ITCS Capital Ltd har åtagit sig att följa de högsta standarderna för efterlevnad av penningtvätt (AML) och antiterroristfinansiering (CTF). Syftet med företagets policy mot penningtvätt och finansiering av terrorism är att aktivt förebygga riskerna med dessa frågor. För att hjälpa regeringen att bekämpa finansiering av terrorism och penningtvätt krävs enligt lagen att alla finansinstitut ska inhämta, kontrollera och registrera information som identifierar varje person som öppnar ett konto. Vi har en skyldighet att rapportera misstänkt kundaktivitet som är relevant för penningtvätt.
Penningtvätt: Processen att omvandla medel som erhållits från olaglig verksamhet (t.ex. bedrägeri, korruption, terrorism etc.) till andra medel eller investeringar som verkar legitima för att dölja eller förvränga den verkliga källan till medlen.
Arbetsordningen och reglerna för internrevision består av följande:
1) Uppförandekod för tillämpning av åtgärder för kundkännedom, 2) Uppförandekod för insamling och bevarande av uppgifter;
3) Uppförandekod för fullgörande av anmälningsskyldigheten och för information till ledningen;
4) Regler för intern kontroll.
Arbetsordning:
1) beskriva transaktioner av lägre risknivå och fastställa lämpliga krav och förfaranden för att genomföra sådana transaktioner;
2) beskriva transaktioner med högre risknivå, inklusive risker som uppstår till följd av telekommunikation, informationstekniska medel, datanät och annan teknisk utveckling, och fastställa lämpliga krav och förfaranden för att genomföra och övervaka sådana transaktioner;
3) fastställa regler för att vidta de åtgärder för tillbörlig aktsamhet som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism;
4) fastställa krav och förfaranden för att föra de dokument och register som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism.
I arbetsordningen finns instruktioner för hur man effektivt och snabbt kan identifiera om personen är en person eller inte:
1) en politiskt utsatt person;
2) en person som är bosatt eller har sitt säte i ett land där inga tillräckliga åtgärder för att förhindra penningtvätt och finansiering av terrorism har vidtagits;
3) en person vars verksamhet det finns en tidigare misstanke om att personen kan vara inblandad i penningtvätt eller finansiering av terrorism;
4) en person mot vilken internationella sanktioner har införts;
5) en person med vilken en transaktion genomförs med hjälp av telekommunikation.
Förfarandereglerna införs för alla anställda hos en förpliktigad person vars arbetsuppgifter omfattar upprättande av affärsrelationer eller genomförande av transaktioner. Företaget ska regelbundet kontrollera om de fastställda förfarandereglerna är aktuella och vid behov fastställa nya förfaranderegler.
Uppförandekod för tillämpningen av åtgärder för kundkännedom
1. Introduktion
2. Uppförandekodens syfte och dess beståndsdelar
3. Uppförandekodens tillämplighet
4. Allmänna obligatoriska identifieringsregler
5. Organisationsstruktur
6. Ekonomisk eller yrkesmässig verksamhet via agenter och utläggning på entreprenad
7. Utnämning av en ansvarig för efterlevnaden
8. Riskbaserat tillvägagångssätt
9. Etablering av affärsrelationer
10.Åtgärder för kundkännedom
11.Kundidentifiering
12.Allmänna krav på identifiering av enskilda personer vid etablering.
av affärsförbindelser
13.Politiskt utsatta personer (PEP)
14.Identifiering av enskilda personers verkliga ägare
15.Civilrättsliga partnerskap och andra avtalsbundna sammanslutningar
16.Allmänna krav på identifiering av juridisk person vid
Upprättande av affärsförbindelser 17. Agentur
18.Identifiering av verklig ägare
19.Krav för identifiering av utländska juridiska personer
20.Allmänna krav för tillämpningen av kundkännedom
åtgärder vid genomförandet av transaktioner
21.Efterföljande transaktioner
22.Uppträdande vid misstanke om penningtvätt och uppfyllande av rapporteringskrav
skyldigheter
23.Korrespondentrelationer 24.Utländska dotterbolag och filialer 25.Ändringar i uppförandekoden
BILAGA 1: Modell för riskbedömning i enlighet med punkt 9 i uppförandekoden för tillämpning av åtgärder för kundkännedom
BILAGA 2: Kriterier för låg risk för penningtvätt och finansiering av terrorism som gör det möjligt att tillämpa förenklade åtgärder för kundkännedom.
Uppförandekod för insamling och bevarande av uppgifter
1. Introduktion
2. Säkerhetsåtgärder
3. Bevarande av uppgifter som används för identifiering
4. Särskilda krav på bevarande av uppgifter om transaktioner
5. Dokument och uppgifter som tjänar som grund för identifiering av fysiska personer 6. Handlingar och uppgifter som ligger till grund för identifiering av juridiska personer 7. Registrering av transaktionsuppgifter
8. Bevarande av uppgifter
9. Ändringar i uppförandekoden
Uppförandekod för fullgörande av anmälningsskyldigheten och för information till ledningen.
BILAGA 3: Riskbedömningsmodell i enlighet med lagen om förhindrande av penningtvätt och finansiering av terrorism för tillämpningen av åtgärder för kundkännedom
I.
1. 2. 3.
II.
1. 2. 3.
Risker för användarna
Risker som uppstår oavsett avsedd användning
Risker som uppstår när riskkapital används som betalningsmedel Risker när riskkapital används som investering
Risker för icke-användande marknadsaktörer
Specifika risker för börser
Specifika risker för handlare
Specifika risker för diverse icke-användande marknadsaktörer
III. Risker för den finansiella integriteten
1. Risker för penningtvätt och finansiering av terrorism 2. Risker för ekonomisk brottslighet
IV. Risker för betalningssystem och betaltjänstleverantörer i FC:s regler för intern kontroll
Uppförandekod för tillämpningen av åtgärder för kundkännedom
1. Inledning
1.1. Denna uppförandekod för tillämpningen av åtgärder för kundkännedom har utarbetats av ITCS Capital Ltd, ett kazakiskt kommanditbolag, med företagsregistreringsnummer 210240004131 (nedan kallat "bolaget").
1.2. Uppförandekoden för tillämpningen av åtgärder för kundkännedom har utarbetats för att följa lagen om förebyggande av penningtvätt och finansiering av terrorism och andra rättsakter i Kazakstan samt tillämpliga riktlinjer.
2. Uppförandekodens syfte och dess beståndsdelar
2.1. Syftet med denna uppförandekod är att säkerställa korrekt identifiering och kontroll av kunder eller personer som deltar i transaktioner samt fortlöpande övervakning av affärsrelationer, inklusive transaktioner som genomförs under affärsrelationer, regelbunden kontroll av uppgifter som används för identifiering, uppdatering av relevanta dokument, uppgifter eller information och, vid behov, identifiering av
Källan och ursprunget till de medel som används i transaktionerna.
2.2. Kundkännedom är ett av de viktigaste verktygen för att säkerställa genomförandet av lagstiftning som syftar till att förhindra penningtvätt och finansiering av terrorism och till att tillämpa sund affärspraxis. Kundkännedom omfattar en uppsättning aktiviteter och metoder som härrör från företagets organisatoriska och funktionella struktur och som beskrivs i interna rutiner, vilka har godkänts av företagets ledningsorgan och vars genomförande är föremål för kontrollsystem som upprättats och tillämpas genom interna kontrollregler.
2.3. Syftet med kundkännedom är att förhindra att tillgångar och egendom som erhållits på ett brottsligt sätt används i kreditinstitutens och finansinstitutens ekonomiska verksamhet och i de tjänster som de tillhandahåller, vars mål är att förhindra att Kazakstans finansiella system och ekonomiska utrymme utnyttjas för penningtvätt och finansiering av terrorism. Kundkännedom syftar först och främst till att tillämpa principen "känn din kund", enligt vilken en kund ska identifieras och transaktionernas lämplighet ska bedömas på grundval av kundens huvudsakliga verksamhet och tidigare betalningsmönster. Dessutom tjänar kundkännedom till att identifiera ovanliga omständigheter i en kunds verksamhet eller omständigheter som gör att en anställd i bolaget har anledning att misstänka penningtvätt eller finansiering av terrorism.
2.4. Med hjälp av kundkännedom säkerställs att adekvat riskhantering tillämpas.
Åtgärder för att säkerställa en ständig övervakning av kunderna och deras transaktioner.
samt insamling och analys av relevant information. Vid tillämpningen av åtgärderna för kundkännedom kommer bolaget att följa de principer som är förenliga med dess affärsstrategi och, baserat på tidigare riskanalys och beroende på arten av kundens affärsrelationer, tillämpa kundkännedom i olika omfattning.
2.5. Kundkännedom tillämpas på grundval av riskkänslig grund, dvs. affärsförhållandets eller transaktionens art och de risker som följer av detta ska beaktas vid val och tillämpning av åtgärderna. Riskbaserad kundkännedom kräver en förhandsbedömning av de specifika affärsrelationerna eller transaktionsriskerna och, som en följd av detta, kvalificering av affärsrelationen för att besluta om vilken typ av åtgärd som ska vidtas (till exempel kan normala, förstärkta eller förenklade åtgärder för kundkännedom tillämpas).
2.6. Om risknivån för en kund eller en person som deltar i en transaktion är låg får företaget tillämpa förenklade due diligence-åtgärder, men får inte helt hoppa över due diligence för kunden. Om risknivån som härrör från en kund eller en person som deltar i en transaktion är hög, ska utökade due diligence-åtgärder tillämpas.
2.7. När en affärsrelation etableras kommer företaget att identifiera personen och verifiera dennes rätt att företräda denne utifrån tillförlitliga källor, identifiera den verkliga ägaren och, när det gäller företag, kontrollstrukturen, samt identifiera arten och syftet med eventuella transaktioner, inklusive, vid behov, källan och ursprunget till de medel som är involverade i transaktionerna.
2.8. Åtgärder för kundkännedom är lämpliga och har lämplig omfattning om de gör det möjligt att identifiera transaktioner som syftar till penningtvätt och finansiering av terrorism och identifiera misstänkta och ovanliga transaktioner samt transaktioner som inte har ett rimligt ekonomiskt syfte eller om de åtminstone bidrar till att uppnå dessa mål.
2.9. Det första kravet för åtgärderna för att förhindra penningtvätt och finansiering av terrorism är att bolaget inte ingår transaktioner eller upprättar relationer med anonyma eller oidentifierade personer. Lagstiftningen kräver att bolaget avstår från att genomföra en transaktion eller etablera en affärsrelation om en person inte lämnar tillräcklig information för att identifiera personen eller om syftet med transaktionerna eller om personens verksamhet innebär en högre risk för penningtvätt eller finansiering av terrorism. Lagstiftningen förutsätter också att bolaget kan säga upp ett pågående avtal utan tidsfrist för förhandsanmälan om personen inte lämnar tillräcklig information för tillämpning av åtgärder för kundkännedom.
2.10. Företaget ser till att informationen om en kund (inkl. samlade dokument och uppgifter) är aktuell. När det gäller kunder eller affärsrelationer som hör till högriskkategorin kommer den befintliga informationen att kontrolleras oftare än när det gäller andra kunder/affärsrelationer. Respektive uppgift ska bevaras skriftligen eller i en form som kan reproduceras skriftligen och göras tillgänglig för alla relevanta anställda som behöver den för att utföra sina arbetsuppgifter (styrelseledamöter, kontoförvaltare, riskhanterare och internrevisorer).
2.11. De principer och anvisningar som föreskrivs i åtgärderna för kundkännedom fastställs i bolagets interna rutiner. Oberoende kontrollmekanismer har inrättats för att kontrollera att dessa förfaranden följs, och relevant utbildning av de anställda säkerställs.
3. Uppförandekodens tillämplighet
3.1. Denna uppförandekod för tillämpningen av åtgärder för kundkännedom omfattar:
3.1.1. Krav för identifiering och kontroll samt metoder för insamling av relevanta uppgifter, inklusive krav på de uppgifter och dokument som identifieringen baseras på;
3.1.2. Förfaranden för identifiering av syftet med och den avsedda karaktären av affärsrelationer och transaktioner innan sådana transaktioner eller långsiktiga kontrakt ingås, samt förfaranden för löpande övervakning av affärsrelationer;
3.1.3. En beskrivning av transaktioner med låg risk samt krav och förfaranden för ingående av sådana transaktioner;
3.1.4. En beskrivning av transaktioner med hög risk samt krav på och förfaranden för ingående och löpande övervakning av sådana transaktioner;
3.1.5. Förfaranden för uppdatering av de uppgifter och dokument som används för identifiering och kontroll;
3.1.6. Andra frågor som uppstår i samband med uppförandekodens syfte och räckvidd.
4. Allmänna obligatoriska identifieringsregler
4.1. Uppförandekoden för tillämpningen av åtgärder för kundkännedom kräver identifiering och verifiering i fall av:
4.1.1. etablera affärsrelationer med personer som företaget inte har några tidigare affärsrelationer med;
4.1.2. genomföra transaktioner med personer med vilka förhållandet mellan personen och företaget inte kommer att utgöra en affärsrelation och där det överförda beloppet överstiger 15 000 euro, eller ett motsvarande belopp i någon annan valuta, oavsett om det rör sig om en engångsöverföring eller flera relaterade betalningar under en period på upp till ett år;
4.1.3. Upprättande av affärsrelationer med personer för vilka förenklade åtgärder för tillbörlig aktsamhet tillämpas;
4.1.4. Upprättande av affärsförbindelser med politiskt utsatta personer;
4.1.5. genomföra transaktioner genom kommunikationsmedel med personer som företaget har en affärsrelation med;
4.1.6. Upprättande av affärsförbindelser med personer som har sin hemvist eller sitt säte i ett land där tillämpningen av åtgärder för att förhindra penningtvätt och finansiering av terrorism är otillräcklig.
5. Organisationsstruktur
5.1. Bolagets styrelse ska regelbundet (minst en gång per kvartal) granska effektiviteten hos de interna förfaranden som införts för att följa lagen om förhindrande av penningtvätt och finansiering av terrorism och säkerställa intern kontroll av att de interna förfarandena följs. Bolaget ska utse den eller de personer som på ledningsnivå är ansvariga för tillämpningen av de åtgärder för kundkännedom som föreskrivs i lagen om förhindrande av penningtvätt och finansiering av terrorism. Personens behörighet och ansvar ska på ett öppet och otvetydigt sätt framgå av den interna dokumentation som reglerar styrelseledamöternas uppgifter och funktioner (t.ex. styrelsens arbetsordning, arbetsbeskrivningar för styrelseledamöterna och anställningsavtal för styrelseledamöterna).
5.2. Den eller de personer som utses av bolagets styrelse ska säkerställa tillämpningen av åtgärder för kundkännedom på grundval av bestämmelserna i lagstiftningen och andra s.k. arbetsordningar och ta hänsyn till att de åtgärder som tillämpas är adekvata, motsvarar tjänsteleverantörens verksamhetsprofil och är förenliga med kunden, transaktionernas art och omfattning och de därmed sammanhängande riskerna för penningtvätt eller finansiering av terrorism.
5.3. Bolagets styrelse säkerställer att de resurser som tilldelas för att följa lagen om förhindrande av penningtvätt och finansiering av terrorism är tillräckliga och att de anställda som är direkt involverade i uppfyllandet av kraven i lagen om förhindrande av penningtvätt och finansiering av terrorism är fullt medvetna om kraven i lagen om förhindrande av penningtvätt och finansiering av terrorism.
5.4. Varje ledande befattningshavare och anställd som är direkt involverad i genomförandet av lagen om förhindrande av penningtvätt och finansiering av terrorism ska ha yrkeskunskaper som gör det möjligt för dem att fullt ut och med tillräcklig noggrannhet följa bestämmelserna i lagstiftningen i enlighet med omfattningen av deras ansvarsområde och de ska ha genomgått respektive utbildning eller på annat sätt instruerats i detta av bolaget.
5.5. Bolaget ska mildra och förebygga intressekonflikter med interna regler, varigenom grunderna för ersättning till ledande befattningshavare och anställda uppmuntrar dem att bortse från eller avvika från bestämmelser i lag.
5.6. Kundkännedom är en del av det övergripande ramverket för riskhantering där en tydlig åtskillnad ska göras mellan tillämpningen av åtgärder för kundkännedom som tillämpas i affärsrelationer och tillämpningen av åtgärder för att förebygga penningtvätt och finansiering av terrorism i bolagets egen verksamhet.
5.7. Företaget ska ge avtalsparter (vid outsourcing) och all relevant personal, inklusive personal vars arbetsuppgifter omfattar upprättande av affärsrelationer och/eller genomförande av transaktioner, förvaltning av kundrelationer, regelbunden utbildning i och information om arten av riskerna för penningtvätt och finansiering av terrorism och eventuella nya trender på området. Först och främst ska personalen hållas informerad om de krav som gäller för förebyggande av penningtvätt och finansiering av terrorism när det gäller tillämpningen av åtgärder för kundkännedom och rapportering om misstänkt penningtvätt.
5.8. Företaget ska se till att de åtgärder för kundkännedom och krav på insamling och bevarande av uppgifter som tillämpas i dess representationer, filialer eller majoritetsägda dotterbolag i tredjeländer uppfyller lagen om förhindrande av penningtvätt och finansiering av terrorism och de krav som anges i andra lagar och riktlinjer.
6. Ekonomisk verksamhet eller yrkesverksamhet via agenter och utkontraktering
6.1. Företaget har rätt att, med beaktande av de särskilda krav och begränsningar som föreskrivs i lag, använda sig av en tredje parts tjänster inom ramen för ett avtal vars föremål är det fortsatta utförandet av aktiviteter och det fortsatta vidtagandet av åtgärder som krävs för att företaget ska kunna tillhandahålla (en) tjänst(er) till sina kunder och som normalt skulle utföras och vidtas av företaget självt. Med tredje part avses i detta avsnitt t.ex. agenter, underleverantörer och andra personer till vilka företaget överlåter verksamhet i samband med tillhandahållandet av de tjänster som i regel tillhandahålls av företaget i dess ekonomiska verksamhet.
6.2. Företaget ska välja tredje part för att säkerställa att personen kan uppfylla de krav som föreskrivs i lagen om förhindrande av penningtvätt och finansiering av terrorism och för att säkerställa att personen är tillförlitlig och har de kvalifikationer som krävs.
6.3. Den tredje part som anges i avsnitt 6.1 omfattas av alla de krav som föreskrivs i lag för att förhindra penningtvätt och finansiering av terrorism när det gäller utkontrakterad verksamhet. Det företag som lagt ut sin verksamhet på entreprenad är ansvarigt för överträdelser av kraven.
6.4. Vid outsourcing av en verksamhet (verksamheter) ska bolaget säkerställa att den tredje parten har den kunskap och kompetens som krävs framför allt för att identifiera situationer av misstänkt och ovanlig karaktär och att den kan uppfylla alla de krav för att förhindra penningtvätt och finansiering av terrorism som föreskrivs i lag. För att följa bestämmelserna i detta avsnitt ska bolaget se till att den tredje partens chefer informeras om de relevanta kraven och att dess personal utbildas i förebyggande av penningtvätt och finansiering av terrorism.
6.5. När en verksamhet läggs ut på tredje part ska företaget se till att alla dokument och all information som samlas in för att uppfylla krav som följer av lagstiftningen bevaras i enlighet med det förfarande som fastställs i lagen om förhindrande av penningtvätt och finansiering av terrorism och all lagstiftning som utfärdats på grundval av denna. Avtalet ska säkerställa att relevant information överlämnas till
företaget och att relevant information och handlingar arkiveras i enlighet med dess arbetsordning.
6.6. I outsourcingkontraktet ska det anges vilka rättigheter och skyldigheter företaget har när det granskar att tredje part uppfyller de krav som föreskrivs i lagen. Outsourcing av ekonomisk verksamhet till en tredje part får inte hindra statlig tillsyn över bolaget, och bolaget ska enligt avtal ge behöriga myndigheter tillgång till den tredje part i tillsynssyfte till vilken bolaget har lagt ut sina skyldigheter, uppgifter eller funktioner på entreprenad.
6.7. När tjänsterna tillhandahålls av tredje part ska situationer där tillämpningen av åtgärder för kundkännedom i erforderlig omfattning är möjlig i otillräcklig grad eller helt omöjlig undvikas. En tredje part ska kunna tillämpa de nödvändiga åtgärderna för kundkännedom fullt ut och därigenom kunna underrätta företagets kontaktperson omedelbart och avböja en transaktion. Företaget ska enligt avtal säkerställa sin rätt att säga upp avtalet med tredje part om denna inte fullgör sina avtalsenliga skyldigheter eller åtaganden eller om den senare utför dem felaktigt.
6.8. Bolaget ska omedelbart underrätta Republiken Kazakstans ekonomiministerium om ingående av ett avtal som ligger till grund för outsourcing av dess verksamhet(er).
7. Utnämning av en övervakningsansvarig
7.1. Bolagets styrelse ska utse en compliance officer bland styrelseledamöterna. Uppgifterna som compliance officer kan utföras av en anställd eller styrelseledamot eller av flera anställda och/eller en strukturell enhet med relevanta uppgifter. Om compliance officerens uppgifter utförs av en strukturell enhet ska chefen för den berörda strukturella enheten vara ansvarig för att uppgifterna utförs.
7.2. Positionen för en compliance officer inom bolagets organisationsstruktur ska göra det möjligt att uppfylla de krav som föreskrivs i lag för att förhindra penningtvätt och finansiering av terrorism. När tjänsten som compliance officer inrättas ska denne vara direkt ansvarig inför bolagets styrelse och vara så oberoende av affärsprocesserna som möjligt.
7.3. Att den övervakningsansvarige är oberoende av affärsprocesserna innebär inte att denne är förhindrad att ge råd eller utbilda kollegor i syfte att säkerställa att chefernas och de anställdas åtgärder överensstämmer med de regler som gäller i den internationella lagstiftningen.
kraven i lagen om förhindrande av penningtvätt och finansiering av terrorism.
7.4. Compliance officerens yrkesmässiga kvalifikationer och färdigheter ska uppfylla de krav som fastställs i lagen om förhindrande av penningtvätt och finansiering av terrorism och compliance officerens yrkesmässiga och affärsmässiga rykte ska vara oklanderligt.
7.5. Den övervakningsansvarige har följande uppgifter:
7.5.1. Organisering av insamling och analys av information som avser ovanliga transaktioner eller transaktioner som misstänks för penningtvätt eller finansiering av terrorism i bolagets verksamhet (med insamling av information avses insamling av alla misstänkta eller ovanliga meddelanden från bolagets anställda, avtalspartners och agenter, samt systematisering och analys av informationen i dem);
7.5.2. Rapportera till FIU vid misstanke om penningtvätt eller finansiering av terrorism;
7.5.3. regelbundet lämna in skriftliga redogörelser om genomförandet av arbetsordningen till bolagets styrelse, och
7.5.4. fullgörandet av andra skyldigheter i samband med att företaget uppfyller kraven i lagen om förhindrande av penningtvätt och finansiering av terrorism (inklusive att instruera och utbilda anställda och tillämpa respektive kontrollmekanismer).
7.6. Den övervakningsansvarige ska ha tillgång till den information som utgör grunden eller förutsättningen för att etablera en affärsrelation, inklusive all information, data eller dokument som återspeglar kundens identitet och affärsverksamhet. Styrelsen ger också compliance officer rätt att delta i styrelsens möten om compliance officer anser att detta är nödvändigt för att utföra sina uppgifter.
8. Riskbaserat tillvägagångssätt
8.1. Företaget ska känna igen, bedöma och förstå riskerna för penningtvätt och finansiering av terrorism i sin egen verksamhet och i sina kunders verksamhet och vidta åtgärder för att minska riskerna. De tillämpliga åtgärderna ska motsvara den identifierade risknivån.
8.2. Vid en riskbaserad metod ska bolaget bedöma sannolikheten för att riskerna förverkligas och konsekvenserna av att de förverkligas.
är. Vid bedömningen av sannolikheten ska risken för att hotet ökar och möjligheten att respektive omständigheter inträffar beaktas, t.ex. ska de möjliga hot som kan påverka kundens och tjänsteleverantörens verksamhet beaktas.
8.3. Företaget ska vidta alla åtgärder som krävs för att uppfylla kundernas krav på aktsamhet. Omfattningen av att vidta åtgärderna beror på egenskaperna hos den givna affärsrelationen eller risknivån hos den person eller kund som deltar i transaktionen eller den officiella handlingen; därmed ska principen Know-Your Customer följas.
8.4. Vid identifiering och styrkande av risknivåerna för en kund eller en person som deltar i en transaktion ska bolaget bland annat ta hänsyn till följande riskkategorier:
8.4.1. Kundrisk vars faktorer beror på den person eller kund som deltar i en transaktion; bland annat ska följande beaktas:
8.4.1.1. Personens juridiska form, ledningsstruktur, verksamhetsområde, inklusive om det är en förvaltningsfond, ett civilrättsligt partnerskap eller en annan liknande avtalsbaserad juridisk person eller en juridisk person med innehavaraktier;
8.4.1.2. Om det är en politiskt utsatt person;
8.4.1.3 Om personen företräds av en juridisk person;
8.4.1.4. om en tredje part (privatperson) är den verkliga ägaren;
8.4.1.5. Om identifieringen av den verkliga ägaren försvåras av komplexa och oöverskådliga ägarförhållanden;
8.4.1.6. Personens hemvist, inklusive om det är en person som är registrerad i ett territorium med låg skattesats;
8.4.1.7. Om personen är föremål för en internationell sanktion;
8.4.1.8. Möjligheten att klassificera kunden som en typisk kund i en viss kundkategori;
8.4.1.9. omständigheter (inklusive misstänkta transaktioner som identifierats under en
tidigare affärsrelation) som är resultatet av erfarenheten av att kommunicera med personen, dess affärspartner, ägare, representanter och alla andra sådana personer;
8.4.1.10. verksamhetens varaktighet och affärsrelationernas karaktär;
8.4.1.11 Typ och egenskaper hos den tjänst som tillhandahålls eller den produkt som säljs (om tjänsten eller produkten är ovanlig eller ekonomiskt ogenomförbar);
8.4.1.12. Om tjänsten eller produkten kan ha samband med brottslighet eller utveckling av massförstörelsevapen;
8.4.1.13. Om personen deltar i transaktioner där kontanter spelar en viktig roll (t.ex. valutaväxlingsplatser och speloperatörer);
8.4.1.14. Om personens kunder är desamma eller om de ständigt förändras;
8.4.1.15. Om personens kundkrets har ökat snabbt;
8.4.1.16 Om personen tillhandahåller tjänsten till anonyma kunder;
8.4.1.17 Förekomsten och arten av riskfaktorn i samband med en tjänsteleverantör som används för att vidarebefordra tjänsten eller produkten;
8.4.1.18. Typ och egenskaper hos de tjänster som används eller produkter som konsumeras av personen utanför företaget;
8.4.1.19. arten av en individs personliga verksamhet;
8.4.1.20. om det är lätt att identifiera ursprunget till personens tillgångar eller källan och ursprunget till de medel som används för en transaktion, och
8.4.1.21. Om personen har identifierats ansikte mot ansikte eller via Internet.
8.4.2. Produkt- eller tjänsterisk, vars riskfaktorer bland annat beror på kundens ekonomiska verksamhet eller en specifik produkts eller tjänsts exponering för potentiella penningtvättsrisker:
8.4.2.1. Private Banking och Personal Banking,
8.4.2.2.2. Valutaväxling och konverteringstransaktioner,
8.4.2.3. Tillhandahållande av alternativa betalningsmedel och elektroniska pengar;
8.4.2.4. köp och försäljning av varor av högt värde, 8.4.2.5. tillhandahållande av reklam på nätet;
8.4.2.6. tillhandahållande av innovativa tjänster, och
8.4.2.7. grundande, försäljning och förvaltning av företag.
8.4.3. Landrisk eller geografisk risk, vars faktorer beror på skillnader i den rättsliga miljön i olika länder:
8.4.3.1. Om landet tillämpar rättsliga bestämmelser som är förenliga med de internationella normerna för förebyggande av penningtvätt och finansiering av terrorism;
8.4.3.2. Om det finns en hög brottslighet (inklusive narkotikarelaterad brottslighet) i landet;
8.4.3.3.3. Om landet samarbetar med en kriminell grupp; om kriminella grupper använder landet för att bedriva sin verksamhet;
8.4.3.4. Om landet ägnar sig åt spridning,
8.4.3.5. Om det finns en hög grad av korruption i landet;
8.4.3.6. om internationella sanktioner har införts eller håller på att införas mot landet, och
8.4.3.7. Om andra åtgärder har vidtagits mot landet eller om internationella organisationer har uttryckt sina ståndpunkter om landet.
8.5. Med beaktande av de ovan nämnda riskkategorierna ska bolaget fastställa risknivån för den person eller kund som deltar i en transaktion, t.ex. om kundens risknivå för penningtvätt eller finansiering av terrorism är låg, normal eller hög eller om den motsvarar andra risknivåkvalifikationer som fastställts och används av bolaget.
8.6. För att fastställa effekten av varje riskkategori ska företaget bedöma sannolikheten för att riskfaktorerna i riskkategorin ska inträffa. För att fastställa konsekvenserna av en specifik riskkategori kan den kvalificerade kvantiteten av förekomsten av de riskfaktorer som kännetecknar den användas för att anse att en specifik riskfaktor "har en konsekvens" eller "inte har en konsekvens" om ett visst tröskelvärde överskrids.
8.7. Vissa riktlinjer vid angivande av en låg risknivå.
8.7.1. Kundens risknivå anses i allmänhet vara låg om det inte finns någon riskfaktor av betydelse i någon riskkategori och det därför kan hävdas att kunden och dess verksamhet uppvisar element som inte skiljer sig från en vanlig och transparent persons; därmed finns det ingen anledning att misstänka att kundens verksamhet kan öka sannolikheten för penningtvätt och finansiering av terrorism.
8.7.2. I en situation där tillämpningen av de nödvändiga åtgärderna för kundkännedom härrör från lagstiftning och information om kunden och dess verkliga ägare är offentligt tillgänglig, där personens verksamhet och transaktioner är i linje med dess dagliga ekonomiska verksamhet och inte skiljer sig från andra liknande kunders betalningsrutiner och beteende eller där transaktionen är föremål för kvantitativa eller andra absoluta begränsningar, kan företaget anse att kundens uppskattade risk för penningtvätt eller finansiering av terrorism
vara lägre. 8.7.3. I en situation där minst en riskkategori kan betecknas som hög kan risknivån för penningtvätt eller finansiering av terrorism vanligtvis inte vara låg. På samma sätt innebär en låg risk inte nödvändigtvis att kundens verksamhet inte alls kan förknippas med penningtvätt eller finansiering av terrorism.
8.7.4. Om den risk som följer av en affärsrelation, en kund eller en transaktion är låg på grund av de riskfaktorer som fastställts med avseende på transaktionsparten eller kunden och de övriga villkoren i 32 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism har uppfyllts, får bolaget tillämpa förenklade åtgärder för kundkännedom, men får inte helt och hållet utelämna åtgärderna för kundkännedom. Vid tillämpning av åtgärder för kundkännedom genom det förenklade förfarandet får bolaget fastställa omfattningen av tillämpningen av åtgärderna för kundkännedom.
8.8. Vissa riktlinjer vid angivande av en hög risknivå
8.8.1. Kundens risknivå är vanligen hög, vid en bedömning av riskkategorierna i sin helhet verkar det som om kundens verksamhet inte är vanlig eller transparent; det finns riskfaktorer med genomslagskraft på grund av vilka det kan antas att sannolikheten för penningtvätt eller finansiering av terrorism är hög eller betydligt högre. Kundens risknivå är också hög om en riskfaktor som sådan kräver det. En hög risk innebär inte nödvändigtvis att kunden tvättar pengar eller finansierar terrorister.
8.8.2. Om företaget anser att risknivån för en kund eller en person som deltar i en transaktion är hög ska företaget tillämpa åtgärder för kundkännedom i enlighet med det utökade förfarandet för att på ett adekvat sätt hantera respektive risker. Förstärkta åtgärder för tillbörlig aktsamhet ska därmed tillämpas i enlighet med följande
lagen om förhindrande av penningtvätt och finansiering av terrorism.
8.9. Särskilda risker i samband med handel med virtuella valutor och metoder för att minska riskerna 8.9.1. De specifika riskerna för penningtvätt och finansiering av terrorism i samband med handel med virtuella valutor är följande:
8.9.1.1.1. Den anonymitet som handeln med virtuella valutor på internet ger. 8.9.1.2. Den begränsade identifieringen och kontrollen av deltagarna;
8.9.1.3. Bristen på klarhet när det gäller ansvaret för efterlevnad, övervakning och verkställighet av reglerna om penningtvätt och finansiering av terrorism för dessa transaktioner som är uppdelade på flera länder;
8.9.1.4. Avsaknaden av ett centralt tillsynsorgan.
8.9.2. Företaget och dess anställda ska tillämpa följande metoder för att minska de ovannämnda specifika riskerna:
8.9.2.1. Transaktioner för handel och utbyte av virtuell valuta ska göras med hjälp av kundens bankkonto;
8.9.2.2.2. Företaget ska inte delta i transaktioner där en part i transaktionen förblir anonym eller där parten inte kan identifieras tillräckligt enligt dessa regler;
8.9.2.3. Vid varje transaktion där värdet av transaktionen överstiger 15 000 euro eller ett motsvarande belopp i en annan valuta ska företaget kräva att kunderna lämnar bevis på källan till den virtuella valuta som kunden använder i transaktionen.
8.10. Företaget ska dokumentera fastställandet av risknivån, uppdatera den och vid behov göra uppgifterna tillgängliga för behöriga myndigheter.
9. Upprättande av affärsrelationer
9.1. Villkoren i ett långsiktigt avtal som ligger till grund för en affärsrelation ska också ingå i de allmänna villkoren för företagets tillhandahållande av tjänster och/eller i de allmänna och/eller andra standardvillkor för ett avräkningsavtal eller andra avtal.
9.2. Företaget ska identifiera varje kund vid upprättandet av en affärsrelation och vid en transaktion om värdet av kundens transaktioner per år överstiger.
9.3. Affärsförhållandena mellan företaget och kunderna regleras av skriftliga avtal, i en form som kan reproduceras skriftligen eller elektroniskt.
9.4. Förutsättningen för att en affärsrelation ska kunna upprättas är ett uttryckligt och registrerat intyg från kunden att denne kommer att uppfylla de villkor som företaget fastställt för upprättandet av affärsrelationen och genomförandet av transaktioner.
9.5. I företagets interna rutiner ska de villkor fastställas på grundval av vilka de tjänster som kunden ska använda och tjänsternas omfattning bestäms. Företaget ska på förhand försäkra sig om att de tjänster som tillhandahålls motsvarar innehållet i kundens faktiska avsiktsförklaringar, att de är förenliga med det aktuella avtalets art och syfte och motsvarar den risknivå som kunden tillskrivs.
9.6. Den arbetsordning som reglerar upprättandet av en affärsförbindelse ska, utöver lagbestämmelserna, innehålla följande:
9.6.1. Förfarandet för att införa förutsättningarna för att etablera en affärsrelation, ingå långsiktiga avtal och genomföra transaktioner (inklusive förfarandet för att registrera kundens avsiktsförklaring och identifiering av syftet med affärsrelationen och transaktionen) av företaget;
9.6.2. Kravet på att få en bekräftelse från kunden om att kunden är medveten om och har förstått de uppgifter och skyldigheter som fastställs i de relevanta villkoren, inklusive begäran om information som krävs för att etablera affärsförbindelsen genom och formen för inlämning av informationen.
9.7. Vid upprättandet av en affärsrelation ska kunden eller dess företrädare och företagets företrädare befinna sig på samma plats. Detta innebär att en potentiell kund eller dess företrädare har en direkt kontakt med företagets företrädare. En direktkontakt kräver direkt kommunikation mellan företagets företrädare och kunden i syfte att bedöma om innehållet i kundens avsiktsförklaring och syfte överensstämmer med kundens verkliga vilja. Därigenom är det möjligt att specificera
kundens risknivå mer exakt med hjälp av vad som upplevs under den direkta kontakten. Kontakten kan ske utanför bolagets huvudkontor om man under denna kontakt vidtar åtminstone samma åtgärder för kundkännedom som i vanliga fall.
9.8. En affärsrelation kan upprättas utan direktkontakt (dvs. utan att vara på samma plats som kunden), förutsatt att ett sådant förfarande är formulerat i företagets arbetsordning.
9.9. Instanserna och förfarandet för upprättande av affärsrelationer utan direktkontakt ska anges i respektive förfaranderegler, inklusive åtgärder för efterföljande åtgärder för kundkännedom och hantering av relaterade risker. Förfarandereglerna för upprättande av affärsrelationer utan direktkontakt ska ange ett förfarande genom vilket det är möjligt att säkerställa att villkoren i lagen om förhindrande av penningtvätt och finansiering av terrorism uppfylls. Förfarandereglerna ska innehålla minst följande:
9.9.1. En uppförandekod för att acceptera eller utföra betalningsinstruktioner innan alla åtgärder för kundkännedom tillämpas;
9.9.2. En uppförandekod i en situation där identifiering av personen och annan information sker med hjälp av elektroniska identifieringsmedel;
9.9.3. Uppförandekoden för en situation där de nödvändiga åtgärderna för kundkännedom inte kan tillämpas (en person kan inte identifieras inom den föreskrivna tidsfristen), vilket leder till att kundens avsiktsförklaringar inte kan godtas;
9.9.4. en uppförandekod i en situation där det säkerställs att internationella betalningar inte kan göras om en person identifieras digitalt och att transaktions- och tjänstebaserade belopp inte överstiger en förutbestämd gräns per år, och
9.9.5. En uppförandekod för att avsluta en affärsrelation som upprättats utan direkt kontakt.
9.10. Vid upprättande av en affärsrelation utan direkt avtal kan följande användas för att kontrollera uppgifter som lämnats för att identifiera en person:
9.10.1. en notariell eller bestyrkt kopia av en identitetshandling som lämnas in skriftligen eller elektroniskt;
9.10.2. elektroniska identifieringsmetoder för att kontrollera den elektroniska signaturens och certifikatets giltighet, och
9.10.3. Uppgifter som samlas in av företaget och/eller offentliga databaser i syfte att verifiera den personliga identifieringskoden, registerkoden och uppgifterna för företagets representanter och adressen. Företaget kan använda andra läsbara dokument för att identifiera en person, inklusive certifiering av andra kreditinstitut, notarier, utländska beskickningar, offentliga myndigheter och utländska affärspartner.
9.11. För att ingå ett långsiktigt avtal med bolaget förutsätts en lämplig inställning hos parterna, till följd av vilken bolaget ska fastställa begränsningar i sin arbetsordning i syfte att undvika onödiga risker och säkerställa att respektive förhållande upprättas vid lämplig tidpunkt och på lämplig plats. Vid affärsförbindelser som upprättas utan direkt kontakt ska man inte bara ta hänsyn till de risker som är förknippade med en enskild transaktion, utan även till alla liknande transaktioner och tjänsten som helhet samt deras inverkan på institutionell nivå.
9.12. Syftet med tillämpningen av åtgärder för kundkännedom är inte bara att identifiera kunden. Med tillräcklig tillämpning av åtgärder för kundkännedom avses en situation där bland annat kundens risknivå fastställs.
9.13. Vid extraordinärt avslutande av en affärsförbindelse på grund av skäl som följer av lagen om förhindrande av penningtvätt och finansiering av terrorism får olika tidsfrister för tillhandahållande av tjänster (framför allt begränsningar av att göra transaktioner) och avslutande av en affärsförbindelse (långfristigt avtal) fastställas. Vid extraordinärt avslutande av en affärsförbindelse ska det i företagets interna rutiner fastställas ett förfarande för den efterföljande användningen av kundens tillgångar (t.ex. genom att tillåta att en betalning görs till ett konto hos ett kreditinstitut i en annan avtalsslutande stat inom Europeiska ekonomiska samarbetsområdet eller i ett likvärdigt tredje land). Inga utbetalningar i kontanter är tillåtna.
10. Åtgärder för kundkännedom
10.1. Åtgärder för kundkännedom ska också tillämpas vid misstanke om penningtvätt eller finansiering av terrorism eller om bolaget tvivlar på riktigheten av de dokument eller andra uppgifter som en kund lämnat in, dvs. när omständigheter som avviker från vanligt beteende och som hänvisar till förekomsten av riskfaktorer med inverkan blir uppenbara i en kunds handlingar. Åtgärder för kundkännedom ska också tillämpas i en situation där det är rimligt att
anta att den kan utgöra penningtvätt eller finansiering av terrorism eller om bolaget inte är övertygat om att de vidtagna åtgärderna är tillräckliga. Förteckningen över åtgärder för kundkännedom som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism innehåller minimikriterier och är tvingande. Bolaget ska också vidta andra åtgärder för kundkännedom som inte har föreskrivits i lag, med tanke på kundens verksamhetsområde eller region samt transaktionens egenskaper och de därmed sammanhängande riskerna.
10.2. Bolaget ska, utöver de åtgärder för kundkännedom som föreskrivs i lag, göra en omfattande utvärdering av innehållet i och syftet med kundens transaktioner och handlingar, och förlita sig på de allmänt erkända yrkeskunskaper som är karakteristiska för kreditinstitut och finansinstitut för att identifiera en eventuell koppling mellan en transaktion, ett steg eller medel och penningtvätt eller finansiering av terrorism.
10.3. Bolaget har i tillräcklig utsträckning tillämpat åtgärder för kundkännedom i enlighet med 20 § 1 mom. 1 punkten i lagen om förhindrande av penningtvätt och av finansiering av terrorism, om det är övertygat om att det i tillräcklig utsträckning har tillämpat den skyldighet som följer av den nämnda bestämmelsen. Principen om rimlighet beaktas vid bedömningen av övertygelsen.
11. Identifiering av kunder
11.1. KYC-principen (Know-Your-Customer) ska följas vid identifiering av kunden. Denna princip innebär att förutom personen även verksamhetsprofilen, syftet med verksamheten, den verkliga ägaren till personen som potentiell kund och, vid behov, källan och ursprunget till de medel som används i transaktionerna samt annan liknande information som är väsentlig för att etablera en affärsrelation ska identifieras. Vid transaktioner ska kunden identifieras och transaktionernas överensstämmelse ska bedömas utifrån kundens huvudsakliga verksamhetsområden och tidigare betalningsbeteende.
11.2. I linje med det riskbaserade tillvägagångssättet ska bolaget bland annat välja lämplig räckvidd för KYC-principen.
11.3. Företaget ska identifiera kunden och den faktiska ägaren inom en rimlig tidsperiod innan stegen för att ingå ett långfristigt avtal påbörjas eller under ingåendet av avtalet. En person som deltar i transaktionen ska identifieras innan stegen för ingående av ett långfristigt kontrakt påbörjas eller medan kontraktet ingås.
11.4. All information och alla handlingar som rör fastställande av identitet ska bevaras på ett sätt som gör det möjligt att fullt ut och utan oskäligt dröjsmål besvara relevanta förfrågningar från finansunderrättelseenheten, utredningsorganet eller domstolen. För detta ändamål ska bolaget inrätta ett system som med hänsyn till verksamhetens särdrag gör det möjligt att snabbt hämta från databaser och dokument den information eller de dokument som krävs för identifiering av kunden eller den person som deltar i transaktionen.
11.5. Identifiering och verifiering av personer vid upprättandet av en affärsrelation är obligatoriska vid användning av alla finansiella tjänster, oavsett om ett långsiktigt avtal ingås med den person som deltar i transaktionen eller inte, varvid hänsyn tas till de undantag som följer av lagen om förhindrande av penningtvätt och finansiering av terrorism.
12. Allmänna krav på identifiering av en person när en affärsförbindelse inleds
12.1. Fastställandet och kontrollen av en individs (en fysisk persons) identitet ska i regel ske i ett enda steg på grundval av en identitetshandling. Adress, verksamhetsprofil, yrke och verksamhetsområde, syfte och kännetecken för upprättandet av en affärsförbindelse, faktisk ägare (vid behov) och annan liknande information som är väsentlig för upprättandet av en affärsförbindelse ska identifieras utöver identifiering av personen.
12.2. En person ska identifieras på grundval av en identitetshandling i enlighet med 21 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism. En handling som lämnas in till bolaget för identifiering ska bedömas enligt följande:
12.2.1. Dokumentets giltighet baserat på utgångsdatumet;
12.2.2. personens yttre likhet och ålder stämmer överens med utseendet på den person som representeras i dokumentet,
12.2.3. den personliga identifieringskoden stämmer överens med den inlämnande personens kön och ålder, och
12.2.4. När det gäller uppgifter i koder som tilldelats personer från ett främmande land ska utländska beskickningar eller andra behöriga myndigheter konsulteras om det råder tvivel om handlingens eller identitetens äkthet.
12.3. En kopia av sidan med personuppgifter och foto ska göras av identitetshandlingen i enlighet med 21 § i lagen om förhindrande av penningtvätt och finansiering av terrorism. Den kopia som görs av dokumentet ska vara av en kvalitet som
så att uppgifterna på den kan läsas tydligt. Alla uppgifter som anges i lag ska registreras.
12.4. Bolaget ska registrera personens yrke och adress i samband med identifiering och verifiering av identiteten på grundval av personens redogörelser och en elräkning som personen tillhandahåller. När det gäller bostadsorten är det inte den adress som registrerats i befolkningsregistret eller något annat liknande register som är viktig, utan personens permanenta eller primära bostadsort. Om det är svårt att fastställa en persons permanenta bostadsort (t.ex. om personens bostadsort inte kan identifieras eller om det finns flera av dem) ska personens vanliga vistelseort identifieras. Ett postboxnummer eller en poste restante-adress kan inte betraktas som en stadigvarande bostad.
12.5. Vid identifiering av en persons permanenta hemvist eller vanliga vistelseort är det också nödvändigt att registrera adressen till den plats dit bolaget kan skicka meddelanden på papper.
12.6. Utöver adressen till den enskildes bostadsort kan företaget registrera andra kontaktuppgifter, inklusive e-postadress, telefonnummer, Facebook-konto, Skype-konto och andra liknande uppgifter, och komma överens om att information lämnas via dessa telekommunikationskanaler.
12.7. Fastställande av verksamhetsområde, arbete eller yrke ger företaget möjlighet att bedöma om affärsförbindelsen eller transaktionerna är förenliga med kundens normala deltagande i handeln och om affärsförbindelsen eller transaktionen har en tydlig ekonomisk orsak. För att förhindra att olagligt förvärvade medel rör sig måste kundens verksamhetsprofil identifieras när en affärsrelation etableras. I detta syfte måste kundens huvudsakliga arbets- och verksamhetsområden och eventuella betalningsvanor identifieras. Det är viktigt att uppmärksamma de personer som kunden ingår transaktioner med och deras säte.
12.8. Vid identifiering av en person ska det identifieras om personen är en politiskt utsatt person.
12.9. Alla uppgifter och referenser som krävs för att identifiera en person ska verifieras med hjälp av tillförlitliga och oberoende informationskällor (t.ex. nationella register, myndigheter, kreditinstitut, databaser för efterlevnad eller på grundval av dokument och annan information som certifierats av andra relevanta myndigheter). Bolaget ska, innan det ingår transaktioner eller vidtar åtgärder med den person som ska identifieras, försäkra sig om att den information som erhållits på detta sätt är tillräcklig. I sådana fall ska en anteckning om detta göras på de kopior som bekräftar att
identifiering, och därefter ska det omedelbart kontrolleras att uppgifterna och dokumenten är lagliga.
12.10. Identifiering eller rekommendation av en person från bolagets chefer, andra kunder eller affärspartners kan bidra till identifiering av kunden, men respektive rekommendationer ersätter inte de identifieringskrav som ingår i lagen om förhindrande av penningtvätt och finansiering av terrorism eller befriar bolaget från att uppfylla kraven.
12.11. Även om företaget känner kunden personligen eller om kunden är en offentlig person kan man inte bortse från det interna identifieringsförfarande som föreskrivs i lagen. Identiteten hos de offentliga personer och personer som är direkt eller indirekt relaterade till dem och som vänder sig till företaget för att utföra transaktioner eller vidta åtgärder ska kontrolleras.
12.12. När det gäller personer vars aktiva rättskapacitet är begränsad (inklusive minderåriga) ska företaget också följa identifieringsförfarandet. Vid identifiering av minderårigas personuppgifter ska företaget, utöver de instruktioner som ges i dessa riktlinjer och bestämmelserna i lagen om förhindrande av penningtvätt och finansiering av terrorism, följa bestämmelserna i den allmänna delen av civillagen och familjelagen. Utöver personuppgifter om en person med begränsad aktiv rättskapacitet ska personuppgifter om den lagliga företrädaren (förälder(ar) eller vårdnadshavare) kontrolleras.
12.13. Företaget ska regelbundet uppdatera kundens personuppgifter och verksamhetsprofil och se till att de är aktuella och baserade på kundens risknivå.
13. Politiskt utsatta personer (PEP)
13.1. Företaget ska fastställa interna förfaranden för att avgöra om en potentiell kund eller dess verkliga ägare är en politiskt utsatt person i en avtalsslutande stat i Europeiska ekonomiska samarbetsområdet eller i ett tredjeland, en inhemsk politiskt utsatt person eller en person som är eller har anförtrotts en framträdande funktion av en internationell organisation.
13.1.1. Företaget ska identifiera nära medarbetare och familjemedlemmar till politiskt utsatta personer endast om deras koppling till en person som utför betydande offentliga uppdrag är känd för allmänheten eller om företaget har anledning att tro att en sådan koppling finns.
13.1.2. När det gäller politiskt utsatta personer ska företaget vidta följande åtgärder utöver relevanta åtgärder för kundkännedom:
13.1.2.1. begära nödvändig information från kunden, inkl. vidta omedelbara åtgärder för att identifiera källorna till förmögenhet och medel som används inom ramen för affärsrelationen eller transaktionen;
13.1.2.2.2. samla in uppgifter eller göra en förfrågan i respektive databaser eller offentliga databaser;
13.1.2.3. göra en förfrågan eller verifiera information på webbsidorna för de relevanta tillsynsmyndigheterna eller institutionerna i det land där kunden eller personen befinner sig.
13.2. Inrättandet av en affärsförbindelse med en politiskt utsatt person ska beslutas av den politiskt utsatta personens styrelse eller den eller de personer som styrelsen har bemyndigat. Om en affärsförbindelse med en kund har upprättats och kunden eller den faktiska ägaren senare visar sig vara eller blir en politiskt utsatt person, ska styrelsen (eller personer som styrelsen har bemyndigat) informeras.
13.3. Bolaget ska utöva regelbunden förstärkt tillsyn i affärsrelationer som upprättats med en politiskt utsatt person (utom i de fall som föreskrivs i lag).
13.4. Regelbunden tillsyn ska också utövas av bolaget efter det att en politiskt utsatt person har upphört att vara en politiskt utsatt person om bolaget utifrån den riskbaserade metoden anser att personen fortfarande medför en högre risk.
14. Identifiering av den fysiska personens verkliga ägare
14.1. Vid identifiering av en enskild person ska företaget, i händelse av tvivel, även identifiera den verkliga ägaren till personen, dvs. den person som kontrollerar personens handlingar.
14.2. Ett tvivel om förekomsten av en faktisk betalningsmottagare kan framför allt uppstå om företaget uppfattar, efter att ha tillämpat åtgärder för kundkännedom, att personen har påverkats att etablera affärsrelationen eller ingå transaktionen. I en sådan händelse ska den person som utövar kontroll över den fysiska personen anses vara den fysiska personens faktiska betalningsmottagare.
14.3. Det ska beaktas att omfattningen av kundkännedom, inklusive vid identifiering av den verkliga ägaren, är relaterad till risken för penningtvätt och finansiering av terrorism, vilket beror på typen av kund, dess ursprungsland, affärsrelation, produkt, tjänst eller transaktion.
15. Civilrättsliga partnerskap och andra avtalsföreningar
15.1. Vid identifiering av civilrättsliga partnerskap ska alla medlemmar i partnerskapet eller deras företrädare identifieras på de grunder som gäller för enskilda personer. Partnerskapets verkliga ägare ska identifieras.
15.2. När det gäller civilrättsliga partnerskap ska syftet med deras verksamhet och vid behov ursprunget för de medel som används identifieras. Därvid kan man bland annat förlita sig på klargöranden och uttalanden som ges av partnerskapets företrädare. Bolaget ska försäkra sig om att partnerskapets användning av medel motsvarar de verksamhetsändamål som det tidigare uppgett.
15.3. Uppgifter om partnerskapsmedlemmarna och deras företrädare ska bevaras och regelbundet uppdateras.
16. Allmänna krav på identifiering av den juridiska enheten vid upprättandet av en affärsförbindelse
16.1. Vid identifiering av juridiska personer ska företagsnamn, registerkod, säte och verksamhetsställe, information om juridisk form, passiv rättskapacitet, företrädare (lagliga företrädare och de som är behöriga att företräda den juridiska personen inför Bolaget) och verkliga ägare identifieras. Även verksamhetsprofilen, affärspartner, syfte med verksamheten, syfte med etableringen och egenskaperna hos affärsrelationerna samt annan liknande information som krävs för att etablera affärsrelationer ska identifieras.
16.2. När man fastställer en juridisk enhets säte ska både teorin om stiftelselandet och teorin om sätet användas för att identifiera om den juridiska enheten kan medföra landrisker och geografiska risker.
16.3. En juridisk persons verksamhetsställe ska fastställas på grundval av faktiska omständigheter, dvs. där produktionen är baserad eller en tjänst tillhandahålls.
16.4. Identifiering och kontroll av en juridisk persons identitet och passiva rättskapacitet ska i regel ske på grundval av uppgifter i handelsregistret (i Kazakstan) eller ett annat likvärdigt register eller en kopia av registreringsbeviset eller en likvärdig handling (t.ex. i
länder där det inte finns något nationellt register, stiftelsehandlingar som bestyrkts av en
notarius publicus anses likvärdig) som lämnas in i enlighet med det förfarande som föreskrivs i lagen. Handlingar som utfärdats av ett register eller motsvarande ska ha utfärdats tidigast sex månader innan de lämnas in till bolaget.
16.5. Handlingar som utfärdats i en främmande stat ska legaliseras eller apostilleras, dvs. för att en officiell handling som utfärdats i ett land ska kunna användas i ett annat land ska ett internationellt erkänt intyg om handlingens äkthet ges i ett annat land.
16.5.1. Handlingar som utfärdats av EU:s myndigheter och tjänstemän kräver ingen legalisering eller apostille.
16.5.2. För att legaliseras ska en handling gå igenom legaliseringsmyndigheterna i den utfärdande staten samt i den mottagande staten (vanligtvis utrikesministerier).
16.6. Vid identifiering behöver juridiska personer inte lämna in ett utdrag ur sin registrering om företaget i erforderlig omfattning via datanätet har tillgång till uppgifter i handelsregistret eller registret över ideella organisationer och stiftelser (inklusive tillgång till uppgifter i respektive register i det utländska landet).
16.7. När en juridisk person har identifierats ska bolaget registrera namnen på den juridiska personens verkställande direktör eller medlemmarna i dess styrelse eller annat organ som ersätter den, deras befogenheter att företräda den juridiska personen och den juridiska personens huvudsakliga verksamhetsområde. Om dessa uppgifter inte framgår av registerutdraget eller någon annan relevant handling ska den relevanta informationen inhämtas genom att använda andra handlingar och/eller tillförlitliga informationskällor.
16.8. Behovet av användning, kriterierna för användning och/eller förteckningen över tillförlitliga informationskällor ska specificeras av bolaget (t.ex. får information som utfärdats av nationella register, offentliga myndigheter, kreditinstitut, Kazakstans utländska beskickningar och utländska beskickningar i Kazakstan användas).
16.9. Företaget ska identifiera förekomsten av politiskt utsatta personer med anknytning till den juridiska enheten. Om inga motsvarande länkar förekommer i den information om en politiskt utsatt person som erhållits från den juridiska enhetens företrädare ska en förfrågan göras till respektive databas vid misstanke.
16.10. När det gäller internationella organisationer ska de dokument som ligger till grund för deras verksamhet (även i Kazakstan) fastställas och det ska begäras att relevanta dokument lämnas in. Vid behov ska de uppgifter som krävs för att etablera affärsförbindelserna och som finns i dokumenten
kontrolleras.
17. Myndighet
17.1. Företaget ska kontrollera om personen agerar för egen räkning eller för en annan (fysisk eller juridisk) persons räkning. Om personen agerar för en annan persons räkning ska företaget också identifiera den person för vars räkning transaktionerna utförs.
17.2. De handlingar som krävs för att identifiera en juridisk enhet ska lämnas in av enhetens lagliga företrädare eller auktoriserade representant. Företaget ska försäkra sig om att rätten till representation är förenlig med lagstiftningen. Om de inlämnade dokumenten inte visar att den person som lämnar in dem har rätt att företräda företaget och/eller om behörigheten inte är förenlig, kan identifieringsprocessen (och därmed även upprättandet av affärsrelationen eller utförandet av transaktionen) inte fortsätta.
17.3. Företaget ska fastställa grunden, omfattningen och löptiden för representantens rätt till representation. Företrädaren ska uppmanas att lämna in ett dokument som styrker rätten till representation. Ytterligare uppmärksamhet ska ägnas åt kontrollen av identiteten och rätten till representation för behöriga ombud som är verksamma eller bosatta i en annan jurisdiktion än den juridiska personens jurisdiktion eller vars rätt till representation är giltig i mer än ett år.
17.4. Förtydligande ska eftersträvas om omfattningen av den representationsrätt som ges till den auktoriserade representanten (t.ex. om det rör sig om en engångstransaktion eller återkommande transaktioner under en viss period). Företaget ska ta del av villkoren för den representationsrätt som beviljats den auktoriserade representanten och tillhandahålla tjänster endast i den omfattning som representationsrätten omfattar. 17.5. Bolaget ska begära att företrädaren för en juridisk person från ett annat land lämnar in handlingar som styrker deras rätt till representation, som är notariellt bestyrkta eller bestyrkta på motsvarande sätt och legaliserade eller bestyrkta med apostille, såvida inte annat föreskrivs i ett internationellt avtal eller kan verifieras genom andra tillförlitliga källor.
17.6. Vid handläggning av rätten till representation för behöriga och lagliga företrädare ska det säkerställas att företrädaren känner sin kund. För att identifiera den verkliga karaktären av relationerna mellan företrädaren och den företrädda parten ska företrädaren känna till innehållet och syftet med den företrädda partens avsiktsförklaringar och kunna besvara andra relevanta frågor om säte för verksamheten, verksamhetsområden, försäljning och
transaktionspartners, andra närstående personer och verkliga ägare. Dessutom ska företrädaren med sin namnteckning bekräfta att han eller hon är medveten om och övertygad om följande
Källan och det juridiska ursprunget för de medel som används i den företrädda enhetens transaktion.
18. Identifiering av den verkliga ägaren
18.1. När en juridisk person har identifierats ska bolaget registrera den verkliga ägaren till enheten.
18.2. I en situation där ingen person innehar eller identifierbart kontrollerar mer än 25 % kommer kretsen av verkliga ägare att identifieras i enlighet med proportionalitetsprincipen, enligt vilken information ska begäras om aktieägare, delägare och andra personer som utövar kontroll eller annat betydande inflytande över den juridiska personens verksamhet.
18.3. Om identifikationshandlingarna för en juridisk person eller andra inlämnade handlingar inte anger enhetens verkliga ägare, ska relevant information (inklusive information om medlemskap i företagsgruppen och företagsgruppens ägar- och ledningsstruktur) registreras på grundval av uttalanden eller ett handskrivet dokument från enhetens representant.
18.4. För att kontrollera information som identifierats på grundval av uttalanden eller ett handskrivet dokument ska rimliga åtgärder vidtas (t.ex. genom att en förfrågan lämnas in till relevanta register) och den juridiska personens årsredovisning eller annan relevant handling ska begäras in.
18.5. Bolaget får använda ett riskbaserat tillvägagångssätt och vidta tillräckliga åtgärder för att kontrollera den faktiska betalningsmottagarens identitet i syfte att säkerställa vem den faktiska betalningsmottagaren i affärsrelationen eller transaktionen är. När det gäller efterlevnaden av detta krav har bolaget flera alternativ att ta ställning till:
18.5.1. i vilken utsträckning offentlig information om aktieägare eller medlemmar kommer att användas;
18.5.2. i vilken utsträckning relevant information kommer att begäras muntligt eller för att registrera erhållen information skriftligt eller i en form som kan återges skriftligt;
18.5.3. I dessa fall kommer kunden att uppmanas att fylla i ett frågeformulär, eller
18.5.4. vilka andra alternativ som kan användas och som är genomförbara i bolagets fall.
18.6. Det ska beaktas att omfattningen av kundkännedom med avseende på kunden (inkl. identifiering av den verkliga ägaren) är relaterad till risken för penningtvätt och finansiering av terrorism, vilket beror på typen av kund, deras ursprungsland, affärsrelation, produkt, tjänst och transaktion.
18.7. Större uppmärksamhet ska ägnas åt företag som är grundade i territorier med låg skattesats och vars verkliga ägare ofta är svåra att identifiera.
18.8. Bolaget kan betrakta en person som utövar kontroll på annat sätt, utan att ha ett aktieinnehav på 25 % i bolaget, som den verkliga ägaren. Denna situation uppstår när bolaget misstänker att en tredje part vars kopplingar till ett bolag inte kan bevisas juridiskt eller är svåra att bevisa utövar kontroll över ledningen av en juridisk person.
19. Krav för identifiering av utländska juridiska personer
19.1. Vid identifiering av juridiska personer som inte är hemmahörande ska företaget i största möjliga utsträckning uppfylla samma krav som vid identifiering av kunder som är hemmahörande, med beaktande av de specifikationer som följer av den icke hemmahörande kundens ursprungsland och juridiska form. På grund av skillnader i rättsliga bestämmelser i olika länder ska företagets arbetsordning också innehålla detaljerade krav och riktlinjer för identifiering av den juridiska personens passiva rättskapacitet med hjälp av andra dokument och/eller tillförlitliga informationskällor.
19.2. Vid identifiering av den passiva rättskapaciteten hos en icke hemmahörande juridisk person och vid hantering av handlingar som intygar representanternas befogenheter ska det kontrolleras om handlingarna uppfyller de krav som fastställs i kazakisk lagstiftning när det gäller legalisering av utländska handlingar.
19.3. På grund av skillnader i de rättsliga bestämmelserna i olika länder ska Bolaget framför allt vara uppmärksam på bolag som grundats i länder eller territorier med låg skattesats, eftersom det inte alltid är helt klart om de har passiv rättskapacitet. I många länder är normerna för identifiering av en kund och registrering och bevarande av dokument lägre än i Kazakstan, vilket gör att särskild uppmärksamhet ska ägnas åt innehållet i dokumenten från de företag som är registrerade i sådana länder och åt sättet att lämna in dem.
19.4. Särskild uppmärksamhet skall ägnas åt information och dokument som lämnas in i
När det gäller personer vars ursprungsland finns med på FATF:s förteckning över länder som inte i tillräcklig utsträckning bidrar till att förhindra penningtvätt. Bolaget skall
undvika affärsförbindelser med personer som har sin hemvist eller är belägna i ett land som är upptaget i FATF:s förteckning över högriskländer och icke-samarbetsvilliga länder. Förteckningen finns på följande adress: https://www.fatf-gafi.org/countries/#highrisk
19.5. Om det rör sig om handlingar på främmande språk har företaget rätt att begära en översättning av handlingarna till ett språk som det förstår. Användning av översättningar bör undvikas i en situation där originaldokumenten har upprättats på ett språk som företaget förstår.
20. Allmänna krav på tillämpning av åtgärder för kundkännedom vid genomförande av transaktioner
20.1. Utöver upprättandet av en affärsrelation ska åtgärder för kundkännedom också vidtas om:
20.1.1. vid alla typer av transaktioner, inkl. vid ett erbjudande i samband med tillhandahållande av en rådgivningstjänst vars pris överskrider den gräns som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism. Därmed är det irrelevant om penningförpliktelsen fullgörs genom kontant eller kontantlös avveckling;
20.1.2. beloppet för en enskild transaktion eller det totala beloppet för flera på varandra följande transaktioner överskrider den gräns som föreskrivs i lag (eller i bolagets interna procedurregler). Skyldigheten ska fullgöras vid tillfälliga transaktioner som görs av en icke-kund;
20.1.3. företaget tvivlar på att de uppgifter som samlats in vid upprättandet av affärsförhållandet är korrekta eller tillräckliga och om den andra partens agerande inte är normalt eller öppet samt om företaget misstänker penningtvätt eller finansiering av terrorism, och
20.1.4. Företaget misstänker inte penningtvätt eller finansiering av terrorism enligt lagen om förhindrande av penningtvätt och finansiering av terrorism och har ingen rapporteringsskyldighet enligt lagen om förhindrande av penningtvätt och finansiering av terrorism, men transaktionen är komplex och ovanligt stor eller transaktionssystemet är ovanligt och har inte ett uppenbart ekonomiskt eller juridiskt syfte.
20.2. Företaget ska ständigt bedöma förändringar i kundens verksamhet och om dessa kan höja risknivån så att ytterligare kundkännedomskrav kan ställas.
åtgärder måste vidtas.
20.3. Tillämpningen av åtgärder för kundkännedom kräver också att det finns respektive övervakningssystem vars syfte är att upptäcka att transaktionsgränsen överskrids eller att det finns riskfaktorer och att informera lämpliga personer om detta i syfte att identifiera misstänkta eller ovanliga transaktioner. Om bolaget får misstanke om penningtvätt i samband med övervakningen av transaktioner ska FIU informeras om detta.
21. Följande transaktioner
21.1. Uppföljningen av ovanliga och misstänkta transaktioner är en viktig del av den uppsättning åtgärder för kundkännedom som tillämpas av finansinstitut och gör det möjligt att identifiera omständigheter som kan tyda på penningtvätt eller finansiering av terrorism i kundernas ekonomiska verksamhet. Syftet med att följa en kunds transaktioner är också att identifiera transaktioner med personer som omfattas av internationella sanktioner och politiskt utsatta personer samt att upptäcka och anmäla transaktioner vars gränsvärde eller andra parametrar överskrider det föreskrivna värdet under en viss tidsperiod.
21.2. Åtgärder som följer transaktioner kan delas upp i två. Man kan använda åtgärder som gör det möjligt att, utifrån parametrar eller egenskaper som utvecklats med hjälp av företagets tidigare arbetserfarenhet, följa transaktioner i realtid samt analysera dem i efterhand.
21.3. Screening
21.3.1. Vid uppföljning av transaktioner i realtid observerar kundansvariga eller andra anställda, när de utför sina uppgifter, kundens beteende och transaktioner i syfte att upptäcka ovanliga eller misstänkta transaktioner eller transaktioner som överskrider de föreskrivna gränserna.
21.3.2. Vid uppföljning av transaktioner i realtid ska informationstekniska verktyg som med hjälp av fördefinierade parametrar väljer ut transaktioner som gjorts under en viss period användas. Urvalsparametrarna beror på informationstekniska möjligheter och fastställda mål. Det som ska identifieras är följande:
21.3.2.1. Politiskt utsatta personer som deltar i transaktioner;
21.3.2.2. Transaktioner med personer vars namn, födelsedatum etc. stämmer överens med uppgifter som offentliggörs i förteckningar över personer som omfattas av internationella sanktioner;
21.3.2.3. Transaktioner med personer vars verksamhets- eller ursprungsland finns med på förteckningen över länder med högre risk för terrorism, och personer vars transaktioner är föremål för tillfällig engångsövervakning.
21.4. Övervakning av
21.4.1. Vid övervakning av transaktioner ska åtgärder vidtas för att kontrollera att den information som krävs om betalaren vid penningöverföring lämnas in. För att bidra till att upptäcka misstänkta transaktioner ska betaltjänstleverantörerna vidta åtgärder för att upptäcka avsaknaden av information om betalaren i betalningsinstruktioner.
21.4.2. Med hjälp av övervakningssystem ska mottagarens betaltjänstleverantör kontrollera om de fält i rapporterings- eller betalnings- och avvecklingssystemet som används för att genomföra transaktionen har fyllts med de symboler eller inmatningar som används i rapporterings- eller betalnings- och avvecklingssystemet när det gäller information om betalaren.
21.4.3. Med hjälp av övervakningssystem ska betalningar med otillräckliga uppgifter om betalaren (inkl. betalarens namn, adress och kontonummer) identifieras bland betalarens betaltjänstleverantörs betalningar. Därigenom kan betalarens adress ersättas med betalarens födelsedatum och födelseort, kundnummer eller personlig identifieringskod, och om betalaren inte har något kontonummer ska betalarens betaltjänstleverantör ersätta det med ett unikt kännetecken med vars hjälp betalaren kan identifieras.
21.4.4. I syfte att analysera transaktioner i efterhand (övervakning) kan man analysera transaktioner som separerats från mängden transaktioner på grundval av fördefinierade parametrar. Transaktioner som det inte är möjligt att ingripa i under utförandet (t.ex. transaktioner som görs via en bankomat) är huvudobjektet för övervakning. Vid efterföljande övervakning av transaktioner analyseras dessutom de största transaktionerna utifrån summa, valuta och kundtyp under en viss period. Nedan följer en förteckning över typiska parametrar på grundval av vilka transaktioner kan väljas ut för övervakning:
21.4.4.1. Enstaka stora internationella betalningar (t.ex. där summan slutar med minst fyra nollor);
21.4.4.2. internationella betalningar vars beskrivning innehåller orden "lån", "insättning", "återbetalning" osv;
21.4.4.4.3. Konton (för fysiska och juridiska personer) med den största omsättningen under den granskade perioden baserat på valutor (för fysiska och juridiska personer).
21.4.4.4.4. De största transaktionerna (för fysiska och juridiska personer) under den granskade perioden (för fysiska och juridiska personer) baserat på olika valutor;
21.4.4.5. Transaktioner som görs via en bankomat och som överskrider en viss gräns under den granskade perioden;
21.4.4.6. Kontantuttag i ett bankkontor baserat på valutor samt fysiska och juridiska personer som överskrider en viss gräns;
21.4.4.7. Enstaka transaktioner som överskrider gränsen och som görs av kunder med liten omsättning;
21.4.4.8. Plötslig ökning av omsättningen hos innehavare av korrespondentbank- och VOSTRO-konton;
21.4.4.9. Transaktioner med personer vars verksamhets- eller ursprungsland finns med på listan över länder med högre risk för terrorism;
21.4.4.10. betalningar till högriskländer, 21.4.4.11. betalningar till riskfyllda banker, och
21.4.4.12. transaktioner för specifika kunder eller kundtyper.
21.5. Om mottagarens betaltjänstleverantör konstaterar att den nödvändiga informationen om betalaren saknas eller är ofullständig vid mottagandet av en betalning, ska mottagaren vägra transaktionen eller begära fullständig information om betalaren.
21.6. Om kunden regelbundet inte kan ge begärd information om betalaren ska företaget vidta åtgärder som bland annat innebär att ge varningar och fastställa tidsfrister. Därefter kan mottagaren vägra att ingå transaktioner med kunden eller begränsa eller avsluta affärsrelationen med kunden.
22. Beteende vid misstanke om penningtvätt och uppfyllande av rapporteringsskyldigheten
22.1. I en situation där bolaget, på grundval av dokument som samlats in under tillämpningen av åtgärder för kundkännedom, utvecklar en misstanke om penningtvätt eller finansiering av terrorism vid upprättandet av en affärsrelation eller vid tillfälliga transaktioner, ska bolaget inte upprätta affärsrelationen eller göra den tillfälliga transaktionen.
22.2. Om ovanliga omständigheter eller omständigheter som gör att en anställd i bolaget misstänker penningtvätt eller finansiering av terrorism blir uppenbara i relationer med en kund, ska den compliance officer som utsetts av ledningen/styrelsen omedelbart informeras om detta och compliance officer ska besluta om omedelbar vidarebefordran av informationen till FIU och behovet av att skjuta upp eller vägra att genomföra transaktionen. I en situation som innebär en hög risk för penningtvätt eller finansiering av terrorism kan en anställd i företaget besluta att skjuta upp transaktionen och därefter informera compliance officer om situationen.
22.2.1. Bakgrunden till varje enskilt misstänkt eller ovanligt fall ska undersökas så mycket som rimligen är nödvändigt, varvid transaktionens detaljer ska registreras och omständigheterna analyseras i syfte att identifiera de typiska dragen hos mer frekventa transaktioner.
22.2.2. De viktigaste omständigheterna som bör uppmärksammas när misstänkta och ovanliga transaktioner analyseras är följande:
22.2.2.1. Vad är misstänkt i åtgärderna, transaktionerna eller de andra omständigheterna?
22.2.2.2. Är företaget övertygat om att det känner sin kund tillräckligt väl eller är det nödvändigt att samla in ytterligare information om kunden?
22.2.2.3. När företaget vidtar en åtgärd eller genomför en transaktion som innebär att identifiera en kund eller kundens representant ska företaget se till att följa det föreskrivna förfarandet. Har all erforderlig information lämnats in eller har ytterligare information behövt begäras eller på annat sätt klargjorts?
22.2.2.4. Har det förekommit upprepade fall av misstänkta steg och transaktioner?
22.3. Om uppskjutandet av en transaktion skulle kunna orsaka betydande förluster för parterna, om det är omöjligt att låta bli eller om det kan förhindra att den potentiella gärningsmannen för penningtvätt eller finansiering av terrorism grips, ska transaktionen eller den officiella handlingen utföras och därefter ska en rapport skickas till finansunderrättelseenheten.
22.4. I bolagets arbetsordning ska det fastställas en uppförandekod för bolagets personal när det gäller uppskjutande av en transaktion eller en officiell handling.
22.5. Bolagets arbetsordning ska fastställa både villkoren för vidarebefordran av information till finansunderrättelseenheten och för bevarande av den vidarebefordrade informationen.
22.6. Bolaget ska i en form som kan återges skriftligen bevara all information som erhållits från personalen om misstänkta eller ovanliga transaktioner och all information som samlats in för att analysera dessa rapporter och andra relaterade dokument samt alla rapporter som vidarebefordrats till FIU tillsammans med information om tidpunkten för vidarebefordran av rapporten och den anställde som vidarebefordrade den.
22.7. Ingen kund eller part som deltar i en transaktion (inklusive dess företrädare eller andra närstående parter) med avseende på vilken misstanke meddelas FIU får underrättas om detta.
22.8. Företaget ska omedelbart fullgöra rapporteringsskyldigheten. Syftet med omedelbar fullgörelse är att ge FIU möjlighet att utveckla misstankarna i enlighet med lagen om förhindrande av penningtvätt och finansiering av terrorism och förebyggande av penningtvätt och för att vidta egna åtgärder. Penningtvätt är en process där brottsvinster, framför allt finansiella tillgångar, kan överföras via kreditinstitut och finansiella institut i flera stater under en enda dag, och därför bidrar snabb rapportering till att spåra olagliga medel mer effektivt.
23. Relationer mellan korrespondenter
23.1. För att etablera en korrespondentrelation med ett kreditinstitut eller finansiellt institut i ett tredjeland ska bolaget inhämta samtycke från styrelsen och, i syfte att tillämpa utökade åtgärder för tillbörlig aktsamhet: samla in tillräcklig information om korrespondentinstituten för att fullt ut förstå karaktären och ryktet om institutets affärsverksamhet; även inhämta intyg om kvaliteten på utövandet av tillsynen över institutet. Varje eventuell koppling mellan korrespondentinstitutet och en misstanke om penningtvätt eller finansiering av terrorism, relevanta utredningsåtgärder eller sanktioner ska kontrolleras i offentliga källor, utvärdera institutets mekanismer för att förebygga penningtvätt och finansiering av terrorism och försäkra sig om att de är tillräckliga och effektiva, samt dokumentera båda parters skyldigheter/ansvar i korrespondentförhållandet när det gäller förebyggande av penningtvätt och finansiering av terrorism, inklusive utbyte av relevant information (ingående av ett relevant avtal).
23.2. I det avtal om en korrespondentrelation som ingås med ett kredit- och finansinstitut från ett tredjeland eller i det berörda bolagets arbetsordning ska parternas skyldigheter anges, inklusive villkoren för tillämpningen av åtgärder för kundkännedom på konton som ska betalas ut via betalningskonton, dvs. korrespondentkonton till vilka en tredje part har direkt tillgång för att genomföra transaktioner i sitt namn, när det gäller kunder med tillgång.
23.3. Bolaget får inte öppna ett korrespondentkonto i en så kallad skalbank eller i en bank där en skalbank har konton. Korrespondentkonton får inte öppnas i en bank där utvärderingen av chefernas tillförlitlighet och av åtgärder för att förhindra penningtvätt och finansiering av terrorism avslöjar brister med hänsyn till relevanta internationella standarder eller de omständigheter som ligger till grund för utvärderingen.
23.4. Bolaget får inte etablera en korrespondentrelation med ett institut eller företag i något annat tredjeland som inte är ett kreditinstitut eller finansiellt institut enligt kazakisk lag, men vars huvudsakliga och varaktiga affärsverksamhet är bankverksamhet.
24. Utländska dotterbolag och dotterföretag
24.1. Bolaget som är registrerat i Kazakstan tillämpar åtgärder för kundkännedom och krav på insamling och bevarande av information som minst motsvarar bestämmelserna i lagen om förhindrande av penningtvätt och finansiering av terrorism i alla utländska kontor, filialer och majoritetsägda dotterbolag till bolagen i konsolideringskoncernen, om sådana dotterbolag och filialer är grundade.
24.2. Om lagstiftningen i tredjelandet inte tillåter tillämpningen av likvärdiga åtgärder ska företaget tillämpa kompletterande åtgärder för att förhindra penningtvätt eller finansiering av terrorism.
24.3. Företag som bedriver verksamhet i flera olika länder, även i ett tredjeland, ska i sin verksamhet undvika att tillämpa standarder som skiljer sig åt mellan olika länder. Standarder som godkänts i Europeiska unionen ger vägledning.
25. Ändringar i uppförandekoden
25.1. Företaget ska från tid till annan se över dessa regler för att följa tillämplig lag.
BILAGA 1: Modell för riskbedömning i enlighet med punkt 9 i uppförandekoden för tillämpning av åtgärder för kundkännedom
I denna bilaga fastställs modellen för riskbedömning för tillämpningen av åtgärder för kundkännedom. Fyra kategorier som är förknippade med den person som deltar i transaktionen ska beaktas vid riskbedömningen:
I. Bostadsort eller säte för den person som deltar i transaktionen - landrisker och geografiska risker ska beaktas;
II. Parametrar som kännetecknar den person som deltar i transaktionen - kundrisken ska beaktas;
III. den ekonomiska verksamheten hos den person som deltar i transaktionen - produkt- och tjänsterisker ska beaktas, och
IV. transaktionspartners för den person som deltar i transaktionen och risker som är kopplade till dem - kundrisken för transaktionspartners för den person som deltar i transaktionen, lands- och geografiska risker samt produkt- och tjänsterisker ska beaktas.
Vid bedömningen av dessa risker ska varje riskkategori bedömas på en skala med tre poäng där:
Risken är låg
Det finns inga riskfaktorer av betydelse i någon riskkategori och kunden och kundens verksamhet är transparent och avviker inte från den verksamhet som en genomsnittlig, rimlig person som är verksam inom samma område bedriver. Därmed finns det ingen misstanke om att riskfaktorerna som helhet skulle kunna leda till att hotet om penningtvätt eller finansiering av terrorism förverkligas.
Risken är medelhög.
Det finns en riskfaktor eller flera riskfaktorer i riskkategorin som skiljer sig från verksamheten hos en person som är verksam inom samma område, men verksamheten är fortfarande transparent. Därmed finns det ingen misstanke om att riskfaktorerna på det hela taget skulle kunna leda till att hotet om penningtvätt eller finansiering av terrorism förverkligas.
Risken är hög
Det finns en eller flera egenskaper i riskkategorin som sammantaget undergräver insynen i personen och personens verksamhet, vilket gör att personen skiljer sig från en person som är verksam inom samma område.
Därmed är det åtminstone möjligt att realisera hotet om penningtvätt eller finansiering av terrorism.
Därefter ska poängen summeras och koefficienten 2 ska tilldelas kategori 4. Därefter ska det totala beloppet divideras med 4. Genomsnittet av kategorierna avgör om riskkategorin för den person som deltar i transaktionen är hög, medelhög eller låg. Exempel: Den person som deltar i transaktionen har sitt säte i Kazakstan. Det är ett inhemskt verksamt företag som tillhandahåller byggtjänster till kazakiska kunder.
Risknivå RiskkategoriLåg poäng -1Medelhög poäng -2Hög poäng -3Koeffic ientInverkan på risknivån
1. Bostadsort eller säte för den person som deltar i transaktionen.
2. Parametrar som kännetecknar den person som deltar i transaktionen
3. Ekonomisk verksamhet för den person som deltar i transaktionen
Genomsnittlig
111 111 111
N/A N/A N/A N/A N/A N/A 1,25
4. Transaktionspartners för personer som deltar i transaktionen och personer som är relaterade till dem.1
22
Om genomsnittet av kategorierna är under 2 bör det noteras att kunden inte kan ha en låg riskkategori om minst en av kategorierna har en hög risk. Kundens totala riskkategori är också hög om en riskfaktor som sådan kräver detta.
Parameters of determining customer's risk level: the customer's risk level is low – x < 2
the customer's risk level is medium – 2 ≤ x ≤ 2.75 the customer's risk level is high – x > 2.75
BILAGA 2: Kriterier för låg risk för penningtvätt och finansiering av terrorism som gör det möjligt att tillämpa förenklade åtgärder för kundkännedom.
(1) Denna bilaga ska tillämpas på skyldiga personer i den mening som avses i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
(2) Bolaget får hänvisa till denna bilaga i de fall som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism.
(3) Denna bilaga ska inte tillämpas om det av offentligt tillgänglig information framgår att risken för penningtvätt eller finansiering av terrorism i samband med en kund eller en transaktion inte är låg.
Allmänna krav för tillämpningen av förenklade åtgärder för kundkännedom
(1) Bolaget får tillämpa förenklade åtgärder för kundkännedom som beskriver transaktioner med låg risk och fastställer krav och förfaranden som är lämpliga för att genomföra sådana transaktioner.
(2) Bolaget kan betrakta sådana transaktioner som transaktioner med låg risk som inte är anonyma och där den förpliktade personen vid misstanke om penningtvätt eller finansiering av terrorism omedelbart kan tillämpa de åtgärder för kundkännedom som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism.
Kriterier för låg risk för person eller kunder
Vid identifiering och kontroll av personer eller kunder i enlighet med lagen om förhindrande av penningtvätt och finansiering av terrorism ska följande samtidiga omständigheter betraktas som kriterier för låg risk:
1) verifiering är möjlig på grundval av offentligt tillgänglig information, 2) ägar- och kontrollstrukturen är öppen och säker,
3) verksamheten och redovisningsmetoderna är öppna;
4) personen eller kunden rapporterar till och kontrolleras antingen av myndigheterna med verkställande makt i Kazakstan eller en EES-stat, eller andra myndigheter som utför offentliga uppgifter eller av en EG-institution.
Kriterier för låg risk för transaktioner
(1) Kriterier för låg risk för transaktioner kan omfatta krav på att fördelarna med produkten eller relaterade transaktioner inte kan realiseras till förmån för tredje part, utom vid dödsfall, invaliditet, uppnående av en förutbestämd hög ålder eller liknande händelser.
(2) Transaktioner som avser andelar i en obligatorisk pensionsfond kan anses uppfylla kriterierna för låg risk.
Uppförandekod för insamling och bevarande av uppgifter
1. Inledning
1.1. Denna uppförandekod för insamling och bevarande av uppgifter har utarbetats av ITCS Capital Ltd, ett kazakiskt kommanditbolag, med företagsregistreringsnummer 210240004131 (nedan kallat "företaget").
1.2. Uppförandekoden för insamling och bevarande av uppgifter har utarbetats för att följa lagen om förebyggande av penningtvätt och finansiering av terrorism och andra rättsakter i Kazakstan samt tillämpliga riktlinjer.
2. Säkerhetsåtgärder
2.1. Företaget vidtar lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i tillämplig lag.
2.2. Företaget använder följande verktyg och bästa praxis: 2.2.1. Bästa praxis för användarautentisering och lagring av lösenord. 2.2.2. Kall förvaring av användares medel (kryptovalutor);
2.2.3. HyperText Transfer Protocol Secure (HTTPS), den säkra versionen av HTTP, det protokoll genom vilket data skickas mellan klientens webbläsare och den webbplats som klienten är ansluten till;
2.2.4. Plånböcker med flera signaturer för användarfonder som endast vissa anställda har tillgång till;
2.2.5. Bankverksamheten utförs av en institution som är betrodd av andra trustföretag, kryptovalutabörser och/eller andra finansiella enheter;
2.2.7. Kontroll av siffrorna i databasen vid varje uttag;
2.2.8. Endast auktoriserade anställda har tillgång till servrarna med flera valutor;
2.2.9. Efter tre misslyckade inloggningar blockeras kontot tillfälligt;
2.2.10. Alla användares aktiviteter på webbplatsen kommer att loggas och ett e-postmeddelande kommer att skickas vid ändring av lösenord eller e-postadress;
2.2.11. Autentisering med två (två) faktorer när det är tillämpligt och genomförbart.
3. Bevarande av uppgifter som används för identifiering
3.1. Uppförandekoden för insamling och bevarande av uppgifter innehåller krav på bevarande av uppgifter och handlingar som används för identifiering i de fall som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism och andra relevanta uppgifter som ska göra det möjligt att identifiera åtminstone följande information vid en senare skriftlig återgivning av uppgifterna:
3.1.1. Uppgifter som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism;
3.1.2. En kopia av den handling som används för identifiering;
3.1.3. Metoder samt tid och plats för inlämning eller uppdatering av uppgifter och handlingar;
3.1.4. Andra uppgifter som samlas in vid identifiering och en hänvisning till om uppgifterna samlades in för att etablera en affärsrelation eller använda en annan tjänst som inte kräver att ett konto öppnas;
3.1.5. Namn och officiell titel på den anställde som har utfört identifieringen eller kontrollerat eller uppdaterat uppgifterna.
4. Särskilda krav på bevarande av uppgifter om transaktioner
4.1. Uppförandekoden för insamling och bevarande av uppgifter innehåller krav på registrering och bevarande av uppgifter om transaktioner i enlighet med lagen om förhindrande av penningtvätt och finansiering av terrorism, vilket ska möjliggöra en skriftlig återgivning av åtminstone följande information:
4.1.1. Uppgifter om transaktionen och vid betalningsuppdrag en förklaring från uppdragsgivaren eller kunden;
4.1.2. Uppgifter om de medel som är föremål för transaktionen, inklusive en hänvisning till om dessa medel togs emot från ett konto eller om kontanter, checkar eller andra instrument användes.
5. Dokument och uppgifter som ligger till grund för identifiering av fysiska personer.
5.1. Företaget ska identifiera en fysisk person och verifiera personen på grundval av en av Kazakstans regering utfärdad identitetshandling, en giltig resehandling.
utfärdat i ett annat land eller ett statligt utfärdat körkort eller en liknande handling. Utöver en identitetshandling ska företrädaren för en person som deltar i en transaktion lämna in ett dokument i det format som krävs och som intygar rätten att företräda personen.
5.2. En kopia ska göras av den sida av en identitetshandling som lämnas in för identifiering och som innehåller personuppgifter och ett fotografi. Dessutom ska bolaget, efter identifiering och kontroll av de personer som anges i punkt 1, registrera följande personuppgifter:
5.2.1. namnet och företrädarens namn;
5.2.2. personbeteckning eller, om personbeteckning saknas, födelsedatum och födelseort;
5.2.3 Namn och nummer på den handling som används vid identifiering och kontroll av personer, samt datum för utfärdande och namnet på den myndighet som utfärdat handlingen;
5.2.4 Namnet på den handling som används vid identifiering och kontroll av rätten till representation, samt datum för utfärdande och emittentens namn.
5.3. På grundval av den information som erhållits från personen ska bolaget registrera adressen till personens bostadsort och personens yrke eller verksamhetsområde. Om en kund eller en person som deltar i en transaktion som ingåtts i ekonomisk eller yrkesmässig verksamhet är en fysisk person i en avtalsslutande stat inom Europeiska ekonomiska samarbetsområdet eller i ett tredjeland, ska bolaget registrera information om huruvida personen utför eller har utfört framträdande offentliga funktioner eller är en nära medarbetare eller familjemedlem till en person som utför framträdande offentliga funktioner.
5.4. En person som deltar i en transaktion som utförs i ekonomisk eller yrkesmässig verksamhet, en person som deltar i en yrkesmässig verksamhet, en person som använder en yrkesmässig tjänst eller en kund ska på begäran av bolaget lämna in handlingar och tillhandahålla relevant information som krävs för tillämpning av de åtgärder för att säkerställa en god aktsamhet som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism.
5.5. En företrädare för en juridisk person i ett utländskt land skall på begäran av bolaget lämna in en handling som styrker hans eller hennes befogenheter och som har bestyrkts av en notarie eller bestyrkts i enlighet med ett likvärdigt förfarande och legaliserats eller bestyrkts i enlighet med ett likvärdigt förfarande.
bestyrkt genom ett intyg som ersätter legalisering (apostille), om inte annat föreskrivs i ett internationellt avtal.
5.6. Om handlingarna eller uppgifterna inte kan tas emot får handlingar som bestyrkts eller bestyrkts av en notarie eller som bestyrkts officiellt användas för att kontrollera en persons identitet.
5.7. En person som deltar i en transaktion eller yrkesmässig verksamhet som utförs i ekonomisk eller yrkesmässig verksamhet, en person som utnyttjar en professionell tjänst eller en kund ska på begäran av bolaget intyga riktigheten av de inlämnade uppgifterna och dokumenten genom underskrift.
6. Dokument och uppgifter som ligger till grund för identifiering av juridiska personer
6.1. Företaget ska identifiera en juridisk person och dess passiva rättskapacitet och kontrollera den information som erhållits. Juridiska personer som är registrerade i Kazakstan och filialer till utländska företag som är registrerade i Kazakstan ska identifieras på grundval av ett utdrag ur ett registerkort i det relevanta registret och utländska juridiska personer ska identifieras på grundval av ett utdrag ur det relevanta registret eller en avskrift av registreringsbeviset eller ett likvärdigt dokument, som har utfärdats av den behöriga myndigheten eller det behöriga organet tidigast sex månader före inlämnandet.
6.2. Det dokument som lämnas in för identifiering ska minst innehålla följande:
6.2.1. Den juridiska personens företagsnamn eller namn, säte och adress;
6.2.2. Registerkod eller registreringsnummer;
6.2.3 Datum för utfärdande av dokumentet och namnet på det organ som utfärdat dokumentet.
6.3. På grundval av de handlingar som anges i underavsnitt 1 eller, om de ovannämnda handlingarna inte innehåller motsvarande uppgifter, på grundval av den information som erhållits från företrädaren för den juridiska person som deltar i transaktionen, ska bolaget registrera följande uppgifter:
6.3.1 Namnen på direktören eller ledamöterna i styrelsen eller ett organ som ersätter den och deras behörighet att företräda den juridiska personen;
6.3.2 Den juridiska personens verksamhetsområde;
6.3.3 telefonnummer,
6.3.4 uppgifter om den juridiska personens verkliga ägare.
6.4. Om bolaget har information om att en politiskt utsatt person från en annan avtalsslutande stat inom Europeiska ekonomiska samarbetsområdet eller ett tredjeland kan vara relaterad till en kund eller en person som deltar i en transaktion som ingåtts i ekonomisk eller yrkesmässig verksamhet, ska de omständigheter som anges i lagen om förhindrande av penningtvätt och av finansiering av terrorism registreras på grundval av den information som erhållits från den juridiska personens representant utöver uppgifterna.
6.5. Ett utdrag ur registerkortet behöver inte lämnas in om företaget har tillgång till uppgifterna i handelsregistret och registret över ideella föreningar och stiftelser via ett datanät.
6.6. Om handlingen eller uppgifterna inte kan tas emot ska handlingar som är bestyrkta eller bestyrkta av en notarie eller som är officiellt bestyrkta användas för att kontrollera en persons identitet.
7. Registrering av transaktionsuppgifter
7.1. Efter identifiering och verifiering av en person ska företaget registrera datum eller tidsperiod för ingående av en transaktion och en beskrivning av transaktionens innehåll.
7.2. Företaget ska registrera följande uppgifter om en transaktion:
7.2.1. Kontotyp, antal, valuta och väsentliga egenskaper hos värdepapper eller annan egendom;
7.2.2. Betalarens och mottagarens namn, betalarens personliga identifieringskod och, om sådan saknas, födelsedatum och födelseort eller ett unikt kännetecken på grundval av vilket betalaren kan identifieras;
7.2.3. Transaktionsbeloppet, valutan och kontonumret.
8. Bevarande av uppgifter
8.1. Bolaget ska bevara originalmotparterna eller kopiorna av de dokument som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism och som tjänar som grund för identifiering och verifiering av en person, och av de dokument som tjänar som grund för upprättandet av en affärsförbindelse, i minst fem år efter det att affärsförbindelsen har avslutats.
8.2. Bolaget ska på alla datamedier bevara de dokument som utarbetats med avseende på en transaktion och de dokument och uppgifter som ligger till grund för de anmälningsskyldigheter som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism i minst fem år efter det att transaktionen har ingåtts eller anmälningsskyldigheten har fullgjorts.
8.3. Företaget ska bevara de handlingar och uppgifter som anges i punkterna 1 och 2 i detta avsnitt på ett sätt som gör det möjligt att fullt ut och omedelbart besvara förfrågningar från finansunderrättelseenheten eller, i enlighet med lagstiftningen, från andra utredningsorgan eller en domstol.
8.4. Om bolaget i syfte att identifiera en person gör en sökning i en databas som ingår i det statliga informationssystem vars användning är obligatorisk för bolaget enligt gällande lagstiftning, ska den skyldighet som föreskrivs i punkterna 1 och 3 i detta avsnitt anses uppfylld om informationen om att göra den elektroniska sökningen i motsvarande register kan återges under en period av fem år efter det att affärsförbindelsen har upphört.
9. Ändringar i uppförandekoden
9.1. Företaget ska från tid till annan se över dessa regler för att följa tillämplig lag.
Uppförandekod för fullgörande av anmälningsskyldigheten och för information till ledningen.
1. Inledning
1.1. Denna uppförandekod för fullgörande av anmälningsskyldigheten och för information till ledningen har utarbetats av ITCS Capital Ltd, ett kazakiskt kommanditbolag med företagsregistreringsnummer 210240004131 (nedan kallat "bolaget").
1.2. Uppförandekoden för fullgörandet av anmälningsskyldigheten och för information till ledningen har utarbetats för att följa lagen om förhindrande av penningtvätt och finansiering av terrorism och andra rättsakter i Kazakstan samt tillämpliga riktlinjer.
2. Anmälningsskyldighet vid misstanke om penningtvätt eller finansiering av terrorism
2.1. Om bolaget vid utövandet av ekonomisk verksamhet eller yrkesverksamhet eller yrkesmässig verksamhet eller tillhandahållande av professionella tjänster identifierar en verksamhet eller omständigheter som kan vara en indikation på penningtvätt eller finansiering av terrorism eller ett försök till detta eller i händelse av att bolaget har anledning att misstänka eller vet att det är fråga om penningtvätt eller finansiering av terrorism, ska bolaget omedelbart, dock senast inom två arbetsdagar från identifieringen av handlingen eller omständigheterna eller från det att misstanken uppstod, underrätta FIU om detta.
2.2. Bolaget ska omedelbart, dock senast inom två arbetsdagar efter att transaktionen genomförts, underrätta FIU om varje transaktion där den finansiella förpliktelsen som överstiger 10 000 euro eller ett motsvarande belopp i en annan valuta utförs kontant, oavsett om transaktionen utförs i en enda betalning eller flera relaterade betalningar.
2.3. Företaget har rätt att skjuta upp transaktionen eller den yrkesmässiga verksamheten. Om uppskjutandet av en transaktion kan orsaka betydande skada, måste transaktionen genomföras eller om det kan hindra att man fångar den person som eventuellt har begått penningtvätt eller finansiering av terrorism, ska transaktionen eller den yrkesmässiga operationen genomföras och finansunderrättelseenheten ska därefter underrättas.
3. Plats och format för fullgörande av anmälningsskyldigheten
3.1. Informationen ska vidarebefordras till den finansiella underrättelseenheten i Republiken Kazakstan där företaget är beläget.
3.2. En anmälan ska lämnas muntligt, skriftligt eller i ett format som kan återges skriftligt. Om ett meddelande har meddelats muntligen ska det upprepas nästa arbetsdag skriftligen eller i ett format som kan återges skriftligen.
3.3. De uppgifter som används för att identifiera och kontrollera en person eller, vid behov, kopior av relevanta handlingar får bifogas en anmälan.
3.4. Formatet för de anmälningar som ska skickas till finansunderrättelseenheten och anvisningar för utarbetandet av dem ska fastställas genom en förordning av inrikesministern.
4. Anmälarens konfidentialitetsplikt
4.1. Det är förbjudet för bolaget och en strukturell enhet, en medlem av ett ledningsorgan och en anställd i bolaget som är en juridisk person att underrätta en person, den faktiska ägaren eller en företrädare för personen om en anmälan som gjorts till finansunderrättelseenheten om personen och om föreskrifter som utfärdats av finansunderrättelseenheten eller om inledande av ett förfarande enligt lagen om förhindrande av penningtvätt och finansiering av terrorism. Efter att ett föreläggande från finansunderrättelseenheten har följts får bolaget meddela en person att finansunderrättelseenheten har begränsat användningen av personens konto eller att andra begränsningar har införts.
4.2. Företaget kan lämna information till en tredje part om:
4.2.1. tredje parten tillhör samma konsolideringsgrupp eller finansiella konglomerat som företaget och företaget är beläget i en avtalsslutande stat inom Europeiska ekonomiska samarbetsområdet eller i ett tredjeland där krav som motsvarar de krav som föreskrivs i denna lag är i kraft, statlig tillsyn utövas över uppfyllandet av dem och krav som motsvarar de krav som är i kraft i Kazakstan tillämpas i syfte att bevara yrkeshemligheter och skydda personuppgifter;
4.2.2. Den tredje parten agerar i samma juridiska person eller struktur, som har gemensamma ägare och en gemensam ledning eller ett gemensamt internt kontrollsystem, som företaget som utövar yrket som notarie, advokat eller revisor;
4.2.3. Den information som anges i punkt 1 gäller samma person och samma transaktion som är relaterad till flera företag och informationen lämnas av ett kreditinstitut, ett finansiellt institut, en notarie, en advokat eller en revisor till en person som är verksam inom samma näringsgren eller yrke och som är belägen i en avtalsslutande stat inom Europeiska ekonomiska samarbetsområdet eller i ett tredjeland där krav som motsvarar de krav som föreskrivs i denna lag gäller, statlig tillsyn utövas över att de uppfylls och krav som motsvarar de krav som gäller i Kazakstan tillämpas i syfte att bevara yrkeshemligheter och skydda personuppgifter.
5. Befrielse från ansvar
5.1. Bolaget, dess anställd, företrädare eller en person som agerat i dess namn ska inte, vid fullgörandet av de skyldigheter som följer av lagen om förhindrande av penningtvätt och finansiering av terrorism, vara ansvarigt för skada som uppstår på grund av att en transaktion inte har genomförts eller inte har genomförts på förfallodagen, om skadan har orsakats den person som deltar i transaktionen som har gjort sig skyldig till ekonomisk eller yrkesmässig verksamhet i samband med att finansunderrättelseenheten har underrättats om misstankar om penningtvätt eller finansiering av terrorism i god tro, eller för skada som orsakats en kund eller en person som deltar i en transaktion som ingåtts i ekonomisk eller yrkesmässig verksamhet i samband med annullering av ett avtal som ingåtts på obestämd tid på de grunder som anges i lagen om förhindrande av penningtvätt och finansiering av terrorism.
5.2. Att bolaget i god tro fullgör den anmälningsskyldighet som följer av 49 § i lagen om förhindrande av penningtvätt och finansiering av terrorism och att bolaget meddelar relevanta uppgifter anses inte utgöra ett brott mot de sekretesskrav som föreskrivs i lag eller avtal, och inget ansvar som föreskrivs i lag eller avtal åberopas i fråga om den person som fullgjort anmälningsskyldigheten för utlämnande av informationen.
6. Riktlinjer för den finansiella underrättelseenheten
6.1. Financial Intelligence Unit ger ut rådgivande riktlinjer för att förklara den lagstiftning som reglerar förebyggandet av penningtvätt och finansiering av terrorism, vilka finns tillgängliga på dess webbplats .
6.2. Financial Intelligence Unit ger ut rådgivande riktlinjer om vad som kännetecknar misstänkta transaktioner, vilka finns tillgängliga på dess webbplats.
6.3. Financial Intelligence Unit ger ut rådgivande riktlinjer om vad som kännetecknar finansiering av terrorism, vilka finns tillgängliga på dess webbplats.
7. Ändringar i uppförandekoden
7.1. Företaget ska från tid till annan se över dessa regler för att följa tillämplig lag.
BILAGA 3: Riskbedömningsmodell i enlighet med lagen om förhindrande av penningtvätt och finansiering av terrorism för tillämpningen av åtgärder för kundkännedom
Följande risker bör identifieras och hanteras genom användning av ny och befintlig teknik, tjänster och produkter, inklusive nya eller icke-traditionella försäljningskanaler och ny eller framväxande teknik.
I. Risker för användarna
Virtuella valutor skapar många risker för användarna, särskilt för fysiska personer. En del av dessa risker uppstår oberoende av den avsedda användningen och syftet med att inneha eller köpa VC:er, medan andra är specifika för VC:er som används som betalningsmedel eller som investering.
1. Risker som uppstår oberoende av avsedd användning.
Användarriskerna i denna kategori finns på grund av den teknik som ligger till grund för riskkapitalfonderna och deras allmänna egenskaper.
1.1. Användaren lider förlust när en börs agerar bedrägligt (A01)
Denna risk uppstår när en börs anställdas beteende inte motsvarar konsumenternas rimliga förväntningar, när börsen inte är lagligt registrerad i en jurisdiktion och därför inte kan omfattas av regleringskrav, när ansvaret för bolagsstyrningen hos börsens högsta ledning är oklart och/eller när dess affärsverksamhet inte är föremål för en oberoende revision. Denna risk har hög prioritet.
1.2. Användaren lider förlust när den växel som han/hon interagerar med inte byter VC mot FC (A02)
Risken kan uppstå eftersom vem som helst anonymt kan skapa (och därefter ändra funktionen hos) ett VC-system. Vem som helst kan inrätta och kalla sig för en börs, och börserna är inte nödvändigtvis registrerade enheter som omfattas av licens- eller tillståndskrav. Denna risk är högprioriterad.
1.3. Användaren upplever att värdet på riskkapitalet sjunker på grund av betydande eller oväntade växelkursfluktuationer (A03)
Flera olika faktorer kan skapa denna risk, bl.a. att riskkapitalmarknaderna och prisbildningen där är relativt ogenomskinliga och att prisbildningen på börserna lätt kan manipuleras, bl.a. genom samordnade insatser av ett litet antal stora riskkapitalägare. Angrepp genom överbelastning kan hindra behandlingen av transaktioner, vilket ytterligare kan förvärra problemet. Slutligen, när det gäller
Eftersom det är en decentraliserad VC finns det av naturliga skäl ingen central myndighet som skulle kunna ingripa för att stabilisera växelkurserna. Denna risk har hög prioritet.
1.4. Användare som innehar riskkapital kan oväntat bli skyldiga att betala skatt (A04)
Den rättsliga och regulatoriska behandlingen av riskkapital är oklar och inkonsekvent, liksom deras skattemässiga behandling. Den beskattningsbara händelsen och den geografiska platsen för den beskattningsbara händelsen kan också vara oklar. Detta kan potentiellt leda till att myndigheterna behandlar riskkapitalinstrument som egendom, vilket tvingar användarna att spåra och betala kapitalvinster. Prioriteten för denna risk är medelhög.
1.5. Som medlem i en pool för utvinning av riskkapital får användaren inte en rättvis andel av de utvunna riskkapitalenheterna (A05)
Utvinning av riskkapital kräver ökad datorkraft med tiden, ofta mer än en enda dator. Användarna har därför ett incitament att utvinna VC-enheter genom att samla sin datorkapacitet i ett konsortium. En rättvis fördelning av de minerade enheterna (eller motsvarande i konverterade FC) som varje medlem har rätt till kan dock manipuleras av ägaren till gruvpoolen. På samma sätt kan medlemmarna utsättas för andra former av ojämlik behandling på grund av bristande insyn i affärsmetoderna. Alla automatiserade, IT-baserade fördelningsmekanismer kan i sin tur vara föremål för fel, bedrägeri och hackning, liksom den verifiering av transaktioner som gruvdrift inledningsvis kräver. Det finns inte heller någon rätt till återbetalning, genom vilken missgynnade användare annars skulle kompenseras, och en felaktig fördelning av VC-enheter kan inte heller återkallas, eftersom VC-transaktioner är oåterkalleliga till sin utformning. Denna risk har låg prioritet.
1.6. Användaren lider förlust när han eller hon köper riskkapital som inte har de egenskaper som användaren förväntar sig (A06)
Den oundvikliga bristen på standarder och definitioner som finns i innovativa produkter och tjänster gör det svårt för användarna att bedöma egenskaperna hos ett visst riskkapitalprogram. Det kan till och med visa sig att enheterna i det köpta riskkapitalprogrammet skiljer sig från det förväntade programmet. Risken uppstår eftersom vem som helst anonymt kan skapa (och därefter ändra funktionen hos) ett riskkapitalprogram, vilken datafil som helst kan förvrängas till ett riskkapitalprogram och vilket programnamn som helst kan ges till filen, inklusive namnet på ett befintligt, äkta riskkapitalprogram. När användaren väl upptäcker den falska framställningen kan han eller hon inte ändra sitt beslut eftersom VC-transaktioner inte kan ändras, motparterna är anonyma, det finns inga juridiska kontrakt och inga klagomålsförfaranden. Risken är av medelhög prioritet.
1.7. Användarens datorkapacitet missbrukas för att gynna andras gruvdrift (A07)
Gruvdrift och utbyte av riskkapital är beroende av tillgång till Internet och processorkraften hos persondatorer (PC), som det krävs allt mer av i takt med att
tid att bryta en VC-enhet. Både Internet och datorn har ett dåligt skydd mot skadlig kod och andra former av hackning, vilket gör det möjligt för en användares dator att infiltreras och dess datorkapacitet missbrukas för att gynna andras gruvdrift. Risken har låg prioritet.
1.8. Användaren lider förlust på grund av ändringar i VC-protokollet eller andra nyckelkomponenter (A08)
Risken uppstår eftersom vem som helst anonymt kan skapa (och därefter ändra funktionen hos) ett VC-system. Det mjukvaruprotokoll som styr VC-systemet omfattas inte av några oberoende standarder och kan ändras när en majoritet av gruvarbetarna samtycker till det. Dessa ändringar kan oavsiktligt införa fel, eller så agerar gruvarbetarna inte nödvändigtvis i god tro. Risken har hög prioritet.
1.9. Användaren har inte möjlighet att identifiera och bedöma de risker som följer av att använda riskkapitalfonder (A09)
Riskkapitalfondernas decentraliserade och oreglerade karaktär gör det svårt för användarna att få tillgång till oberoende och objektiv information som kan förklara de risker som följer av att inneha riskkapitalfonder. Vissa användare kan också ha orättvisa informationsfördelar, och uppkomsten av nya riskkapitalbolag kommer att påverka de etablerade aktörerna och deras priser på oförutsägbara sätt. Risken har låg prioritet.
1.10.Användaren bryter mot tillämpliga lagar och regler (A10).
Den rättsliga behandlingen av riskkapitalbolag är oklar, och myndigheterna kan oväntat och med kort varsel ändra sin uppfattning, som kanske inte kommuniceras tillräckligt. Riskerna är av medelhög prioritet.
1.11. Användaren lider förlust genom stöld av e-plånböcker, hackning eller fel på mjukvara/hardware (A11)
Risken uppstår eftersom e-plånböcker är mjukvara som lagras på användarens dator eller mobila enheter. Dessa enheter kan drabbas av fel, liksom själva programvaran. Dessutom kan deras kryptering hackas, och till skillnad från en konventionell FC är detta möjligt från var som helst i världen. I många VC-system lagras e-plånboken okrypterad, vilket gör den till ett ännu lättare mål för hackning eller stöld. Dessutom har användaren ingen återbetalningsrätt efter bedrägeri eftersom det inte finns några skyddsåtgärder, som ett insättningsskyddssystem för konventionella konton, och eftersom förlorade eller stulna mynt inte kan särskiljas från oanvända mynt. Risken är högt prioriterad.
1.12. Användaren lider förlust när växeln hackas (A12)
En börs kan tillfälligt hålla användarnas VC-enheter, men kan hackas. En användare kan drabbas av förluster på grund av otillräckliga säkerhetsåtgärder som börsen har vidtagit, på grund av att VC-enheterna förvarades på ett separat konto, på grund av att inga egna
Det finns medel tillgängliga som skulle kunna användas för att återbetala användarna, eftersom användaren inte har någon rätt till återbetalning och eftersom transaktionen inte kan återföras. Risken har hög prioritet.
1.13. Användarens identitet kan stjälas när han eller hon lämnar identifikationsuppgifter (A13)
Vissa riskkapitalprogram kräver att användarna identifierar sig på internet eller vid riskkapitalautomater när de köper/säljer riskkapital, genom att skanna pass, iris eller fingeravtryck. Dessa identifieringsåtgärder omfattas dock inte av bestämmelser eller dataskyddslagar, och den underliggande IT-mjukvaran omfattas inte heller av säkerhetsnormer. Användaren har därför ingen garanti för att de autentiseringsuppgifter han eller hon lämnat kommer att behandlas säkert och endast användas för det avsedda ändamålet. Liknande risker uppstår också för konventionella betalningstransaktioner. Risken har hög prioritet.
1.14. Marknadsaktörer lider förluster på grund av oväntad tillämpning av lagar som gör avtal olagliga eller omöjliga att verkställa (A14)
Innan regerings- och tillsynsmyndigheter har bildat sig en uppfattning om riskkapital finns det fortfarande en rättslig osäkerhet om eventuella avtalsförhållanden som marknadsaktörer kan ha skapat. När myndigheterna väl har bildat sig en uppfattning kan dessa juridiska avtal bli olagliga eller omöjliga att verkställa. Risken är av medelhög prioritet.
1.15. Marknadsaktörer lider förluster på grund av förseningar i återvinningen av riskkapitalenheter eller frysning av riskkapitalpositioner (A15)
Risken uppstår på grund av att (vissa) motparter är anonyma, att riskkapitalprogrammen är decentraliserade, att motparterna har otillräckliga egna medel och att riskkapitalmarknaderna tillfälligt blir illikvida. Risken har hög prioritet.
1.16. Marknadsdeltagare lider förluster på grund av att motparter/mellanhänder inte uppfyller avtalsenliga avvecklingsförpliktelser (A16) Risken uppstår på grund av (vissa) motparters anonymitet, vilket kan undergräva verkställandet av eventuella juridiska avtal, avsaknaden av förfaranden för "betalning mot betalning", avsaknaden av slutgiltig avveckling, VC-systemens decentraliserade uppbyggnad, det faktum att motparterna inte har tillräckliga egna medel och att VC-marknaderna tillfälligt blir illikvida. Risken har hög prioritet.
1.17. Marknadsaktörer drabbas av förluster av VC-enheter som förvaras av andra (A17)
Risken uppstår på grund av att förvaringsinstitutet är insolvent, agerar oaktsamt eller bedrägligt, saknar lämpliga styrningsarrangemang för att övervaka transaktioner, underlåter att föra adekvat bokföring eller har otillräckliga egna medel för att återbetala fordringsägare. Transaktioner är inte heller reversibla. Riskens prioritet är medelhög.
1.18. Marknadsaktörer lider förluster på grund av ojämlikhet i information om andra marknadsaktörer (A18)
Vissa marknadsaktörers anonymitet och andra marknadsaktörers bristande tekniska tillgänglighet underlättar ojämlikhet i information och insiderkunskap, vilket gynnar de förstnämnda och är till nackdel för de sistnämnda. Risken har en medelhög prioritet.
2. Risker som uppstår när riskkapital används som betalningsmedel
2.1. Användaren lider förlust när motparten inte uppfyller avtalsenliga betalnings- eller avvecklingsförpliktelser (A21)
Risken uppstår eftersom vem som helst anonymt kan skapa (och därefter ändra funktionen hos) ett system för riskkapital, det inte finns något juridiskt avtal mellan motparterna som skulle kunna verkställas, motparterna är inte kända för varandra på grund av sin anonymitet, motparterna har otillräckliga egna medel för att uppfylla betalningsförpliktelserna, betalningstjänsten är inte tillräckligt tillförlitlig, den underliggande IT-säkerhetsinfrastrukturen är bräcklig och ingen slutgiltig avveckling existerar. Risken har hög prioritet.
2.2. Användaren förlorar FC-enheter när han/hon använder en VC-kontantautomat (A22).
När användare växlar VC:s mot FC:s i en VC-kontantautomat kan de inte garantera att VC- eller FC-enheterna kommer att krediteras korrekt till deras förmån. Detta beror på att VC-automater inte omfattas av harmoniserade tekniska specifikationer och inte heller av licenskrav, och när fel eller bedrägeri inträffar kan VC-transaktioner inte återställas. Det finns inte heller några effektiva förfaranden för klagomål eller prövning. Risken är av medelhög prioritet.
2.3. Användaren har ingen garanti för att VC:s accepteras av handlare som betalningsmedel på permanent basis (A23)
Risken uppstår eftersom handlare endast är skyldiga att acceptera lagliga betalningsmedel i form av sedlar och mynt, men de är inte skyldiga att acceptera icke-lagliga betalningsmedel såsom VC:s. Dessutom kan handlarna besluta att variera acceptansen av alternativa VC-medel med tiden och byta mellan olika VC-system. Handlarna kan också anse att de totala kostnaderna och riskerna med riskkapital är för höga eller för osäkra. Risken har hög prioritet.
2.4. Användaren lider en förlust när den VC-betalning som han eller hon har gjort för att köpa en vara felaktigt debiteras från hans eller hennes e-plånbok (A24)
Risken uppstår eftersom ingen myndighet övervakar avräkningsprocessen, utan processen bygger på förtroende. Om ett fel upptäcks är transaktionen dessutom oåterkallelig, e-plånböcker kan hackas för att dölja felet och det finns inga effektiva förfaranden för klagomål och prövning. Risken har hög prioritet.
2.5. Användaren kan inte omvandla VC till FC, eller inte till ett rimligt pris (A25)
Risken kan uppstå t.ex. på en börs där illikvida marknader, lågt marknadsdjup, brist på marknadsgaranter och en icke-flytande börs kan hindra arbitrageörer från att verka och tillhandahålla likviditet. Mer grundläggande kan risken också uppstå eftersom vem som helst anonymt kan skapa (och därefter ändra funktionen hos) ett system för riskkapital. Risken har hög prioritet.
2.6. Användaren kan inte få tillgång till sina riskkapitalfonder efter att ha förlorat lösenordet/nycklarna till sin e-plånbok (A26)
Till skillnad från när man förlorar lösenordet till sitt bankkonto, kredit- eller betalkort finns det kanske ingen central administrativ enhet som kan ge ut lösenordet på nytt. Dessutom är ingen identitet knuten till e-plånboken som skulle kunna bevisa äganderätten. E-plånböcker kan hackas och det finns inga effektiva förfaranden för att klaga eller få upprättelse. Även om risken är beroende av det belopp som står på spel bedöms den vara av hög prioritet.
2.7. Användaren kan inte få tillgång till sina VC-enheter på en börs som är ett pågående företag (A27)
Användaren kan tillfälligt lagra sina VC-enheter på en börs som är ett "pågående företag", dvs. som fortfarande fungerar utan ett omedelbart hot om likvidation. Det kan dock hända att de inte kan få tillgång till dem, eftersom börsen inte är bunden av något juridiskt avtal och inte omfattas av reglerande uppförandekrav och säkerhetskrav. Börsen kan blockera överföringen av VC-medel, FC-medel eller båda, eller kan drabbas av brist på egna medel. Dessutom kan överföringarna inte återställas. Även om risken är beroende av det belopp som står på spel är den av hög prioritet.
2.8. Användaren kan inte få tillgång till sina VC-enheter på en börs som har gått i konkurs (A28)
När en börs har gått i konkurs, dvs. inte längre har de resurser som krävs för att bedriva sin verksamhet, drabbas användarna av detta eftersom börsen kanske inte har haft tillräckliga egna medel för att tillgodose kraven från sina VC-krediter, och VC-enheterna kanske inte har förvarats på ett separat konto i deras namn, utan i börsens namn i stället. Dessutom är riskkapitalborgenärernas status under konkursförfarandet och avvecklingen oklar. Oavsett orsakerna har användarna ingen rätt till ersättning för förluster och skyddas inte heller av ett system som liknar ett insättningsgarantisystem för konventionella bankkonton. Risken är högt prioriterad.
3. Risker när man använder riskkapitalbolag som en investering
Privatpersoner kan använda riskkapital inte bara som betalningsmedel för varor och tjänster utan också som en investering. Investeringen kan ske i form av innehav av VC-enheter.
själva eller i investeringsprodukter som börshandlade fonder (ETF:er) eller CFD:er (Contracts for Difference) som använder riskkapital som en underliggande tillgång. De risker som följer av denna verksamhet anges nedan.
3.1. Användaren lider förlust på grund av att priserna på riskkapital manipuleras (A41)
Risken uppstår på grund av riskkapitalmarknadernas ringa djup, förmågan hos ett litet antal stora riskkapitalägare att genom samordnade åtgärder undergräva prisbildningen, riskkapitalmarknadernas allmänna ogenomskinlighet och avsaknaden av en central myndighet som skulle kunna ingripa för att stabilisera prisbildningen. Risken har hög prioritet.
3.2. Användare som investerar i reglerade finansiella instrument med oreglerade riskkapitalbolag som underliggande instrument drabbas av oväntade förluster (A42)
Risken uppstår eftersom bristen på reglering av det underliggande instrumentet förstärker alla risker som tas vid köp av den reglerade investeringsprodukten, t.ex. ett system för kollektiva investeringar (CIS), derivat eller strukturerade produkter. Dessutom är investeringsprodukterna mycket komplexa, avkastningen är osäker och den underliggande produkten är ogenomskinlig. Risken prioriteras som medelhög.
3.3. Användaren vilseleds av otillförlitliga växelkursuppgifter (A43)
Risken uppstår på grund av att handel, marknadsverksamhet, marknadstillverkning, avveckling och clearing på börser över hela världen inte omfattas av oberoende standarder som normalt sett skulle garantera att det finns tillförlitliga och konsekventa växelkurser. Dessutom är prisbildningen på VC-marknaderna ogenomskinlig och föremål för manipulation, och utförandet av köp- och säljorder saknar insyn. Risken har en medelhög prioritet.
3.4. Användaren lider förlust när han eller hon investerar i ett bedrägligt eller Ponzi VC-investeringssystem (A44)
Risken uppstår eftersom de personer som är involverade i den underliggande tillgången kan dölja sin identitet och därför inte omfattas av några krav på redlighet, och inte heller är skyldiga att informera om de risker som investeraren utsätts för osv. Dessutom gör riskkapitalets karaktär investerare mer sårbara för missbruk av ett Ponzi-system som bygger på riskkapital än andra reglerade investeringsformer. Slutligen har användaren kanske ingen tillgång till prövningssystem. Risken är av medelhög prioritet.
3.5. Användaren är exponerad för betydande prisvolatilitet inom mycket korta tidsramar (A45)
Risken uppstår eftersom handel, marknadsaktivitet, market making, avveckling och clearing på börser över hela världen inte omfattas av oberoende standarder som vanligtvis skulle garantera att det finns tillförlitliga och konsekventa växelkurser. I stället beror priset på en enhet av ett visst riskkapitalprogram på i vilken utsträckning det antas och accepteras som mainstream, vilket är osäkert. Dessutom är marknaden
djupet (dvs. storleken på en order som behövs för att ändra marknadspriset med ett visst belopp) är lågt, prisbildningen på VC-marknaderna är ogenomskinlig och föremål för manipulation, och
utförandet av köp- och säljorder saknar insyn. Risken har en medelhög prioritet.
3.6. Användaren kan inte utföra VC-börsordern till det förväntade priset (A46)
Risken uppstår eftersom VC-börser tenderar att vara fattiga på pengar. Därför kan investerare ha svårt att sälja VC:erna när de vill, för att förhindra en förlust eller göra en vinst. Dessutom ger det låga marknadsdjupet upphov till en ökad risk för utförande (dvs. att ordern inte utförs till det pris som användaren förväntar sig).
II. Risker för icke-användande marknadsaktörer
Risker uppstår också för andra marknadsaktörer som inte är användare, t.ex. börser, handelsplattformar, leverantörer av e-plånbokstjänster, handlare och andra. Vissa av riskerna gäller alla deltagare, medan andra är specifika för endast en av dem.
1. Specifika risker för utbyten
1.1. Börsen kan inte fullgöra betalningsförpliktelser denominerade i VC eller FC (B11)
Risken påverkar börsen och följaktligen även dess fordringsägare, eftersom börsen saknar adekvata styrningsarrangemang för att övervaka transaktionerna, underlåter att föra adekvat bokföring eller har otillräckliga medel för att återbetala fordringsägare. Dessutom kan det särskilda riskkapital som utbyts, och det underliggande protokoll som kontrollerar det, vara tekniskt felaktigt eller äventyras, eller så kan IT-miljön på själva börsen sakna tillförlitlighet eller säkerhet. Om problemet uppstår när börsen har fallerat uppstår risken på grund av otillräckliga finansiella skyddsåtgärder mot fallissemang och otillräckliga åtgärder för kontinuitet i verksamheten. Risken har hög prioritet. 1.2. Börsen har inte kontroll över sin egen verksamhet (B12) Risken påverkar börserna och följaktligen även deras fordringsägare, eftersom börsen saknar adekvata styrningsarrangemang för att övervaka transaktionerna, underlåter att föra adekvat bokföring och verkar i en IT-miljö som saknar skydd mot hackning och kontrollförlust. Risken är av medelhög prioritet.
1.3. Börsen lider förlust om återbetalningspolicyn missbrukas för att säkra valutaväxlingstransaktioner (B13)
Om börsen erbjuder återbetalningspolicyn för VC-transaktioner som ett sätt att minska en eller flera av ovanstående risker, kan den lida förluster till följd av att andra marknadsaktörer missbrukar policyn för att säkra VC-valutaväxelkursrisker.
Risken uppstår på grund av den höga volatiliteten i växelkursen och att en transaktion kan ta lång tid att slutföra. Risken är av medelhög prioritet.
2. Risker som är specifika för handlare
2.1. Efter att ha tagit emot VC:er som betalning får handlaren ingen återbetalning (B21)
Risken uppstår på grund av "problemet med dubbla utgifter": till skillnad från FC som har en fysisk representation i form av mynt och sedlar är VC-enheter endast digitala filer. När en VC-enhet spenderas försvinner därför inte uppgifterna från den ursprungliga innehavarens äganderätt. Elektroniska betalningssystem i FC förhindrar dubbelutnyttjande genom att det finns en central auktoritativ källa som följer regler för att godkänna varje transaktion. Det finns ingen central myndighet i ett VC-system. För att förhindra dubbelutnyttjande tenderar VC-system att använda ett decentraliserat system med separata noder som följer samma protokoll. Varje transaktions äkthet verifieras genom att den läggs till i en transaktionsbok, kallad blockkedja, som ska säkerställa att insatserna för transaktionen inte har använts tidigare. Det finns dock ingen garanti för att ett visst system för riskkapital använder denna verifieringsmetod, och det är inte heller säkert att om denna metod används, genomförs den på ett säkert sätt och inte äventyras, till exempel genom att enskilda användare "blockeras" från riskkapitalnätverket. Risken är av medelhög prioritet.
2.2. Till skillnad från ett FC kan handlaren inte vara säker på att han eller hon kommer att kunna spendera de mottagna VC:erna (B22)
När handlaren väl har mottagit enheter som är denominerade i en viss VC finns det ingen garanti för att han eller hon kommer att kunna spendera dem, t.ex. för att betala fakturor. VC är inte lagliga betalningsmedel och behöver därför inte accepteras av andra handlare, och handlaren kommer inte heller att kunna betala sina skatteskulder i VC. Acceptansen av riskkapital beror helt och hållet på det frivilliga samtycket från andra marknadsaktörer, som kan besluta att variera acceptansen av alternativa riskkapital över tiden genom att växla mellan olika system för riskkapital. Det finns inte heller någon central myndighet som skulle kunna agera som en sista utlösare. Risken har en medelhög prioritet.
2.3. Handlaren kan inte vara säker på köpkraften i FC för de VC som han eller hon har fått (B23)
Växelkursen mellan VC och FC fluktuerar kraftigt, ofta inom mycket korta tidsperioder och ofta på grund av oförutsägbara händelser, t.ex. tekniska innovationer eller beslag av plattformar. Köpkraften hos en VC-enhet avseende varor och tjänster som är denominerade i FC är därför svår att förutsäga och utsätter handlaren för växelkursfluktuationer. Riskens prioritet är medelhög.
2.4. Handlaren får krav på ersättning från kunder om transaktioner felaktigt debiterats (B24)
Leverantörer av e-plånböcker, börser, handelsplattformar och de flesta andra VC-marknadsaktörer är inte reglerade och har ingen fysisk närvaro. Därför regleras inte heller systemet för riskkapitalmarknaden. Om ett fel uppstår i en transaktion med riskkapital kan de drabbade marknadsaktörerna hamna i en situation där handlaren är den enda aktör till vilken ett klagomål och krav på ersättning kan riktas. Mer grundläggande uppstår risken eftersom vem som helst anonymt kan skapa ett system för riskkapital och därefter ändra dess funktion och centrala komponenter. Risken är av medelhög prioritet.
3. Risker som är specifika för olika icke-användande marknadsaktörer.
3.1. Leverantör av e-plånbok förlorar e-plånbok som tillhandahålls till enskilda personer (B31)
E-plånböcker är digitala filer och är därför inte bara känsliga för hackning och andra säkerhetsöverträdelser utan kan till skillnad från konventionella plånböcker stjälas var som helst i världen. Dessutom skapar e-plånböckernas digitala karaktär betydande stordriftsfördelar, vilket i sin tur underlättar storskaliga stölder genom internethackning. Risken prioriteras högt.
3.2. Förvaltare av ett (centraliserat) riskkapital misslyckas med att uppfylla betalnings- och andra skyldigheter (B32)
Risken uppstår för förvaltaren och därmed indirekt för dess borgenärer. Detta beror på att en administratör av ett centraliserat riskkapital har kontroll över systemet för riskkapital och dess regler, men kan ändra reglerna, agera utan integritet, sakna adekvat och säker IT-infrastruktur och styrningsarrangemang för att övervaka transaktionerna, underlåta att föra adekvata register, ha otillräckliga medel för att återbetala fordringsägare eller agera med otillräcklig integritet (vilket eventuellt kan leda till civilrättsligt eller straffrättsligt ansvar som leder till att riskkapitaltjänsten avbryts). Om risken skulle materialiseras när administratören har fallerat är orsakerna otillräckliga finansiella skyddsåtgärder mot fallissemang och otillräckliga arrangemang för kontinuitet i verksamheten. Risken har hög prioritet.
3.3. Leverantören av e-plånböcker får ersättningskrav från kunderna om plånbokens funktionalitet äventyras eller inte ger förväntade funktioner (B33)
Risken uppstår på grund av vårdslöshet från leverantören av e-plånbokstjänster, otillräckliga styrningsarrangemang, otillräcklig bokföring och bristande operativ kapacitet. Dessutom är leverantörer av e-plånböcker inte nödvändigtvis föremål för rättsligt bindande villkor med den användare som innehar e-plånboken. Användaren kan därför bli vilseledd om funktionaliteten hos dess funktioner, drabbas av en förlust och kommer då att försöka kräva ersättning från leverantören av e-plånboken. Risken är av medelhög prioritet.
III. Risker för den finansiella integriteten
Risker för den finansiella integriteten omfattar risker för penningtvätt och finansiering av terrorism samt ekonomisk brottslighet. Även om riskerna i dessa två kategorier är många, är orsakerna ofta mycket lika och har främst att göra med riskkapitalbolagens anonymitet och gränslöshet och det faktum att vem som helst kan skapa ett riskkapitalbolag, även brottslingar och terrorister.
1. Risker för penningtvätt och finansiering av terrorism
1.1. Brottslingar kan tvätta vinning av brott eftersom de kan deponera och överföra VC anonymt (C01)
Risken uppstår eftersom avsändare och mottagare kan utföra VC-transaktioner på peer-to-peer-basis som inte kräver personlig identifiering eftersom det inte finns några namn kopplade till plånboksadresser. Dessutom finns det ingen mellanhand som skulle kunna underrätta myndigheterna om misstänkta transaktioner. Risken har hög prioritet.
1.2. Brottslingar kan tvätta vinning av brott eftersom de kan deponera och överföra riskkapital globalt, snabbt och oåterkalleligt (C02)
Risken uppstår eftersom riskkapital som betalningsmedel inte är begränsat till och accepteras över jurisdiktionsgränserna. VC-transaktioner kräver inget annat än tillgång till Internet, VC-infrastrukturen är ofta spridd över hela världen, vilket gör det svårt att avlyssna transaktioner, och VC-transaktioner tenderar att inte vara reversibla.
Risken har hög prioritet.
1.3. Kriminella eller terrorister använder system och konton för överföringar av riskkapital i finansieringssyfte (C03)
Risken uppstår eftersom riskkapital som betalningsmedel inte är begränsat till och accepteras över jurisdiktionsgränserna. VC-transaktioner kräver inget annat än tillgång till Internet, VC-infrastrukturen är ofta spridd över hela världen, vilket gör det svårt att avlyssna transaktioner, och VC-transaktioner tenderar att inte vara reversibla.
Risken har hög prioritet.
1.4. Brottslingar eller terrorister döljer ursprunget till brottsvinster och undergräver de verkställande myndigheternas förmåga att få fram bevis och återvinna brottsliga tillgångar (C04)
Risken uppstår eftersom riskkapital som betalningsmedel inte är begränsat till, utan accepteras över jurisdiktionsgränserna. VC-transaktioner kräver inget annat än tillgång till Internet, och VC-infrastrukturen är ofta spridd över hela världen, vilket gör att
Det är svårt att avlyssna transaktioner, och VC-transaktioner tenderar att inte vara reversibla. Risken har hög prioritet.
1.5. Marknadsaktörer kontrolleras av brottslingar, terrorister eller närstående organisationer (C05)
Risken uppstår eftersom marknadsaktörer ofta leds av personer som inte är "lämpliga och korrekta". Risken beror också på att riskkapitalprogrammen inte är begränsade till, utan accepteras över nationsgränserna. VC-transaktioner kräver inget annat än tillgång till Internet, VC-infrastrukturen är ofta spridd över hela världen, vilket gör det svårt att avlyssna transaktioner, och VC-transaktioner tenderar att inte vara reversibla. Risken är högt prioriterad.
2. Risker för ekonomisk brottslighet
2.1. Kriminella använder VC-börser för att undvika den reglerade finanssektorn och handla med olagliga varor (C11)
Risken uppstår eftersom avsändare och mottagare kan genomföra VC-transaktioner på peer-to-peer-basis som inte kräver personlig identifiering, eftersom det inte finns några namn knutna till plånboksadresser och utan behov av en mellanhand som skulle kunna vara tvungen att underrätta myndigheterna om misstänkta transaktioner. Som betalningsmedel är VC-system dessutom inte begränsade till och accepteras över nationsgränserna. VC-transaktioner kräver inget annat än tillgång till internet, VC-infrastrukturen är ofta spridd över hela världen, vilket gör det svårt att avlyssna transaktioner, och VC-transaktioner tenderar att inte vara reversibla. Risken är högt prioriterad.
2.2. Återställande rättvisa för brottsoffer hindras av att brottslingar använder riskkapitalbolag för att undvika att tillgångar beslagtas och konfiskeras (C12)
Förutom de tidigare nämnda drivkrafterna anonymitet och möjligheten till globala och snabba peer-to-peer-transaktioner orsakas risken också av möjligheten att brottsbekämpande myndigheter inte kan rikta in sig på enskilda enheter, eftersom riskkapitalbolag inte kräver någon mellanhand (med ett möjligt undantag för börser). Risken har hög prioritet.
2.3. Kriminella kan använda riskkapitalbolag för anonym utpressning (C13)
Risken uppstår eftersom avsändare och mottagare kan genomföra transaktioner för riskkapital på peer-to-peer-basis som inte kräver personlig identifiering, eftersom det inte finns några namn kopplade till plånboksadresser och utan att det behövs någon mellanhand som kan vara skyldig att underrätta myndigheterna om misstänkta transaktioner. Som betalningsmedel är VC-system dessutom inte begränsade till, och accepteras över jurisdiktionsgränserna. VC-transaktioner kräver inget annat än tillgång till Internet, VC-infrastrukturen är ofta spridd över hela världen, vilket gör det svårt att avlyssna.
transaktioner, och VC-transaktioner tenderar att inte vara reversibla. Risken har hög prioritet.
2.4. Kriminella organisationer kan använda riskkapital för att lösa interna eller interorganisatoriska betalningsbehov (C14).
Förutom de tidigare nämnda drivkrafterna anonymitet och möjligheten till globala och snabba peer-to-peer-transaktioner, skapas risken också eftersom ingen interaktion krävs med det reglerade finansiella systemet och transaktionerna inte övervakas. Risken har en medelhög prioritet.
2.5. Riskkapital gör det lättare för enskilda att ägna sig åt brottslig verksamhet (C15)
Anonymiteten i samband med skapandet av riskkapital (och efterföljande förändringar av riskkapitalets funktion) i kombination med den enkla tillgången till riskkapital, det enkla utbytet mellan riskkapital och finansiella medel och möjligheten att undvika reglerade finansiella system gör det lättare för enskilda att ägna sig åt brottslig verksamhet, inklusive olagliga inköp av varor och tjänster och skatteflykt. Risken har hög prioritet.
2.6. Genom att hacka programvara, plånböcker eller utbyten för riskkapital kan en brottsling involvera andra i den brottsliga verksamhet som brottslingen begår (C16) Brottslingar tenderar att använda alla tillgängliga medel för att dölja sina spår. Otillräckliga skyddsåtgärder mot hackning och bristen på kontroll av leverantörer av e-plånböcker, börser, handelsplattformar och VC-protokoll gör det möjligt för en brottsling att stjäla internetidentiteter och därmed involvera andra i den brottsliga verksamhet de begår. Risken är av medelhög prioritet.
2.7. Jurisdiktioner kan undvika beslag av tillgångar och konfiskering samt internationella embargon och finansiella sanktioner (C17)
VC-transaktioner registreras inte och är anonyma, globala och oåterkalleliga. Dessutom är decentraliserade VC-transaktioner
inte är beroende av enheter som kan bli föremål för finansiella sanktioner och embargon. Därför är det svårt för regeringar och internationella statliga organisationer att tillämpa finansiella sanktioner eller embargon mot andra jurisdiktioner, t.ex. för att främja humanitära mål. Risken har hög prioritet.
2.8. Kriminella kan skapa ett system för riskkapital och använda det i brottsliga syften (C18)
Eftersom avsändaren och mottagaren av riskkapitaltransaktioner och uppfinnaren/uppfinnarna av systemet för riskkapital är anonyma kan kriminella anonymt skapa ett system för riskkapital och "förminera" en betydande andel innan riskkapitalenheterna släpps ut på bredare front. När valutan har vunnit popularitet och gynnas av en högre växelkurs (vilket kan ske många år senare) kommer brottslingarna att
De har en betydande köpkraft utan att någonsin behöva interagera med finansmarknader eller använda en börs. Risken är högt prioriterad.
2.9. Skatteflyktingar kan få inkomster i riskkapital, utanför övervakade FC-betalningssystem (C19)
Riskkapitaltransaktioner registreras inte och är anonyma, globala och oåterkalleliga. Dessutom är decentraliserade VC-transaktioner inte heller beroende av enheter som skulle kunna omfattas av finansiella bestämmelser. Risken är av medelhög prioritet.
IV. Risker för betalningssystem och betaltjänstleverantörer i finansmarknader
De risker som förtecknas i denna kategori omfattar frågor som potentiellt kan uppstå till följd av eventuella ömsesidiga beroenden mellan betalningssystem som är denominerade i FCs och betalningssystem som är denominerade i VCs.
1. PSP:er som använder FC och även tillhandahåller VC-tjänster lider förluster på grund av lagar som gör VC-kontrakt olagliga (D01)
Tills regerings- och tillsynsmyndigheter har kommit fram till en åsikt om VC:er kvarstår den rättsliga osäkerheten om eventuella kontraktsförhållanden som marknadsaktörerna kan ha skapat. När myndigheterna väl har kommit fram till ett yttrande kan dessa juridiska avtal bli olagliga eller omöjliga att verkställa, vilket får konsekvenser för PSP:s likviditet. Risken har låg prioritet.
2. Betalningsleverantörer som tillhandahåller tjänster inom både FC och VC misslyckas med att uppfylla sina avtalsenliga skyldigheter som deltagare i betalningssystemet på grund av likviditetsexponeringar i sin VC-verksamhet (D02)
Risken uppstår på grund av VC-systemets decentraliserade uppbyggnad, (vissa) motparters anonymitet, VC-motparter som inte innehar tillräckligt med VC-enheter för att avveckla transaktioner, VC-börsens pris som förändras snabbt och prisbildningen som inte är transparent. Dessutom kan betaltjänstleverantörernas likviditetshantering vara otillräcklig; behovet av likviditet kan öka, liksom potentiella operativa problem med att koppla samman FC och VC (t.ex. misslyckad avveckling, avbrott, kapacitet, bedrägeri och dataförlust). Risken har låg prioritet.
3. Betalningsleverantörer i FC som erbjuder VC-betaltjänster lider förlust och ryktesrisk när de tillhandahåller oreglerade VC-tjänster som senare inte fungerar (D03)
Denna risk gäller särskilt för kreditinstitut som också är betalningsleverantörer, eftersom de kan erbjuda ytterligare VC-betaltjänster till sina befintliga bankkunder, vilket därför innebär att den erbjudna produkten också är reglerad. Om VC-tjänsterna inte fungerar som förväntat riskerar betaltjänstleverantören sitt rykte och eventuellt även en finansiell risk. Risken uppstår eftersom betaltjänstleverantörerna har ett legitimt incitament att förnya sig och erbjuda konsumenterna bättre värde eller lägre kostnader, och eftersom konsumenterna
har förtroende för sina banker och de produkter som de erbjuder. Risken har en medelhög prioritet.
4. Den övergripande ekonomin lider förluster på grund av störningar på finansmarknaderna som orsakats av VC-transaktioner och tillgångar som blockerats eller försenats etc. (D04).
Risken uppstår i ett scenario där riskkapitalfonderna har blivit så viktiga att deras bristande funktion leder till oväntade kredit- och likviditetsexponeringar för betalningsförmedlare i riskkapitalfonderna, vilket i sin tur fördröjer riskkapital- och FC-transaktioner till nackdel för den totala ekonomins verkliga verksamhet. Risken har låg prioritet.
Riskernas drivkrafter Risk(er) som är relevant för
Riskkapitalprogrammen kan skapas (och deras funktion kan sedan ändras) av vem som helst, anonymt: Vem som helst kan anonymt skapa ett VC-system och kan därefter göra ändringar i VC-protokollet eller andra kärnkomponenter om den nödvändiga majoriteten av (anonyma) gruvarbetare samtycker.A02, A06, A08, A21, A25, B31, C05, C15,Betalare och betalningsmottagare är anonyma: Sändare och mottagare av VC-system interagerar personligen, men förblir anonyma.A01, A03, A05, A06, A21, B01, B02, B03, B05, C01, C02, C03, C04, C05, C11, C12, C13, C14, C15, C17, C18, D01, D02, D03, E22,Global räckvidd: Eftersom riskkapitalprogrammen är internetbaserade respekterar de inte nationella gränser och därmed inte heller jurisdiktionsgränserC01, C02, C03, C04, C05, C11, C13, C17Missbruk av redlighet: Börsen är varken reviderad eller föremål för normer för styrning och redlighet, och är föremål för förskingring, bedrägeri och beslagA01, V23, C04Inte en juridisk person: Marknadsaktörerna är inte registrerade som enheter som skulle kunna omfattas av normerA01, A02, C12, C17
Ogenomskinlig prisbildning: Prisbildningen på börserna är inte transparent och omfattas inte av tillförlitliga standarder, och växelkurserna skiljer sig avsevärt mellan börserna, vilket underlättar manipulation av börsernaA03, A41, A43, A44, A45, A46, B23, D02, D03Ingen återbetalning eller betalningsgaranti: VC-transaktioner är inte reversibla, så inga återbetalningar utfärdas för felaktiga transaktionerA05, A06, A08, A21, A22, A24, A27, A28, A29, A 43, B04Omfattande reglering: Regleringen är otydlig och skapar osäkerhet för marknadsaktörernaA04, A10, B01, D01, E02,11, E22Missbruk av definitioner och standarder: En produkts egenskaper kan framställas på ett felaktigt sätt på grund av bristande definitioner och standarderA06, A42Otillräcklig IT-säkerhet: IT-systemen, infrastrukturen, transaktionsregistret, VC-protokollet och krypteringen är antingen
osäkra, utsatta för bedrägeri och manipulation och, när det gäller protokollet, kan ändras genom en majoritet av gruvarbetarnaA07, A08, A11, A21, A22, A41, A42, B11, B12, B21, B31, C16, D01Informationen är varken objektiv eller jämnt fördelad: Begränsad tillgång till begriplig, oberoende och objektiv information om VC-verksamhet. Detta leder till att vissa marknadsaktörer drar nytta av ojämlik information, t.ex. om händelser som påverkar prisbildningenA09, A41, A42,B05, B06, D03Otillräckliga medel eller riskkapitalenheter: Marknadsaktörerna har otillräckliga medel för att uppfylla sina finansiella skyldigheter eller för att kompensera fordringsägare i händelse av konkursA21, A28, A29, A30, B04, B12, D01, D02
Ingen åtskillnad av konton: VC-enheter som tillfälligt innehas på en börs är ofta inte åtskilda från
-börsen, dvs. de hålls på kundkontonA27, A30.
Inget förfarande för klagomål: ingen effektiv kanal A06, A22, A42, B24, B33 för användarna att klaga.
Bristande tillgång till prövning: ingen tillgång till prövning, kompensation eller skyddssystemA22, A28, A30, A42, A44 Bristande företagskapacitet och styrning: bristande kompetens, sakkunskap, system, kontroller, organisationsstruktur och styrning som utövas av marknadsaktörernaA45, B04, B11, B12, B32, B33, E21 Ingen rapportering: bristande rapporteringskrav till någon myndighet, t.ex. misstänkta transaktionerC01, C02, C03, C04, C11, C13, C14, C16Interkoppling till FC: Det är lätt att utbyta VC-enheter och FC-medel, vilket skapar spridningseffekter eller risker från VC- till FC-systemD02, D03, D04, B05Inte lagligt betalningsmedel: Ingen skyldighet att rapportera till någon myndighet, t.ex. om misstänkta transaktioner: Handlare är inte juridiskt skyldiga att acceptera ett visst (eller något) VC A23 och kan byta mellan olika VC-systemA23Ingen stabiliserande myndighet: ingen myndighet som kan skapa växelkursstabilitet och/eller agera som inlösare
sista utvägA44, B22
Regler för intern kontroll
Dessa regler för intern kontroll har utarbetats av ITCS Capital Ltd, ett kazakiskt kommanditbolag med registreringsnummer 210240004131 (nedan kallat "bolaget").
1. Den interna kontrollen har följande uppgifter:
1.1. Kontrollera att bolaget och dess chefer och anställda följer lagstiftningen, finansinspektionens föreskrifter, ledningsorganens beslut, interna regler, avtal och god praxis som bolaget ingått.
1.2. I samarbete med alla ledningsnivåer i bolaget identifiera och bedöma de risker som kan påverka effektiviteten i bolagets verksamhet och dess system för intern kontroll, fastställa prioriteringarna för sin verksamhet och upprätta arbetsplaner på grundval av resultaten av riskbedömningen;
1.3. Bedöma de lednings- och kontrollåtgärder som genomförts för att uppnå bolagets mål, deras effektivitet, hållbarhet och ändamålsenlighet, samt uttrycka ett yttrande om dessa åtgärders lämplighet, tillförlitlighet och nödvändighet;
1.4. Informera styrelsen om sina resultat och slutsatser och vid behov lämna rekommendationer för att avhjälpa situationen, ändra åtgärder eller genomföra nya åtgärder;
1.5. Som ett resultat av ovan nämnda verksamhet öka bolagsledningens förtroende för att de lednings- och kontrollåtgärder som genomförs syftar till att uppnå de mål som bolaget har fastställt är tillräckliga och inte överflödiga.
2. Bolagets styrelse har till uppgift att utse en person som ansvarar för bolagets interna kontroll (nedan kallad internrevisorn) och vid behov inrätta en motsvarande strukturenhet under ledning av denna person, säkerställa nödvändiga förutsättningar för internrevisorns arbete, tillgång till den information som behövs för arbetet och funktionellt oberoende av bolagets övriga verksamhet samt i möjligaste mån genomföra förslag.
3. För att säkerställa den interna kontrollens oberoende ska internrevisorn inte delta i uppgifter som påverkar resultatet av en internrevision. Internrevisorns rådgivande verksamhet är tillåten.
4. Den person som ansvarar för den interna kontrollen skall vara oberoende i planeringen av sin verksamhet.
5. Internrevisorn ska vara oberoende när han eller hon utför revisioner, gör iakttagelser, drar slutsatser och rekommendationer och informerar om resultaten samt upprätthåller neutralitet i förhållande till den granskade.
6. Krav på internrevisorer:
6.1. En internrevisor kan vara en fysisk person:
(i) som inte får inneha tjänsten och utföra andra uppgifter som orsakar eller kan orsaka en intressekonflikt;
(ii) som har ett oklanderligt rykte, ärlighet och höga moraliska egenskaper och som har den kapacitet och de personliga egenskaper som krävs för arbetet som internrevisor;
(iii) har högre utbildning.
6.2. Internrevisorn ska följa de uppföranderegler som finns i internationellt accepterade standarder.
6.3. Internrevisorn ser till att revisionerna utförs professionellt och med vederbörlig omsorg, i enlighet med tillämplig lagstiftning och internationellt accepterade standarder.
7. Riskbedömning, revisionsplanering och revision:
7.1. Det finns en risk för att en händelse, aktivitet eller underlåtenhet kan orsaka förlust av bolagets tillgångar eller rykte och äventyra det effektiva utförandet av de uppgifter som ålagts bolaget. Syftet med den interna kontrollen är bland annat att förhindra att riskerna förverkligas, vilket uppnås genom att uppfylla den arbetsplan som grundar sig på resultaten av riskbedömningen.
7.2. Riskbedömning är i detta förfarande en process som syftar till att identifiera risker i företaget och prioritera de förändringar som är nödvändiga i den strategiska revisionsplanen samt att utarbeta en årlig arbetsplan för en revision.
7.3. Alla ledningsnivåer i företaget och den person som ansvarar för den interna kontrollen måste delta i riskbedömningen.
7.4. Riskbedömning görs minst en gång om året innan arbetsplanerna för revisionen upprättas.
7.5. En revisionsplan upprättas för planeringen av internrevisionsarbetet.
7.6. Bolagets arbetsplan för revision utarbetas av den person som ansvarar för den interna kontrollen och godkänns av bolagets styrelse.
7.7. Arbetsplanen för revisionen ska utarbetas i början av varje år och ska innehålla följande:
(i) resultaten av riskbedömningen,
ii) revisionsobjekt och mål,
iii) den planerade tidsfristen för slutförandet av varje revision per kvartal;
7.8. Arbetsplanen för revisionen ska baseras på resultaten av riskbedömningen, ta hänsyn till de operativa prioriteringar som fastställts för dem och de resurser som finns tillgängliga för internrevisionen samt lämna en rimlig reserv för att utföra enstaka uppgifter som kommer från bolagets styrelse.
7.9. En revisionsplan utarbetas av internrevisorn. Revisionsplanen ska innehålla följande information:
(i) syftet med revisionen;
(ii) Namnet på det granskade företaget eller den granskade sektorn;
(iii) revisionens omfattning och den period som omfattas;
(iv) tidpunkten för revisionen;
7.10 Revisionen omfattar revisionsplanering, revisionsverksamhet, utarbetande av slutrapport och rapportering av resultat samt vid behov efterhandskontroller.
7.11. Revisionsobjektet kan vara någon av företagets strukturella enheter, system, processer, verksamheter, funktioner och aktiviteter.
7.12 Internrevisorn ska garanteras tillgång till den information som behövs för att genomföra hela revisionen i företaget.
7.13. Internrevisorn ska garanteras alla de rättigheter och arbetsvillkor som krävs för att han ska kunna utföra sina uppgifter, inklusive rätten att få förtydliganden och information från bolagets chefer och anställda, samt att övervaka att de brister som konstaterats undanröjs och att de förslag som lagts fram genomförs.
7.14. Internrevision genomförs minst två gånger per år.
8. Utarbetande och överlämnande av en rapport:
8.1. I slutet av varje revision ska internrevisorn upprätta en revisionsrapport som ska innehålla resultat, slutsatser och rekommendationer för att ändra situationen på grundval av de bevis som finns i revisionsunderlaget och som tagits fram under revisionen.
8.2. Internrevisorn skall överlämna slutrapporten till bolagets styrelse och vid behov till annan ledningspersonal.
8.3. När internrevisorn rapporterar lagöverträdelser ska han eller hon följa gällande lagar och internationellt accepterade standarder.
8.4. Internrevisorn är skyldig att utan dröjsmål vidarebefordra information till företagets chefer om den information han fått om brott mot lagen eller till skada för kundernas intressen.
9. Dokumentation och förfaranden för revision:
9.1. All information som erhålls under revisionen och som ligger till grund för slutsatser och rekommendationer, riskbedömning och planering av framtida revisioner ska dokumenteras.
9.2. För att säkerställa revisionens höga kvalitet och för att möjliggöra en senare förståelse av revisionsprocessen ska alla dokument som erhållits under revisionen och de utarbetade arbetsdokumenten ingå i revisionsakten. I akten ska det säkerställas att dokumenten är lätt åtkomliga genom hänvisning i slutrapporten och på andra ställen.
9.3 Organiseringen av den interna kontrollen, upprättandet och upprätthållandet av revisionshandlingar ska styras av de lagar och förordningar som gäller för bolagets nuvarande regler och förfaranden.