Cơ quan Quản lý Tài sản Ảo Dubai (VARA) vào ngày 12 tháng 6 đã ban hành “Hướng dẫn thực hành tốt cho đánh giá rủi ro nghiệp vụ AML/CFT của VASP”, trong đó nêu rõ rằng mọi nhà cung cấp dịch vụ tài sản ảo được cấp phép (VASP) phải hoàn thành đánh giá rủi ro nghiệp vụ AML/CFT (BRA) ít nhất mỗi ba tháng một lần, và phải được phê duyệt chính thức bởi ban quản trị (hoặc cơ quan quản trị tương đương) — chỉ phê duyệt bởi cấp quản lý cao nhất là không đáp ứng yêu cầu.
Nghĩa vụ pháp lý của BRA được xác nhận tại Điều III.D của VARA
Theo các yêu cầu pháp lý được xác nhận tại Điều III.D của “Sổ tay quy tắc tuân thủ và quản lý rủi ro của VARA”:
Khoảng thời gian rà soát tối đa: không quá ba tháng (Rule III.D.3)
Cập nhật do thay đổi trọng yếu kích hoạt: mọi thay đổi trọng yếu trong các lĩnh vực được liệt kê tại Rule III.D.2 phải được cập nhật ngay lập tức
Nghĩa vụ kiểm chứng hiệu quả: VASP phải chứng minh với VARA rằng kết quả BRA trực tiếp dẫn dắt việc xây dựng và cập nhật các chính sách, quy trình, hệ thống và biện pháp kiểm soát AML/CFT (Rule III.D.4)
Phạm vi bao phủ: BRA phải phản ánh các hoạt động kinh doanh cụ thể của VASP, nhóm khách hàng, bộ sản phẩm, phân bổ địa lý, cũng như môi trường đe dọa thể hiện trong đánh giá rủi ro quốc gia của UAE (NRA)
VARA xác nhận: chỉ phê duyệt bởi cấp quản lý cao nhất không thể cung cấp sự thách thức độc lập hoặc trách nhiệm giải trình quản trị tương đương; BRA phải được ban quản trị phê duyệt chính thức, đồng thời ghi nhận ngày phê duyệt cụ thể và nội dung thảo luận hoặc thách thức mang tính thực chất mà ban quản trị đã tiến hành.
Mô hình “ba tuyến phòng thủ” và yêu cầu xác nhận quyền sở hữu đối với MLRO
Các yêu cầu về cấu trúc quản trị được VARA xác nhận trong hướng dẫn:
Tuyến phòng thủ thứ nhất: chức năng tuân thủ và MLRO chịu trách nhiệm chuẩn bị BRA và quyền sở hữu đối với nội dung
Tuyến phòng thủ thứ hai: chức năng rủi ro hoặc ban quản trị cung cấp sự thách thức độc lập
Tuyến phòng thủ thứ ba: kiểm toán nội bộ độc lập xác minh phương pháp luận BRA và tính hiệu quả của các biện pháp kiểm soát; nếu năng lực kiểm toán nội bộ bị hạn chế, có thể ủy thác cho bên độc lập bên ngoài thực hiện chức năng này theo chu kỳ rủi ro
Hướng dẫn đồng thời xác nhận: việc rà soát theo chủ đề BRA năm 2026 của VARA áp dụng phương pháp tiếp cận kép — bảng câu hỏi có cấu trúc (bao gồm tám chủ đề như quản trị và trách nhiệm giải trình của cấp quản lý cao nhất, phạm vi và phương pháp, nguồn dữ liệu và nền tảng bằng chứng, v.v.) và phân tích giám sát chi tiết đối với các tài liệu BRA mà VASP nộp cho cơ quan.
Yêu cầu xác nhận về phương pháp đánh giá định lượng và tích hợp dữ liệu
Các yêu cầu về phương pháp luận thực hành tốt được VARA xác nhận trong hướng dẫn:
Khung chấm điểm định lượng: sử dụng ma trận chấm điểm dạng số (thường là thang khả năng và hậu quả 5 mức); tính hiệu quả của kiểm soát sử dụng thang chấm điểm đa cấp đã được định nghĩa; điểm số cho từng nhóm rủi ro được tổng hợp thành xếp hạng rủi ro tổng thể BRA thông qua bản đồ nhiệt được ghi nhận
Yêu cầu tích hợp dữ liệu: phải đưa vào phân bổ xếp hạng rủi ro khách hàng, dữ liệu cảnh báo từ giám sát giao dịch, xu hướng STR/SAR về khối lượng và tỷ lệ, kết quả sàng lọc trừng phạt, khối lượng giao dịch sản phẩm và phân bổ địa lý, mức độ phơi nhiễm đối với các khu vực pháp lý có rủi ro cao
Nguồn tham chiếu bên ngoài: UAE NRA, danh sách các khu vực pháp lý rủi ro cao của FATF, báo cáo loại hình của FATF, hướng dẫn của MENAFATF và các tài liệu phân tích chiến lược của UAE FIU đều phải được trích dẫn rõ ràng trong BRA
Câu hỏi thường gặp
Cập nhật theo quý đối với BRA mà VARA yêu cầu, tối đa bao lâu thì cần hoàn thành một lần?
Theo Điều III.D.3 của “Sổ tay quy tắc tuân thủ và quản lý rủi ro của VARA”, khoảng thời gian rà soát BRA không được vượt quá ba tháng (tức là ít nhất mỗi quý một lần). Ngoài ra, nếu có thay đổi trọng yếu xảy ra trong các lĩnh vực được liệt kê tại Rule III.D.2, thì bất kể đã trôi qua bao lâu kể từ lần rà soát trước, đều phải cập nhật ngay lập tức.
Vì sao việc chỉ phê duyệt bởi cấp quản lý cao nhất đối với BRA không đáp ứng yêu cầu của VARA?
Theo hướng dẫn của VARA, vai trò cốt lõi của ban quản trị là cung cấp sự thách thức độc lập đối với các kết luận của MLRO (đặc biệt là xếp hạng rủi ro còn dư, các giả định về tính hiệu quả của kiểm soát và mức độ đầy đủ của khuôn khổ khẩu vị rủi ro). Chỉ phê duyệt bởi cấp quản lý cao nhất không thể cung cấp sự thách thức độc lập hoặc trách nhiệm giải trình quản trị với chất lượng tương đương, do đó không đáp ứng yêu cầu.
Việc rà soát theo chủ đề BRA của VARA có bao gồm tất cả các VASP được cấp phép hay không?
Theo phần mô tả trong hướng dẫn, VARA định kỳ triển khai rà soát theo chủ đề BRA trong phạm vi toàn ngành đối với tất cả các VASP được cấp phép, áp dụng phương pháp tiếp cận kép: bảng câu hỏi có cấu trúc (bao gồm tám lĩnh vực chủ đề) và phân tích giám sát chi tiết đối với các tài liệu BRA mà VASP nộp. Bộ hướng dẫn này được công bố dựa trên các quan sát giám sát từ việc rà soát theo chủ đề BRA năm 2026.
