Compliance для бизнеса в регулируемых секторах

Что такое compliance?

Compliance — система мер, обеспечивающих соответствие деятельности компании действующим законам, нормативным актам, отраслевым стандартам и внутренним политикам.

В современном регуляторном окружении compliance — не «галочная» функция, а стратегический актив. Нарушения compliance ведут к:

Регуляторным штрафам (иногда экзистенциального масштаба: $8.9 млрд штраф BNP Paribas в 2014 за нарушение санкций США)
Уголовной ответственности должностных лиц
Репутационному ущербу
Потере лицензий
Гражданским искам

Ключевые compliance-области

AML/CFT: противодействие отмыванию денег и финансированию терроризма

Основные требования (на основе рекомендаций FATF):

KYC (Know Your Customer): идентификация клиентов, верификация личности, документация
CDD (Customer Due Diligence): стандартная и расширенная проверка для high-risk клиентов
EDD (Enhanced Due Diligence): для PEP (Politically Exposed Persons), high-risk юрисдикций
Transaction monitoring: системы мониторинга подозрительных транзакций
SAR (Suspicious Activity Reports): обязательное уведомление регулятора о подозрительных операциях

Глобальные штрафы за AML-нарушения (2021–2023):

Goldman Sachs (1MDB scandal): $3.9 млрд
HSBC: $1.9 млрд (2012, исторический штраф)
Westpac: A$1.3 млрд (2020, Австралия)
BitMEX: $100 млн (крипто, 2021)

ОАЭ AML-контекст: В 2022 году FATF поместил ОАЭ в «серый список» из-за недостаточной борьбы с отмыванием денег. Правительство ОАЭ приняло жёсткие меры — усиление регулирования, штрафы, реформы DNFBP (Designated Non-Financial Businesses and Professions: риэлторы, ювелиры, адвокаты). В 2024 ОАЭ вышел из серого списка.

Санкционный compliance

Ключевые санкционные режимы:

OFAC (США): Office of Foreign Assets Control — администрирует санкции против Ирана, Кубы, Северной Кореи, России, конкретных лиц и компаний
EU CFSP (Common Foreign and Security Policy): санкции ЕС
UN Security Council sanctions
UK OFSI: Office of Financial Sanctions Implementation

Ответственность: Нарушение санкций — уголовное преступление для физических лиц + гигантские штрафы для компаний. Критически важно: санкции США экстерриториальны — европейские компании, ведущие бизнес в долларах или через американские финучреждения, подпадают под юрисдикцию OFAC.

GDPR и защита данных

GDPR (General Data Protection Regulation, ЕС, с 2018):

Основания обработки данных (согласие, законный интерес, исполнение договора)
Rights of data subjects: доступ, исправление, удаление, переносимость
Privacy by design: защита данных встраивается в продукт, а не добавляется постфактум
DPO (Data Protection Officer): обязателен для ряда организаций
Штрафы: до €20 млн или 4% глобальной годовой выручки

Крупнейшие GDPR-штрафы:

Meta (2023): €1.2 млрд за передачу данных в США без надлежащих гарантий
Amazon (2021): €746 млн (Люксембург)
WhatsApp (2021): €225 млн

ESG compliance

Растущая область. Директива ЕС CSRD (Corporate Sustainability Reporting Directive, 2023) требует от крупных компаний детальной ESG-отчётности.

SFDR (Sustainable Finance Disclosure Regulation): Требования к раскрытию для управляющих активами в ЕС.

UK Taxonomy: Британский аналог ЕС таксономии устойчивых инвестиций.

Построение compliance-программы

Три линии защиты:

Бизнес-подразделения: первичный контроль на уровне операций
Compliance-функция: разработка политик, мониторинг, обучение
Внутренний аудит: независимая оценка эффективности системы

Ключевые элементы:

Tone from the top: генеральный директор и совет директоров задают тон
Политики и процедуры: задокументированные, доступные, актуальные
Обучение персонала: регулярное, обязательное
Whistle-blowing: безопасный канал для сообщений о нарушениях
Monitoring and testing: проверка работоспособности контролей
Remediation: систематическое устранение выявленных нарушений