Підготовка документації для регуляторів
Документація для регулятора — це не просто пакет паперів. Це демонстрація того, що ви розумієте ризики вашого бізнесу та управляєте ними. Регулятори не відхиляють тих, у кого якісь ризики — вони відхиляють тих, хто не може пояснити як з ними справляється.
Що вимагають більшість регуляторів
Незважаючи на відмінності юрисдикцій, основний пакет документів подібний:
Business Plan: опис діяльності, бізнес-модель, потоки доходу, цільові ринки, аналіз конкурентів, фінансові прогнози на 3 роки. Регулятор повинен зрозуміти: чому цей бізнес існує, як він заробляє, чи він фінансово стійкий.
Corporate Structure Chart: діаграма власності — хто остаточний бенефіціарний власник, всі юридичні лиця в групі, їх юрисдикції та частки. Регулятори вимагають transparency до фізичних осіб з часткою > 10-25%.
AML/CFT Policy (Anti-Money Laundering / Counter Financing of Terrorism): описує всю AML програму компанії. Ключові розділи:
- Risk Assessment (оцінка ризиків клієнтів, продуктів, географіїї)
- Customer Due Diligence (CDD) процедури
- Enhanced Due Diligence (EDD) для high-risk клієнтів
- Transaction Monitoring
- SAR (Suspicious Activity Report) процедури
- Record Keeping
- Training програма
Compliance Officer CV та призначення: більшість ліцензій вимагають виділеного Compliance Officer з досвідом AML. Їх CV та призначення — окремий документ.
IT Security Policy: описує заходи захисту даних, access controls, encryption, incident response. Для бірж та кастодіанів — також Penetration Testing звіт.
Business Continuity Plan (BCP): як компанія продовжує операції при технічних збоях, cyber attack, втраті ключових осіб.
Специфіка по юрисдикціям
Естонія (FIU): вимагає детальний опис системи transaction monitoring з прикладами alert rules. Estonia's FIU відомий детальними follow-up запитаннями — готуйтесь до 2-3 раундів уточнень.
Дубай VARA: Business Plan повинен включати UAE-специфічний аналіз ринку та опис того, як бізнес буде використовувати UAE як hub. Вимагає призначення локального compliance представника.
Мальта MFSA: найбільш детальний пакет в ЄС — включає Internal Audit Framework, Risk Management Framework, окремий System Audit від незалежного IT аудитора.
Литва (FIU): відносно просто, але 2023-2024 значно ужесточили вимоги. Тепер вимагається демонстрація реальної операційної діяльності у Литві.
Типові помилки
Generic AML Policy: регулятори добре розпізнають завантажені шаблони. Policy повинна описувати вашу конкретну бізнес-модель з реальними прикладами risk scenarios.
Нереалістичний Business Plan: фінансові прогнози без пояснення assumptions. Якщо проектуєте $10M доходу в перший рік — поясніть звідки це виникне.
Відсутність процедур для edge cases: регулятори запитують "що ви робите, якщо клієнт — PEP?", "що робите при отриманні коштів з high-risk адрес?". Відповіді повинні бути задокументовані.
Неповне розкриття beneficial ownership: спроба приховати реального власника через nominee структури — прямо причина відхилення та потенційно кримінальне переслідування.
Підготовка повного пакету документації для ліцензії VASP/EMI: 4-8 тижнів. Включає: консультацію по вимогах, розробку всіх політик, review та ітерації.







