Logo WCR Consulting
WCR Consulting
AIFC • Financial Business

Кастодиальные услуги в МФЦА (AIFC): custody, client assets и ключевые контуры контроля

Кастодиальные услуги — один из самых “чувствительных” видов финансовой деятельности, потому что он связан с контролем над активами клиентов (и/или с доступом к ним), управлением операционными рисками, разграничением полномочий, и доказуемостью процессов: учёт, реконсиляции, доступы, инциденты и взаимодействие с брокерами/платформами/клирингом.

  • Решающий фактор — контроль: кто реально может перемещать актив/средства и по каким правилам.
  • Кастодиальная модель часто “сцепляется” с brokerage, платформами и settlement-инфраструктурой.
  • Основные вопросы AFSA обычно про segregation, reconciliation, access controls и incident response.
Короткая навигация
Client Assets Segregation Reconciliation Access Controls Outsourcing Incident Mgmt

В custody-архитектуре важнее всего “как устроено” на практике: кто подписывает/подтверждает операции, где ключи/счета, как ведётся учёт и как закрываются исключения.

Как “раскладывать” custody-модель

Ниже — блоки, которые помогают описать кастодиальные услуги через функции и контуры контроля, а не через маркетинговые термины.

CS
Что считается custody

Границы: хранение, контроль доступа, обработка инструкций, ведение учёта и отчётность.

  • контроль vs “технический сервис”
  • клиентские активы
  • поручения и подтверждения
Перейти
SG
Segregation и учёт

Разделение клиентских активов, учетные книги, реконсиляции и контроль исключений.

  • ledger / sub-ledger
  • reconciliation
  • exception handling
Перейти
AC
Доступы и безопасность

Механика прав доступа, разделение ролей, dual control, ключи/счета и журналы действий.

  • SoD / dual control
  • key management
  • audit trail
Перейти
IF
Связки с брокерами/платформами

Settlement цепочка: кто даёт инструкции, кто подтверждает, и где возникают операционные риски.

  • инструкции и подтверждения
  • контрагенты и SLA
  • инциденты
Перейти
OS
Outsourcing и провайдеры

Если часть функций “вынесена” (IT/облако/операции), нужны управляемость и контроль периметра.

  • outsourcing governance
  • SLA и KPI
  • аудит и доступы
Перейти
IR
Инциденты и восстановление

Incident response, расследование, откат операций, BCP/DR и коммуникации с клиентом/регулятором.

  • incident playbooks
  • BCP/DR
  • уведомления
Перейти

В custody-проектах “сложно” обычно не право, а доказуемость процессов: кто что делает, какие есть контрольные точки, и как это подтверждается журналами и отчётами.

ЧТО ВАЖНО ПОНИМАТЬ: custody — это про контроль

Кастодиальная модель оценивается через фактические полномочия и процессы: кто может инициировать/подтвердить движение активов, как ведётся учёт, как обеспечивается segregation, и что происходит при сбоях/ошибках.

Что обычно относят к кастодиальным услугам

Упрощённо: custody — это не “хранение как место”, а набор функций вокруг активов клиента.

  • ведение учёта клиентских активов (книги/субсчета, отчёты)
  • принятие и исполнение инструкций клиента/уполномоченных лиц
  • контроль доступа и полномочий (кто может “двинуть актив”)
  • операции, реконсиляции и управление исключениями
  • корректное разграничение ролей с брокером/платформой/клирингом
Segregation, реконсиляции и доказуемость

Здесь чаще всего проверяют “как сделано на практике” и что происходит при несоответствиях.

  • разделение клиентских активов и активов компании
  • частота и методология реконсиляции (внутр./внешн.)
  • контроль исключений и корректировок (approval, logs)
  • отчётность клиенту: выписки, статусы операций, ограничения
  • контроль комиссий и удержаний, если применимо

Карта рисков custody: быстрые ориентиры

Какие блоки нужно закрыть, чтобы custody-модель была управляемой

Контуры контроля
Блок Что должно быть описано Типовые “красные флаги”
Доступы и полномочия рольовая модель, dual control, разграничение функций, журналы действий “универсальные” доступы, отсутствие SoD, нет журналов/контроля изменений
Учёт и реконсиляции учётные книги, периодичность, методология, exception handling ручные правки без approval, несоответствия без расследования
Связки с брокером/платформой кто подает инструкции, кто подтверждает, где settlement и кто несёт риск неопределённая ответственность, “серые зоны” между сторонами
Outsourcing перечень функций, SLA/KPI, права аудита, доступы провайдера, exit plan провайдер “делает всё”, нет права аудита, нет плана выхода
Инциденты и BCP/DR playbooks, эскалации, восстановление, коммуникации, контроль ущерба нет сценариев, нет тестов BCP/DR, неясные уведомления клиенту
Комплаенс и финансовые преступления KYC/AML роли, санкционный контроль, мониторинг операций и расследования формальный AML без привязки к custody-процессам и потокам

На практике граница custody проходит не по “слову в договоре”, а по тому, кто реально контролирует операции и способен предотвратить/остановить некорректное движение активов.

Типовой путь подготовки custody-проекта

Последовательность, которая помогает собрать модель в понятный контур: от карты процессов до доказуемости контроля.

1
Карта активов и ролей

Определяем типы активов, цепочку владения/контроля, роли участников и “кто что может сделать” в системе.

2
Учёт и реконсиляции

Описываем учётные книги, реконсиляции, корректировки, логи и контроль исключений с approval.

3
Безопасность и доступы

Разделение функций, dual control, управление ключами/доступами, мониторинг, инциденты и расследования.

4
Контрагенты и outsourcing

Договорная связка с брокерами/платформами/провайдерами, SLA, права аудита, BCP/DR и exit plan.

Практические материалы

Чек-листы по custody-контролям (segregation, reconciliation, SoD/dual control, incident playbooks, outsourcing governance) размещаем в разделе Ресурсы. Соседние темы: Брокерская деятельность и Торговые платформы.

Глоссарий

Термины, которые чаще всего встречаются в custody-обсуждениях.

Client assets

Активы, находящиеся под контролем/учётом в интересах клиента. Для custody критично, кто и как управляет доступом и учётом.

Segregation

Разделение клиентских активов и активов компании (и/или разделение по клиентам), чтобы снизить риск смешения и ошибок учёта.

Reconciliation

Сверка учётных записей (внутренних и/или внешних) для подтверждения корректности позиций и операций, с управлением исключениями.

SoD / Dual control

Разделение обязанностей и “двойной контроль”, чтобы исключить несанкционированные операции и ошибки при обработке инструкций.

Полный список терминов доступен в глоссарии.

FAQ

Короткие ответы на вопросы, которые чаще всего задают про кастодиальные услуги.

Если у нас “только IT-платформа”, но мы можем инициировать операции — это custody?+
В таких моделях ключевой вопрос — фактический контроль: есть ли у вас полномочия/доступы, позволяющие перемещать активы, подтверждать операции или обходить контроль клиента/контрагента. Если контроль присутствует, требования будут оцениваться как для custody-контуров.
Можно ли “вынести” custody на провайдера и избежать ответственности?+
Outsourcing не отменяет необходимости управлять рисками: требуется описанный периметр функций, SLA/KPI, права аудита, контроль доступа провайдера, инциденты и план выхода. Регулятор обычно ожидает, что ответственность за контроль остаётся управляемой.
Чем custody отличается от “просто банковского счета/кошелька” у третьего лица?+
Отличие — в модели полномочий и процессов: кто даёт инструкции, кто подтверждает, кто ведёт учёт и кто несёт риск ошибок/инцидентов. Даже если активы у третьего лица, ваш контроль над инструкциями и учётом может формировать custody-периметр.
Что чаще всего вызывает вопросы у банков и контрагентов?+
Непрозрачные доступы, отсутствие разделения функций, реконсиляции “для галочки”, ручные корректировки без approval, и неясная ответственность между custody-провайдером, брокером и платформой в settlement цепочке.

Материал подготовлен для общего информирования и не является юридической консультацией или заключением. Квалификация деятельности и требования зависят от фактической модели, договоров и операционных процессов.