Какие штрафы грозят малому бизнесу от налоговой

Если вы занимаетесь бизнесом, то обязаны зарегистрировать его официально и платить налоги. Неважно, что вы делаете — возите пассажиров, печёте торты или делаете маникюр. Если вы регулярно берёте с клиентов деньги, вы — предприниматель. 

Штраф: 

Что делать: чтобы не платить штрафы, можно зарегистрироваться как ИП или стать самозанятым и платить налог на профессиональный доход. При регистрации самозанятым вы будете платить 4%, если оказываете услуги физлицам, и 6% — если компаниям и ИП. Платить страховые взносы и сдавать декларацию не нужно. 

Если решите стать ИП, нужно будет платить ежегодные взносы на пенсионное и медицинское страхование — 36 238 ₽ в год.

Есть ряд товаров и услуг, которые нельзя продавать без специального разрешения. Например, без лицензии нельзя торговать пиротехникой и лекарствами для животных, заниматься пассажирскими перевозками.

 

Штраф: 

• ИП: 2 000-2 500 ₽ 
• должностное лицо: 4 000-5 000 ₽
• компания: 40 000-50 000 ₽

Ещё у предпринимателя могут конфисковать товары, оборудование и сырьё, если они есть. 

Продажа крепкого алкоголя без лицензии карается штрафом 100-200 тыс. ₽ с конфискацией продукции. ИП не оштрафуют только за продажу пива, но и в этом случае нужно соблюдать определённые требования. 

Что делать: чтобы не попасть на штраф, нужно изучить список лицензируемых видов деятельности и оформить лицензию.  

К этому виду учёта относятся первичные документы, декларации, книги учёта доходов и расходов, разработанные для всех режимов. 

Штраф: от 10 до 30 тыс. ₽ (если неведение учёта не привело к занижению налога). Если при проверке обнаружится, что из-за отсутствия учёта налог был занижен, штраф составит 40 тыс. ₽.

Что делать: изучите правила учёта. Все ИП должны вести книгу учёта доходов и расходов, все платежи подтверждать документами — например, актом выполненных работ. Упростить ведение учёта помогут онлайн-сервисы, например, решение от ПСБ: «Моя Бухгалтерия 1С». 

На одних режимах отчётность простая, на других всё сложнее. Например, ИП на упрощёнке нужно сдавать только одну декларацию раз в год. Предприниматель с работниками сдаёт уже несколько видов отчётности — раз в квартал или каждый месяц. 

Штраф: зависит от типа нарушения. Штраф за нарушение сроков сдачи декларации — 5% от суммы к уплате за каждый месяц просрочки, но не менее 1 000 ₽ и не более 30%.

Отсутствие расчёта по «несчастным» взносам — 5-30%  от суммы с «шагом» 5%, но не менее 1 000 ₽.

Что делать: вовремя сдавайте отчётность — сроки зависят от формы регистрации бизнеса и системы налогообложения. Сроки можно уточнить у вашего бухгалтера. Если сдаёте отчётность онлайн, убедитесь, что налоговая её получила — вам должно прийти уведомление о доставке. 

Налоги нужно платить вовремя и в нужном размере. Сроки уплаты зависят от системы налогообложения, которой пользуется предприниматель. 

Также каждый предприниматель, независимо от наличия прибыли в бизнесе, обязан платить за себя страховые взносы. Срок — в любой день не позднее 31 декабря текущего года. Дополнительный взнос 1% для годовых доходов свыше 300 тыс. ₽ платят позже — например, для доходов, полученных в 2021 году, нужно заплатить взнос до 1 июля 2022 года. 

Штраф: зависит от ситуации. Если налог, сбор или взнос не был уплачен по ошибке, размер штрафа составит 20% от недоимки, но не менее 40 000 ₽. Например, если предприниматель должен государству 150 000 ₽, его оштрафуют на 40 000 ₽. 

Если доходы скрыли от налогообложения умышленно, штраф составит 40% от недоимки. Также при наличии работников предприниматель дополнительно должен платить НДФЛ — правила при нарушении сроков те же: 20% от неперечисленной суммы. 

Что делать: изучите общий порядок учёта доходов и расходов, а также особенности учёта для вашей системы налогообложения.

Предприниматель обязан заключать с каждым сотрудником письменный договор.

Штраф: от 5 до 10 тыс. ₽ (5.27 КоАП РФ). Повторное нарушение карается штрафом от 30 до 40 тыс. ₽.

Более серьёзное наказание грозит, если у предпринимателя неофициально работают иностранцы или лица без гражданства. В этом случае ИП может быть оштрафован на сумму до 800 тыс. ₽, а его деятельность приостановлена на срок до 90 дней.

800 000 ₽

на такую сумму могут оштрафовать ИП за неофициальный найм иностранных работников или лиц без гражданства

Что делать: раз в год до 1 апреля нужно сдавать в налоговую справки 2-НДФЛ на каждого сотрудника, где указаны данные о доходах сотрудников, налогах и вычетах. Раз в квартал нужно сдавать отчёт 6-НДФЛ, где указывают доходы всех сотрудников, вычеты и общую сумму налога. 

Работать без кассы до 1 июля 2021 года могут предприниматели, которые используют «упрощёнку» или «вменёнку», и их деятельность находится в льготном списке. Для всех остальных касса обязательна.

Штраф: от ¼ до ½ от суммы продажи, но не менее 10 тыс. ₽. То есть если продать на 20 тыс. ₽, оштрафуют на 10 тыс. ₽. Но если продать на 200 ₽, оштрафуют все равно на 10 тыс. ₽. Получается, что предприниматель заплатит большой штраф даже при маленькой сумме чека.  

Если нарушение совершено повторно, а сумма расчётов превысила 1 млн ₽, деятельность предпринимателя могут приостановить на срок до 90 суток. 

Что делать: большинство компаний сегодня должны работать с кассой — отсрочка есть лишь у компаний из перечня. Также есть льготные виды деятельности — им касса не нужна, если они принимают деньги наличными. 

Если предприниматель продаёт товары и услуги, но не выдаёт чеки, налоговая может прийти под видом тайного покупателя и оштрафовать. 

Штраф: для ИП — от ¼ до ½ от стоимости покупки, но не менее 10 000 ₽. Для юрлиц — от ¾ до полной стоимости покупки, но не менее 30 000 ₽. Например, если ИП не выдал чек на товар стоимостью 30 000 ₽, он заплатит штраф 15 000 ₽.

Что делать: используйте кассу и обязательно выдавайте чеки покупателям. 

Код ОКВЭД показывает, какой деятельностью занимается предприниматель. Совсем без кодов работать не получится, но направление бизнеса может со временем измениться — тогда предприниматель обязан сообщить об этом в регистрирующий орган. Сделать это нужно в течение 3 дней, согласно закону.

Штраф: 5-10 тыс. ₽.

Что делать: если ваша компания сменила деятельность, вовремя сообщите об этом в налоговую и поменяйте коды. 

1. Регистрируйте бизнес — как ИП или самозанятый.
2. Получите лицензию, если она нужна. 
3. Ведите налоговый учёт, вовремя подавайте декларации и сдавайте отчётность за сотрудников. 
4. Вовремя платите все налоги, сборы и страховые взносы. 
5. Заключайте с сотрудниками письменные договора. 
6. Используйте кассу и выдавайте чеки.
7. Вовремя сообщайте о смене кодов ОКВЭД, если изменили направление деятельности.

За какие налоговые нарушения могут оштрафовать предпринимателя или организацию и на какую сумму.

Чем грозит деятельность без постановки на учет в налоговой?

При ведении предпринимательской деятельности обязательна постановка на учет в налоговой. За незаконное ведение деятельности (без регистрации), а также за нарушение сроков постановки на учет, несоблюдение требований к налоговому режиму предусмотрена ответственность в соответствии со ст.269-270, 463 КоАП РК.

Таблица 1. Штрафы за нарушения налогового режима и сроков регистрации (ст.269,270,463 КоАП РК).

№	Вид нарушения	Штрафы (МРП)
		Физлица	Малый бизнес (в т.ч. нотариусы, адвокаты, ЧСИ)	Средний бизнес	Субъекты крупного предпринимательства
1	Занятие предпринимательской деятельностью без регистрации	15	25	40	150
2	Повторное нарушение	30	50	80	500
3	Нарушение сроков постановки на учет частнопрактикующих лиц и ИП	предупреждение
4	Повторное нарушение	8	15	30	70
5	Нарушение срока постановки на учет по НДС	-	50	50	50
6	Нарушение условий применения спецрежима	предупреждение
7	Повторное нарушение	-	15	30	50
8	Нарушение ИП сроков подачи расчетов стоимости патента и уведомлений	предупреждение	-	-	-
9	Повторное нарушение	15	-	-

Какая ответственность предусмотрена за нарушение законодательства о пенсионном обеспечении, соцобеспечении и медстраховании работников?

При наличии работников ИП и организации обязаны своевременно предоставлять в отделения УГД МФ РК расчеты по исчисленным и перечисленным суммам ОПВ, а также предоставлять списки сотрудников- вкладчиков ЕНПФ. Кроме того, работодатели обязаны вести первичный учет по взносам в ЕНПФ по каждому работнику. За нарушение этой обязанности предусмотрен штраф в соответствии с п.6 ст. 91 КоАП РК.

Аналогичные требования предъявляются и к суммам социальных отчислений, которые работодатель обязан своевременно и в полном объеме исчислять и перечислять в ГФСС (п.2 ст.92 КоАП РК) и взносов ОСМС (ст.91-2 КоАП РК)

Сумма штрафа исчисляется не в МРП, а в процентах от той суммы ОПВ или СО, которая подлежала перечислению в ЕНПФ, ГФСС или ФОМС.

Таблица 2. Штрафы за нарушения в сфере пенсионного, соцобеспечения и медстрахования (ст.91, 92, 92-1 КоАП РК).

№	Вид нарушения	Штрафы (% от суммы взносов, подлежащих перечислению в фонды)
		Физлица	Малый бизнес	Средний бизнес	Субъекты крупного предпринимательства
1	Непредставление в УГД списка вкладчиков ЕНПФ	предупреждение
2	Непредставление в УГД расчета по суммам ОПВ	предупреждение
3	Не ведение первичного учета по ОПВ по каждому работнику	предупреждение
4	Не перечисление, не своевременное или не полное перечисление взносов за работников в ЕНПФ	предупреждение
5	Повторное нарушение	10%	20%	30%	50%
6	Непредставление в УГД списка участников системы соцстрахования	предупреждение
7	Не перечисление, не своевременное или не полное перечисление соцотчислений за работников в ГФСС	предупреждение
8	Повторное нарушение	20%	20%	30%	50%
9	Непредставление в УГД списков плательщиков взносов ОСМС	предупреждение
10	Неуплата или неполная уплата взносов ОСМС	предупреждение
11	Повторное нарушение	20%	20%	30%	50%

Что грозит за налоговые нарушения, связанные с торговлей и финансами?

Налогоплательщики, ведущие торговую деятельность или деятельность в области финансов обязаны применять специальные устройства учета кассовых операций (онлайн-кассы, POS-терминалы и т.д.), соблюдать требования по лимиту платежей наличными средствами. За нарушения в этой сфере ответственность предусмотрена ст.193-196, 266 КоАП РК.

Таблица 3. Штрафы за нарушения в сфере торговли и финансов (ст.193-196, 266 КоАП РК).

№	Вид нарушения	Штрафы (МРП)
		Малый бизнес	Средний бизнес	Субъекты крупного предпринимательства
1	Отсутствие POS-терминала для приема платежных карт	предупреждение
2	Повторное нарушение	40	60	80
3	Отказ в принятии платежных карт к оплате	предупреждение
4	Повторное нарушение	40	60	100
5	Незаконная торговля товарами, запрещенными к реализации на территории РК	25	25	25
6	Указание цены товара не в тенге (в публичном договоре)	6	10	30
7	Повторное нарушение	65	120	200
8	Проведение наличного платежа на сумму свыше 1 000 МРП (для плательщиков НДС)	5% от суммы платежа

Что грозит за неправомерные действия при реабилитации или банкротстве налогоплательщика?

В случае выхода налогоплательщика на процедуру реабилитации или банкротства, необходимо соблюдение порядка очередности удовлетворения требований кредиторов, недопущение сокрытия имущества, которое может быть направлено на погашение задолженности. За нарушение порядка проведения процедуры реабилитации (банкротства) предусмотрена ответственность в соответствии со ст.176 КоАП РК. За преднамеренное банкротство ответственность предусмотрена ст.182 КоАП РК.

Таблица 4. Штрафы за нарушения при проведении реабилитации и банкротства (ст.176,182 КоАП РК).

№	Вид нарушения	Штрафы (МРП)
		Физлица	Малый бизнес	Средний бизнес	Субъекты крупного предпринимательства
1	Сокрытие или уничтожение имущества, бухгалтерской документации при проведении процедуры реабилитации или банкротства	200	-	-	-
2	Нарушение очередности удовлетворения требований кредиторов (в ущерб остальным)	150	350	600	2000
3	Преднамеренное банкротство	200	200 (если ИП) 400 (юрлица)	400 (юрлица)	400 (юрлица)

Чем грозит занижение суммы или неуплата налогов в срок?

Налогоплательщики обязаны точно исчислять суммы налогов, подлежащих уплате в бюджет (если расчет не производит сам налоговый орган). Также не допускается сокрытие налогооблагаемой базы или ее занижение. За подобные нарушения предусмотрены штрафы по ст.275-280 КоАП РК.

Таблица 5. Штрафы за нарушения налогового режима и прочие нарушения (ст.275-280 КоАП РК).

№	Вид нарушения	Штрафы (МРП, если не указано иное)
		Физлица	Малый бизнес (в т.ч. нотариусы, адвокаты, ЧСИ)	Средний бизнес	Субъекты крупного предпринимательства
1	Сокрытие объектов налогообложения	200% от суммы налога
2	Повторное нарушение	300% от суммы налога
3	Сокрытие физлицом имущества за пределами РК и неуплата ИПН	100	-	-	-
4	Неустранение нарушений п.3	200	-	-	-
5	Отсутствие учетной документации	-	предупреждение
6	Повторное нарушение	-	25	50	75
7	Уклонение от уплаты налогов путем осуществления взаиморасчетов с третьими лицами	15	15	30	50
8	Занижение сумм налогов в декларации о ввозе товаров	10 %	20%	50%	80% от суммы налога
9	Занижение сумм текущих платежей в расчете	-	30%	30%	50% от суммы налога
10	Неудержание налоговым агентом сумм налога	-	20%	30%	50% от неудержанной суммы
11	Неперечисление налоговым агентом сумм налога в бюджет	-	5	10	20
12	Выписка фиктивного счета-фактуры	-	100%	200%	300% от суммы НДС, включенного в счет-фактуру

Штраф за ККТ: нарушения в 2019 году

После вступления в силу закона 54-ФЗ, который обязал предпринимателей и организации перейти на онлайн-кассы, те, кто не использует технику нового образца, хотя должен ее применять, попадают под штрафные санкции. Их размер зависит от вида нарушений, полученной выручки, формы собственности и других факторов. В статье расскажем, какие штрафы за ККТ грозят ИП и ООО в 2019 году.

Штрафы за неприменение ККМ

Штраф за неприменение ККМ — величина нестабильная. Степень ответственности юридических и физических лиц определяет Кодекс об административных правонарушениях РФ от 30.12.2001 N 195-ФЗ.

Прежде всего, на размер санкций влияет сумма, вырученная за период работы без ККТ нового образца. Например, если предприниматель или организация должны были поставить онлайн-ККМ 1 июля, а сделали это 5 числа, для расчета штрафа берут выручку за эти пять дней.

Штраф за неприменение ККТ для ИП

Специалисты налоговой инспекции вправе организовать плановую проверку или внепланово посетить точку продажи, если на то имеются основания, например, заявление от потребителя.

Штрафы для ИП за неприменение ККТ устанавливаются в следующих размерах:

• работа без онлайн-кассы после установленного законодательством срока — 25-50% от выручки, но не менее 10 000 р.; 

• повторное нарушение, когда доход за оба раза составляет от 1 млн р. и выше — приостановление предпринимательской деятельности на срок от 1 до 2 лет.

Оплатить штраф необходимо в течение месяца. В противном случае налоговая служба обратится в суд.

Штраф за неприменение ККТ для ООО

За отсутствие кассового аппарата, работающего по новым правилам, ООО также штрафуют. Размер взыскания, как и в случае с ИП, зависит от выручки, полученной за период работы без онлайн-ККМ.

Законодательством установлены следующие размеры штрафов за неприменение ККТ для ООО:

• при первичном нарушении — 75-100% прибыли, но не менее 30 000 р.;
• при повторном нарушении, когда доход за оба раза превышает 1 млн р. — приостановление деятельности на срок до 90 дней.

Кроме отсутствия онлайн-кассы, существуют и другие виды нарушений, связанные с ее использованием, которые караются штрафными санкциями.

Штрафы за нарушение применения ККТ

В таблице указаны штрафы за основные нарушения применения ККТ:

Вид нарушения	Размер штрафа, (в рублях)
	Для ИП	Для организаций
Кассовая техника зарегистрирована ненадлежащим образом, используется неподходящий ФН	От 1 500 до 3 000	5-10 тыс.
Нарушен порядок предоставления данных и документации в ФНС	От 1,5 до 3 тыс.	От 5 до 10 тыс.
Невыдача кассового чека покупателю	2 тыс.	10 тыс.

Наказание в виде предупреждения предусмотрено для владельцев малого и среднего бизнеса, если нарушение выявлено впервые. Также выговор возможен и при повторном несоблюдении законодательных норм, но только в том случае, когда от момента первого предупреждения прошло не менее 1 года.

Отдельно предусмотрены штрафные санкции для ОФД, изготовителей ККМ, экспертных организаций:

• выдача экспертами заведомо ложного заключения, составленного по результатам проведенной экспертизы ККМ — от 40 до 50 тыс. р. для должностных и от 0,5 до 1 млн р. для юридических лиц;
• продажа изготовителем ККМ или ФН, которые не внесены в реестр — 10-20 тыс. р. для должностных и 100-200 тыс. р. для юридических лиц;
• непредоставление ОФД информации в ФНС или предоставление с нарушением установленных сроков — от 10 до 20 тыс. р. для должностных и от 100 до 200 тыс. р. для юридических лиц.

Иногда удается избежать штрафов. Для этого нужно добровольно сообщить о факте правонарушения в ФНС и исправить ошибку до назначения наказания.

Бизнесмен вправе обжаловать решение через суд, если считает, что наказание незаконно. Но ему придется предъявить доказательства своей невиновности (записи с камер видеонаблюдения, показания свидетелей и прочее). Если суд примет сторону бизнесмена, ему возместят расходы.

Кого не оштрафуют за отсутствие онлайн-ККТ в 2019 году?

В ст. 2 54-ФЗ представлен перечень сфер деятельности, занимаясь которыми предприниматели освобождаются от использования онлайн-касс. Соответственно, на бизнесменов этих категорий не накладываются денежные взыскания за неприменение кассовой техники нового образца.

Кого не оштрафуют за отсутствие онлайн-ККТ в 2019 году? Виды деятельности, которые не подпадают под штрафные санкции, перечислены ниже:

Кроме того, не оштрафуют за отсутствие ККМ нового образца владельцев аптечных пунктов, которые находятся в сельской местности. Также без онлайн-ККТ могут работать ИП, ведущие деятельность в труднодоступных местностях с численностью населения не более 10 000 человек. Но они обязаны выдать чек по требованию клиента. 

ИП, работающие в регионах, удаленных от интернет-связи, не освобождаются от использования кассовой техники с ФН. Однако они имеют право не отчитываться ОФД о каждой проведенной операции, а передавать данные позже.
ККМ не применяется при выполнении расчетов между ИП или организациями посредством электронного средства платежа без его предъявления.
Все вышеперечисленные категории не будут оштрафованы при отсутствии онлайн-касс, если соблюдаются следующие условия:

• не используется труд наемных рабочих;
• торговая площадь не превышает 150 м²;
• не ведется торговля подакцизными товарами.

Когда в процессе работы кассового аппарата произошел сбой и некоторые операции прошли без его использования, штрафов можно избежать, если после восстановления работоспособности сформировать чек коррекции с неучтенной суммой (согласно письму от 20.12.2017 № ЕД-4-20/25867@).

Возврат к списку

Как заполнить налоговую декларацию для ИП на УСН

УСН — это льготная система налогообложения. Если вы выбрали ее для своего бизнеса, вас будут называть «упрощенщиком». И это — гордое имя, потому что оптимизировать налоги в рамках закона — разумное и выгодное решение.

Ставка налога в связи с применением УСН составляет 6% или15 %, что зависит от объекта налогообложения. Если ИП платит налог с доходов, то нужно перечислить в бюджет 6% от доходов. Если с доходов за вычетом расходов — 15%. Налог платят нарастающим итогом раз в квартал. А вот отчитываются бизнесмены на упрощенке об исчисленном налоге раз в год.

Зачем ФНС нужна налоговая декларация? В налоговой отчетности предприниматель заявляет о доходе и исчисленном налоге. Опираясь на этот документ, налоговый орган контролируют величину налога, подлежащего к уплате.

Налоговая декларация для ИП на УСН

ИП на УСН отчитываются в налоговую по итогам года, декларацию нужно сдать не позднее 30 апреля. Составить и подать отчет нужно, даже если бизнес пока не имеет оборотов или приостановил деятельность. В этом случае предприниматель просто указывает в декларации, что дохода не было, а значит нет и налогооблагаемой базы.

Заполнение декларации в бумажном виде происходит в порядке, установленном приказом ФНС № ММВ-7-3/99@. Если не отчитаться вовремя, ИП могут оштрафовать.

Для заполнения декларации УСН за 2019 год ИП понадобятся:

• данные о том, каков доход за 2019 год для ИП на УСН с объектом «Доходы»;

• данные о величине расходов и сумме разрешенных для налогового учета расходов для ИП на УСН с объектом «Доходы минус расходы»;

• данные о сумме уплаченных страховых взносов и пособий, выплаченных работникам;

• данные о суммах авансов, которые ИП уплатил по отчетным периодам.

Форму декларации можно скачать в формате pdf.

Предприниматель на УСН с объектом «Доходы» заполняет в декларации:

• титульный лист;

• раздел 1.1, в нем нужно указать сумму авансового платежа или налога при применении УСН;

• раздел 2.1, в котором отражают расчет налога.

Предприниматель на режиме УСН с объектом налогообложения «Доходы минус расходы» обязательно заполняет:

• титульный лист;

• раздел 1.2, в котором указывают сумму уплачиваемого налога, авансовых платежей или сумму минимального налога к уплате;

• раздел 2.2, в него вносят расчет налога.

Предприниматель на УСН, который нанял в компанию более 25 человек, обязан отчитываться в налоговый орган в электронном формате. Остальные делают это по желанию.

Официальный код налоговой декларации для ИП на УСН — 1152017. Поэтому можно встретить такое название этого отчета: бланк по форме КНД 1152017. Звучит строго, на деле упрощенка на то и упрощенка, что заполнение и сдача отчета не составляют большого труда. Тем более в помощь ИП есть сервис «Новый Астрал Отчет». Он заботится о вашей отчетности также, как ваша мама заботиться о том, чтобы вы надели шапку в холодную погоду.

В чем это проявляется:

• сервис напоминает вам, когда пора готовить отчет;

• встроенный редактор помогает заполнять поля верными значениями;

• вы можете импортировать отчет, подготовленный в другой программе;

• декларация передается в ФНС по защищенным каналам связи;

• сервис работает в браузере и не занимает место на жестком диске;

• можно отчитываться за несколько компаний сразу;

• можно сэкономить, подключившись к сервису с партнерами или друзьями.

Предлагаем попробовать «Новый Астрал Отчет» бесплатно. Вы или ваш бухгалтер будете сдавать отчет в один клик из любой точки мира — просто подключитесь к сервису.

Как Роспотребнадзор проверяет предпринимателей | «Жиза» — бизнес-блог для предпринимателей

При плановой и внеплановой проверках инспектор использует проверочные листы — списки вопросов. По ним вы можете заранее себя протестировать.

Проверочный лист для общепита

Проверочный лист для торговли

Проверочный лист для парикмахерских, салонов красоты, соляриев

Что делать при документарной проверке

1. Подготовьте документы. Роспотребнадзор отправит вам запрос с перечнем документов, которые нужны для проверки. Вместе с ним придёт копия приказа о проверке. Роспотребнадзор не должен требовать документы, которые может запросить у других госорганов, например, налоговой.

У вас есть десять рабочих дней, чтобы отправить на проверку копии документов с подписями руководителя и печатями. Заверять документы у нотариуса не нужно. Можно отправить в электронном виде с электронной подписью.

Если инспектору потребуется дополнительная информация, он отправит второй запрос. На ответ у вас будет ещё десять рабочих дней.

Если предприниматель не предоставит документы, Роспотребнадзор может выписать предупреждение, назначить штраф или приехать с внеплановой проверкой (ст. 19.7 КоАП РФ).

2. Следите за сроками. Проверяющие должны уложиться в 20 дней. Запрос на дополнительные документы не может прийти позже, чем на десятый день с начала проверки — иначе вы не успеете ответить.

3. Проверьте акт. Представитель Роспотребнадзора составляет акт проверки в двух экземплярах. Один экземпляр отдают вам под расписку вместе с копиями проверенных документов. Если не даёте расписку, акт вышлют заказным письмом с уведомлением о вручении.

В акте указаны все нарушения и список документов, которые проверил Роспотребнадзор. Если не согласны с результатами проверки или действиями инспектора, напишите об этом в акте.

Что делать при выездной проверке

1. Проверьте документы ревизоров. Посмотрите удостоверения сотрудников Роспотребнадзора и изучите приказ. В нём должно быть сказано, по каким причинам проводится проверка, что будут делать инспекторы и сколько времени это займёт. С сотрудниками Роспотребнадзора могут прийти другие эксперты, например, пробоотборщики. Проверьте их документы тоже.

Если имена и фамилии сотрудников Роспотребнадзора не совпадают с данными в приказе или вы сомневаетесь в подлинности документов — звоните в Роспотребнадзор. Горячая линия Роспотребнадзора: 8-800-555-49-43.

2. Предоставьте информацию. Дайте сотрудникам Роспотребнадзора документы и покажите территорию, помещение, оборудование, транспорт, продукцию — всё, о чём сказано в приказе.

3. Присутствуйте при проверке. Сопровождайте сотрудников Роспотребнадзора, отвечайте на их вопросы и спрашивайте, что и как они проверяют.

4. Не мешайте проверяющим. Если вы уклоняетесь от проверки, не пускаете сотрудников Роспотребнадзора или мешаете осматривать оборудование и товары, вас могут оштрафовать:

• должностное лицо и ИП на 5000 — 10 000 ₽;
• компанию на 20 000 — 50 000 ₽.

За повторное нарушение штрафы увеличивают вдвое (ст. 19.4.1 КоАП РФ).

5. Следите за сроками. На малом предприятии сотрудники Роспотребнадзора могут находиться суммарно не дольше 50 часов, на микропредприятии — не дольше 15 часов. Проверку могут продлить, только если нужны длительные испытания или расследование.

Найдите себя в реестре и узнайте, относитесь ли вы к малым или микропредприятиям.

6. Не платите за экспертизу. Инспектор может взять образцы или пробы продукции для исследования. Все экспертизы проводятся за счёт государства.

7. Пригласите юриста или уполномоченного при президенте по защите прав предпринимателей, если нужна помощь. По закону они могут принять участие в проверке.

8. Проверьте акт. Инспектор составляет акт проверки в двух экземплярах. Один экземпляр — ваш. В акте указаны дата, место, продолжительность проверки, кто присутствовал, а также нарушения, если они есть. К акту могут прилагаться документы: протоколы, объяснительные, предписания. Если для составления акта нужно дождаться результата экспертизы, вы получите его в течение трёх дней после проверки, если ждать не нужно — сразу после проверки.

Акт подписываете вы и проверяющий из Роспотребнадзора. Если с чем-то не согласны, напишите об этом в акте. Если отказываетесь подписывать акт, его вышлют заказным письмом с уведомлением о вручении. Информация о проверке появится на официальном сайте регионального управления Роспотребнадзора в течение пяти дней со дня подписания акта.

После проверки инспектор ставит запись в журнале по учёту проверок. Если такого журнала нет, делает об этом запись в акте.

Чем грозят проверки Роспотребнадзора

Если Роспотребнадзор нашёл нарушения при документарной проверке, инспектор выпишет предписание и штраф или предостережение. Может приехать с внеплановой проверкой.

Если нарушения нашли во время выездной проверки, вариантов несколько:

1. Выдадут предписание. В нём укажут требования и срок. Когда срок истечёт, сотрудник Роспотребнадзора проведёт проверку. Если нарушения по предписанию не устранили — штраф (ст. 19.5 КоАП РФ):

• для должностных лиц и ИП 1000 — 2000 ₽ или дисквалификация на три года;
• для компаний 10 000 — 20 000 ₽.

2. Выпишут штраф или предупреждение. Сотрудники Роспотребнадзора сами составляют протоколы. Инспектор может выписать штраф за нарушение СанПиН или прав потребителей: оказание некачественных услуг, обман, недостоверную информацию о товаре.

Штраф зависит от тяжести нарушения. Если покупателя обсчитали в магазине, ИП оштрафуют на 10 000 — 30 000 ₽, компанию — на 20 000 — 50 000 ₽. Если сотрудник Роспотребнадзора увидел, что на колбасе этикетка с датой изготовления заклеена этикеткой с более поздней датой, компанию могут оштрафовать на 100 000 — 500 000 ₽.

Малому и среднему бизнесу и компаниям, у которых впервые нашли нарушение, штраф могут заменить на предупреждение (ст. 4.1.1 КоАП РФ).

3. Конфискуют товар. Товары могут забрать, если есть угроза жизни и здоровью потребителей.

4. Временно остановят бизнес. Работу компании или ИП могут приостановить максимум на 90 дней, если есть угроза жизни и здоровью потребителей.

3. Посадят. Сам Роспотребнадзор не даёт срок, но может отправить в прокуратуру материалы для возбуждения уголовного дела. Для этого должны быть признаки преступлений, связанных с нарушением санитарного законодательства. Например, бизнесмен выпускает рыбные консервы и не соблюдает СанПиН. Люди массово заболели ботулизмом, несколько человек погибли. Это уголовное дело.

Как обжаловать результаты проверки

1. Подайте жалобу в Роспотребнадзор.

Программное обеспечение, информационная безопасность, бухгалтерское бюро

Хочется сразу ответить, что за всё подряд, но давайте разберемся.

Организация и ведение собственного бизнеса, пусть даже небольшого, требуют определенных навыков, внимания и знания законодательства. За нарушение законов, действующих в РК, даже если такое нарушение допущено по незнанию, индивидуальный предприниматель (ИП) может быть подвергнут административной ответственности, что свою очередь повлечет за собой непредвиденные убытки в виде штрафов.

Лицо, совершившее административное правонарушение на территории РК, подлежит ответственности по Кодексу РК об административных правонарушениях (КоАП), в том числе в виде предупреждения, административного штрафа.

Нарушение налогового законодательства

Вид правонарушения	Административная ответственность
	Первое нарушение	Повторное нарушение в течение одного года
Нарушение сроков подачи уведомления о регистрационном учете ИП, регистрационном учете по отдельным видам деятельности (ст. 269 КоАП)	Предупреждение	Штраф от 15 до 70 МРП*
Нарушение сроков подачи уведомления о постановке на регистрационный учет по НДС (ст. 269 КоАП)	Штраф 50 МРП	—
Занятие запрещенными видами предпринимательской деятельности (ст. 153 КоАП)	Штраф от 30 до 50 % от суммы причиненного ущерба, извлеченного дохода	—
Применение СНР** с нарушением условий (ст. 270 КоАП)	Предупреждение	Штраф от 15 до 50 МРП
Нарушение сроков подачи расчета стоимости патента, налогового заявления о приостановлении/продлении/возобновлении представления налоговой отчетности (ст. 270 КоАП)	Предупреждение	Штраф 15 МРП
Непредставление налоговой отчетности в срок (ст. 272 КоАП)	Предупреждение	Штраф от 30 до 70 МРП
Сокрытие объектов налогообложения (ст. 275 КоАП)	Штраф 200 % от суммы налогов и платежей, подлежащих уплате по сокрытому объекту налогообложения	Штраф 300 % от суммы налогов и платежей, подлежащих уплате по сокрытому объекту налогообложения
Отсутствие учетной документации (ст. 276 КоАП)	Предупреждение	Штраф от 25 до 75 МРП
Неотражение в учетной документации операций по учету и реализации товаров (работ, услуг) (ст. 276 КоАП)	Предупреждение	Штраф от 3 до 10 % от стоимости неучтенных товаров (работ, услуг)
Уклонение от уплаты налогов и других обязательных платежей (ст. 277 КоАП)	Штраф от 15 МРП до 50 % от суммы произведенных расчетов	—
Занижение сумм налогов и других обязательных платежей (ст. 278 КоАП)	Штраф от 20 до 80 % от начисленной суммы налогов и других обязательных платежей	—
Неудержание или неполное удержание налоговым агентом сумм налогов в срок (ст. 279 КоАП)	Штраф от 20 до 50 % от неудержанной суммы налогов и других обязательных платежей	—
Неперечисление или неполное перечисление налоговым агентом удержанных сумм налогов в срок (ст. 279 КоАП)	Штраф от 5 до 20 МРП	—
Неуплата (неполная, несвоевременная уплата) косвенных налогов в срок (ст. 287 КоАП)	Штраф от 30 до 50 МРП	—

*     МРП – месячный расчетный показатель

**    СНР – специальный налоговый режим

Нарушение кассовой дисциплины

Вид правонарушения	Административная ответственность
	Первое нарушение	Повторное нарушение в течение одного года
Неприменение ККМ* (ст. 284 КоАП)	Предупреждение	Штраф от 15 до 50 МРП
Невыдача чека ККМ или товарного чека, в том числе на сумму больше или меньше уплаченной (ст. 284 КоАП)	Предупреждение	Штраф от 20 до 40 МРП
Неотражение в чеке ККМ требуемых реквизитов (ст. 284 КоАП)	Предупреждение	Штраф от 20 до 40 МРП
Незаполнение книги учета наличных денег (ст. 284 КоАП)	Предупреждение	Штраф от 20 до 40 МРП
Несоответствие показаний отчета о текущем состоянии кассы сумме наличных денег в кассе (ст. 284 КоАП)	Предупреждение	Штраф от 20 до 40 МРП
Нарушение сроков хранения сменного отчета (ст. 284 КоАП)	Предупреждение	Штраф от 20 до 40 МРП

*     ККМ – контрольно-кассовая машина

Нарушение правил торговли

Вид правонарушения	Административная ответственность
	Первое нарушение	Повторное нарушение в течение одного года
Выписка фиктивного счета-фактуры (ст. 280 КоАП)	Штраф от 100 до 300 % от суммы НДС, включенной в счет-фактуру	—
Невыписка счета-фактуры в электронной форме (ЭСФ) (ст. 280-1 КоАП)	Предупреждение	Штраф от 40 до 150 МРП
Выписка ЭСФ с нарушением срока (ст. 280-1 КоАП)	Предупреждение	Штраф от 20 до 100 МРП
Отсутствие заверенных печатью органов государственных доходов товаросопроводительных документов (ст. 280-1 КоАП)	Штраф 50 МРП	Штраф 100 МРП
Превышение размера предельно допустимых розничных цен на социально значимые продовольственные товары (ст. 202 КоАП)	Штраф 100 МРП	Штраф 200 МРП
Продажа товаров без документов (ст. 203 КоАП)	Штраф от 45 до 150 МРП	Штраф от 90 до 300 МРП
Торговля в неустановленных местах (ст. 204 КоАП)	Предупреждение или штраф 5 МРП	Штраф 10 МРП
Отказ в приеме банкнот и монет национальной валюты (ст. 206 КоАП)	Предупреждение	Штраф от 5 до 25 МРП

Нарушение трудового законодательства

Вид правонарушения	Административная ответственность
	Первое нарушение	Повторное нарушение в течение одного года
Допуск к работе без заключения трудового договора (ст. 86 КоАП)	Штраф от 60 до 150 МРП	Штраф от 80 до 200 МРП
Невыплата заработной платы в полном объеме и в установленные сроки (ст. 87 КоАП)	Штраф от 60 до 150 МРП	Штраф от 80 до 200 МРП
Нарушение требований по оплате сверхурочной работы, работы в праздничные и выходные дни, в ночное время (ст. 87 КоАП)	Штраф от 60 до 120 МРП	Штраф от 80 до 150 МРП
Непредоставление оплачиваемого ежегодного трудового отпуска в течение 2 лет подряд (ст. 88 КоАП)	Штраф от 40 до 100 МРП	—
Незаконное превышение нормальной и сокращенной продолжительности рабочего времени и ежедневной работы (рабочей смены) (ст. 89 КоАП)	Предупреждение	Штраф от 60 до 120 МРП
Отсутствие службы (специалиста) безопасности и охраны труда (ст. 93 КоАП)	Предупреждение	Штраф от 20 до 120 МРП
Необеспечение работников лечебно-профилактическим питанием, средствами индивидуальной и коллективной защиты (ст. 93 КоАП)	Предупреждение	Штраф от 20 до 120 МРП
Неисполнение (ненадлежащее исполнение) требований законодательства о пенсионном обеспечении, обязательном социальном и медицинском страховании (ст. 91, 92, 92-1 КоАП)	Предупреждение	Штраф от 20 до 50 % от суммы неуплаченных (несвоевременно либо неполно уплаченных) взносов и отчислений

Таким образом, соблюдение и исполнение норм действующего законодательства является обязанностью любого ИП, от этого во многом зависят успех и степень доходности его хозяйственной деятельности.

В свою очередь, нарушение норм действующего законодательства может повлечь за собой не только административную, но и уголовную ответственность.

Минюст предложил снизить штрафы для малого бизнеса :: Экономика :: РБК

Наказания для малого бизнеса за различные нарушения нужно смягчить до такого уровня, как у индивидуальных предпринимателей, считают в Минюсте. Ранее бизнес-сообщество предупредило об угрозе деловому климату из-за изменений в КоАП

Фото: Юрий Смитюк / ТАСС

Минюст предложил приравнять предприятия малого бизнеса к индивидуальным предпринимателям (ИП) в части административной ответственности, сообщается на сайте ведомства.

«Организациям, относящимся к малым предприятиям, за совершение административных правонарушений предполагается назначать административный штраф в том же размере, что и индивидуальным предпринимателям, который существенно меньше, чем штраф для обычных юридических лиц. Эта мера позволит снизить нагрузку и поддержать малые предприятия», — заявил глава Минюста Константин Чуйченко на рабочем совещании по доработке будущего КоАП.

Инициативу предложили эксперты рабочей группы по проекту нового КоАП. Сейчас идет обсуждение, в том числе с профильными ведомствами, уточнили РБК в пресс-службе Минюста.

Первую версию проекта нового КоАП министерство опубликовало 30 января. После анализа документа уполномоченный при президенте по защите прав предпринимателей Борис Титов сообщил премьер-министру Михаилу Мишустину, что изменения угрожают деловому климату. Проект предлагал поднять в несколько раз штрафы для ИП, компаний и должностных лиц по 27 видам нарушений. Наказание для чиновников оставалось на том же уровне или даже снижалось, обратил внимание бизнес-омбудсмен. Торгово-промышленная палата также выступала за доработку проекта с учетом принципиальных для бизнеса вопросов.

Широкой критике подверглась и инициатива в несколько раз поднять штрафы за нарушение правил дорожного движения. Секретарь генсовета «Единой России» Андрей Турчак заявил о риске создания «репрессивной машины или дополнительных штрафных поборов с населения». Против нового КоАП выступила и Госдума. Повышенные штрафы непосильны и должны быть пересмотрены с учетом платежеспособности населения, заявил Мишустин.

FINRA штрафует брокера-дилера за передачу данных о клиенте стороннему поставщику

Kestra Investment Services LLC («Kestra») была оштрафована FINRA на 125 000 долларов за передачу личных данных клиентов стороннему поставщику. Kestra привлекла продавца для оказания помощи недавно нанятым брокерам с переводом клиентских счетов в Kestra от конкурирующих брокеров-дилеров. С ноября 2017 года по февраль 2019 года к Kestra присоединились шестьдесят восемь зарегистрированных представителей из других фирм.Каждый из этих брокеров раскрыл поставщику личные данные клиентов, включая номера социального страхования, номера водительских прав, годовой доход, чистую стоимость активов и другую личную и финансовую информацию, для клиентов, которых они надеялись передать Kestra от своих прежних фирм.

Согласно Письму о принятии, отказе и согласии FINRA («AWC») по этому вопросу, копию которого можно найти здесь, неназванный сторонний поставщик также подготовил индивидуальные электронные таблицы с определенными полями данных для заполнения брокерами. до того, как они перешли в Кестру.AWC заявляет, что сотрудники Kestra специально помогали многим брокерам в заполнении этих таблиц с личными данными клиентов до того, как брокеры были наняты Kestra. Этот тип договоренностей нарушает Регламент S-P: Конфиденциальность финансовой информации потребителей и защитной информации, опубликованный SEC, который также включен в законы штата Blue Sky через Единый закон о ценных бумагах. Полный текст Положения S-P можно найти здесь, но краеугольным камнем Положения S-P является запрет финансовым учреждениям раскрывать «непубличную личную информацию» клиентов.Подобное поведение также может противоречить законам штата о неприкосновенности частной жизни.

Брокеры-дилеры нередко нанимают сторонних поставщиков для помощи в переводе счетов клиентов от другого брокера-дилера. В типичном сценарии информация, обычно предоставляемая продавцу (и новой фирме брокера), ограничивается именем клиента, адресом, номером телефона и адресом электронной почты. Большинство брокеров-дилеров согласились с тем, что эта информация может быть разглашена и не является частной, и нам не известно о возбужденном регулирующими органами иске по Регламенту S-P, касающемся такой ограниченной информации.Однако действия Kestra и ее сотрудников, подробно описанные в AWC, явно нарушают эти отраслевые нормы и Регламент S-P.

AWC заявляет, что «Kestra не предприняла никаких шагов, чтобы узнать, уведомляли ли нанятые представители или их брокеры-дилеры в то время клиентов о раскрытии их закрытой личной информации, а также Kestra не предприняла никаких шагов, чтобы узнать, были ли клиенты предоставлена ​​возможность отказаться от раскрытия своей информации ».FINRA также отметило, что «Kestra не дала никаких указаний нанятым представителям относительно раскрытия закрытой личной информации клиентов поставщику».

Этот случай иллюстрирует продолжающиеся проблемы, с которыми брокеры-дилеры регулярно сталкиваются при приеме на работу новых представителей, а также при соблюдении правил конфиденциальности данных. Фирмы (и представители) должны помнить обо всех применимых законах о конфиденциальности при переходе от одного брокера к другому. Это включает не только Регламент S-P, но и Правило FINRA 2010, а также государственные законы о голубом небе и защите конфиденциальности.

Подписаться на точки обзора

Брокерская фирма и принципал, оштрафованные FINRA за нарушения надзора

Борьба с отмыванием денег (AML)

FINRA оштрафовала фирму-член из Нью-Йорка на 100000 долларов США за то, что якобы не разработала и не внедрила программу соответствия требованиям по борьбе с отмыванием денег (AML) на разумных основаниях предназначен для отслеживания потенциально подозрительных транзакций. FINRA оштрафовала основную сумму ценных бумаг на $ 15 000 и приостановила выплату на два месяца.

Согласно FINRA, фирма и ее принципал не 1) предприняли разумные шаги для создания и реализации программы AML, адаптированной к новому бизнес-направлению фирмы (в частности, депонированию и ликвидации микрокапитальных акций), в результате чего фирма не смогла идентифицировать или расследовать потенциально подозрительные транзакции; и 2) предоставить содержательные указания относительно того, как принципал должен был выявлять или проверять красные флажки, характерные для бизнеса, связанного с клиентскими счетами.

Принципал А, ответственный за соблюдение требований по борьбе с отмыванием денег (AMLCO), отвечал за программу компании по борьбе с отмыванием денег.Руководитель фирмы знал, что у Принципала А отсутствует опыт надзора за ПОД, имеющий отношение к его обязанностям, и не предпринял корректирующих действий после того, как узнал, что Принципал А не выполнил свои обязанности по ПОД в разумных пределах.

Один клиент депонировал более 14 миллионов акций микрокапиталов 9 января 2018 г. и 18 января 2018 г. и немедленно приступил к их ликвидации. 18 января 2018 года клиринговая фирма брокерской компании связалась с принципалом по электронной почте, скопировав принципала A, отметив ликвидацию клиентом акций микрокапитала, а затем 13 февраля 2018 года снова проверила его и спросила, есть ли у принципала или принципала A какие-либо понимание активности счета в микрокапитале.

Несмотря на электронную почту клиринговой фирмы, принципал не предпринял никаких действий, чтобы гарантировать, что фирма более внимательно следила за этими счетами. Кроме того, FINRA якобы обнаружило, что принципал «неоднократно» разрешал депозиты и перепродажу микрокапитальных ценных бумаг, несмотря на отсутствие документации. В результате фирма и ее руководитель нарушили 3110 (a) (Надзор), Правила FINRA 3310 (a) (Программа соблюдения требований по борьбе с отмыванием денег) и 2010 (Стандарты коммерческой чести и принципы торговли).

Вернуться к началу

Сделки с частными ценными бумагами

Брокеру было запрещено участвовать в FINRA в сделках с частными ценными бумагами на общую сумму не менее 3,5 миллионов долларов без предварительного письменного уведомления или получения предварительного одобрения от его фирмы-члена.

Результаты показали, что брокер привлекал физических лиц, в том числе как минимум двух постоянных клиентов, инвестировать в ценные бумаги, выпущенные компанией, занимающейся разработкой программного обеспечения и веб-сайтов. Брокер участвовал в этих инвестициях вне фирмы, предоставляя инвесторам письменные материалы о компании и общаясь с ними в устной форме, по электронной почте и в текстовых сообщениях о компании и побуждая их вкладывать средства.

Брокер также облегчил транзакции, помогая инвесторам отправлять или получать переводы средств. Брокер получил коммерческое вознаграждение в размере 191 340 долларов от компании за свою роль в привлечении и содействии инвестициям. Брокер также лично вложил в компанию более 200 000 долларов.

Вернуться к началу

Неэтичное поведение сотрудников

На брокера был наложен отсроченный штраф в размере 7500 долларов, и он был отстранен от сотрудничества с любым членом FINRA на всех уровнях на шесть месяцев.Брокер поступил неэтично и обошел политику и процедуры своей фирмы-члена, помогая пожилому клиенту назначить ее и ее коллегу в качестве бенефициаров по политике переменного аннуитета клиента, искажая свои отношения с клиентом перед компанией аннуитета и пытаясь скрыть ее поведение от ее фирмы.

В выводах говорилось, что во время разговора с аннуитетной компанией брокер в присутствии ее коллеги заявил, что она звонит «бабушке», и попросил отправить форму изменения бенефициара на личный адрес электронной почты брокера.Ни брокер, ни ее коллега не назвали себя зарегистрированными представителями, связанными с фирмой.

Брокер и его коллега помогли клиенту заполнить форму изменения бенефициара, которая ложно отражала для аннуитетной компании отношения брокера и ее коллеги с клиентом. Брокер участвовал в повторном звонке с аннуитетной компанией, чтобы подтвердить получение формы изменения бенефициара. Во время разговора брокер снова ложно представил, что она внучка клиента.

В тот же день аннуитетная компания подтвердила изменение бенефициара. Члены семьи клиента обнаружили, что брокер и ее коллега были назначены бенефициарами клиента, и эти обозначения были изменены, чтобы удалить их. Брокер никогда не сообщал фирме о том, что она была названным бенефициаром переменной ренты клиента, в том числе после того, как члены семьи клиента пожаловались фирме.

Во время внутренней проверки брокер отказался быть бенефициаром счетов или политик клиента в ответ на электронное письмо от фирмы.Брокер продолжал отрицать, что он является бенефициаром клиента, в ответ на запросы по электронной почте о ее статусе бенефициара и во время собеседования с персоналом фирмы по комплаенсу.

Вернуться к началу

Нарушение SP правил SEC через личный адрес электронной почты

FINRA оштрафовало брокера на 5000 долларов за то, что он заставил свою бывшую фирму-член нарушить правила SEC SP, взяв закрытые личные данные клиентов от фирмы и отправив их по электронной почте другая фирма, где он планировал работать без ведома и согласия его бывшей фирмы.

В выводах говорилось, что после ухода из своей бывшей фирмы и в ожидании присоединения к новой фирме, брокер ненадлежащим образом удалил непубличную личную информацию для клиентов, загрузив ее из компьютерной сети своей бывшей фирмы и используя личную учетную запись электронной почты, чтобы отправить ее по электронной почте. на вторую личную учетную запись электронной почты, принадлежащую другому зарегистрированному представителю. Предоставленная информация включала клиентов, которые отказались от политики конфиденциальности бывшей фирмы в отношении раскрытия ограниченной информации о клиентах, когда представитель переходит в другую фирму.

Брокер также использовал личную учетную запись электронной почты для отправки конфиденциальной закрытой личной информации, включая номера счетов и остатки, для клиентов другому представителю без ведома или согласия бывшей фирмы или клиентов.

Вернуться к началу

Внешняя коммерческая деятельность (OBA)

Брокеру был наложен отсроченный штраф в размере 7 500 долларов США, и он был отстранен от сотрудничества с любым членом FINRA на всех уровнях на четыре месяца. Брокер занимается внешней коммерческой деятельностью без предварительного письменного уведомления своей фирмы-члена.Результаты показали, что брокер занимался внешней коммерческой деятельностью с целью покупки, ремонта и перепродажи объектов недвижимости с целью получения прибыли через несколько компаний с ограниченной ответственностью (LLC), которые были сосредоточены на конкретной возможности в сфере недвижимости.

Брокер участвовал в управлении внешней коммерческой деятельностью, включая ведение бухгалтерских книг и записей различных ООО. У брокера были разумные ожидания компенсации в результате этой коммерческой деятельности, которая выходила за рамки его отношений с его фирмой.Кроме того, брокер не указывал эту коммерческую деятельность в ежегодной анкете соответствия, которую он отправлял своей фирме. Однако позже брокер сам сообщил о своей деятельности в фирму.

Брокер и деловой партнер сформировали ООО и участвовали в сделках с частными ценными бумагами, призывая отдельных лиц, в том числе его друзей и семью, некоторые из которых были постоянными клиентами, инвестировать 485 000 долларов в это ООО. Брокер не получил никакой компенсации за привлечение инвестиций, а также не заявлял и не предполагал иным образом, что инвестиции были одобрены его фирмой.

Вернуться к началу

Советы по соблюдению требований AML

Размер штрафов показывает, насколько серьезно регулирующие органы относятся к ошибкам в широко распространенных системных сбоях фирмы. Фирмы должны адаптировать свои программы AML к бизнес-модели и клиентской базе фирмы. Им следует выделять ресурсы на программы, соответствующие их росту и направлениям деятельности. Помимо нормативных рисков, неэтичные проступки сотрудников могут привести к юридическим последствиям.

В письме FINRA о приоритетах проведения экзаменов на период до 2021 года борьба с отмыванием денег была выделена как область, вызывающая озабоченность.Регулирующий орган отметил, что он будет оценивать соблюдение фирмами Правила 3310 FINRA. Эффективная программа соответствия AML в соответствии с FINRA 3310 должна включать следующее:

Тесты на соответствие AML
Подтверждение ежегодных независимых тестов AML для оценки адекватности программ компаний по обеспечению соответствия AML. Изучить процессы отчетности фирм по SAR и включить выборку и тестирование операций программ мониторинга фирм.

Оценка рисков
Обновление оценок рисков на основе результатов независимых тестов AML, аудитов и изменений размера или профиля риска фирм, включая их бизнес, зарегистрированных представителей и типы счетов клиентов; и использование оценок рисков ПОД для информирования участников независимых тестов фирм на отмывание денег.

Сотрудничество с отделом AML
Повышение вероятности того, что все потенциально подлежащие отчетности события будут переданы в отдел AML путем установления линии связи (например, процессов отчетности и эскалации, информационных и образовательных программ, регулярных встреч, политик и процедур или исключения отчеты) между отделом AML и другими отделами, которые могут наблюдать потенциально подлежащие отчетности события (например, зарегистрированные представители и группы, работающие с клиентами, технологии, кибербезопасность, соблюдение нормативных требований, операции, торговые отделы и отделы по борьбе с мошенничеством).

Обновленная технология архивирования и надзора
Сохранение и контроль электронных коммуникаций, хотя и необходимы, служат цели предоставления доказательств нарушений, таких как AML, и упреждающего выявления предупреждающих признаков нарушений AML. Команды комплаенс должны иметь возможность отслеживать общение сотрудников по всем каналам (электронная почта, текстовые сообщения, социальные сети, платформы для совместной работы и конференц-связи и т. Д.) И полагаться на решение для надзора, которое будет отображать только наиболее релевантный контент для проверки.

Программы обучения
Разработка программ обучения для каждой из ролей и обязанностей отдела AML (а также отделов, которые регулярно работают с AML) и рассмотрение всех регуляторных и отраслевых разработок AML.

Фирмы должны разрабатывать и поддерживать политики и процедуры, разумно разработанные для предотвращения и выявления нарушений. У них также должны быть системы для реализации своих надзорных процедур, которые, как разумно ожидать, будут предотвращать и обнаруживать красные флажки.Расширяя сферу надзора, фирмы также могут устранять потенциальные проступки сотрудников, которые могут вызвать юридические проблемы.

При наличии соответствующих технологических решений по надзору регулируемые организации могут идти в ногу с меняющимися отраслевыми изменениями и не терять бдительность в отношении нормативных рисков и рисков соответствия.

Вернуться к началу

Поделитесь этим постом!

Марианна Шафир эсквайр.

Марианна Шафир, советник по нормативным вопросам в Smarsh, отвечает за вопросы нормативно-правового регулирования во всем мире.Обладая опытом в сфере финансовых услуг, комплаенс и электронных открытий, Марианна консультирует Smarsh клиентов по вопросам соблюдения нормативных обязательств, использования технологий и рекомендаций по передовой практике, связанной с надзором за электронными коммуникациями. До того, как присоединиться к Smarsh, Марианна работала в BNY Mellon и Invesco, где она была важным членом команд по комплаенсу. Марианна также работала адъюнкт-профессором в Нью-Йоркском институте карьеры, где она преподавала управление юридическим бюро и право в сфере недвижимости.Она получила докторскую степень в Юго-Восточном университете Новой Зеландии. Она часто выступает на отраслевых конференциях и публикует статьи в различных интернет-изданиях.

Последние сообщения Марианны Шафир Эск. (посмотреть все)

Smarsh Blog

Наши внутренние эксперты в предметной области и наша сеть внешних отраслевых экспертов имеют представление о технологиях и отраслевых тенденциях, которые влияют на ваши инициативы по соблюдению требований в области электронных коммуникаций. Зарегистрируйтесь, чтобы воспользоваться их глубоким пониманием, советами и передовыми практиками, касающимися того, как ваша компания может управлять комплаенс-риском, одновременно раскрывая ценность ваших коммуникационных данных для бизнеса.

FINRA налагает штрафы по ценным бумагам Америки за нарушение конфиденциальности клиентов

Регулирующий орган финансовой индустрии оштрафовал Securities America на 125000 долларов за якобы помощь 12 набранным брокерам в получении закрытой личной информации о клиентах из их бывших фирм и раскрытии ее стороннему поставщику, который помог представителям с их переходом, без участия других брокеров-дилеров. или осведомленность или согласие клиентов.

Securities America, фирма по управлению активами, входящая в сеть Advisor Group, была частью Ladenburg Thalmann до прошлого года, когда компания объединилась с Advisor Group.Securities America со штаб-квартирой в Небраске имеет около 4170 зарегистрированных представителей и 2440 филиалов.

Согласно письму о принятии, отказе от прав и согласию, выданному FINRA, предполагаемые нарушения произошли в период с ноября 2018 года по сентябрь 2019 года.

FINRA утверждает, что Securities America нарушила Регламент S-P Комиссии по ценным бумагам и биржам, который запрещает финансовым учреждениям раскрывать непубличную личную информацию о клиенте без надлежащего уведомления и возможности отказаться.

Нарушение Положения S-P также является нарушением Правила FINRA 2010, которое требует от фирм и их партнеров соблюдать высокие стандарты коммерческой чести.

FINRA сообщило, что Securities America заключила контракт со сторонним поставщиком для оказания помощи нанятым представителям, которые согласились присоединиться к фирме, но все еще были зарегистрированы через свои предыдущие фирмы.

Поставщику было поручено собрать информацию о клиентах представителей, включая номера социального страхования, номера водительских прав и даты рождения, а также информацию об их финансовом положении, такую ​​как номера счетов, годовой доход и чистая стоимость активов.

Сообщается, что сотрудники

Securities America организовали и приняли участие в конференц-звонках между поставщиком и нанятыми представителями, и после того, как они зарегистрировались через Securities America, поставщик использовал информацию клиентов для автоматического предварительного заполнения новых форм счетов.

Эти 12 представителей присоединились к Securities America из других брокеров-дилеров, чья политика конфиденциальности не разрешала раскрывать информацию о клиентах неаффилированной третьей стороне, если представитель присоединился к новому брокеру-дилеру, сообщает FINRA.

«Securities America знала, что политика конфиденциальности этих брокеров и дилеров не разрешает раскрытие закрытой личной информации клиентов», — говорится в письме AWC. «Но, несмотря на это, Securities America представила этих 12 нанятых представителей стороннему поставщику, чтобы можно было собирать непубличную личную информацию их клиентов. Securities America также знала, что впоследствии эти представители фактически брали непубличную личную информацию о клиентах у своих брокеров-дилеров и раскрывали ее поставщику.”

FINRA указало, что договоренность Securities America с продавцом привела к тому, что эти 12 нанятых представителей забрали закрытую информацию о клиентах у своих брокеров-дилеров, в результате чего другие брокеры-дилеры также нарушили Положение S-P.

Securities America приняла санкции, не признавая и не отрицая выводы.

Щелкните здесь, чтобы перейти на страницу спонсора каталога DI Wire.

Компания Woodbury Financial оштрафована за нарушение Регламента S-P

SEC оштрафовала независимого брокера-дилера Woodbury Financial Services Inc.из Вудбери, штат Миннесота, 65 000 долларов за различные нарушения Положения S-P, которое запрещает раскрытие закрытой личной информации о клиентах неаффилированным третьим сторонам, таким как другие брокеры-дилеры.
Неправильное использование компанией Woodbury личной информации клиента было напрямую связано с наймом фирмой представителей и советников, говорится в постановлении Комиссии по ценным бумагам и биржам, опубликованном вчера.
«Вудбери разрешил новобранцам предоставлять часть закрытой личной информации своих клиентов до того, как они будут связаны с Вудбери, чтобы Вудбери мог от имени новобранцев предварительно заполнить перевод учетной записи и новые формы учетной записи определенной информацией о клиенте», — комиссия сказал.
Woodbury, у которой около 1750 аффилированных представителей и консультантов, «разрешала и в некоторых случаях помогала» представителям в перемещении закрытой информации о клиентах в Woodbury до того, как представители покинули своего предыдущего брокера-дилера.
В течение последних нескольких лет независимые брокеры-дилеры внимательно следили за регулирующими органами по ценным бумагам, чтобы получить рекомендации по Регламенту S-P и найму.
Самый заметный случай связан с компанией Next Financial Group Inc. из Хьюстона, которой судья по административным правонарушениям приказал выплатить штраф в размере 125 000 долларов за нарушение Положения S-P в июне прошлого года.
Информация, отправленная в Woodbury новобранцами, включала номера социального страхования клиентов, номера счетов, регистрации счетов и даты рождения, сообщила SEC.
Начиная с марта 2007 года, фирма перестала просить сотрудников сообщать номера социального страхования и даты рождения клиентов.
Исполнительный директор Woodbury сказал, что фирма рада разрешить этот вопрос.
«Ни один клиент не жаловался Woodbury на обмен информацией, и мы стремимся защищать конфиденциальность всех наших клиентов», — написал в электронном письме главный юрист Woodbury Марк Сайдс.

Для запросов на перепечатку и лицензирование этой статьи щелкните здесь

SEC оштрафовала брокера-дилера на 1 миллион долларов в рамках первого правоприменительного мероприятия в соответствии с Правилом

о краже личных данных

26 сентября 2018 года SEC объявила о мировом соглашении с Voya Financial Advisers, Inc. («Voya»), зарегистрированным инвестиционным консультантом и брокером-дилером, за нарушение Положения S-ID, также известного как «Красные флажки для кражи личных данных». Правило », а также Правило SP,« Правило о гарантиях.«Вместе правила S-ID и S-P разработаны, чтобы требовать от лиц, на которые распространяется действие страховки, защищать клиентов от риска кражи личных данных и защищать конфиденциальную информацию о клиентах. Урегулирование представляет собой первое принудительное действие SEC, поданное в соответствии с Положением S-ID.

I. Правило красных флажков кражи личных данных

Регламент

S-ID распространяется на зарегистрированных SEC брокеров-дилеров, инвестиционные компании и инвестиционных консультантов и предписывает письменную программу кражи личных данных, включая политику и процедуры, разработанные для:

• идентифицируют соответствующие типы красных флажков кражи личных данных;
• обнаруживает появление этих красных флажков;
• соответствующим образом реагирует на обнаруженные красные флажки; и
• периодически обновляет программу кражи личных данных.

Охватываемые организации также обязаны обеспечивать надлежащее администрирование своих профилактических программ.

II. Правило гарантий

Правило 30 (a) Регламента S-P требует от финансовых учреждений принятия письменных политик и процедур, касающихся административных, технических и физических мер безопасности для защиты записей и информации клиентов. Кроме того, он требует, чтобы эти политики и процедуры были разумно разработаны для (1) обеспечения безопасности и конфиденциальности записей и информации о клиентах; (2) защита от ожидаемых угроз или опасностей для безопасности или целостности записей и информации о клиентах; и (3) защищать от несанкционированного доступа или использования записей или информации о клиентах, которые могут привести к значительному ущербу или неудобствам для любого клиента.

III. Нарушения Войи

Согласно приказу Комиссии по ценным бумагам и биржам, кибер-злоумышленники успешно выдавали себя за представителей подрядчиков Voya, получив доступ к веб-порталу, на котором хранилась личная информация («PII») примерно 5600 клиентов Voya. В течение шести дней злоумышленники позвонили в колл-центр Voya и потребовали сбросить пароли трех представителей; Затем злоумышленники использовали временные пароли для создания новых профилей клиентов и доступа к информации и документам клиентов.В приказе указывалось, что в двух из трех случаев телефонный номер, по которому звонили в сервисный центр Voya, ранее был помечен как связанный с мошеннической деятельностью.

Через три часа после первого мошеннического сброса целевой представитель якобы уведомил службу технической поддержки о том, что они не запрашивали сброс. Хотя компания Voya предприняла некоторые ответные шаги, в постановлении было установлено, что эти шаги не включали в себя прекращение сеансов мошеннического входа в систему или введение мер безопасности, достаточных для предотвращения получения злоумышленниками паролей для двух дополнительных репрезентативных учетных записей в течение следующих нескольких дней.

Комиссия по ценным бумагам и биржам определила, что Voya нарушила Правило красных флажков кражи личных данных, поскольку, хотя в 2009 году она приняла Программу предотвращения краж личных данных, она не пересматривала и не обновляла эту программу в ответ на изменения в технологической среде. Комиссия по ценным бумагам и биржам также обнаружила, что компания Voya не провела надлежащего обучения своих сотрудников. Наконец, Комиссия по ценным бумагам и биржам обнаружила, что программе Voya по краже личных данных не хватало разумных политик и процедур для реагирования на красные флажки. В дополнение к этим нарушениям SEC определила, что Voya нарушила Правило защитных мер, не приняв письменные правила и процедуры, разумно разработанные для защиты записей и информации о клиентах.

IV. Последствия и последствия

Не признавая и не отрицая выводы Комиссии по ценным бумагам и биржам, Войя согласился на штраф в размере 1 млн долларов для урегулирования правоприменительных мер и привлечет независимого консультанта для оценки своей политики и процедур на соответствие Правилу защитных мер, Правилу красных флажков кражи личных данных и соответствующим нормативным актам. Комиссия по ценным бумагам и биржам дополнительно приказала Voya прекратить и воздерживаться от любых нарушений Правил S-ID и S-P.

Урегулирование Voya демонстрирует, что SEC сосредоточена на защите информации о потребителях и обеспечении того, чтобы брокеры-дилеры, инвестиционные компании и инвестиционные консультанты соблюдали Регламент S-ID.Мировое соглашение также предусматривает, что наличие политик и процедур, разработанных только для защиты информации о клиентах, может оказаться недостаточным; организации, подпадающие под действие Регламента S-ID, должны часто оценивать адекватность своих политик и процедур, разработанных для выявления и устранения «красных флажков», и они должны обеспечивать, чтобы все соответствующие сотрудники прошли всестороннее обучение по выявлению краж. Такие организации также должны гарантировать, что их программа соответствия часто обновляется с учетом изменений в технологии и соответствующих изменений в среде рисков.

Decoding Rules SP — Как выглядит несоблюдение и сколько вам это будет стоить

Как известно каждому инвестиционному консультанту, брокеру-дилеру и фонду (и их юристу), несоблюдение Положения SP, основного правила SEC в отношении уведомлений о конфиденциальности и политик безопасности , может посадить регистранта в горячую и дорогую воду. Однако не всегда было ясно, как выглядит несоблюдение. 16 апреля 2019 года сотрудники Управления инспекций и проверок соответствия (OCIE) SEC выпустили предупреждение о рисках, в котором излагаются общие проблемы с соблюдением правил S-P, наблюдавшиеся за последние два года экзаменов. ¹

Недостатки

• Недостатки уведомления о конфиденциальности и отказе:

Общие недостатки в уведомлениях о конфиденциальности и отказе, наблюдаемые OCIE, включают в себя отсутствие своевременных и точных уведомлений о конфиденциальности для клиентов, в том числе уведомлений о конфиденциальности, которые не информируют клиентов о том, что они могут отказаться от обмена своей закрытой личной информацией.

• Недостатки политики и процедур:

OCIE зафиксировало неудачи в разработке всеобъемлющих политик и процедур, связанных с Правилом 30 (a) Положения S-P (Правила защитных мер), которое требует от фирм принятия письменных политик и процедур, разумно разработанных для защиты записей и информации о клиентах.OCIE отметило, что простого повторения Правил гарантий недостаточно; политика и процедуры должны включать фактические меры, связанные с административными, техническими и физическими гарантиями. OCIE представил конкретные наблюдения, касающиеся неудач в реализации политик или разработке этих политик для защиты информации о клиентах. Из этого списка OCIE предоставило фирмам реальные шаги, чтобы попытаться защитить информацию о клиентах:

• Разработка и внедрение политик и процедур для защиты информации о клиентах на личных ноутбуках, предотвращения отправки сотрудниками незашифрованных электронных писем, содержащих личную информацию (PII), и запрета сотрудникам отправлять PII клиентов в незащищенные внешние сети.Соответственно, разработать и внедрить процедуры для защиты информации о клиентах на бумажных носителях (например, запирать картотеки в открытых офисах).
• Обучите сотрудников методам защиты информации о клиентах и ​​следите за соблюдением этих мер безопасности.
• Изучите обращения третьих сторон с информацией о клиентах и ​​обеспечьте адекватную защиту. Если политика и процедуры фирмы требуют от внешних поставщиков договорного соглашения о сохранении конфиденциальности PII клиентов, фирмы должны требовать от внешних поставщиков подписания этих договоров.
• Инвентарный идентификатор клиента и место его хранения. Фирмы не могут обеспечить безопасность, если не знают, где это находится.
• Прекращение доступа увольняющихся сотрудников к возможности просматривать и получать информацию о клиентах перед уходом.
• Ограничить доступ сотрудников к необходимой информации о клиенте; предоставлять учетные данные клиента только по мере необходимости и разрешенной политикой.
• Разработайте и внедрите план реагирования на инциденты .Этот план должен включать: (1) назначение ролей для реализации плана; (2) как бороться с инцидентом кибербезопасности; и (3) оценка уязвимости системы.

• Другие вопросы, которые компании могут захотеть решить:

Хотя это не обсуждается в предупреждении о рисках, мы заметили, что SEC рассматривала два вопроса, касающихся протокола брокера и соблюдения Положения SP: (1) как фирмы, являющиеся участниками протокола брокера, раскрывают информацию в своих уведомлениях о конфиденциальности что фирмы или уходящие представители могут предоставлять PII новым фирмам уходящих представителей; и (2) как фирмы отслеживают, отказываются ли клиенты от раскрытия такой информации.

Последствия правоприменения

Предупреждение о рисках не дает информации о том, во что может обойтись компания несоблюдение Положения S-P. Тем не менее, в приведенном ниже списке приведены примеры принудительных действий против фирм, которые не соблюдали Регламент S-P:

.

• Комиссия по ценным бумагам и биржам обвинила дважды зарегистрированного брокера-дилера и инвестиционного консультанта в нарушении Положения S-P, в частности правила защитных мер и правила красных флажков кражи личных данных.Фирма выплатила штраф в размере $ 1,000,000 для урегулирования расходов, связанных с нарушениями кибербезопасности, в результате которых злоумышленники получили доступ к информации о клиентах. Хотя у фирмы были политики и процедуры для устранения угроз кибербезопасности, Комиссия по ценным бумагам и биржам обнаружила, что фирма не соблюдала их надлежащим образом.
• Комиссия по ценным бумагам и биржам урегулировала иск против дважды зарегистрированной фирмы о наложении штрафа в размере $ 1,000,000 , связанного с непринятием фирмой письменных политик и процедур для защиты данных клиентов, что позволило тогдашнему сотруднику перенести данные клиента на свой персональный сервер, который впоследствии был взломан третьей стороной.В частности, фирма не ограничивала доступ сотрудников к информации о клиентах на основании законных деловых потребностей сотрудника.
• Комиссия по ценным бумагам и биржам удовлетворила иск на $ 75 000 против инвестиционного консультанта, который не смог принять письменные правила и процедуры для защиты информации о клиентах, когда он хранил информацию о клиенте на стороннем размещенном веб-сервере, который в конечном итоге стал жертвой атаки кибербезопасности.
• FINRA оштрафовала брокера-дилера на $ 225 000 за нарушение Положения S-P после потери незашифрованного портативного компьютера с информацией о клиенте.Несмотря на отсутствие доказательств доступа к информации о клиентах, FINRA сосредоточило внимание на нарушении фирмой ее собственных политик и процедур по шифрованию портативных компьютеров, содержащих конфиденциальную информацию о клиентах.
• FINRA оштрафовала одного брокера-дилера на 175 000 долларов за нарушения Положения S-P после того, как обнаружила, что не смогла защитить информацию о клиентах, когда не смогла настроить защиту брандмауэра и использовала неэффективные системы имен пользователей и паролей.

* *

По мере роста интереса регулирующих органов к Положению S-P компаниям следует рассмотреть вопрос о пересмотре процесса уведомления о конфиденциальности, чтобы подтвердить, что они предоставляют своим клиентам своевременные, точные и исчерпывающие уведомления о конфиденциальности.Кроме того, фирмы могут захотеть пересмотреть и обновить существующие политики и процедуры обеспечения безопасности данных и соответствия, чтобы избежать ошибок, описанных выше. Если фирмы не прислушиваются к сообщениям, содержащимся в предупреждении о рисках OCIE, они могут обнаружить, что получают «уведомление» о том, что к ним применяются принудительные меры.
_____

¹ https://www.sec.gov/files/OCIE-Risk-Alert-Regulation_S-P.pdf.

Если у вас есть какие-либо вопросы по поводу этого юридического предупреждения, пожалуйста, не стесняйтесь обращаться к любому из юристов, указанных в разделе «Связанные лица / участники», или к юристу Eversheds Sutherland, с которым вы регулярно работаете.

Комиссия по ценным бумагам и биржам США сообщает о рисках в соответствии с Положением S-P

Никого не должно удивлять, что кибербезопасность и защита данных остаются главными приоритетами для регуляторов отрасли финансовых услуг. Действительно, кибербезопасность регулярно определялась как ключевой приоритет как FINRA, так и SEC в течение нескольких лет. В дополнение к выпуску указаний, как FINRA, так и SEC инициировали несколько громких исков против компаний за их неспособность защитить информацию о клиентах.

Недавно Управление инспекций и проверок соответствия (OCIE) SEC снова подчеркнуло свое внимание к этим вопросам. 16 апреля OCIE опубликовало Уведомление о рисках, в котором освещаются наиболее распространенные проблемы соответствия Положению S-P, которое регулирует уведомления о конфиденциальности и процедуры защиты для инвестиционных консультантов и брокеров-дилеров. В Уведомлении о рисках отмечены конкретные недостатки в (1) уведомлениях о конфиденциальности и отказе от рассылки и (2) внедрении эффективных политик и процедур для защиты информации о клиентах.В то время как предыдущие предупреждения о рисках были сосредоточены на общей практике и требованиях, специфика последнего предупреждения OCIE подчеркивает необходимость для фирм пересмотреть свои политики и процедуры конфиденциальности и безопасности для оценки соответствия Положению S-P. В частности, OCIE подчеркнуло четкое требование к фирмам иметь письменные политики и процедуры, обеспечивающие конкретные меры защиты информации о клиентах.

Уведомления о конфиденциальности и отказе от рассылки

В соответствии с Положением S-P консультанты и брокеры-дилеры должны предоставлять клиентам три основных уведомления: (a) Первоначальное уведомление о конфиденциальности, описывающее его политику и процедуры; (b) Ежегодное уведомление о конфиденциальности, описывающее политику и процедуры в ходе продолжения отношений с клиентами, и (c) Уведомление об отказе, объясняющее клиентам право отказаться от раскрытия определенной закрытой личной информации неаффилированным третьим сторонам. .

В своем Уведомлении о рисках OCIE отметило ситуации, когда консультанты и брокеры-дилеры либо не предоставляли клиентам требуемые уведомления о конфиденциальности, либо, когда такие уведомления были предоставлены, уведомления не точно отражали политику и процедуры компании. Помимо того, что OCIE не предоставил требуемые уведомления о конфиденциальности, OCIE отметило ситуации, когда компании не смогли указать права на отказ для клиентов в своих уведомлениях о конфиденциальности.

Политика и процедуры защиты

OCIE также отметило, что фирмы не соблюдали Правило защитных мер в соответствии с Положением S-P из-за отсутствия письменных политик и процедур, касающихся безопасности и конфиденциальности записей и информации о клиентах.Были также случаи, когда некоторые фирмы имели политику и процедуры, просто повторявшие правило защитных мер, но не имели конкретных политик и процедур, касающихся административных, технических и физических защитных мер, требуемых в соответствии с этим правилом.

Три наиболее распространенных проблемы, отмеченные OCIE в соответствии с Правилом защитных мер, заключались в неспособности реализовать или разумно разработать политику и процедуры, которые (1) обеспечивали безопасность и конфиденциальность информации о клиентах; (2) защищать от ожидаемых угроз или опасностей в отношении целостности информации о клиентах; и (3) защищать от несанкционированного доступа к информации о клиентах, который может привести к значительному ущербу.Ниже приведены некоторые из конкретных проблем, отмеченных OCIE:

• Персональные устройства: Политики и процедуры не касались мер защиты информации о клиентах на персональных устройствах. OCIE наблюдало за сотрудниками фирмы, которые регулярно хранили информацию о клиентах на личных ноутбуках без правил и процедур, определяющих, как эти устройства должны быть защищены.
  
• Электронные сообщения: Политики и процедуры не касались включения информации, позволяющей установить личность, в электронные сообщения.Это включало отсутствие процедур, препятствующих отправке сотрудниками незашифрованных электронных писем, содержащих личную информацию.
  
• Обучение / мониторинг: Политики и процедуры, которые не обеспечивали адекватного обучения сотрудников определенным процедурам, включая требование шифрования, защиты паролем и передачи информации о клиентах только с использованием методов, одобренных фирмой.
  
• Небезопасные сети: Политики и процедуры, которые не касались и не запрещали сотрудникам отправлять информацию о клиентах в небезопасные места.
  
• Внешние поставщики: Фирмы не следят и не контролируют внешних поставщиков на предмет соблюдения договорных соглашений, требующих от поставщиков соблюдения конфиденциальности информации о клиентах.
  
• Инвентаризация информации о клиентах: Неспособность фирм идентифицировать полный перечень всех систем, в которых хранилась информация о клиентах, включая категории хранимой информации о клиентах и ​​принятие политик и процедур для адекватной защиты такой информации.
  
• Планы реагирования на инциденты: Фирмы, не принимающие комплексных планов реагирования на инциденты, в которых рассматриваются определенные роли для реализации таких планов, действия, необходимые для устранения инцидентов безопасности, и процедуры для оценки уязвимостей системы.
  
• Доступ для бывших сотрудников: Разрешение бывшим сотрудникам сохранять права доступа к информации о клиентах после ухода из компании (т. Е. При отсутствии надлежащих процедур увольнения).

Как отмечалось выше, это предупреждение о рисках следует за несколькими действиями против компаний за нарушение Положения S-P. Некоторые из этих действий за последние несколько лет включали:

• 26 сентября 2018 года Комиссия по ценным бумагам и биржам объявила, что брокер-дилер и инвестиционный консультант согласились выплатить 1000000 долларов США для урегулирования расходов, связанных с сбоями в политике и процедурах кибербезопасности, связанных с кибер-вторжением, которое скомпрометировало личную информацию тысяч клиентов.Комиссия по ценным бумагам и биржам обвинила фирму в нарушении правила защитных мер (Правило 30 (а) Регламента S-P) и правила красных флажков кражи личных данных, которые предназначены для защиты конфиденциальной информации о клиентах и ​​защиты клиентов от риска кражи личных данных. Комиссия по ценным бумагам и биржам обнаружила, что злоумышленникам удалось обойти протокол кибербезопасности фирмы, выдав себя за подрядчиков фирмы и позвонив на горячую линию технической поддержки фирмы, попросив сбросить пароли, а затем используя сбросные пароли для доступа к личной информации 5600 клиентов.Ключевой отказ протокола кибербезопасности, по мнению SEC, был связан с «неспособностью фирмы прекратить доступ злоумышленников» и ее неспособностью «применить свои процедуры к системам, используемым ее независимыми подрядчиками».
  
• 8 июня 2016 г. — Комиссия по ценным бумагам и биржам оштрафовала другую фирму на 1 000 000 долларов за неспособность защитить информацию о клиентах, часть которой была взломана и выставлена ​​на продажу в Интернете. Фирма использовала веб-порталы для сотрудников, чтобы получить доступ к информации о клиентах; однако у них не было эффективных модулей авторизации, чтобы ограничить доступ только сотрудникам с законными бизнес-потребностями, и они не проверяли и не тестировали соответствующие модули авторизации.Комиссия по ценным бумагам и биржам обнаружила, что в результате этих сбоев с 2011 по 2014 год тогдашний сотрудник получил недопустимый доступ и перенес данные примерно 730 000 учетных записей на свой персональный сервер, который в конечном итоге был взломан третьими сторонами. После взлома личного сервера часть конфиденциальных данных была размещена в Интернете с предложениями о продаже больших объемов.
  
• 22 сентября 2015 г. — Комиссия по ценным бумагам и биржам заключила соглашение с фирмой о выплате 75 000 долларов за неспособность установить адекватные политики и процедуры кибербезопасности до нарушения, которое сделало PII примерно 100 000 человек, включая тысячи клиентов фирмы, уязвимыми для краж.Веб-сервер компании был атакован в июле 2013 года неизвестным хакером, который получил доступ и получил авторские права на данные на сервере, что сделало PII более 100 000 человек, включая тысячи клиентов компании, уязвимыми для кражи. Комиссия по ценным бумагам и биржам обнаружила, что фирма не смогла принять письменные правила и процедуры, разумно разработанные для защиты информации о клиентах. Например, фирме не удалось провести периодическую оценку рисков, внедрить брандмауэр, зашифровать PII, хранящуюся на ее сервере, или поддерживать план реагирования на инциденты кибербезопасности.Примечательно, что не было никаких указаний на финансовый ущерб каким-либо клиентам в результате атаки, и фирма уведомила о взломе и предложила бесплатный контроль личности каждому пострадавшему.

Эти действия демонстрируют постоянное внимание SEC к кибербезопасности и защите данных, а также ее готовность возбуждать иски против компаний, которые, по ее мнению, не смогли защитить информацию о клиентах. Мы ожидаем большего количества принудительных действий; Фактически, Комиссия по ценным бумагам и биржам создала «кибер-подразделение» в рамках своего подразделения по обеспечению соблюдения.

SEC не ограничивается только брокерами-дилерами и инвестиционными консультантами. SEC также недавно выпустила руководство для публичных компаний относительно того, как и когда раскрывать фактические и потенциальные риски, нарушения или инциденты, связанные с кибербезопасностью. Вскоре после выпуска этого руководства Комиссия по ценным бумагам и биржам оштрафовала компанию на 35 миллионов долларов за то, что она не раскрыла существенную утечку данных и кибератаку.

Одно можно сказать наверняка: внимание SEC к вопросам, связанным с кибербезопасностью, никуда не денется.Фирмы должны убедиться, что у них есть достаточные политики и процедуры для решения проблем, связанных с киберпространством, и что эти политики и процедуры соблюдаются, а также должны регулярно обучать своих сотрудников и тестировать свои системы, чтобы снизить вероятность инцидента с данными.

Если у вас есть какие-либо вопросы относительно этих проблем, вашей программы защиты данных, политик или процедур, или любых других вопросов, связанных с кибербезопасностью или конфиденциальностью данных, пожалуйста, свяжитесь с Мэттом Уайтом, Алексом Коски или любым членом отдела защиты данных, конфиденциальности Baker Donelson, и группа по кибербезопасности.

.