Customer Risk Assessment — оценка риска клиента

Customer Risk Assessment — оценка риска клиента

Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.

CRA (Customer Risk Assessment, оценка риска клиента) — процедура присвоения клиенту степени (уровня) риска совершения им операций в целях ОД/ФТ, регламентированная внутренней методикой организации. Результат оценки определяет, какой уровень проверки применить к клиенту: упрощённый (SDD), стандартный (CDD) или расширенный (EDD). Тем самым оценка задаёт и периодичность обновления риск-профиля клиента. Детальное описание каждого уровня — в статье «CDD и EDD: что это такое и как работает в России».

В российском законодательстве обязанность присваивать и актуализировать степень риска клиента установлена статьёй 7 Федерального закона № 115-ФЗ. Требования к методологии оценки риска клиента закреплены в Положении Банка России № 375-П (для кредитных организаций) и Положении № 445-П (для некредитных финансовых организаций). Порядок идентификации НФО регулируется отдельным актом — Положением № 444-П «Об идентификации некредитными финансовыми организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях ПОД/ФТ». На международном уровне CRA — ключевой элемент риск-ориентированного подхода (Risk-Based Approach), закреплённого в Рекомендациях 1 и 10 FATF. Общую систему ПОД/ФТ, в которую встроен CRA, описывает статья «AML: что это такое и как работает в России».


Для чего нужна оценка риска клиента


CRA решает три задачи:

  • Распределяет ресурсы compliance-команды. Высокорисковые клиенты требуют усиленного мониторинга и ручной проверки; низкорисковые проходят стандартный автоматический скоринг с сокращённой частотой пересмотра.
  • Определяет объём идентификационных мер. Риск-оценка — основание для выбора между SDD, CDD и EDD. Без задокументированной оценки риска применение упрощённой идентификации не выдерживает проверки Банка России и создаёт основание для предписания.
  • Формирует доказательную базу. Документированный риск-профиль клиента — обязательный элемент клиентского досье, который Банк России или Росфинмониторинг проверяет в ходе надзорных визитов.

Факторы оценки риска


Принцип оценки риска клиента един для всех субъектов 115-ФЗ: присвоение степени риска — результат сопоставления информации о клиенте с факторами, определёнными в нормативных актах. При этом конкретные требования к методике различаются в зависимости от надзорного органа: для кредитных организаций — Положение Банка России № 375-П, для некредитных финансовых организаций — Положение № 445-П, для остальных субъектов 115-ФЗ — требования Росфинмониторинга. Факторы делятся на четыре группы:

Группа факторов

Примеры

Связанные с клиентом

Гражданство, страна проживания, принадлежность к политически значимым лицам (PEP), наличие в перечнях Росфинмониторинга, наличие судимостей за экономические преступления

Связанные с деловыми отношениями

Цель и характер деловых отношений, страна регистрации контрагента, виды планируемых продуктов и услуг

Связанные с операциями

Объём, частота и характер операций; нетипичность для заявленного вида деятельности; использование наличных; операции с высокорисковыми юрисдикциями

Связанные с каналом обслуживания

Дистанционный онбординг без личного присутствия; использование анонимизирующих технологий; неверифицированные посредники

Для юридических лиц перечень факторов шире: дополнительно учитываются признаки «однодневки» (массовый адрес, массовый учредитель, минимальный уставный капитал), несоответствие ОКВЭД реальным операциям и сложность корпоративной структуры, влияющая на установление бенефициарного владельца (UBO). Практический маршрут проверки юрлица по 12 параметрам — в статье «Проверка контрагента по ИНН».


Этапы Customer Risk Assessment


CRA — непрерывный процесс, не ограниченный однократной проверкой при онбординге. Полный цикл включает пять этапов:

  1. Сбор данных: Идентификационные сведения, документы, анкета клиента, данные из внешних реестров (ЕГРЮЛ, ЕГРИП, реестры ФНС, ФССП, ЕФРСБ, санкционные списки).
  2. Скрининг: Проверка по перечням Росфинмониторинга, реестру дисквалифицированных лиц, спискам OFAC и ООН, базам политически значимых лиц (PEP), неблагоприятных упоминаний в СМИ (adverse media).
  3. Присвоение балла: Каждый фактор риска взвешивается по методике организации; итоговый балл определяет уровень риска (низкий / средний / высокий).
  4. Определение уровня проверки: Клиенту присваивается уровень проверки — SDD, CDD или EDD — с соответствующим набором контрольных мер и частотой мониторинга.
  5. Актуализация: Периодический пересмотр профиля в сроки, установленные ПВК и нормативными актами регулятора, и внеплановый — при срабатывании триггеров.

Риск-матрица и присвоение категорий


На практике организации строят риск-матрицу, где строки — группы клиентов, столбцы — факторы риска. Каждой ячейке присваивают вес, итоговые баллы складывают и сравнивают с порогами. Типичная трёхуровневая шкала:

Уровень риска

Балл (пример)

Применяемые меры

Периодичность обновления

Низкий

0–30

SDD / упрощённая идентификация

Раз в 3 года или при триггере

Средний (стандартный)

31–60

CDD, регулярный мониторинг

Раз в год или при триггере

Высокий

61+

EDD, одобрение старшим менеджментом

Раз в 6 месяцев или при триггере


Конкретные пороги и веса факторов организация устанавливает самостоятельно в Правилах внутреннего контроля (ПВК). Надзорный орган (Банк России или Росфинмониторинг) оценивает не абсолютные цифры, а обоснованность методики и последовательность её применения. Подробнее о том, как банк присваивает уровни риска на практике, — в статье «Риск-профиль клиента по 115-ФЗ: SDD, CDD, EDD».


Связь с Правилами внутреннего контроля


Методика CRA — обязательный раздел Правил внутреннего контроля (ПВК) в целях ПОД/ФТ. По требованиям Банка России (Положение № 375-П для банков, Положение № 445-П для НФО) ПВК должны содержать: критерии присвоения уровней риска, перечень факторов и их веса, порядок актуализации и ответственных лиц. Отсутствие задокументированной методики или её формальное применение без реального анализа — типичное нарушение, выявляемое в ходе надзорных проверок.


Customer Risk Assessment и машинное обучение


Ряд банков и НФО дополняют регламентную балловую методику ML-моделями: ансамблевые алгоритмы машинного обучения, в том числе градиентный бустинг и случайный лес, позволяют учитывать транзакционное поведение и динамику операций, которые невозможно исчерпывающе описать в статической балловой шкале. При этом методика, закреплённая в ПВК, остаётся первичной: ML-модель служит вспомогательным инструментом в рамках регламентной методики, а не её заменой.

В практике надзора Банка России автоматизированное решение о риске должно быть объяснимым и воспроизводимым: система обязана фиксировать, какие факторы и с каким весом повлияли на результат, а не только выдавать итоговый вердикт. Рекомендации по применению ML-моделей в ПОД/ФТ отражены в методических материалах ЦБ по операционной надёжности и контролю алгоритмических систем.


На практике


Внедряйте CRA до первой операции клиента: решение о применяемом уровне проверки должно быть готово до начала обслуживания. Документируйте каждый шаг оценки в клиентском досье — какие данные использовались, каков итоговый балл и какой уровень проверки присвоен.

  • Настройте автоматические триггеры пересмотра профиля: смена страны, рост оборота выше порога, появление в новых реестрах — всё это должно инициировать внеплановую переоценку.
  • Проводите внутренний аудит корректности применения методики CRA с периодичностью, соответствующей масштабу и профилю риска организации, — как правило, не реже одного раза в год. Для крупных банков и системообразующих НФО практика надзора Банка России предполагает более частые проверки. Выборочная проверка клиентских досье позволяет выявить системные ошибки до проверки регулятором.
  • Для принятия на обслуживание иностранных публичных должностных лиц (ИПДЛ) фиксируйте решение об одобрении, принятое руководителем организации или его заместителем: это требование п. 1.4-5 ст. 7 115-ФЗ. Требование распространяется на решение о начале деловых отношений, а не на одобрение каждой последующей операции.

Материал носит справочно-информационный характер и не является юридической консультацией.

Стать клиентом IDX
Ошибка! Сообщение не отправлено.
Спасибо за вашу заявку!
Наш менеджер свяжется с вами в ближайшее время
14.07.2026
Дипфейки, фишинг и голосовые атаки превратили манипуляцию людьми в один из самых опасных рисков для финтеха и онлайн-бизнеса.
13.07.2026
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
10.07.2026
Новости и ИИ • 3 июля–10 июля 2026 года. Шесть изменений и практические шаги для цифровых сервисов, маркетплейсов, KYC-, антифрод- и комплаенс-команд
09.07.2026
Технический этап обязательной идентификации клиента, при котором организация подтверждает, что предъявленный документ подлинный, действительный и принадлежит именно этому человеку.
08.07.2026
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
Подписка на новости