Logo WCR Consulting
WCR Consulting
AIFC • Custody • Safekeeping

Предоставление кастодиальных услуг в МФЦА (AIFC): хранение, учет, контроль активов и защита прав клиента

Providing Custodial Services — это не “техническое хранение”, а регулируемая инфраструктурная функция: кастодиан отвечает за сохранность и учет активов, корректное отражение прав клиента, контроль распоряжений, а также за операционные и комплаенс-контроли (segregation, recordkeeping, client asset protection). Для AFSA ключевое — как устроено хранение и учет, как защищены client assets и что происходит при сбоях/инцидентах.

  • Кастодиальные услуги — это safekeeping + custody administration, включая учет, сверки, инструкции и отчётность клиенту.
  • Главный фокус: segregation (раздельный учет активов), контроль доступа, операционная устойчивость и инцидент-менеджмент.
  • Критическая граница: где вы держите активы (on-chain / off-chain / sub-custody) и как управляете рисками цепочки хранения.
Быстрые маркеры custody
Segregation

Раздельный учет активов клиентов и собственных активов; понятные книги учета, сверки, отчеты и правила доступа.

Control of instructions

Кто дает распоряжения, как подтверждаются полномочия, 4-eyes, лимиты, журналирование и защита от мошенничества.

Resilience

BCP/DR, кибербезопасность, ключи/доступы, инциденты, SLA с провайдерами и контроль субкастодианов.

Практически полезно заранее описать: модель custody (self-custody / third-party / hybrid), цепочку хранения, типы активов, порядок распоряжений, reconciliation и схему защиты client assets.

Что считается Providing Custodial Services: практическое содержание

В кастодиальных моделях “регуляторная сущность” — это контроль за активами клиента, учет прав и надежная операционная среда. Ниже — компоненты, по которым обычно оценивают периметр custody и зрелость контролей.

Safekeeping
Хранение и доступ

Где и как хранятся активы (bank custody / CSD / on-chain); модель ключей/доступа; ограничения и журналирование операций.

Records
Учет и сверки

Книги учета, reconciliation, подтверждения, отчеты клиенту, порядок исправлений, ретроспективные проверки.

Client Assets
Защита client assets

Segregation, правовой титул/бенефициар, запрет смешения, контроль субкастодианов и управление цепочкой хранения.

Instructions
Распоряжения клиента

Проверка полномочий, 4-eyes, лимиты, “cut-off time”, подтверждения инструкций, антифрод и управление ошибками.

Ops
Операционные процессы

Корпоративные действия, settlement, комиссии, начисления/списания, обработка спорных ситуаций, SLA и контроль качества.

Resilience
Устойчивость и безопасность

BCP/DR, кибербезопасность, управление доступом, тестирование, инцидент-менеджмент и регуляторная отчетность по сбоям.

Если вы не контролируете ключевые элементы цепочки хранения (например, субкастодиан/провайдер), AFSA обычно ожидает усиленные контроли: due diligence, SLA, право аудита, мониторинг и план выхода.

Периметр и границы: где чаще всего ошибаются

В custody риск чаще всего возникает в трех зонах: (1) смешение активов и слабый учет; (2) “дырки” в управлении распоряжениями; (3) непрозрачная цепочка хранения и слабый контроль третьих лиц.

Что обычно “тянет” к custody

Признаки, по которым модель воспринимается как Providing Custodial Services.

  • фактическое хранение активов клиента (в т.ч. через субкастодиана) и управление доступом/ключами
  • ведение учета прав клиента и регулярные сверки (reconciliation)
  • исполнение распоряжений клиента и контроль полномочий/лимитов
  • операционная администрация: settlement, corporate actions, отчеты и подтверждения
  • ответственность за сохранность и процессы обработки инцидентов
Что нужно зафиксировать в правилах и процессах

Если эти элементы “плавают”, вопросы неизбежны — у регулятора, банков и клиентов.

  • модель custody: self / third-party / hybrid, цепочка хранения и зоны ответственности
  • segregation и учет: структуры счетов/кошельков, книги учета, reconciliation и отчетность
  • client instructions: полномочия, 4-eyes, лимиты, подтверждения, журналирование и антифрод
  • outsourcing/sub-custody: due diligence, SLA, право аудита, мониторинг, exit plan
  • кибербезопасность и доступ: IAM, ключи/подписи, HSM/хранилища, контроль изменений
  • инциденты: уведомления, расследование, восстановление, компенсационные меры и пост-мортем

Матрица квалификации: Custody vs Administration vs Arranging

Практические отличия и “красные флаги”

Сравнение
Фактор Providing Custodial Services Custody administration Arranging
Контроль активов Есть фактическое хранение/контроль доступа (в т.ч. через третьих лиц) Администрирование учета/процессов при ясной схеме хранения Нет контроля активов; организация доступа к кастодиану
Segregation Обязателен раздельный учет и защита client assets Фокус на отчетности/сверках/операционном обслуживании Обычно лежит на кастодиане; организатор лишь обеспечивает корректные договоры/процессы
Инструкции клиента Кастодиан исполняет/валидирует распоряжения и фиксирует контроль Может включать обработку инструкций как сервисный слой Организатор направляет к сервису; не должен становиться точкой контроля активов
Риск цепочки Высокий: субкастодианы, технологии, киберриски, BCP/DR Средний: качество процессов и контроль ошибок Средний: корректность структурирования, KYC/AML и договорные контуры
Типовой “красный флаг” Смешение активов/слабые сверки/неуправляемый доступ Отсутствие reconciliation/ошибки учета/нет контролей инструкций Организатор фактически начинает контролировать активы/ключи

Квалификация зависит от фактов. Если вы держите ключи/доступ или управляете распоряжениями — это почти всегда уводит модель в custody.

Что обычно ожидают по custody: client assets, безопасность, записи, аутсорсинг

В custody регуляторная логика — это защита активов клиента и управляемая операционная среда. Поэтому ключевые блоки — governance, policies, controls, outsourcing oversight и доказательная база (logs/records).

ClientAssets
Client assets protection

Segregation, учет прав, запрет смешения, контроль реконсиляций, порядок корректировок и отчетность клиентам.

Security
Безопасность и доступ

IAM, управление ключами/подписями, 4-eyes, лимиты, журналирование, контроль изменений и кибер-процедуры.

BCP
BCP/DR и инциденты

Планы восстановления, RTO/RPO, тестирование, порядок уведомлений, расследование и “post-mortem” по сбоям.

Outsource
Субкастодианы и аутсорсинг

Due diligence, SLA, право аудита, мониторинг, цепочка ответственности, exit plan и управление концентрацией рисков.

Records
Recordkeeping

Хранение записей, логирование операций, подтверждения, сверки, доступность данных и контроль целостности.

AML
AML/KYC в custody

Onboarding, мониторинг транзакций/рисков, санкции, мониторинг нетипичных операций и корректная маршрутизация эскалаций.

Практический принцип: “учет должен сходиться”. Если reconciliation и доказательная база не воспроизводимы, модель custody уязвима.

Типовой путь подготовки custody-модели к запуску и диалогу с AFSA

Последовательность, которая снижает риски по client assets и цепочке хранения, ускоряет сбор пакета и упрощает комплаенс-настройку.

1
Модель хранения

Фиксируем активы/инструменты, цепочку хранения (self/third-party), зоны ответственности и субкастодианов.

2
Segregation и учет

Проектируем книги учета, reconciliation, отчеты клиенту, исправления и контроль целостности записей.

3
Инструкции и безопасность

Настраиваем контроль распоряжений (4-eyes, лимиты), IAM/ключи/подписи, антифрод и журналирование.

4
Устойчивость и пакет

BCP/DR, инциденты, outsourcing oversight, договорные контуры и ответы на вопросы/доработки.

Практический принцип: “процессы = IT = записи”. Если операционные шаги не оставляют воспроизводимый след, риск вопросов повышается.

Глоссарий

Термины, которые чаще всего определяют периметр custody.

Segregation

Раздельный учет активов клиентов и собственных активов: по счетам/кошелькам, книгам учета и отчетности, с регулярной сверкой.

Reconciliation

Сверка учетных данных с внешними источниками (банк/депозитарий/chain) для подтверждения правильности учета и выявления расхождений.

Sub-custody

Передача части функций хранения третьему лицу (субкастодиану) при сохранении обязанностей по due diligence, SLA, мониторингу и exit plan.

4-eyes control

Контроль распоряжений и критических операций двумя независимыми лицами/ролями, часто с лимитами и обязательным журналированием.

FAQ

Короткие ответы на типовые вопросы по предоставлению кастодиальных услуг в МФЦА.

В чем ключевая регуляторная суть custody?+
В защите client assets: раздельный учет (segregation), надежные сверки (reconciliation), контроль распоряжений, устойчивость (BCP/DR) и воспроизводимая доказательная база по операциям и доступам (logs/records).
Можно ли строить custody через субкастодиана?+
Да, но тогда критичны: due diligence, SLA, право аудита/контроля, мониторинг, управление концентрацией рисков и exit plan. Регулятор обычно смотрит, как вы управляете рисками цепочки хранения.
Что важнее: IT или документы?+
В custody важны оба: документы фиксируют правила (segregation, доступ, инструкции), а IT должен обеспечивать их исполнение и оставлять след (logs). Если процессы не подтверждаются записями, модель уязвима.
Если мы только ведем учет и отчеты, это уже custody?+
Не всегда. Вопрос в том, есть ли контроль активов/доступа и управление распоряжениями. Если вы становитесь точкой контроля, модель ближе к custody. Если вы лишь сервисно администрируете процессы при ясной схеме хранения — это может быть иной периметр.
Какие “красные флаги” для кастодиана?+
Смешение активов, слабые сверки, неуправляемые доступы/ключи, отсутствие 4-eyes и лимитов, неясный контроль субкастодиана, а также “ручные” операции без журналирования и подтверждений.
Как custody связан с цифровыми активами (crypto/token)?+
Ключевые вопросы — модель хранения (self/third-party), управление ключами, киберриски, санкции/AML и доказательная база операций. Если активы квалифицируются как “инвестиции” в периметре AIFC, потребуется отдельная оценка режима и лицензий.

Материал подготовлен для общего информирования и не является юридической консультацией или заключением. Квалификация деятельности требует анализа фактической модели, документов, IT-реализации и цепочки хранения.

Как WCR Consulting сопровождает запуск custody-модели в МФЦА

Мы помогаем описать и выстроить custody-процессы так, чтобы они были воспроизводимыми: segregation, учет и сверки, контроль инструкций, безопасность, outsourcing/sub-custody oversight и подготовка пакета для диалога с AFSA.

🧩
Модель хранения и цепочка
Фиксируем custody-модель (self/third-party/hybrid), зоны ответственности, субкастодианов и риски цепочки хранения.
📚
Segregation, учет, сверки
Проектируем книги учета, reconciliation, отчетность, порядок исправлений и доказательную базу по client assets.
🔐
Инструкции и безопасность
Настраиваем контроль распоряжений (4-eyes, лимиты), IAM/ключи/подписи, антифрод, журналирование и инциденты.
🧾
Outsourcing и пакет
Подготавливаем outsourcing/sub-custody контуры (due diligence, SLA, audit rights, exit plan) и позицию для диалога с AFSA.
На каком этапе сейчас ваш custody-проект в МФЦА?
Поможем выстроить custody-модель, понятную AFSA и клиентам

WCR Consulting помогает описать custody-периметр, цепочку хранения и зоны ответственности, выстроить segregation и учет, настроить контроль инструкций и безопасность, подготовить outsourcing/sub-custody контуры и сопровождать вопросы и доработки.

Стоимость услуг WCR Consulting рассчитывается индивидуально и зависит от модели custody, типов активов, цепочки хранения, требований к безопасности/BCP и объема взаимодействия с контрагентами и AFSA.

Материал подготовлен для общего информирования и не является юридической консультацией или заключением. Квалификация деятельности требует анализа фактической модели, документов, IT-реализации и цепочки хранения.