CRA (Customer Risk Assessment, оценка риска клиента) — процедура присвоения клиенту степени (уровня) риска совершения им операций в целях ОД/ФТ, регламентированная внутренней методикой организации. Результат оценки определяет, какой уровень проверки применить к клиенту: упрощённый (SDD), стандартный (CDD) или расширенный (EDD). Тем самым оценка задаёт и периодичность обновления риск-профиля клиента. Детальное описание каждого уровня — в статье «CDD и EDD: что это такое и как работает в России».
В российском законодательстве обязанность присваивать и актуализировать степень риска клиента установлена статьёй 7 Федерального закона № 115-ФЗ. Требования к методологии оценки риска клиента закреплены в Положении Банка России № 375-П (для кредитных организаций) и Положении № 445-П (для некредитных финансовых организаций). Порядок идентификации НФО регулируется отдельным актом — Положением № 444-П «Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях ПОД/ФТ». На международном уровне CRA — ключевой элемент риск-ориентированного подхода (Risk-Based Approach), закреплённого в Рекомендациях 1 и 10 FATF. Общую систему ПОД/ФТ, в которую встроен CRA, описывает статья «AML: что это такое и как работает в России».
Для чего нужна оценка риска клиента
CRA решает три задачи:
- Распределяет ресурсы compliance-команды. Высокорисковые клиенты требуют усиленного мониторинга и ручной проверки; низкорисковые проходят стандартный автоматический скоринг с сокращённой частотой пересмотра.
- Определяет объём идентификационных мер. Риск-оценка — основание для выбора между SDD, CDD и EDD. Без задокументированной оценки риска применение упрощённой идентификации не выдерживает проверки Банка России и создаёт основание для предписания.
- Формирует доказательную базу. Документированный риск-профиль клиента — обязательный элемент клиентского досье, который Банк России или Росфинмониторинг проверяет в ходе надзорных визитов.
Факторы оценки риска
Принцип оценки риска клиента един для всех субъектов 115-ФЗ: присвоение степени риска — результат сопоставления информации о клиенте с факторами, определёнными в нормативных актах. При этом конкретные требования к методике различаются в зависимости от надзорного органа: для кредитных организаций — Положение Банка России № 375-П, для некредитных финансовых организаций — Положение № 445-П, для остальных субъектов 115-ФЗ — требования Росфинмониторинга. Факторы делятся на четыре группы:
|
Группа факторов |
Примеры |
|---|---|
|
Связанные с клиентом |
Гражданство, страна проживания, принадлежность к политически значимым лицам (PEP), наличие в перечнях Росфинмониторинга, наличие судимостей за экономические преступления |
|
Связанные с деловыми отношениями |
Цель и характер деловых отношений, страна регистрации контрагента, виды планируемых продуктов и услуг |
|
Связанные с операциями |
Объём, частота и характер операций; нетипичность для заявленного вида деятельности; использование наличных; операции с высокорисковыми юрисдикциями |
|
Связанные с каналом обслуживания |
Дистанционный онбординг без личного присутствия; использование анонимизирующих технологий; неверифицированные посредники |
Для юридических лиц перечень факторов шире: дополнительно учитываются признаки «однодневки» (массовый адрес, массовый учредитель, минимальный уставный капитал), несоответствие ОКВЭД реальным операциям и сложность корпоративной структуры, влияющая на установление бенефициарного владельца (UBO). Практический маршрут проверки юрлица по 12 параметрам — в статье «Проверка контрагента по ИНН».
Этапы Customer Risk Assessment
CRA — непрерывный процесс, не ограниченный однократной проверкой при онбординге. Полный цикл включает пять этапов:
- Сбор данных: Идентификационные сведения, документы, анкета клиента, данные из внешних реестров (ЕГРЮЛ, ЕГРИП, реестры ФНС, ФССП, ЕФРСБ, санкционные списки).
- Скрининг: Проверка по перечням Росфинмониторинга, реестру дисквалифицированных лиц, спискам OFAC и ООН, базам политически значимых лиц (PEP), неблагоприятных упоминаний в СМИ (adverse media).
- Присвоение балла: Каждый фактор риска взвешивается по методике организации; итоговый балл определяет уровень риска (низкий / средний / высокий).
- Определение уровня проверки: Клиенту присваивается уровень проверки — SDD, CDD или EDD — с соответствующим набором контрольных мер и частотой мониторинга.
- Актуализация: Периодический пересмотр профиля в сроки, установленные ПВК и нормативными актами регулятора, и внеплановый — при срабатывании триггеров.
Риск-матрица и присвоение категорий
На практике организации строят риск-матрицу, где строки — группы клиентов, столбцы — факторы риска. Каждой ячейке присваивают вес, итоговые баллы складывают и сравнивают с порогами. Типичная трёхуровневая шкала:
|
Уровень риска |
Балл (пример) |
Применяемые меры |
Периодичность обновления |
|---|---|---|---|
|
Низкий |
0–30 |
SDD / упрощённая идентификация |
Раз в 3 года или при триггере |
|
Средний (стандартный) |
31–60 |
CDD, регулярный мониторинг |
Раз в год или при триггере |
|
Высокий |
61+ |
EDD, одобрение старшим менеджментом |
Раз в 6 месяцев или при триггере |
Конкретные пороги и веса факторов организация устанавливает самостоятельно в Правилах внутреннего контроля (ПВК). Надзорный орган (Банк России или Росфинмониторинг) оценивает не абсолютные цифры, а обоснованность методики и последовательность её применения. Подробнее о том, как банк присваивает уровни риска на практике, — в статье «Риск-профиль клиента по 115-ФЗ: SDD, CDD, EDD».
Связь с Правилами внутреннего контроля
Методика CRA — обязательный раздел Правил внутреннего контроля (ПВК) в целях ПОД/ФТ. По требованиям Банка России (Положение № 375-П для банков, Положение № 445-П для НФО) ПВК должны содержать: критерии присвоения уровней риска, перечень факторов и их веса, порядок актуализации и ответственных лиц. Отсутствие задокументированной методики или её формальное применение без реального анализа — типичное нарушение, выявляемое в ходе надзорных проверок.
Customer Risk Assessment и машинное обучение
Ряд банков и НФО дополняют регламентную балловую методику ML-моделями: ансамблевые алгоритмы машинного обучения, в том числе градиентный бустинг и случайный лес, позволяют учитывать транзакционное поведение и динамику операций, которые невозможно исчерпывающе описать в статической балловой шкале. При этом методика, закреплённая в ПВК, остаётся первичной: ML-модель служит вспомогательным инструментом в рамках регламентной методики, а не её заменой.
В практике надзора Банка России автоматизированное решение о риске должно быть объяснимым и воспроизводимым: система обязана фиксировать, какие факторы и с каким весом повлияли на результат, а не только выдавать итоговый вердикт. Рекомендации по применению ML-моделей в ПОД/ФТ отражены в методических материалах ЦБ по операционной надёжности и контролю алгоритмических систем.
На практике
Внедряйте CRA до первой операции клиента: решение о применяемом уровне проверки должно быть готово до начала обслуживания. Документируйте каждый шаг оценки в клиентском досье — какие данные использовались, каков итоговый балл и какой уровень проверки присвоен.
- Настройте автоматические триггеры пересмотра профиля: смена страны, рост оборота выше порога, появление в новых реестрах — всё это должно инициировать внеплановую переоценку.
- Проводите внутренний аудит корректности применения методики CRA с периодичностью, соответствующей масштабу и профилю риска организации, — как правило, не реже одного раза в год. Для крупных банков и системообразующих НФО практика надзора Банка России предполагает более частые проверки. Выборочная проверка клиентских досье позволяет выявить системные ошибки до проверки регулятором.
- Для принятия на обслуживание иностранных публичных должностных лиц (ИПДЛ) фиксируйте решение об одобрении, принятое руководителем организации или его заместителем: это требование п. 1.4-5 ст. 7 115-ФЗ. Требование распространяется на решение о начале деловых отношений, а не на одобрение каждой последующей операции.
Материал носит справочно-информационный характер и не является юридической консультацией.