Дубайський VARA оприлюднив нові правила криптографічного регулювання: VASP мають щокварталу оновлювати оцінку ризиків і в обов’язковому порядку отримувати схвалення від ради директорів

12 червня Дубайський регулятор віртуальних активів (VARA) опублікував «Керівні принципи щодо належної практики у сфері AML/CFT-ризикової оцінки для VASP», чітко вимагаючи від усіх ліцензованих постачальників послуг віртуальних активів (VASP) щоквартально (кожні три місяці) завершувати перегляд ризикової оцінки AML/CFT (BRA) та отримувати офіційне затвердження від ради директорів (або еквівалентного органу корпоративного управління) — лише затвердження з боку керівництва вищої ланки не відповідає вимогам.

Юридичні обов’язки BRA, підтверджені положенням VARA Розділ III.D

Вимоги, підтверджені Розділом III.D у «Керівництві з комплаєнсу та управління ризиками VARA»:

Максимальний інтервал перегляду: не більше ніж три місяці (Rule III.D.3)

Оновлення при настанні суттєвих змін: будь-які суттєві зміни в будь-якій сфері, зазначеній у Rule III.D.2, мають бути оновлені негайно

Обов’язок верифікації ефективності: VASP має довести VARA, що результати BRA напряму керують розробленням та оновленням політик, процедур, систем і контролів у сфері AML/CFT (Rule III.D.4)

Охоплення: BRA має відображати конкретні види бізнес-діяльності VASP, клієнтську базу, лінійки продуктів, географічний розподіл, а також середовище загроз, відображене в національній оцінці ризиків ОАЕ (NRA)

Підтвердження VARA: затвердження лише керівництвом вищої ланки не може забезпечити рівнозначну незалежну перевірку або підзвітність у межах управління; BRA має бути офіційно затверджена радою директорів, із фіксацією конкретних дат затвердження та описом предметних обговорень чи викликів, які проводила рада.

Модель трьох ліній захисту та вимога щодо належності MLRO

Вимоги до структури управління, підтверджені керівними принципами VARA:

Перша лінія захисту: функції комплаєнсу та MLRO відповідають за підготовку BRA та володіння її змістом

Друга лінія захисту: ризик-функція або рада забезпечують незалежний виклик

Третя лінія захисту: внутрішній аудит незалежно верифікує методологію BRA та ефективність контролів; якщо можливості внутрішнього аудиту обмежені, може бути залучена зовнішня незалежна сторона для виконання цієї функції в межах ризикового циклу

Керівні принципи також підтверджують: перевірка тематики BRA VARA за 2026 рік застосовує подвійний підхід — структурований опитувальник (охоплює вісім основних тем, зокрема управління та підзвітність керівництва вищої ланки, охоплення й методологію, джерела даних та доказову базу) та детальний регуляторний аналіз наданих VASP документів BRA.

Вимоги до методології кількісної оцінки та інтеграції даних

Вимоги до належної практики, підтверджені керівними принципами VARA щодо методології:

Кількісна шкала оцінювання: використовувати числову матрицю оцінок (зазвичай п’ятибальну шкалу ймовірності та шкалу наслідків); ефективність контролів — за визначеною багаторівневою шкалою; оцінки окремих категорій ризику через зафіксовані теплові карти агрегуються в загальний рівень ризику BRA

Вимоги до інтеграції даних: мають бути враховані розподіл оцінок ризику клієнтів, дані щодо сповіщень у системах моніторингу транзакцій, тенденції за STR/SAR і обсяги в кількості/сумах, результати скринінгу на санкції, обсяги транзакцій за продуктами та географічний розподіл, а також рівень експозиції щодо високоризикових юрисдикцій

Зовнішні референсні джерела: у BRA мають бути явно процитовані UAE NRA, списки FATF високоризикових юрисдикцій, звіти FATF з типологій, керівні принципи MENAFATF та стратегічні аналітичні документи UAE FIU

Поширені запитання

Квартальне оновлення BRA, яке вимагає VARA: до якого максимально можливого строку потрібно завершити?

Відповідно до пункту III.D.3 «Керівництва з комплаєнсу та управління ризиками VARA» інтервал перегляду BRA не може перевищувати три місяці (тобто щонайменше один раз на квартал). Крім того, якщо у сфері, зазначеній у III.D.2 правил, відбуваються суттєві зміни, BRA має бути оновлена негайно незалежно від того, як давно був проведений попередній перегляд.

Чому BRA, затверджена лише керівництвом вищої ланки, не відповідає вимогам VARA?

Згідно з керівними принципами VARA, ключова роль ради директорів полягає в незалежному виклику висновків MLRO (зокрема щодо залишкового рівня ризику, припущень про ефективність контролів і достатності рамки ризикової апетитності). Лише затвердження керівництвом вищої ланки не дає незалежної перевірки або управлінської підзвітності тієї самої якості, тому це не відповідає вимогам.

Чи охоплює тематика перевірки BRA за VARA всі ліцензовані VASP?

Згідно з поясненнями в керівних принципах, VARA регулярно проводить тематичні перевірки BRA для всіх ліцензованих VASP у межах галузевого охоплення, застосовуючи подвійний підхід: структурований опитувальник (охоплює вісім тематичних сфер) та детальний регуляторний аналіз документів BRA, поданих VASP. Ці керівні принципи опубліковані на основі регуляторних спостережень за тематичною перевіркою BRA за 2026 рік.