На 21 август изтича срокът за привеждане в съответствие на вътрешните правила, чрез които задължените лица по Закона за мерките срещу изпиране на пари следва да отразят новите си задължения по закона, в сила от 2018 г. Кръгът на тези лица (чл. 4 от закона) не е променен съществено спрямо стария закон, но изискванията към тях са увеличени и на практика са непосилни за малките фирми.

Най-важните новости са свързани с това, че трябва да се направи оценката на риска заедно с вътрешните правила, изискванията за идентификация и проверка на произхода на средствата на клиентите са увеличени, има специални изисквания за работа с видни политически личности, с контрагенти от рискови държави и в случаите на съмнителни операции.

От това следва, че не е достатъчно да ангажирате консултант, за да ви напише вътрешни правила. В зависимост от спецификата на работа ще бъдат засегнати и други вътрешни документи и процедури, например, процедура по одобряване на клиенти, документи, свързани с GDPR, длъжностни характеристики и пр.

Какво съдържат Вътрешните правила?

Вътрешни правила за контрол и предотвратяване изпирането на пари и финансирането на тероризма (чл. 101 ЗМИП) включват:

1. ясни критерии за разпознаване на съмнителните операции или сделки и клиенти;

2. реда за използването на технически средства за предотвратяване и разкриване изпирането на пари и финансирането на тероризма;

3. система за вътрешен контрол върху изпълнението на задълженията по ЗМИП и ЗМФТ;

4. възможност за извършването на преглед от вътрешен одит (ако е приложимо);

5. възможност за извършването на независим одит, при който да се проверяват и оценяват правилата, процедурите и изискванията (за големи предприятия);

6. вътрешната система по чл. 42 (за определяне дали клиентът е видна политическа личност);

7. вътрешна система за оценка на риска и определяне на рисковия профил на клиентите;

8. пропорционални на размера и естеството на стопанската дейност на лицето по чл. 4 политики, механизми за контрол и процедури за ограничаване и ефективно управление на рисковете от изпиране на пари и финансиране на тероризма, установени на равнището на Европейския съюз, на национално равнище, както и на равнище задължен субект;

9. правила и организация за изпълнение на задълженията за изясняване произхода на средствата и източника на имущественото състояние;

10. условията и реда за събиране, съхраняване и разкриване на информация;

11. времевите интервали, през които се преглеждат и актуализират поддържаните бази от данни и клиентските досиета в изпълнение на чл. 15 и 16, при съобразяване на установеното и документирано по реда на чл. 98 ниво на риска за клиентите и деловите взаимоотношения;

12. разпределението на отговорността по клонове и мерки, включващи процедури за оценка на риска по отношение на клонове и дъщерни дружества при условията на чл. 7, ако има такива;

13. правилата за организиране и за работа на специализираната служба по чл. 106, както и правилата за обучение на служителите в специализираната служба (специализираната служба е задължителна само за лицата по чл. 4, т. 1, 3, 5 и 8 – 11 с изключение на застрахователните посредници);

14. правилата за обучение на останалите служители;

15. разпределението на отговорността на представителите и служителите за изпълнение на задълженията по ЗМИП и ЗМФТ, както и данни за контакт с лицето по чл. 4 и с отговорните му представители, служители и лица в сходно положение, ангажирани в дейността на друго основание;

16. процедура за анонимно и независимо подаване на вътрешни сигнали от служители или лица в сходно положение, ангажирани в дейността (очевидно не се отнася за лица без нает персонал);

17. оценката по чл. 98, ал. 4 (оценка на риска, отнасяща се за ЮЛНЦ, за тях срокът е 13 септември);

18. други правила, процедури и изисквания съобразно особеностите на дейността на лицето по чл. 4.

Дирекция „Финансово разузнаване“ на ДАНС е публикувала примерни вътрешни правила по отношение дейността на лицата по чл. 4, т. 13, 19, 20, 25 и 27 – 29 от ЗМИП (счетоводни предприятия, данъчни консултанти, търговци на едро , търговци на оръжие и горива, ЮЛ, към които има взаимоспомагателни каси, професионални съюзи и съсловни организации, както и професионални спортни клубове). Тези вътрешни правила се допълват съобразно нивото на риск, определено по реда на глава седма от ЗМИП, включително и по отношение на критериите за съмнителни операции, сделки и клиенти. Лицата по чл. 4, т. 28 от ЗМИП (ЮЛНЦ)   при оборот над 20 000 лева и според установения риск приемат вътрешни правила, които съответстват на примерните правила на ДАНС, като ги допълват и с оценката по чл. 98, ал. 4 от ЗМИП.

Примерната структура на вътрешните правила в случаите на минимални изисквания може да включва:

  • Вътрешна организация и контрол. (Политики и процедури. Разпределение на отговорностите за изпълнение на задълженията, установени в ЗМИП, ЗМФТ и актовете по прилагането им)
  • Вътрешна система за оценка на риска и определяне на рисковия профил на клиентите;

+ Собствена оценка на риска по чл. 98, ал. 1 от ЗМИП

  • Комплексна проверка: Идентификация на клиенти и ДСК, Проверка на произхода на средствата/източника на имуществено състояние (лица по чл. 36). Събиране на информация и оценка на целта и характера на деловите взаимоотношения. Актуализиране на клиентски досиета. Текущо и разширено наблюдение
  • Установяване и докладване на съмнителни операции. Критерии за установяване на съмнителни операции, сделки и клиенти.
  • Условия и ред за съхраняване на информация за клиенти, операции или сделки
  • Обучения
  • Независим контрол (включително вътрешен одит)

Какво трябва да се направи, преди и заедно с написването на Вътрешните правила?

1. Определяне на лице, което осъществява вътрешния контрол.

Финансовите институции задължително трябва да създадат специализирана служба (чл. 106), а останалите задълени лица (например, търговци на едро, счетоводни предприятия и т.н.) могат да изпълняват дейността по лично (чл. 107, ал. 2) или да възложат вътрешния контрол на лице на висша ръководна длъжност (чл. 107, ал. 3). Изключение правят фондациите, за които това се отнася само при условията на чл. 98, ал. 4 и 5. Въпросът за уведомяването на ДАНС не е изяснен добре в ЗМИП. Около това се създаде истерия през последните дни, тъй като миналата година подобни заявления подадоха малко задължени лица (например, членовете на ИПСБ). По отношение на финансовите институции законът предвижда в преходните разпоредби срок по отношение на заварените случаи (изтекъл), а в чл. 106, ал. 5 се определя  седемдневен срок за уведомяване на ДАНС при смяна на ръководителя на специализираната служба.

По отношение на нефинансовите предприятия, чл. 107 предвижда в случаите за определянето на служител, на когото е възложена функцията по вътрешен контрол да се извършва уведомяване по реда на чл. 106, ал. 5. С чл. 69 от правилника (последна промяна ДВ, бр. 21 от 2020 г.) се казва, че в срока по чл. 106, ал. 5 от ЗМИП лицата по чл. 4  подават уведомление до ДАНС „за определянето или за смяната на служителя по чл. 106, ал. 2 от ЗМИП, съответно за обстоятелствата по чл. 107, ал. 2 от ЗМИП и служителя по чл. 107, ал. 3″. На страницата на ДАНС изрично е посочено, че срокът по чл. 106, ал. 5 изтича на 21 август 2020 г., тоест тълкува се, че спирането на срокове заради извънредното положение е обхванало и срока за уведомяване. Допълнение: В разговор с ДАНС бе изяснено, че няма промяна на срока за уведомяване по отношение на случаите, когато управителят изпълнява сам вътрешния контрол.

Изводът, който може да се направи от тези противоречиви разпоредби е, че когато на основание вътрешните правила е определен друг служител, който осъществява вътрешния контрол, трябва да се подаде уведомление в седемдневния срок по чл. 106, ал.5. Това уведомление обаче  е най-малкият проблем при съблюдаването на ЗМИП.

2. Оценка на риска.

Оценката на риска съпътства вътрешните правила, като в последните задължително се включват системата за оценка на риска.

Обърнете внимание, че дори лица по чл. 4, които може да не са задължени да изготвят самостоятелно вътрешни правила, трябва да имат такава оценка (с изключение на ЮЛНЦ с оборот под 20 000 лева).

Оценката на риска на самата организация се различава от оценката на риска на конкретните клиенти. И двете отчитат рискови фактори, които се отнасят до клиентите, държавите или географските зони, предлаганите продукти и услуги, извършваните операции и сделки или механизмите за доставка. Оценката на риска на организацията (по чл.98) се отнася до типове клиенти, типове операции и т.н.

Оценката на риска се актуализира на всеки две години, след актуализация на Националната оценка на риска. Оценката се актуализира и при промяна на посочените обстоятелства.

3. Преглед на досиетата на клиентите

Това е най-трудоемката част. Основната цел е да се определи дали са спазени изискванията за идентификация на клиента и идентификация на неговия действителен собственик. За целта трябва да се уверите, например, че разполагате с копия на лични карти (за ФЛ), в това число на действителните собственици и управляващите или със заверени актуални разпечатки (за ЮЛ) от Търговския регистър (или друг регистър на компании и правни образувания) и с другите необходими документи и декларации, изисквани от закона и ППЗМИП. Допустимо е това да стане дистанционно, включително по електронна поща или чрез пълномощник, но тогава се смята, че е налице по-висок риск и следва да се предприемат допълнителни действия.

Задължително е да бъде направена проверка на идентификацията, която се документира (вкл. чрез справки в Търговския регистър и по реда на чл. 35 ППЗМИП). Когато става дума за ФЛ, валидността на личната карта се проверява в сайта на МВР (линк)  и специализирани сайтове, които предоставят информация за характеристиките на документа за самоличност, издавани в ЕС и ЕИП (https://www.consilium.europa.eu/prado/bg/check-document-numbers/check-document-numbers.pdf)

 Изисква се още идентификация и проверка на идентификацията на действителния собственик на клиента, като тук възникват много казуси, тъй като информацията, декларирана от клиентите по реда на чл. 63 от закона (при поредната кампания) е непълна, а често и неактуална.

Актуализацията на досиетата трябва да се съобрази и с необходимостта от събиране на надежно документирана информация с оглед оценката на рисковия профил на клиента (чл. 16 и сл. ППЗМИП). За част от информацията трябва да се попълни въпросник от клиентите.

Специално внимание следва да се обърне на клиенти, които са (или чиито собственици са)  видни политически личности и на клиенти от рискови трети страни. Изисква се проверка на произхода на средствата (може да стане с декларация, ако прилагането на два други способа – например, въпросник и информация, събрана от бази данни не даде резултат) и на имущественото състояние. Установяването на ВИП-овете може да е трудно, тъй като те вклюват не само министри, депутати, кметове и т.н., но и свързани с тях лица, включително партньори, с които нямат сключен брак (фактическо съжителство), в това число лица, които са или са били през предходните 12 месеца видни политически личности в чужда страна. За повечето задължени лица (а това са десетки хиляди компании) тази проверка е непосилна. Има решения (проверка в бази данни), но цената е висока.

4. Документиране

ЗМИП съдържа изисквания за съхранение на вътрешните правила, оценките, както и информацията от клиентските досиета. Последните включват не само документите и сведенията, събрани в хода на идентификацията на клиента, както и данните от въпросниците, попълвани от клиентите за целите на тяхната идентификация, установяването на характера и цела на договорните отношения, както и във връзка с произхода на средствата.

Документират се и допълнителните проверки. Например, в случаите по чл. 25, ал. 1 от ППЗМИП (клиент от страна с високо ниво на корупция, офшорни центрове, клиент без дейност, в санкционни списъци) се прави проверка във вътрешни или външни бази данни (скрийнинг) дали той е лице по чл. 36 от ЗМИП. Допълнителна проверка се извършва при дистанционна идентификация и т.н.

Трябва да бъдат документирани също така оценките на риска на клиента и одобренията за встъпване в делово взаимоотношение с лице от високорискова трета страна или с лице по чл. 36 (видна политическа личност).

5. Обучение на персонала и длъжностни характеристики

Трябва да актулизирате плановете за въвеждащо и продължаващо обучение на персонала и да актуализирате длъжностните характеристики на лицата, които пряко работят с клиенти. Това включва задължения във връзка с идентификацията на клиенти и други функции в зависимост от разпределението на отговорностите по определяне на рисковия профил, текущото наблюдение и др. Персоналът трябва да знае не само какви документи да изисква, но и да може да разпознава съмнителни операции според критериите, заложени във Вътрешните правила.

ППЗМИП съдържа задължение за ежегодно провеждане на обучения (вътрешни или външни) и за изготвяне на план за обученията и отчет за проведено обучение.

6. Мониторинг и сигнали

С това работата по ЗМИП не приключва, тъй като задължените лица трябва да се осъществяват текущо наблюдение на операциите, да поставят под разширено наблюдение клиенти или операции, които са предизвикали съмнения, както и да подават сигнали до ДАНС  в случаите на съмнения.

Трябва да създадете система за докладване на съмнителни операции (в случай че различни служители работят с клиенти). Законът също така изисква и да заведете дневник по чл. 52 от ППЗМИП, чийто образец можете да видите тук.

Посочени са минималните изисквания за мерките срещу изпиране на пари, без претенции за изчерпателност. Публикацията цели да създаде обща ориентация за обема работа и не представлява практически указания за прилагане на закона.

За по-подробна информация вижте справочника „ЗМИП на практика“