В качестве предисловия

В России специалисты по комплаенсу, безопасности и смежным направлениям привыкли к обилию корпоративных данных. Они оцифрованы, полны, актуальны и достоверны. Автоматизация достигла высокого уровня: данные объединяются с медиа, соцсетями, сведениями от госрегуляторов и открытыми базами. И все это — за очень небольшие деньги.

Но что делать, если нужно проверить зарубежную компанию? Или владельца за границей? Для многих оказывается сюрпризом, что данные в других странах часто не структурированы, не оцифрованы (часто это PDF-файлы, которые могут и не восприниматься автоматическими переводчиками), устарели или попросту недоступны. В ряде случаев доступ к ним требует национальной электронной цифровой подписи, а стоимость таких данных бывает просто неприличной по сравнению с российскими реалиями. Как с этим работать? И что делать, если приходится выходить за пределы «национальной песочницы»?

Заметки из жизни

(кейсы в этом разделе собирательны и не относятся к клиентам моей компании)

#1

Однажды коллега пришел с новостью: «Шеф решил купить самолет за n-цать миллионов долларов и дал мне 100 долларов на проверку продавца — кипрской компании». Да, конечно, можно за 10 евро выгрузить отчетность кипрской компании из реестра. В документах будут подробно расписаны структура активов, включая авиапарк, схемы лизинга и финансирования и перечислены сервисные компании. Из корпоративных отчетов, медиа и баз ВЭД становится понятно, как нанимают персонал, закупают технику и запчасти (которые, кстати, не всегда были новыми и оригинальными).

Дальше — интереснее. Открытый реестр авиатранспорта острова Мэн показывает, что структурирование прав собственности на самолет несколько сложнее, чем то, что говорили шефу. Выяснилось, что борт долгие годы используется как VIP-авиатакси. А по данным Flightradar, дополненным реальными фото из многочисленных уютных «инстаграмчиков» (запрещен и порицаем в РФ) различных дам можно сделать вполне обоснованное предположение, что самолет последние годы регулярно перевозит эскорты в различные Куршавели…

Должен ли это знать шеф «на берегу»? Бесспорно, должен. Но за 100 долларов, Карл?! Три полных дня работы команды экспертов в области OSINT и 500 евро чистых расходов на выписки, доступы к платным источникам информации и так далее. Без учета потраченного времени экспертов. Да юристы, сопровождающие сделку, выставят счета на сотни тысяч долларов, даже не посоветовав провести технический аудит самолета!

«Но в целом, да, с кипрской компанией все ОК, так и передай», хотел съехидничать я, но вместо этого мой совет коллеге был прост: либо срочно пересмотри свою роль и место в структуре корпоративной и экономической безопасности компании, либо беги от такого «шефа».

#2

Не так давно, уже в новой реальности нашей жизни, другой знакомый обратился с просьбой внимательно изучить китайского продавца продукции, которую его компания хотела импортировать на постоянной основе. Здесь был совершенно другой подход к своей бизнес-функции: «Посмотри не только на номинального китайского продавца с экспортной лицензией, но и на сбытовую гонконгскую дочку, а также на сам завод. Попроси коллег выехать на место и поговорить с менеджментом и персоналом. И, что самое главное, дай ответ на вопрос: все эти ребята в цепочке действительно одно целое или центр создания изделий и их дистрибуции принадлежит другим людям? Может, мы общаемся с посредниками и стоит выйти на других людей, чтобы сэкономить и обеспечить прозрачность контрактования? Давай перепроверим работу наших закупщиков и консультантов на формальность».

Это был стратегический подход, а не формальная галочка в комплаенсе. И да, никаких «шпионских» фото через забор и анонимных опросов. Если проверяющие говорят на одном языке с китайцами, задают правильные вопросы и понимают местный менталитет, контрагенты сами расскажут и покажут все, что нужно.

И, конечно, бюджет таких упражнений также далеко не пресловутые 100 долларов. Но если речь о долгосрочной многомиллионной сделке, с предоплатой и возможными рисками непоставок товара (а как сейчас без этого?), разве не лучше закрыть вопросы благонадежности партнеров и эффективности закупочной конструкции «на берегу», а не в процессе пожара?

#3

Достаточно часто в последние годы даже не коллеги по безопасности, а юристы приходят с типичными историями о колоссальных потерях по классической схеме фишинга. Закупщики общались по контракту и вели сделку с реальным зарубежным продавцом, например, из Индии, но в какой-то момент получили письмо с инвойсом на оплату от совершенно другой компании из Вьетнама. Или письмо было не от продавца? Так или иначе, деньги ушли. В итоге нас зовут разбираться с ситуацией во время пожара: «Помогите понять, что произошло и кто виноват и что делать дальше». Речь идет о полноценном внутреннем расследовании с изучением рабочей почтовой переписки всех вовлеченных лиц на корпоративном сервере через платформу e-Discovery, криминалистической экспертизе инвойса на фишинговые признаки. И каждый раз можно задаться вопросом: а почему не проверили вьетнамскую компанию заранее?

Какова роль СБ и ИБ при всем этом действе? Найти и наказать виновных? Такой подход я называю палочным и реактивным.

Согласитесь, гораздо логичнее и проще сделать две простых вещи «до того как»: проверить вьетнамскую компанию по самому обычному сценарию и иметь обученных и натренированных закупщиков, знающих что такое фишинг не из прошлогоднего тренинга на бумаге, а в реальности проходящих тренировки с получением подобных писем.

Во Вьетнаме вполне себе открытый государственный реестр компаний, который содержит информацию об акционерах, финансовых результатах и других аспектах деятельности компании. У акционеров указаны все персональные данные, включая фактическое место жительства (привет вьетнамскому закону о персональных данных). Кроме того, можно запросить данные обо всех связанных с акционером юридических лицах. В итоге, потратив полдня и несколько тысяч рублей (и имея вьетнамскую Visa или Mastercard), можно с точностью говорить, что перед нами классическая однодневка. Это может спасти бизнес от потерь весьма внушительной суммы. Точнее говоря, могло.

Что для этого нужно? Если оставить в стороне процедурные моменты и правила конкретной компании по работе с контрагентами, в моменте закупщики должны сами обратиться в службу безопасности с такими запросами. А они это сделают только в том случае, если будут уверены, что ответ придет в течение пары дней и будет не формальным, а действительно отражающим реальную ситуацию. Кроме того, важно, чтобы они получили вменяемую инструкцию о том, что делать дальше.

Возможно ли это? Если СБ и ИБ воспринимаются как карательный и запретительный механизм, который решает лишь вопросы типа «валенки-ружье-забор», то вряд ли. Но если безопасность интегрирована в процесс получения прибыли и подстраховки закупок, как в случае с китайским производителем из примера #2, то это вполне реально. В таком случае, на иерархии нужности и полезности для собственника, роль безопасника и его команды будет значительно более значимой, чем в моем примере #1.

А как обстоят дела с проверкой контрагентов? Здесь очевидно нужна диверсификация подходов. Некоторые проверки может провести СБ или комплаенс компании прямо сейчас, и этого может быть достаточно. Но для других случаев потребуется вдумчивая работа профильных специалистов и местных экспертов, которые хорошо знают ситуацию и правила игры «на земле».

При цене около $200-300 за одного контрагента это казалось отличным решением для комплаенса.

Время шло, и региональные агрегаторы корпоративной информации начали развиваться в Азии (например, AsiaVerify), Европе (Lursoft, Northdata и другие) и фрагментарно на Ближнем Востоке. В то же время стало ясно, что отчеты международных агрегаторов страдают от конвейерности и однобокости подхода. Часто это просто переработанные табличные данные обычных корпоративных документов, если их можно получить публично в запрашиваемой юрисдикции. Например, на Кипре вся корпоративная информация доступна за 10 евро, и она будет на английском языке. Однако годовые отчеты, как правило, не дотягивают до 2020 года, и это довольно редкое исключение. В итоге можно вместо 200-300 долларов можно потратить 10 и получить ту же информацию. Никакой добавленной ценности отчет провайдеров не несет, а для проверяющего это лишь экономия времени, но с определенным навыком временные трудозатраты тоже становятся минимальны.

Появились и локальные проблемы де-глобализации. Например, итальянский корпоративный реестр закрыл общий доступ к части данных, включая годовые отчеты, из-за необходимости авторизации через национальную электронную подпись (ЭЦП). При таком событии – большое сомнение что глобальный агрегатор сможет конвейерно даже подгружать новые данные из Италии – возможна только ручная проверка. И такой пример не единичен.

Так как же сейчас российскому безопаснику или специалисту по комплаенсу проводить проверки зарубежных контрагентов?

Подходы к проведению зарубежных KYC в современных реалиях

Прежде всего, нужно определиться с задачей этого упражнения. Что за задача у Вас «на столе»? Стандартный KYC при онбординге в реестр поставщиков или для разовой сделки? Нужно проверить контрагента перед существенным контрактом или с учетом различных риск-факторов для компании (например, предполагается предоплатная схема контрактования)? Осуществляется серьезная сделка с бизнес-партнером или сделка слияния/поглощения, которая может существенно повлиять на бизнес как с экономической, так и со структурной и стратегической точек зрения? Или речь идет о покупке подержанного самолета у оффшорной компании, который даже не «упадет» на баланс, но может стать существенной головной болью для шефа и его окружения, включая юристов, службу безопасности и т.д.?

Исходя из нашего опыта, при стандартном KYC комплаенс или безопасность практически всегда могут провести проверку самостоятельно. Продуманные ЛНА компании должны включать не просто формальную анкету, которую зарубежный контрагент обязан заполнить, но и обязательный перечень документов для юридического лица из любой юрисдикции. Здесь важно подходить вдумчиво и без фанатизма, так как специфика документов за границей может значительно отличаться от нашего понимания. В дополнение к документам базовое обучение проверяющего методам поиска информации в интернете и в реестрах зарубежных юрисдикций позволяет без проблем закрыть все аспекты такой стандартной проверки.

Большая часть таких проверок не потребует финансовых затрат вообще, либо затраты будут на уровне 5-10-30 долларов от юрисдикции к юрисдикции и в зависимости от требуемой глубины. Здесь возникает вопрос о наличии кредитной карты у проверяющего для оплаты выписок как физического лица, так как любой другой вариант значительно замедлит процесс или сделает невозможной покупку выписок в текущих реалиях.

Проверка контрагента перед существенным или специфичным контрактом потребует от проверяющего двух-трех дополнительных навыков:

• понимание локальных специфик бизнеса, таких, например, как экспортное контрактование в Китае;
• умение работать и возможность оплатить выписки из региональных агрегаторов данных;
• в некоторых случаях наличие контактов с коллегами из стран происхождения контрагента, чтобы помогли приобрести выписки с локальными ЭЦП.

По нашему мнению, в целом это тоже упражнение вполне себе решаемое для безопасника или комплаенса компании при условии адекватного понимания со стороны руководства о тратах на проверку в районе $100-150 через электронные платежи физическим лицом. Можно, конечно, привлечь провайдера для подобных проверок, который будет себе забирать дополнительно $100-200. Правильно организовав ритмичную работу по таким проверкам, компания как минимум закроет бреши безопасности и избежит прямых потерь в таких кейсах, как я описал в моем примере #3.

Эти подходы требуют изучения не только документов из отчетности или СМИ, но и окружения объекта исследования, изучения аспектов взаимоотношения этого объекта с другими компаниями или людьми, а в некоторых случаях проведения интервью (HUMINT) с различным кругом вовлеченных лиц.

Такие подходы не обходятся без привлечения локальных экспертов со знанием страновой специфики, местного языка и по определению требуют разработки под каждую проверку нетривиальных подходов, стратегии поиска информации и отработки самых различных версий происходящего. Подход к такому анализу строится не на принципе «давайте проставим флажки по риск факторам по отчетности и данным из СМИ». Используется более глубокий подход по изучению самого бизнеса с точки зрения текущей ситуации и устойчивости работы изнутри, смыслов его существования, а также вовлеченности в него различных групп влияния.

Реализация этих подходов невозможна ни «на столе» профильных сотрудников компании (у них просто на это не будет времени, бюджета, а главное узкоспециализированного опыта), ни «на столе», скажем, юристов, обслуживающих крупные сделки. Причиной тому их сложность в структурировании, иногда продолжительность, привлечение различных источников в регионах присутствия изучаемого бизнеса на самых различных этапах, а также нетривиальность подхода от задачи к задаче.

Возвращаясь к моему кейсу #1, согласитесь, бессмысленно требовать от безопасника или комплаенса знания как устроен авиационный реестр острова Мэн, равно как и на адекватном уровне организовать инспекцию производства и сбытового подразделения контрагента в Китае с целью устранения промежуточных звеньев и их дельты из структуры сделки в моем кейсе #2. Нужно понимать, что задача коллег — это обеспечение повседневного функционирования системы безопасности и комплаенс для эффективной работы бизнеса. Если же задача выходит за рамки повседневности или является критической для бизнеса –работать должны профессионалы.

Безусловно, описанные подходы по углубленным проверкам предполагают кратно увеличенные цифры, а иногда и на порядок отличающиеся от стоимости стандартного KYC. Но и на кону здесь n-дцать миллионов долларов (а может и жизнь или репутация «шефа») из моего примера #1. В любом случае провести углубленные проверки стоит гораздо меньше, чем тратиться на юристов и зарубежные суды в попытках вернуть предоплаты и недоставленные партии товара.

Немного о понимании, вовлеченности и месте под солнцем

Напоследок хочется сказать об отношении директора компании и собственника к освещенным вопросам. Работа по проверкам компаний вне России — это не одно и то же, что в России. Здесь не купишь аккаунт в СПАРКе или Контур Фокусе за безлимит данных в месяц. Задача руководства функций безопасности и комплаенс – донести описанное мной видение и картинку до топ-менеджмента. Если «шефа» переубедить не удается или у него не укладывается понимание, что это отдельная статья затрат, или наоборот понимание, из серии «зачем я тебя тогда нанимал, если еще и отдельно платить за проверки», или «полтинник баксов на все про все, больше это не стоит», то либо отдайте эту функцию юристам (у них всегда есть бюджеты, и кто как не они имеют влияние на руководство компании), либо меняйте место работы. По-другому вне нашей песочницы проверка контрагентов не работает. Хорошо это или плохо, но мир устроен именно так, как я описал.

Автор: Андрей Осипов, директор департамента корпоративных исследований, CSI Group. Член международной ассоциации корпоративной безопасности ICSA