Дубай VARA опубликовало новые правила крипторегулирования: VASP должны обновлять оценку рисков каждый квартал, а также в обязательном порядке добиваться одобрения.

Дубайский орган по регулированию виртуальных активов (VARA) 12 июня опубликовал «Руководство по надлежащей практике оценки деловых рисков для VASP в рамках AML/CFT», в котором четко указано, что все лицензированные поставщики услуг в сфере виртуальных активов (VASP) должны раз в три месяца завершать проверку оценки деловых рисков по AML/CFT (BRA) и получать официальное одобрение совета (или эквивалентного органа корпоративного управления) — только одобрение со стороны старшего руководства не соответствует требованиям.

III.D: подтвержденные правовые обязанности BRA по линии VARA

В соответствии с требованиями, закрепленными в пункте III.D «Руководства по соблюдению норм и управлению рисками VARA»:

Максимальный интервал проверки: не более трех месяцев (Rule III.D.3)

Обновление при существенных изменениях: любые существенные изменения в областях, перечисленных в Rule III.D.2, должны обновляться немедленно

Обязанность по валидации эффективности: VASP должен доказать VARA, что результаты BRA непосредственно направляют разработку и обновление политик, процедур, систем и контролей по AML/CFT (Rule III.D.4)

Охват: BRA должна отражать конкретные виды деловой активности VASP, клиентскую базу, продуктовые линейки, географическое распределение, а также среду угроз, отраженную национальной оценкой рисков ОАЭ (NRA)

VARA подтверждает: только одобрение старшего руководства не дает эквивалентного механизма независимого оспаривания или корпоративной подотчетности; BRA должна быть официально одобрена советом, с фиксацией конкретной даты одобрения и содержания существенных обсуждений или оспариваний со стороны совета.

Трёхлинейная модель защиты и подтверждение ответственности MLRO

Требования к корпоративному управлению, подтвержденные в руководстве VARA:

Первая линия защиты: комплаенс и функция MLRO отвечают за подготовку и владение содержанием BRA

Вторая линия защиты: риск-функция или совет обеспечивают независимый вызов

Третья линия защиты: внутренний аудит независимо верифицирует методологию BRA и эффективность контролей; при ограниченных возможностях внутреннего аудита — можно привлечь внешнюю независимую сторону, чтобы выполнять эту функцию в рамках риск-цикла

Руководство также подтверждает: проверка темы BRA на 2026 год со стороны VARA будет применяться с двойным подходом — структурированный опросник (охватывающий восемь ключевых тем, включая подотчетность в сфере управления и старшего руководства, охват и методологию, источники данных и доказательную базу и т.д.) и детальный регуляторный анализ представленных VASP документов BRA.

Требования к методологии количественной оценки и интеграции данных

Требования к надлежащей практике и методологии, подтвержденные в руководстве VARA:

Рамка количественного скоринга: используется числовая матрица оценок (обычно пятибалльная шкала вероятности и шкала последствий); эффективность контролей оценивается по определенным многоуровневым оценочным шкалам; оценки отдельных категорий рисков посредством зафиксированной тепловой карты суммируются до общей оценки риска в BRA

Требования к интеграции данных: должны быть включены распределение клиентских оценок риска, данные по предупреждениям из транзакционного мониторинга, тренды и объемы STR/SAR, результаты санкционного скрининга, объемы продуктовых транзакций и географическое распределение, уровень подверженности высокорисковым юрисдикциям

Внешние референсные источники: в BRA должны явно ссылаться UAE NRA, список FATF высокорисковых юрисдикций, отчеты FATF по типологиям, руководства MENAFATF и стратегические аналитические документы UAE FIU

Частые вопросы

В какие сроки, не позднее, нужно завершить квартальное обновление BRA, требуемое VARA?

Согласно пункту III.D.3 «Руководства по соблюдению норм и управлению рисками VARA», интервал проверки BRA не может превышать трех месяцев (то есть минимум один раз в квартал). Кроме того, если в области, указанной в Rule III.D.2, произошли существенные изменения, BRA должна быть обновлена немедленно независимо от того, сколько времени прошло с момента последней проверки.

Почему одобрение BRA только старшим руководством не соответствует требованиям VARA?

Согласно руководству VARA, ключевая роль совета — обеспечивать независимый вызов заключениям MLRO (в частности, оценке остаточного риска, допущениям об эффективности контролей и достаточности рамок риск-аппетита). Только одобрение старшим руководством не может обеспечить независимый вызов или корпоративную подотчетность сопоставимого качества, поэтому не соответствует требованиям.

Охватывает ли тематическая проверка BRA VARA всех лицензированных VASP?

Согласно разъяснениям в руководстве, VARA регулярно проводит тематические проверки BRA для всех лицензированных VASP в рамках отраслевого подхода, используя двойной подход: структурированный опросник (охватывающий восемь тематических областей) и детальный регуляторный анализ представленных VASP документов BRA. Настоящее руководство опубликовано на основе регуляторных наблюдений по тематической проверке BRA за 2026 год.