), Политику кибербезопасности и Политику обработки персональных данных.
1.3. Система внутреннего контроля (СВК) определяется как совокупность организационной структуры, внутренних политик, регламентов, методик и процедур, реализуемых органами управления и работниками Общества для обеспечения разумной уверенности в достижении поставленных целей. СВК охватывает все уровни управления и направления деятельности Оператора, обеспечивая непрерывный мониторинг соответствия совершаемых операций требованиям законодательства и внутренним стандартам, а также своевременное выявление и устранение недостатков в системе управления рисками.
1.4. Действие настоящего Положения распространяется на всех без исключения работников Общества, независимо от занимаемой должности и характера трудовых отношений, а также на третьих лиц, действующих от имени или по поручению Общества на основании гражданско-правовых договоров, в той мере, в какой это предусмотрено соответствующими соглашениями и требованиями законодательства. Соблюдение норм Положения является обязательным условием осуществления деятельности Оператора и гарантией его правовой и финансовой устойчивости.
2. Принципы системы внутреннего контроля
2.1. Функционирование системы внутреннего контроля в Обществе базируется на фундаментальном принципе законности, который предполагает безусловное и точное соблюдение норм действующего законодательства Кыргызской Республики при осуществлении любых видов деятельности и принятии управленческих решений. Все внутренние документы, процедуры и инструкции Общества разрабатываются в строгом соответствии с требованиями регулятора и подлежат немедленной актуализации в случае изменения нормативной правовой базы.
2.2. Принцип непрерывности означает, что внутренний контроль осуществляется на постоянной основе как неотъемлемая часть текущих бизнес-процессов, а не в виде дискретных проверок. Контрольные процедуры интегрированы в операционную деятельность на всех этапах - от предварительного рассмотрения заявки клиента до завершения транзакции и последующего мониторинга, что позволяет оперативно выявлять отклонения и предотвращать возможные нарушения в режиме реального времени.
2.3. Общество руководствуется принципом риск-ориентированности, согласно которому объём, интенсивность и характер контрольных мероприятий определяются уровнем выявленных рисков. Ресурсы системы внутреннего контроля концентрируются на областях с повышенным уровнем риска, включая операции с высокорискованными виртуальными активами, взаимодействие с клиентами из юрисдикций с недостаточным режимом ПФТД/ЛПД, а также процессы, критичные для кибербезопасности и защиты данных.
2.4. Важнейшим элементом системы является принцип разделения полномочий, направленный на исключение конфликта интересов и предотвращение злоупотреблений. В соответствии с данным принципом функции инициирования операции, её санкционирования (одобрения), непосредственного исполнения и последующего отражения в учёте должны быть распределены между различными должностными лицами таким образом, чтобы ни один работник не обладал полномочиями для совершения и сокрытия нарушений единолично.
2.5. Принцип всестороннего документирования обязывает фиксировать каждое контрольное действие, выявленное нарушение, результат проверки и принятое управленческое решение. Наличие документированного следа (audit trail) обеспечивает возможность ретроспективного анализа событий, проведения служебных расследований и подтверждения надлежащего исполнения обязанностей перед контролирующими органами и аудиторами.
2.6. Принцип вовлеченности предполагает, что ответственность за эффективность внутреннего контроля не ограничивается специализированными подразделениями, а распространяется на всех сотрудников Общества. Каждый работник должен понимать свою роль в системе контроля, знать процедуры выявления рисков и порядок информирования руководства о подозрительных операциях или инцидентах безопасности.
3. Структура системы внутреннего контроля
3.1. Для обеспечения надежности и эффективности системы внутреннего контроля Общество внедряет и поддерживает организационную модель «Трёх линий защиты», которая четко разграничивает роли и ответственность между подразделениями, осуществляющими операционную деятельность, подразделениями, выполняющими функции контроля и надзора, и службой внутреннего аудита, предоставляющей независимую гарантию.
3.2. Первая линия защиты (операционный уровень) формируется руководителями структурных подразделений и работниками, непосредственно осуществляющими операции с виртуальными активами, взаимодействие с клиентами и технологическое сопровождение деятельности. На данном уровне происходит первичная идентификация и оценка рисков, внедрение контрольных процедур в текущие процессы, обеспечение соблюдения установленных лимитов и требований безопасности. Работники первой линии несут непосредственную ответственность за соблюдение стандартов KYC/AML, корректность ввода данных и выполнение инструкций по информационной безопасности на своих рабочих местах.
3.3. Вторая линия защиты (функции контроля и мониторинга) представлена специализированными подразделениями и должностными лицами, осуществляющими надзор за функционированием системы управления рисками и соблюдением законодательства. Ключевую роль на данном уровне играют Комплаенс-офицер (AML/KYT-офицер), ответственный за информационную безопасность и юридическая служба. В их задачи входит разработка методологии управления рисками, мониторинг изменений в законодательстве, контроль за соблюдением политик и процедур первой линией, проведение расследований инцидентов, а также организация обучения персонала. Вторая линия обеспечивает методологическую поддержку и независимую оценку рисков, не участвуя при этом в принятии коммерческих решений.
3.4. Третья линия защиты (независимая гарантия) реализуется службой внутреннего аудита или привлекаемым внешним независимым аудитором. Данный уровень обеспечивает объективную и независимую оценку эффективности функционирования первой и второй линий защиты, а также всей системы внутреннего контроля в целом. Аудиторы проверяют достоверность финансовой и управленческой отчетности, тестируют надежность контрольных процедур, оценивают адекватность применяемых мер по управлению рисками и предоставляют высшему руководству рекомендации по совершенствованию СВК.
4. Органы внутреннего контроля
4.1. Генеральный директор Общества осуществляет общее руководство системой внутреннего контроля и несет конечную ответственность за её создание, внедрение и эффективное функционирование. В компетенцию Генерального директора входит утверждение внутренних политик, регламентов и методик контроля, определение стратегии управления рисками, обеспечение выделения достаточных кадровых, финансовых и технологических ресурсов для поддержания СВК, а также рассмотрение отчетов о существенных рисках, инцидентах и результатах проверок. Генеральный директор формирует культуру нетерпимости к нарушениям («tone at the top») и обеспечивает исполнение решений уполномоченных государственных органов.
4.2. Комплаенс-офицер (AML/KYT-офицер) является ключевым должностным лицом, ответственным за реализацию программы внутреннего контроля в сфере противодействия легализации преступных доходов и финансированию терроризма. Комплаенс-офицер наделен полномочиями действовать независимо от коммерческих подразделений, иметь беспрепятственный доступ ко всей необходимой информации и документам. Он осуществляет мониторинг операций, принимает решения о признании операций подозрительными, обеспечивает своевременное направление сообщений в орган финансовой разведки (ГСФР), проводит обучение сотрудников и консультирует руководство по вопросам соблюдения регуляторных требований. Решения Комплаенс-офицера по вопросам остановки операций или отказа в обслуживании являются обязательными для исполнения всеми сотрудниками.
4.3. Ответственный за информационную безопасность обеспечивает контроль за соблюдением Политики кибербезопасности, защиту информационной инфраструктуры Общества от внешних и внутренних угроз, управление правами доступа к информационным системам, а также сохранность конфиденциальной информации и персональных данных. Данное должностное лицо организует мониторинг событий безопасности, реагирование на киберинциденты и контроль за целостностью программного обеспечения и баз данных.
5. Объекты внутреннего контроля
5.1. Объектами системы внутреннего контроля являются процессы, операции, информационные потоки и ресурсы Общества, подверженные рискам нарушения законодательства, возникновения убытков или искажения отчетности. Особое внимание уделяется сфере противодействия отмыванию денег (AML/CFT) и санкционному контролю, что включает проверку клиентов и бенефициаров по национальным и международным санкционным спискам, контроль транзакций виртуальных активов (KYT) на предмет связи с незаконной деятельностью, выявление публичных должностных лиц (PEP) и применение к ним усиленных мер проверки.
5.2. Критически важным объектом контроля выступают операции с виртуальными активами, включая процессы управления ликвидностью, формирования и использования собственных резервов виртуальных активов, обеспечения безопасности хранения приватных ключей и seed-фраз, а также корректность установления курсов обмена и взимания комиссий. Контроль в данной сфере направлен на предотвращение хищений, несанкционированного доступа к активам и технических сбоев, способных привести к финансовым потерям.
5.3. Информационная безопасность и киберустойчивость являются сквозными объектами контроля, охватывающими защиту периметра корпоративной сети, веб-платформы и мобильных приложений, контроль логического и физического доступа к IT-системам, обеспечение непрерывности бизнеса и резервного копирования данных.
5.4. Отдельным объектом контроля является соблюдение законодательства о персональных данных, включая проверку законности оснований для сбора и обработки данных, обеспечение режима конфиденциальности, реализацию прав субъектов данных на доступ и удаление информации, а также выполнение требований по локализации баз данных.
6. Методы и процедуры внутреннего контроля
6.1. Предварительный контроль осуществляется на этапе, предшествующем совершению операции или принятию управленческого решения. Данный вид контроля включает процедуры идентификации и верификации клиентов (KYC), проверку полномочий представителей, первичный риск-скоринг, а также обязательную проверку адресов кошельков виртуальных активов через специализированные аналитические системы (например, «Ранекс»). Целью предварительного контроля является предотвращение допуска к обслуживанию лиц, причастных к противоправной деятельности, и недопущение проведения высокорискованных операций.
6.2. Текущий контроль реализуется непосредственно в процессе совершения операций и включает автоматизированный мониторинг транзакций в режиме реального времени, контроль соблюдения установленных лимитов и ограничений, применение принципа «четырех глаз» (двойного контроля) для подтверждения крупных или нестандартных операций, а также автоматическую блокировку транзакций при выявлении совпадений с «черными списками» или срабатывании триггеров системы мониторинга.
6.3. Последующий контроль проводится после завершения операций и направлен на оценку правильности и законности их совершения, а также выявление системных ошибок и недостатков в процедурах предварительного и текущего контроля. Методы последующего контроля включают анализ журналов событий и логов системы, сверку реестров транзакций с данными бухгалтерского учета, выборочную проверку досье клиентов на предмет полноты и актуальности сведений, а также ретроспективный пересмотр уровня риска клиентов с учетом их транзакционной активности.
7. Управление рисками
7.1. Общество применяет комплексный риск-ориентированный подход, интегрированный во все процедуры внутреннего контроля и бизнес-процессы. Процесс управления рисками начинается с идентификации потенциальных угроз, возникающих в ходе деятельности оператора обмена виртуальных активов, включая правовые риски, риски легализации преступных доходов, операционные, репутационные, технологические риски и риски информационной безопасности.
7.2. Оценка выявленных рисков осуществляется с использованием утвержденной количественной модели риск-скоринга, которая учитывает множество факторов, сгруппированных по блокам: профиль клиента, характеристики используемого актива, параметры транзакции и поведенческие индикаторы. На основании расчета интегрального показателя риска производится классификация клиентов и операций по зонам риска (низкий, средний, высокий, критический), что позволяет дифференцировать меры контроля.
7.3. Реагирование на риски предполагает применение мер, адекватных уровню выявленной угрозы. Для операций с низким уровнем риска применяются стандартные процедуры упрощенной идентификации и мониторинга. В отношении клиентов и операций с высоким уровнем риска в обязательном порядке проводятся процедуры усиленной надлежащей проверки (Enhanced Due Diligence), требуется документальное подтверждение источника происхождения средств и получение письменного разрешения руководства на установление деловых отношений. При выявлении критического уровня риска, неприемлемого для Общества, принимается решение об отказе в проведении операции, блокировке средств и направлении соответствующего сообщения в уполномоченный государственный орган.
8. Документирование и отчетность
8.1. Все этапы осуществления внутреннего контроля, результаты проверок и принятые решения подлежат обязательному документированию в форме, обеспечивающей их юридическую значимость и возможность использования в качестве доказательной базы. Основными документами, формируемыми в рамках СВК, являются анкеты (досье) клиентов, журналы AML/KYT-проверок, реестры операций, подлежащих обязательному контролю, отчеты о результатах мониторинга транзакций, журналы инцидентов информационной безопасности, а также копии сообщений о подозрительных операциях, направленных в орган финансовой разведки.
8.2. Общество обеспечивает строгое соблюдение сроков хранения документов и сведений, полученных в ходе реализации процедур внутреннего контроля. В соответствии с требованиями законодательства, указанные документы подлежат хранению в течение не менее пяти лет с даты прекращения деловых отношений с клиентом или совершения разовой операции. Хранение осуществляется способом, исключающим несанкционированный доступ, уничтожение или искажение информации, с возможностью оперативного предоставления данных по запросу уполномоченных органов.
8.3. В целях обеспечения информированности руководства о состоянии системы внутреннего контроля Комплаенс-офицер подготавливает и представляет Генеральному директору регулярную отчетность (не реже одного раза в квартал). Отчетность должна содержать подробный анализ эффективности контрольных процедур, сведения о выявленных нарушениях и попытках обхода установленных правил, статистические данные по отказам в обслуживании и направленным сообщениям в ГСФР, информацию о статусе обучения персонала, а также предложения по актуализации внутренних нормативных документов и совершенствованию СВК.
9. Мониторинг эффективности системы внутреннего контроля
9.1. Общество осуществляет непрерывный мониторинг эффективности системы внутреннего контроля с целью оценки её способности своевременно выявлять и предотвращать риски, а также обеспечения её соответствия изменяющимся требованиям законодательства и рыночным условиям. Мониторинг позволяет выявлять недостатки в контрольных процедурах, оценивать адекватность применяемых мер реагирования и определять необходимость внесения изменений в настройки автоматизированных систем и внутренние регламенты.
9.2. Процесс мониторинга реализуется на нескольких уровнях и включает самооценку эффективности контроля руководителями структурных подразделений, регулярное тестирование контрольных процедур, проводимое Комплаенс-офицером и службой безопасности, а также независимый внешний аудит, проводимый не реже одного раза в год специализированной аудиторской организацией. Внешний аудит направлен на получение объективного мнения о соответствии СВК требованиям законодательства, регулирующего деятельность поставщиков услуг виртуальных активов.
9.3. По результатам всех видов мониторинга и аудиторских проверок формируется план корректирующих мероприятий, направленных на устранение выявленных недостатков и минимизацию рисков. Исполнение данного плана находится под контролем Генерального директора и Комплаенс-офицера, которые несут ответственность за своевременную реализацию необходимых улучшений и актуализацию методологической базы внутреннего контроля.
10. Ответственность и заключительные положения
10.1. Соблюдение требований настоящего Положения и иных внутренних нормативных документов по вопросам внутреннего контроля является должностной обязанностью каждого работника Общества. За неисполнение или ненадлежащее исполнение процедур внутреннего контроля, нарушение правил информационной безопасности, сокрытие информации о рисках или инцидентах работники несут дисциплинарную ответственность в соответствии с трудовым законодательством Кыргызской Республики и локальными актами Общества, вплоть до расторжения трудового договора.
10.2. Должностные лица Общества несут персональную ответственность (административную, уголовную) за нарушение законодательства в сфере противодействия легализации преступных доходов, финансированию терроризма и оборота виртуальных активов, в том числе за непредставление или несвоевременное представление сведений в уполномоченный орган, разглашение факта передачи информации, а также за отсутствие надлежащей системы внутреннего контроля, повлекшее за собой применение к Обществу мер воздействия со стороны регулятора, включая штрафные санкции или отзыв лицензии.
10.3. Настоящее Положение вступает в силу с «02» марта 2026 года после его утверждения Генеральным директором и действует до момента его отмены или утверждения новой редакции. В случае внесения изменений в законодательство Кыргызской Республики нормы Положения, вступившие в противоречие с законом, утрачивают силу, и до момента внесения соответствующих изменений работники Общества руководствуются непосредственно нормами действующего законодательства. Актуализация Положения производится по мере необходимости, но не реже одного раза в год, путем издания соответствующего приказа Генерального директора.
Политика AML и риск скоринга
УТВЕРЖДЕНО
Приказом Генерального Директора
ОсОО «Эникоин»
№ _от «_» ____ 2026 г.
Политика ОсОО «Эникоин» по ПФТД/ЛПД (AML/CFT), AML/KYT и риск‑скорингу
Резюме
Настоящая Политика устанавливает единый, формализованный и документированный порядок выполнения ОсОО «Эникоин» (далее - Оператор) требований законодательства Кыргызской Республики в сфере противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов (ПФТД/ЛПД).
Политика вводит внутренний риск‑ориентированный подход и риск‑скоринг по четырём блокам (профиль клиента, актив/деловая цель, транзакционный/кошелёчный риск, комплаенс‑поведение) с итоговой формулой, зонами риска и override‑правилами, риск‑скоринг‑моделью (включая индикаторы «миксеры», «санкционные пулы», privacy‑коины, отказ в подтверждении источника средств и попытки обхода KYC/AML).
Принципы системы комплаенс и внутреннего контроля
Нулевая толерантность к коррупции.
Общество рассматривает любые проявления коррупции как недопустимые в своей деятельности. Политика нулевой толерантности означает категорический запрет для всех лиц, действующих от имени или в интересах Общества, прямо либо косвенно, лично либо через посредников, участвовать в коррупционных действиях в любой форме.
Обязательность соблюдения требований.
Нормы применимого законодательства и внутренних нормативных и распорядительных документов подлежат безусловному и строгому соблюдению всеми работниками Общества независимо от занимаемой должности, стажа работы, статуса либо характера их взаимоотношений с Обществом.
Неотвратимость ответственности.
Общество принимает все разумные и законные меры для оперативного выявления нарушений и привлечения виновных лиц к ответственности за коррупционные действия и иные нарушения требований международного, законодательства Кыргызской Республики, а при осуществлении деятельности за её пределами - соответствующего иностранного законодательства, а также внутренних документов в сфере комплаенс и внутреннего контроля, вне зависимости от характера, формы и масштаба допущенных нарушений.
Общество вправе в установленном законодательством порядке обеспечивать публичность информации о лицах, привлечённых к ответственности за коррупционные правонарушения.
Содержание
Глава 1. Общие положения
Глава 2. Термины, сокращения и определения
Глава 3. Управление рисками, риск‑скоринг и контрольные меры
Глава 4. Организация системы внутреннего контроля и роли
Глава 5. Политика KYC/CDD/EDD («Знай своего клиента») в модели личного присутствия
Глава 6. AML/KYT‑контроль транзакций и виртуальных кошельков
Глава 7. Санкционный контроль, замораживание и запрет «tipping‑off»
Глава 8. Выявление подозрительных операций и направление сообщений в орган финразведки
Глава 9. Обучение и «Знай своего работника»
Глава 10. Журналы, реестры, хранение и защита информации
Глава 11. Контроль исполнения, аудит и заключительные положения
Глава 1. Общие положения
1.1. Настоящая Политика является внутренним нормативным документом Оператора, устанавливающим обязательные для работников Оператора правила ПФТД/ЛПД (AML/CFT), AML/KYT‑контроля и риск‑скоринга, включая порядок идентификации/верификации клиентов и бенефициарных владельцев, мониторинг операций и управление рисками при осуществлении деятельности оператора обмена виртуальных активов.
1.2. Политика разработана во исполнение и с учётом (в актуальной редакции, если применимо):
а) Закона Кыргызской Республики «О виртуальных активах» (в части определений, лицензирования, наличия внутренних политик/процедур, внутреннего контроля, кибербезопасности, защиты прав потребителей и обработки персональных данных).
б) Закона Кыргызской Республики «О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» (в части риск‑ориентированного подхода, надлежащей проверки клиента, санкционного перечня и целевых финансовых санкций, сроков хранения, сроков/порядка сообщений, запрета разглашения факта направления сообщения).
в) нормативных актов Правительства/Кабинета Министров Кыргызской Республики, устанавливающих порядок представления сообщений и типовые формы, а также порядок независимого аудита/обучения в сфере ПФТД/ЛПД.
г) приказов/актов Финнадзора, в том числе об определении обязательного поставщика AML/KYT‑услуг и об утверждении риск‑скоринг‑модели.
д) предписания Финнадзора № 17/197 от 22.01.2026 (как документа надзорного реагирования, устанавливающего срок и перечень мер исполнения).
1.3. В части интеграции лучших практик управления рисками и комплаенса Политика также опирается на принципы риск‑ориентированного подхода FATF и подходы стандартов ISO (ISO 31000, ISO/IEC 27001/27002/27005, ISO 37301) в части управления рисками, информационной безопасности, комплаенс‑систем и документирования решений.
1.4. Оператор осуществляет деятельность как «оператор обмена виртуальных активов», то есть поставщик услуг виртуальных активов, предоставляющий услуги покупки и продажи (обмена) виртуальных активов и/или обмена между виртуальными активами от своего имени.
1.5. Оператор реализует модель обслуживания, при которой:
а) через платформу принимаются заявки и первичные сведения, необходимые для предварительного комплаенс‑скрининга;
б) окончательная идентификация/верификация клиента и (при необходимости) его представителя, бенефициарного владельца, а также сбор/проверка сведений об источнике средств/происхождения средств выполняются при личной встрече до совершения операции;
в) операция не проводится до завершения обязательных проверок, риск‑оценки и принятия решения в установленном настоящей Политикой порядке.
1.6. Любые положения, не урегулированные настоящей Политикой, применяются в соответствии с законодательством Кыргызской Республики и иными внутренними документами Оператора (включая Политику кибербезопасности, Политику обработки персональных данных, Программу комплаенс и внутреннего контроля).
Глава 2. Термины, сокращения и определения
2.1. В настоящей Политике используются следующие основные сокращения:
AML/CFT - меры по противодействию отмыванию денег и финансированию терроризма (в настоящем документе - ПФТД/ЛПД);
KYC - Know Your Customer («Знай своего клиента»);
CDD - Customer Due Diligence (надлежащая проверка клиента);
EDD - Enhanced Due Diligence (усиленная/углублённая проверка);
KYT - Know Your Transaction (контроль транзакций и кошельков виртуальных активов, включая анализ on‑chain данных и риск‑сигналов провайдера);
SoF/SoW - Source of Funds / Source of Wealth (источник средств / источник благосостояния - в значении внутренней комплаенс‑практики; если правовой термин не закреплён в НПА, пометка: неуточнено);
ПУВА - поставщик услуг виртуальных активов;
орган финансовой разведки - Государственная служба финансовой разведки (далее - ГСФР) как уполномоченный орган в сфере ПФТД/ЛПД;
2.2. Бенефициарный владелец (бенефициар) - физическое лицо, которое в конечном итоге прямо или косвенно владеет клиентом‑юридическим лицом или контролирует его, либо лицо, в интересах которого совершается операция (в смысле законодательства о ПФТД/ЛПД).
2.3. Идентификация и верификация - установление и проверка идентификационных данных клиента и/или бенефициарного владельца, а также фиксация сведений по результатам такой проверки.
2.4. Санкционный перечень включает: (i) сводный санкционный перечень Кыргызской Республики [1]и (ii) сводный санкционный перечень Совета Безопасности ООН.
2.5. Подозрительная операция (сделка) - операция, по которой имеются подозрения или достаточные основания подозревать связь средств с преступными доходами и/или финансированием терроризма/экстремизма, включая попытки совершения; сообщение направляется независимо от суммы.
2.6. Риск‑скоринг (в рамках настоящей Политики) - количественная оценка уровня риска клиента/операции/виртуального кошелька по шкале 0-100 с отнесением к зонам риска и применением мер контроля, включая override‑правила при выявлении критических индикаторов.
Глава 3. Управление рисками, риск‑скоринг и контрольные меры
3.1. Оператор применяет риск‑ориентированный подход, включающий оценку, документирование, регулярное обновление рисков, классификацию клиентов по критериям риска и применение усиленных/упрощённых мер надлежащей проверки в зависимости от уровня риска.
3.2. Риск‑скоринг является обязательным элементом системы внутреннего контроля Оператора и применяется:
а) при первичном рассмотрении заявки (предварительная оценка риска);
б) при личной встрече до совершения операции (окончательная оценка риска);
в) при каждой последующей операции (переоценка риска с учётом поведения и KYT‑результатов);
г) при изменении данных клиента/бенефициара, появлении новых сигналов (санкции, негативные сведения, сигналы провайдера AML/KYT, несоответствия в SoF/SoW).
3.3. Итоговый риск‑балл R рассчитывается по модели четырёх блоков (каждый 0-100 баллов) с равными весами:
R = 0,25A + 0,25B + 0,25C + 0,25D, где A - профиль клиента, B - актив и деловая цель, C - транзакционный/кошелёчный риск, D - комплаенс/поведение.
3.4. Зоны риска и базовые меры контроля устанавливаются согласно диапазонам: 0-25 (низкий), 26-50 (средний), 51-75 (высокий), 76-100 (критический). Конкретные обязательные меры по зонам риска определены в Приложении 2 (Матрица решений).
3.5. Override‑правило применяется, если выявлены критические индикаторы, при которых зона риска повышается независимо от среднего значения R. К таким индикаторам относятся, в том числе: связь с санкционными кластерами/пулами или миксерами, использование privacy‑коинов, отказ в предоставлении SoW/SoF, попытки обхода KYC/AML.
3.6. Для клиентов/операций, связанных с высокорискованными странами, Оператор применяет усиленные меры надлежащей проверки и иные меры (санкции), соразмерные рискам, в порядке, установленном Правительством Кыргызской Республики.
Глава 4. Организация системы внутреннего контроля и роли
4.1. Оператор обеспечивает функционирование системы внутреннего контроля, включающей внутренние политики/процедуры и технические меры защиты, в составе лицензионных требований к ПУВА.
4.2. Директор Оператора несёт общую ответственность за внедрение и поддержание системы внутреннего контроля в сфере ПФТД/ЛПД, утверждение настоящей Политики, назначение Комплаенс‑офицера, обеспечение ресурсов, а также принятие решений по клиентам/операциям высокого и критического уровня риска (в случаях, предусмотренных Матрицей решений).
4.3. Комплаенс‑офицер (уполномоченное должностное лицо по ПФТД/ЛПД):
а) назначается приказом директора;
б) подотчётен непосредственно директору и действует независимо от коммерческих подразделений при принятии комплаенс‑решений;
в) имеет право запрашивать у работников и клиентов сведения/документы, необходимые для CDD/EDD, SoF/SoW и анализа операций;
г) принимает решение о признании операции подозрительной и обеспечивает направление сообщения в орган финансовой разведки в сроки, установленные законодательством;
д) обеспечивает ведение журналов/реестров, хранение материалов и подготовку к проверкам/аудиту.
4.4. Запрещается оказывать давление на комплаенс‑офицера с целью изменения комплаенс‑решений или совершения операции в обход требований настоящей Политики. Любые попытки такого давления фиксируются служебной запиской комплаенс‑офицера на имя директора.
4.5. Оператор применяет программу внутреннего контроля, позволяющую эффективно исполнять нормы законодательства Кыргызской Республики в сфере ПФТД/ЛПД.
Глава 5. Политика KYC/CDD/EDD («Знай своего клиента») в модели личного присутствия
5.1. До установления деловых отношений и/или совершения операции Оператор обязан:
а) идентифицировать и верифицировать клиента;
б) получить информацию о цели и предполагаемом характере деловых отношений/операции;
в) идентифицировать бенефициарного владельца и принять разумные меры по его верификации;
г) документально зафиксировать сведения, полученные в результате идентификации/верификации;
д) хранить и актуализировать информацию и документы о деятельности клиента, его финансовом положении, об источнике средств и о характере рисков;
е) проводить постоянную надлежащую проверку клиента и анализ соответствия операций имеющейся информации.
5.2. В модели Оператора «личное присутствие» означает, что окончательная идентификация и верификация выполняются при личной встрече с клиентом (и/или его уполномоченным представителем) до фактического исполнения заявки. Если от имени клиента действует доверенное лицо, Оператор идентифицирует и верифицирует такого представителя, проверяет полномочия и документально фиксирует полученные сведения.
5.3. Предварительный этап (до личной встречи) допускает сбор минимально необходимой информации для комплаенс‑оценки и организации встречи, включая: ФИО/наименование клиента, контактные данные, предполагаемый вид операции, ориентировочную сумму, предполагаемые активы, адрес(а) кошельков, а также согласие на обработку персональных данных. Предварительная информация не заменяет CDD и используется для выявления очевидных запретов (например, совпадение с санкционными списками или очевидно критический KYT‑сигнал по адресу).
5.4. Усиленная надлежащая проверка (EDD) применяется, когда клиент/операция относится к высокому или критическому уровню риска по результатам риск‑скоринга (или по override‑сигналам). EDD включает углублённую проверку источника средств/благосостояния и усиленный мониторинг. Для публичных должностных лиц требуются дополнительные меры, включая письменное разрешение руководителя на установление/продолжение отношений, установление источника происхождения средств/имущества и углублённый мониторинг.
5.5. Если клиент не предоставляет сведения/документы, необходимые для надлежащей проверки, Оператор принимает решение об отказе в установлении отношений/приостановлении или прекращении отношений/неосуществлении операции и направляет соответствующее сообщение в орган финансовой разведки в течение одного рабочего дня со дня принятия решения.
Глава 6. AML/KYT‑контроль транзакций и виртуальных кошельков
6.1. Оператор осуществляет AML/KYT‑контроль транзакций и виртуальных кошельков в обязательном порядке с использованием поставщика AML/KYT‑услуг, определённого уполномоченным органом (государственная система крипто‑контроля «Ранекс» / СКК «Ранекс»).
6.2. Оператор обеспечивает: идентификацию и удалённую идентификацию, верификацию клиентов, а также проведение всех обязательных AML/KYT‑проверок транзакций и кошельков виртуального актива через СКК «Ранекс».
6.3. KYT‑проверка в модели личной встречи проводится как минимум:
а) до совершения операции - по адресу(ам) кошельков клиента (источник/назначение), указанным в заявке/при встрече;
б) после совершения операции - по фактическим транзакциям (TxID/хешам), подтверждая отсутствие запретных индикаторов и фиксируя результаты;
в) при частичных платежах/разбиении - по каждой транзакции.
6.4. В рамках риск‑скоринга используются KYT‑сигналы и индикаторы провайдера, включая признаки связи с миксерами, санкционными кластерами/пулами, darknet‑адресами, ransomware/fraud‑метками, а также признаки использования privacy‑коинов и неидентифицированных токенов (в части, применимой к конкретной сети/активу). При наличии критических индикаторов применяется override‑повышение уровня риска.
6.5. Результаты KYT‑проверок документируются в Журнале AML/KYT‑проверок (Приложение 5) и приобщаются к досье клиента/операции. Фиксируются: дата/время, источник данных, адреса, TxID, выводы провайдера, риск‑уровень, принятое решение и подпись ответственного лица.
Глава 7. Санкционный контроль, замораживание и запрет «tipping‑off»
7.1. Оператор осуществляет обязательную проверку клиентов, бенефициаров, операций и виртуальных кошельков по санкционному перечню, включающему сводный санкционный перечень Кыргызской Республики и сводный санкционный перечень Совета Безопасности ООН.
7.2. В Кыргызской Республике запрещается предоставление средств/оказание финансовых услуг лицам, включённым в санкционный перечень.
7.3. При выявлении совпадения клиента/бенефициара/контрагента с санкционным перечнем Оператор обязан безотлагательно заморозить операции (сделки) и/или средства без предварительного уведомления таких лиц и сообщить об этом в орган финансовой разведки в течение трёх часов с момента замораживания, включая попытки совершения операций.
7.4. Работникам Оператора запрещается разглашать клиенту или третьим лицам либо предупреждать их о предстоящей передаче или о факте передачи в орган финансовой разведки сообщения о подозрительной операции (сделке) или иной информации, запрошенной органом финансовой разведки (запрет «tipping‑off»).
Глава 8. Выявление подозрительных операций и направление сообщений в орган финразведки
8.1. Оператор выявляет подозрительные операции/сделки на основе:
а) результатов риск‑скоринга;
б) результатов KYT‑проверок (в т.ч. критических меток/кластеров);
в) несоответствия SoF/SoW заявленной деловой цели;
г) попыток уклонения от KYC/личной встречи, представления подложных/неполных сведений;
д) иных критериев и методических указаний, публикуемых компетентными органами.
8.2. Решение о признании операции подозрительной принимает AML/KYT‑офицер (либо лицо, его замещающее в пределах полномочий), с обязательным оформлением Заключения AML/KYT‑офицера (Приложение 3) и фиксацией в Реестре внутреннего анализа.
8.3. Сообщение о подозрительной операции (включая попытку её совершения) направляется в орган финансовой разведки в течение пяти часов с момента признания операции подозрительной в установленном порядке и независимо от суммы операции.
8.4. Сообщения формируются как электронные сообщения путём заполнения соответствующей типовой формы; сроки представления включают также сообщения по операциям с лицами из высокорискованных стран (2 рабочих дня) и сообщения по наличным операциям (3 рабочих дня), а также применяется требование направления не позднее 16:00 текущего дня формирования электронного сообщения (в случаях, предусмотренных порядком).
8.5. Внутренний порядок подготовки сообщения включает: сбор материалов, внутренний анализ, фиксацию оснований подозрения, проверку запрета разглашения, формирование пакета доказательных материалов (KYC‑анкета, SoF/SoW документы, KYT‑отчёты, санкционные проверки, риск‑скоринг) и направление сообщения через предусмотренные каналы/ПО.
8.6. Если Оператор принимает решение об отказе в обслуживании/прекращении отношений/непроведении операции из‑за непредоставления клиентом сведений для CDD, направляется соответствующее сообщение в орган финансовой разведки в течение одного рабочего дня.
8.7. Базовый поток проверки и эскалации решений представлен в блок‑схеме (см. Приложение 7).
Глава 9. Обучение и «Знай своего работника»
9.1. Оператор обеспечивает обучение работников требованиям ПФТД/ЛПД и внутренним процедурам, в том числе ведёт учёт прохождения обучения в журнале и направляет сведения о прошедших обучение в Учебно‑методический центр органа финансовой разведки не позднее 25 декабря текущего года (если применимо к категории Оператора; при неясности применимости - пометка: неуточнено).
9.2. Программа обучения включает изучение НПА, внутренних документов, мер ответственности, типологий и критериев подозрительных операций, работу с перечнями и применение целевых финансовых санкций, а также практические занятия.
9.3. Политика «Знай своего работника» предусматривает проверку добросовестности, конфликта интересов, разграничение полномочий, доступов и обязанностей работников, а также обязательство соблюдать запрет разглашения («tipping‑off»).
Глава 10. Журналы, реестры, хранение и защита информации
10.1. Оператор ведёт журналы/реестры, необходимые для доказуемости исполнения настоящей Политики и законодательства, включая как минимум:
а) досье клиента (KYC/CDD/EDD);
б) Реестр риск‑скоринга (результаты по блокам A-D, итог R, зона риска, override‑основания, решения);
в) Журнал санкционных проверок;
г) Журнал AML/KYT‑проверок транзакций и кошельков;
д) Реестр внутренних анализов и Заключений AML/KYT‑офицера;
е) Реестр направленных сообщений (STR/SAR и иные сообщения).
10.2. Оператор обеспечивает хранение сведений и документов:
а) сведения/переписка и копии документов, включая анкеты клиента и бенефициарного владельца, - не менее пяти лет после прекращения деловых отношений/проведения разовой операции;
б) сведения и документы обо всех проведённых операциях - не менее пяти лет после завершения операции;
в) заключения/справки по анализу операций - не менее пяти лет после завершения операции.
10.3. Защита информации и персональных данных обеспечивается в соответствии с внутренними документами Оператора по кибербезопасности и обработке персональных данных, а также с учётом подходов стандартов ISO/IEC 27001/27002/27005 (конфиденциальность, целостность, доступность, управление доступом, журналы событий, контроль изменений).
Глава 11. Контроль исполнения, аудит и заключительные положения
11.1. Контроль исполнения настоящей Политики осуществляет директор и AML/KYT‑офицер. По итогам внутреннего контроля AML/KYT‑офицер формирует отчёт (не реже 1 раза в квартал, если иное не установлено внутренним порядком) с указанием выявленных рисков, статистики отказов/эскалаций/сообщений, результатов обучения и улучшений.
11.2. Оператор проводит независимый аудит на постоянной основе, но не менее одного раза в год, включающий оценку эффективности внутренних мер/процедур/систем контроля, мер оценки рисков, используемого программного обеспечения для выявления и формирования сообщений и выборочное тестирование службы внутреннего контроля.
11.3. По результатам независимого аудита аудитор предоставляет заключение (отчёт) с указанием выявленных нарушений и рекомендуемых мер; информация о выявленных нарушениях законодательства в сфере ПФТД/ЛПД представляется руководителю и соответствующему проверяющему органу в течение пяти рабочих дней с даты подписания аудиторского заключения (если применимо к Оператору; при сомнении применимости - пометка: неуточнено).
11.4. Настоящая Политика вступает в силу с даты утверждения и подлежит обязательному доведению до работников под подпись (в бумажном или электронном виде).
Приложение 1 Таблица факторов и шкал риск-скоринга клиента и операции
1. Общие положения
1.1. Настоящая таблица определяет структуру количественной оценки рисков клиента и операции в рамках модели риск-скоринга Общества.
1.2. Итоговый показатель риска (R) формируется на основе четырёх блоков:
A - профиль клиента;
B - актив и цель операции;
C - транзакционный и кошелёчный риск;
D - комплаенс-поведение.
1.3. Вес каждого блока в итоговом показателе R составляет 25%.
1.4. Балл по каждому блоку рассчитывается как среднее арифметическое значений подкритериев блока.
1.5. В случае если отдельный подкритерий неприменим к конкретной операции, он исключается из расчёта с обязательной фиксацией причины в Заключении AML/KYT-офицера.
| Блок | Вес в R | Под‑критерий | Шкала (0-100 внутри блока) | Описание присвоения баллов (пример) |
|---|---|---|---|---|
| БЛОК A ПРОФИЛЬ КЛИЕНТА | 25% | A1. Статус / тип клиента | 0 / 20 / 40 / 60 | 0 - физическое лицо-резидент с прозрачным профилем и стабильными данными; 20-40 - физическое лицо-нерезидент, частые изменения персональных данных; 40-60 - юридическое лицо со сложной или многоуровневой структурой. |
| A2 Бенефициар/структура владения | 0 / 30 / 60 / 100 | 0 - структура прозрачна, UBO подтверждён документально; 30-60 - структура частично подтверждена, имеются пробелы; 100 - UBO не раскрыт, признаки номинального владения. |
||
| A3 PEP/близкие лица | 0 / 60 / 100 | 0 - не является PEP; 60 - PEP либо близкое связанное лицо; 100 - PEP при наличии негативных фактов или несоответствий. |
||
| A4 Негативные сведения/правовые риски | 0 / 40 / 80 / 100 | 0 - негативная информация отсутствует; 40 - имеются отдельные сомнительные сведения; 80-100 - устойчивые негативные факты, судебные споры, расследования. |
||
| БЛОК Б АКТИВ И ЦЕЛЬ ОПЕРАЦИИ | 25% | B1. Тип виртуального актива | 0 / 30 / 60 / 100 | 0-30 - высокопрозрачные активы (BTC, ETH); 30-60 - стейблкоины или частично прозрачные схемы; 100 - privacy-коины или активы с повышенной анонимностью. |
| B2. Деловая цель и экономический смысл | 0 / 40 / 80 | 0 - ясный и документально подтверждённый экономический смысл; 40 - частичное подтверждение; 80 - отсутствие экономического смысла либо противоречия. |
||
| B3. Источник средств / источник благосостояния | 0 / 50 / 100 | 0 - подтверждено документально; 50 - подтверждено частично; 100 - отказ или невозможность подтверждения. |
||
| БЛОК C ТРАНЗАКЦИОННЫЙ И КОШЕЛЁЧНЫЙ РИСК | 25% | C1. KYT-оценка адресов | 0 / 50 / 100 | 0 - низкий риск; 50 - средний риск; 100 - высокий или критический риск. |
| C2. Критические KYT-индикаторы (override) | 0 / 100 | 0 - отсутствуют; 100 - выявлены (миксеры, санкционные пулы, darknet, ransomware и др.) При значении 100 применяется механизм override. |
||
| C3. Профиль операций | 0 / 30 / 60 / 90 | 0 - соответствует обычной деловой практике; 30 - умеренные отклонения; 60 - необычные параметры; 90 - признаки структурирования либо обхода контроля. |
||
| C4. География и контрагенты | 0 / 40 / 80 / 100 | 0 - стандартная юрисдикция; 40-80 - повышенный географический риск; 100 - связь с высокорискованными юрисдикциями либо санкционными зонами. |
||
| БЛОК D КОМПЛАЕНС-ПОВЕДЕНИЕ | 25% | D1. Полнота и качество документов | 0 / 40 / 80 / 100 | 0 - документы полные и непротиворечивые; 40 - частичные сведения; 80 - существенные противоречия; 100 - подлог либо отказ в предоставлении. |
| D2. Попытки обхода процедур KYC (override) | 0 / 100 | 0 - отсутствуют; 100 - выявлены (применяется override). |
||
| D3 История взаимодействия | 0 / 30 / 70 | 0 - положительная история; 30 - нейтральная; 70 - негативная либо повторные вопросы регуляторного характера. |
6. Формула расчёта итогового показателя
R = (A × 0,25) + (B × 0,25) + (C × 0,25) + (D × 0,25)
Приложение 2
Матрица решений по итоговому уровню риска
1. Низкий риск (R = 0-25)
Операция допускается к проведению.
Применяются стандартные меры:
-
стандартный CDD;
-
санкционный скрининг;
-
KYT-проверка через провайдера «Ранекс»;
-
фиксация в реестрах;
-
стандартный мониторинг.
2. Средний риск (R = 26-50)
Операция допускается с дополнительными условиями.
Обязательные меры:
-
расширенный CDD;
-
запрос подтверждения SoF/SoW при необходимости;
-
повторная KYT-проверка до завершения операции;
-
усиленный мониторинг;
-
персональное решение AML/KYT-офицера.
3. Высокий риск (R = 51-75)
Операция допускается исключительно после проведения EDD и письменного одобрения руководителя.
Обязательные меры:
-
обязательный EDD;
-
письменное одобрение директора;
-
внутренние ограничения по сумме и структуре операции;
-
обязательная фиксация обоснования решения;
-
ручная проверка результатов KYT.
4. Критический риск (R = 76-100)
Операция подлежит отказу либо блокированию (в случае уже полученных средств).
Обязательные меры:
-
рассмотрение вопроса о признании операции подозрительной (STR/SAR);
-
запрет информирования клиента о направлении сообщения (tipping-off);
-
направление сообщения в уполномоченный орган финансовой разведки в срок не позднее 5 часов с момента установления подозрения.
5. Механизм override
При выявлении совпадения по санкционным спискам либо наличии критических KYT-индикаторов зона риска автоматически повышается до «Критической» вне зависимости от рассчитанного показателя R.
Приложение 3 Форма «Заключение AML/KYT‑офицера»
ЗАКЛЮЧЕНИЕ AML/KYT-ОФИЦЕРА № _____
(в рамках процедуры финансового мониторинга и оценки рисков ОД/ФТ/ФРОМУ)
Дата составления: ..___
Внутренний идентификатор кейса: __________
Тип проверки: плановая / по операции / EDD / по триггеру мониторинга
1. Сведения о клиенте
1.1. Идентификационные данные
ФИО / Наименование: _______________
ИД / Паспорт / ИНН / ПИН / Рег. номер: _________
Дата рождения / регистрации: _____________
Гражданство / Страна инкорпорации: ____________
Резидент / Нерезидент: _________________
1.2. Контактные данные
Адрес регистрации / местонахождения: ____________
Фактический адрес: _________________
Телефон / Email: ________________
1.3. Категория клиента
☐ Физическое лицо
☐ Индивидуальный предприниматель
☐ Юридическое лицо
☐ Иное: __________
2. Бенефициарный владелец (UBO) (при наличии)
ФИО: _______________
Дата рождения: ______________
Гражданство: _______________
Основание контроля (доля участия / право назначения / иное):
Документы, подтверждающие контроль:
Проверка структуры владения завершена: ☐ Да ☐ Нет
3. Характеристика операции
Тип операции:
☐ Покупка виртуального актива (VA)
☐ Продажа виртуального актива
☐ Обмен VA ↔ VA
☐ Иное: __________
Актив(ы): _______________
Сумма (в номинале): _____________
Эквивалент в KGS / USD: _____________
Способ расчёта: банковский перевод / наличные / иной способ
Заявленная цель операции:
Экономический смысл операции (со слов клиента и подтверждающие документы):
Соответствие профилю клиента: ☐ Да ☐ Частично ☐ Нет
4. Результаты KYC / CDD / EDD
4.1. Проверка документов
Идентификация проведена в соответствии с внутренними процедурами:
☐ Выполнена
☐ Частично выполнена
☐ Не выполнена
Верификация личности (включая видео/биометрию при наличии):
4.2. Оценка источника средств (SoF) и источника благосостояния (SoW)
Источник средств:
Подтверждение:
☐ Подтверждено документально
☐ Частично подтверждено
☐ Не подтверждено
☐ Отказ клиента предоставить сведения
Вывод о достаточности подтверждения:
4.3. PEP-проверка
Статус: ☐ Да ☐ Нет
Источник проверки: ______________
Результат анализа связей: _____________
4.4. Adverse Media (негативная информация)
Наличие негативной информации: ☐ Да ☐ Нет
Источник: _______________
Оценка значимости: ______________
4.5. Необходимость EDD
☐ Не требуется
☐ Проведена расширенная проверка
Основание применения EDD: __________
5. Санкционные проверки
Проверка проведена по национальным и международным спискам.
5.1. Клиент
Совпадение: ☐ Нет ☐ Да
Детали (при наличии): ___________
5.2. Бенефициарный владелец
Совпадение: ☐ Нет ☐ Да
Детали: _______________
5.3. Связанные адреса / кошельки / контрагенты
Совпадение: ☐ Нет ☐ Да
Детали: _______________
Решение по совпадениям:
6. Результаты KYT-анализа
(Провайдер аналитики: «Ранекс»)
Адрес(а) виртуальных активов: ___________
TxID (при наличии): _____________
Уровень риска по аналитике:
☐ Низкий
☐ Средний
☐ Высокий
☐ Критический
Категории риска (если выявлены):
Наличие критических индикаторов (Darknet, Mixer, санкционные кошельки, мошенничество и др.):
☐ Нет
☐ Да (описание): _____________
Заключение по KYT:
7. Итоговый риск-скоринг
Параметры модели:
A (Риск клиента) = ___
B (Географический риск) = ___
C (Риск продукта/актива) = ___
D (Риск операции/транзакции) = ___
Итоговый показатель R = __
Категория риска:
☐ Низкая
☐ Средняя
☐ Высокая
☐ Критическая
Применён override: ☐ Нет ☐ Да
Основание применения override:
8. Итоговое решение AML/KYT-офицера
☐ Разрешить проведение операции
☐ Разрешить с условиями
(описание дополнительных мер контроля / лимитов / мониторинга)
☐ Отказать в проведении операции
☐ Приостановить / заблокировать активы
(при наличии законных оснований)
☐ Признать операцию подозрительной и подготовить сообщение в уполномоченный орган финансовой разведки
9. Обоснование решения
Краткое мотивированное заключение с указанием ключевых факторов риска, анализа экономического смысла, достаточности подтверждения источника средств и соответствия риск-профилю клиента:
AML/KYT-офицер: ___________
Подпись: _____
Дата: .._____
Согласование директора (при необходимости):
Подпись: _____
Дата: .._____
Приложение 3 Форма протокола личной встречи с клиентом
Протокол личной встречи с клиентом
ПРОТОКОЛ ЛИЧНОЙ ВСТРЕЧИ № _____
1. Общие сведения о встрече
Дата проведения: _________
Время начала: ______ Время окончания: ____
Место проведения: ______________
Сотрудник(и) Оператора, проводившие встречу:
ФИО, должность: ________________
Основание проведения встречи:
☐ Идентификация клиента
☐ Проведение EDD
☐ Подтверждение источника средств
☐ Иное: ______________
2. Сведения о клиенте
ФИО / Наименование: ______________
Дата рождения / дата регистрации: ___________
Гражданство / Страна инкорпорации: __________
ИНН / ПИН / Регистрационный номер: ____________
Документ, удостоверяющий личность / регистрационные документы:
Тип документа: _________________
Серия и номер: _________________
Кем выдан: _________________
Дата выдачи: _________________
Срок действия: _______________
Проверка подлинности документа (визуальная):
☐ Выполнена
☐ Не выполнена (указать причину) _____________
Фото/копия документа:
☐ Сделана и сохранена в системе
☐ Не сделана (указать причину) ____________
Контактные данные клиента:
Телефон: _________
Email: ___________
Адрес проживания / местонахождения: __________
3. Представитель клиента (при наличии)
ФИО: _______________
Документ, удостоверяющий личность: ____________
Основание полномочий (доверенность / устав / приказ / иное):
Проверка полномочий:
☐ Выполнена
☐ Не выполнена (указать причину) _____________
Копия документа, подтверждающего полномочия:
☐ Получена
☐ Не получена
4. Бенефициарный владелец (при применимости)
ФИО: _______________
Дата рождения: ______________
Гражданство: _______________
Основание признания бенефициарным владельцем:
Документы, подтверждающие статус:
5. Содержание заявки клиента
Тип операции:
☐ Покупка виртуального актива
☐ Продажа виртуального актива
☐ Обмен виртуальных активов
☐ Иное: ______________
Актив(ы): _______________
Сумма (номинал): ____________
Эквивалент в KGS / USD: __________
Направление операции: ____________
Заявленная цель и экономический смысл операции:
Соответствие операции профилю клиента:
☐ Соответствует
☐ Частично соответствует
☐ Не соответствует
6. Источник средств / источник благосостояния (SoF / SoW)
Со слов клиента:
Предоставленные документы (перечень):
Предварительная оценка достаточности подтверждения:
☐ Подтверждено
☐ Частично подтверждено
☐ Недостаточно
☐ Отказ в предоставлении
7. Сведения о виртуальных адресах
Адрес(а) кошельков источника:
Адрес(а) кошельков назначения:
Дополнительные сведения, предоставленные клиентом:
8. Обработка персональных данных
Согласие на обработку персональных данных:
☐ Получено в письменной форме
☐ Получено в электронной форме
☐ Не получено
Форма хранения согласия: ____________
9. Дополнительные наблюдения сотрудника
Поведение клиента (уверенность, уклончивость, противоречия и др.):
Иные существенные обстоятельства:
10. Заключение сотрудника по итогам встречи
Вывод о результатах идентификации:
Рекомендации:
☐ Передать на стандартную проверку
☐ Провести EDD
☐ Передать AML/KYT-офицеру для дополнительного анализа
☐ Иное: ______________
Подпись клиента: ___________
Подпись сотрудника: _________
ФИО сотрудника: ____________
Дата составления протокола: .._____
-
- Включает, но не ограничивается перечнем, предусмотренным в соответствии с положением о перечнях физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в преступной деятельности и легализации (отмывании) преступных доходов
-
Сводный санкционный перечень Совета Безопасности ООН - это единый официальный список физических лицгрупппредприятий и организацийв отношении которых действуют международные санкции (замораживание активовзапрет на поездкиэмбарго на поставки оружия). Он объединяет данные всех санкционных комитетов СБ ООНсозданных в рамках борьбы с терроризмом и обеспечения безопасности.
