Beancount.io LogoBeancount.io

انطباق با تحریم‌های اوفک (OFAC) برای کسب‌وکارهای کوچک: غربالگری SDN، قانون ۵۰ درصد و خوداظهاری داوطلبانه

زمان مطالعه 18 دقیقهMike ThriftMike Thrift
انطباق با تحریم‌های اوفک (OFAC) برای کسب‌وکارهای کوچک: غربالگری SDN، قانون ۵۰ درصد و خوداظهاری داوطلبانه

یک سازنده گیتار در کالیفرنیا که آلات موسیقی را به صورت آنلاین می‌فروشد، اخیراً ۴۱,۵۹۱ دلار برای حل‌وفصل اتهامات OFAC پرداخت کرده است. حداکثر جریمه قانونی که با آن روبرو بود؟ ۳,۳۱۳,۲۲۴ دلار — تقریباً هشتاد برابر بیشتر. تفاوت در یک تصمیم نهفته بود: شرکت داوطلبانه تخلفات را قبل از اینکه رگولاتورها آن‌ها را پیدا کنند، فاش کرد.

این نسبت، کل داستان اجرای تحریم‌ها در سال ۲۰۲۶ است. دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری (OFAC) دیگر فقط به دنبال بانک‌های وال استریت نیست. سرمایه‌گذاران املاک و مستغلات، استارتاپ‌های فین‌تک، فروشندگان تجارت الکترونیک، واردکنندگان آلات موسیقی و ارائه‌دهندگان کیف پول‌های کریپتو همگی در هجده ماه گذشته در لیست اجرا قرار گرفته‌اند. حداکثر جریمه مدنی طبق قانون اختیارات اقتصادی اضطراری بین‌المللی (IEEPA) اکنون ۳۷۷,۷۰۰ دلار به ازای هر تخلف — یا دو برابر ارزش تراکنش، هر کدام که بیشتر باشد — است و OFAC مسئولیت مطلق (Strict Liability) را اعمال می‌کند، به این معنی که سوءنیت یا قصد قبلی الزامی نیست.

اگر کسب‌وکار شما مشتریان، فروشندگان یا طرف‌های پرداخت در خارج از ایالات متحده — یا حتی در داخل آن — دارد، از قبل در معرض خطر هستید. در اینجا شرحی از یک برنامه موثر OFAC برای شرکتی که دپارتمان انطباق اختصاصی ندارد آورده شده است.

چرا کسب‌وکارهای کوچک ناگهان در رادار OFAC قرار گرفته‌اند

در بیشتر تاریخ OFAC، اجرا بر روی بانک‌ها متمرکز بود. این موضوع در پنج سال گذشته تغییر کرد. این آژانس علناً اعلام کرده است که اجرا از "بانکداری سنتی به سمت بخش‌های جدید با ریسک بالا، مانند فین‌تک و ارزهای دیجیتال" سوق خواهد یافت و اقدامات اخیر مؤید این ادعاست:

  • Exodus Movement (کیف پول کریپتو): بیش از ۲۵۴ مورد نقض آشکار مقررات تحریم‌ها و تراکنش‌های ایران، شامل ۱۲ مورد فاحش و بدون خوداظهاری داوطلبانه
  • Poloniex: حل‌وفصل ۷.۶ میلیون دلاری
  • Payoneer: حل‌وفصل ۱.۵ میلیون دلاری
  • BitPay: حل‌وفصل ۵۰۷,۳۷۵ دلاری
  • Kraken: حل‌وفصل ۳۶۲,۱۵۸ دلاری
  • یک سرمایه‌گذار املاک: جریمه مدنی ۴.۷ میلیون دلاری
  • سال ۲۰۲۶ تا به امروز در تنها سه اقدام اجرایی منتشر شده: ۶,۶۰۷,۶۶۱ دلار

الگو واضح است. هر کسب‌وکاری که با پول، کالا یا خدمات فرامرزی در تماس است — یا حتی میزبانی وب‌سایتی را بر عهده دارد که یک شخص تحت تحریم می‌تواند در آن هزینه پرداخت کند — به یک برنامه تحریمی نیاز دارد. این شامل فروشگاه‌های Shopify، شرکت‌های SaaS که برای مشتریان بین‌المللی فاکتور صادر می‌کنند، بازارهای فریلنسری، پردازشگرهای پرداخت، صرافی‌های کریپتو، شرکت‌های املاک که از مالکان خارجی اجاره جمع‌آوری می‌کنند و موسسات حسابداری که مشتریانی با دارایی‌های فراساحلی (offshore) می‌پذیرند، می‌شود.

OFAC دقیقاً چه چیزهایی را محدود می‌کند

OFAC بیش از سی برنامه تحریمی متمایز را مدیریت می‌کند. آن‌ها به دو دسته کلی تقسیم می‌شوند.

تحریم‌های جامع (ممنوعیت کامل کشوری)

تا سال ۲۰۲۶، چهار کشور با ممنوعیت‌های تقریباً کامل در تجارت، تراکنش‌های مالی و خدمات با اشخاص آمریکایی روبرو هستند:

  • کوبا
  • ایران
  • کره شمالی (DPRK)
  • سوریه

مناطق اشغالی اوکراین در کریمه، دونتسک و لوهانسک نیز تحت تحریم‌های جامع قرار دارند. انجام کسب‌وکار در این حوزه‌های قضایی یا با آن‌ها نیازمند مجوز خاص از OFAC است — در غیر این صورت شما در حال نقض قانون هستید.

تحریم‌های هدفمند و بخشی (Sectoral)

روسیه سنگین‌ترین کشور تحت تحریم در جهان امروز است، اما تحت تحریم جامع نیست. در عوض، OFAC لایه‌هایی از ممنوعیت‌های هدفمند را در بخش‌های انرژی، مالی، دفاعی و فناوری، به علاوه هزاران تعیین هویت فردی و نهادی اعمال کرده است. ونزوئلا، بلاروس و میانمار نیز همگی دارای رژیم‌های هدفمند قابل توجهی هستند.

علاوه بر برنامه‌های کشوری، OFAC تحریم‌های مبتنی بر لیست را علیه قاچاقچیان مواد مخدر، تروریست‌ها، ناقضان حقوق بشر، بازیگران سایبری و مقامات فاسد خارجی فارغ از ملیت آن‌ها حفظ می‌کند.

لیست‌های تحریمی که واقعاً باید در برابر آن‌ها غربالگری کنید

گفتن اینکه "ما لیست SDN را چک می‌کنیم" رایج‌ترین میان‌بر در انطباق و البته شایع‌ترین شکست در انطباق است. OFAC چندین لیست را منتشر می‌کند و نادیده گرفتن یکی از آن‌ها همان عاملی است که باعث انباشت جریمه‌ها می‌شود.

لیستچه مواردی را پوشش می‌دهدچه زمانی باید مسدود شود
لیست اتباع ویژه تعیین شده (SDN)افراد، نهادها، کشتی‌ها و هواپیماها. دارایی‌های SDNها باید مسدود شود.همیشه
لیست تحریم‌های تلفیقییک فایل مرجع که تمام لیست‌های غیر SDN را تجمیع می‌کندهمیشه
لیست شناسایی تحریم‌های بخشی (SSI)اهداف بخش‌های انرژی، مالی و دفاعی روسیهبسته به دستورالعمل
لیست فراریان از تحریم‌های خارجی (FSE)افرادی که به دور زدن تحریم‌های ایالات متحده کمک می‌کنندهمیشه
لیست تحریم‌های مبتنی بر منو غیر SDN (NS-MBS)اقدامات هدفمند، اغلب تحت قانون کاتسا (CAATSA)طبق مورد منوی اعمال شده
لیست شورای قانونگذاری فلسطین (NS-PLC)اعضای شورای قانونگذاری که در انتخابات شرکت کردندهمیشه برای مسدودسازی

شما می‌توانید تمام این موارد را به صورت رایگان در ابزار جستجوی لیست تحریم‌های OFAC (sanctionssearch.ofac.treasury.gov) جستجو کنید، اما این ابزار رایگان برای جستجوهای موردی طراحی شده است، نه غربالگری انبوه. محیط‌های عملیاتی از ارائه‌دهندگان غربالگری تجاری، APIهای خودکار یا ابزارهای داخلی استفاده می‌کنند که فایل‌های تغییرات روزانه (delta files) منتشر شده توسط OFAC را جذب (ingest) می‌کنند.

قانون ۵۰ درصد: چرا مطابقت نام به تنهایی کافی نیست

در اینجا قانونی وجود دارد که تقریباً هر کسب‌وکاری را غافلگیر می‌کند:

هر نهادی که ۵۰٪ یا بیشتر — به‌طور مستقیم، غیرمستقیم یا در مجموع — تحت مالکیت یک یا چند شخص مسدود شده باشد، خود نیز مسدود است، حتی اگر نام آن در هیچ‌یک از لیست‌های اوفک (OFAC) ذکر نشده باشد.

دو پیامد مهم وجود دارد:

۱. تجمیع در میان SDNها محاسبه می‌شود. اگر شخص «الف» در لیست SDN مالک ۳۰٪ یک شرکت هلدینگ در جزایر کیمن باشد و شخص «ب» در لیست SDN مالک ۲۵٪ آن باشد، آن شرکت هلدینگ مسدود است — حتی اگر هیچ‌یک از مالکان به‌تنهایی به ۵۰٪ نرسند. ۲. مالکیت غیرمستقیم محاسبه می‌شود. سود ۶۰ درصدی یک شخص هدف در یک شرکت مادر که خود مالک ۶۰٪ یک شرکت تابعه است، باعث مسدود شدن شرکت تابعه می‌شود، حتی اگر محاسبات زنجیره مستقیم (٪۳۶ = ٪۶۰ × ٪۶۰) خلاف آن را نشان دهد. اوفک با شرکت مادر به عنوان یک نهاد کاملاً مسدود شده رفتار می‌کند، به این معنی که مالکیت کامل آن بر شرکت تابعه جاری می‌شود.

این قانون دلیلی است که چرا غربالگریِ صرفِ نام شکست می‌خورد. فروشنده‌ای به نام "Atlas Logistics LLC" در لیست SDN ظاهر نخواهد شد. اما اگر مالکان ذی‌نفع نهایی آن، اولیگارش‌های تحت تحریم روسیه باشند که مجموعاً ۵۱٪ از سهام را از طریق سه لایه شرکت صوری در اختیار دارند، شما با پرداخت فاکتور آن‌ها، در شرف نقض قوانین تحریمی ایالات متحده هستید.

پاسخ‌های عملی برای کسب‌وکارهای کوچک:

  • افشای مالکیت ذی‌نفعانه را از فروشندگان و مشتریان با ارزش بالا بخواهید، که ترجیحاً به یک گواهی مالکان ذی‌نفع نهایی (UBO) متصل باشد.
  • از یک ارائه‌دهنده خدمات غربالگری استفاده کنید که روابط مالکیتی را تحلیل کند، نه فقط نام‌ها را.
  • برای طرف‌های مقابل در حوزه‌های قضایی پرخطر (BVI، کیمن، امارات، قبرس، هنگ‌کنگ، روسیه، ساختارهای فرامرزی چین-هنگ‌کنگ)، اسناد رسمی ثبت شرکت را تا سطح شخص حقیقی درخواست کنید.
  • غربالگری را به‌صورت دوره‌ای انجام دهید، نه فقط در زمان جذب (Onboarding) — اوفک هر هفته SDNهای جدیدی را اضافه می‌کند.

پنج رکن اوفک: یک برنامه انطباق باید چگونه باشد

وزارت خزانه‌داری چارچوب تعهدات انطباق با اوفک را برای تبیین آنچه یک برنامه انطباق با تحریم (SCP) «موثر» شامل می‌شود، منتشر کرده است. این برنامه دارای پنج جزء است و اوفک هنگام محاسبه جریمه‌ها، صراحتاً هر یک را وزن‌دهی می‌کند.

۱. تعهد مدیریت

رهبری ارشد باید برنامه را تأیید کرده و منابع لازم را برای آن فراهم کند. برای یک شرکت کوچک، این به معنای آن است که مؤسس، مدیرعامل یا مدیر مالی، سیاست کتبی را امضا کند، یک مسئول انطباق تعیین کند و اثربخشی برنامه را حداقل به‌صورت سالانه بررسی کند. امضای فرمالیته کافی نیست؛ اوفک انتظار شواهدی مبنی بر مشارکت فعال رهبران دارد.

۲. ارزیابی ریسک

ریسک‌های خاص اوفک را که کسب‌وکار شما با آن روبروست، مستند کنید. یک شرکت SaaS که در سطح جهانی فعالیت می‌کند، ریسک‌های متفاوتی نسبت به یک شرکت املاک داخلی یا یک پردازشگر پرداخت فرامرزی دارد. ارزیابی باید موارد زیر را پوشش دهد:

  • پایگاه مشتریان — جغرافیا، صنایع، الگوهای مالکیت ذی‌نفعانه
  • محصولات و خدمات — هر چیزی که به خارج از مرزها ارسال می‌شود یا با ارزی غیر از دلار آمریکا (USD) قیمت‌گذاری شده است
  • کانال‌های توزیع — مستقیم، بازارگاه‌ها، فروشندگان شخص ثالث، شرکت‌های وابسته
  • ردپای جغرافیایی — حوزه‌های قضایی که مشتریان، فروشندگان، کارمندان یا طرف‌های مقابل در آن‌ها فعالیت می‌کنند
  • شرکا و واسطه‌ها — نمایندگان، کارگزاران، پردازشگران پرداخت

ارزیابی را با تغییر مدل کسب‌وکار خود به‌روز کنید — ورود به یک بازار جدید، یک مسیر پرداخت جدید، یا یک کانال جذب جدید.

۳. کنترل‌های داخلی

اینجاست که برنامه جنبه عملیاتی پیدا می‌کند. کنترل‌های داخلی عبارتند از:

  • سیاست‌ها و رویه‌های مکتوب
  • یک جریان کاری مستند برای غربالگری (چه زمانی غربالگری انجام شود، در چه لیست‌هایی، با چه آستانه‌هایی، و چه کسی موارد مطابقت یافته را بررسی کند)
  • مسیرهای شفاف برای ارجاع (Escalation) در صورت مشاهده یک مورد مطابقت احتمالی
  • نگهداری سوابق — اوفک به پنج سال سوابق تراکنش و غربالگری برای تراکنش‌های مسدود شده یا رد شده نیاز دارد
  • یک مکانیسم مسدودسازی — حساب‌های بانکی که می‌توانند وجوه را قرنطینه کنند، سیستم‌های سفارشی که می‌توانند فرآیند تکمیل سفارش را متوقف کنند
  • جریان‌های کاری گزارش‌دهی برای ارائه گزارش‌های اجباری (گزارش‌های سالانه دارایی‌های مسدود شده تا ۳۰ سپتامبر، گزارش‌های اولیه تراکنش‌های مسدود شده یا رد شده ظرف ده روز کاری)

۴. آزمایش و حسابرسی

آزمایش‌های مستقل تأیید می‌کنند که برنامه در عمل کار می‌کند. برای یک شرکت کوچک، این می‌تواند یک خودآزمایی فصلی (اجرای نام‌های فرضی SDN در ابزار غربالگری شما) به‌علاوه یک بررسی خارجی سالانه باشد. یافته‌ها باید مستند شده و اصلاح گردند.

۵. آموزش

تمام کارمندانی که نقش آن‌ها با ریسک تحریم در تماس است باید آموزش ببینند — تیم‌های فروش، جذب مشتری، مالی، حساب‌های دریافتنی/پرداختنی، مدیریت فروشندگان و تیم‌های مهندسی که منطق غربالگری را می‌سازند. اوفک انتظار دارد آموزش حداقل به‌صورت سالانه انجام شود، به‌علاوه آموزش‌های اختصاصی برای هر نقش در زمانی که برنامه جدیدی راه‌اندازی می‌شود یا تحریم‌های جدیدی اعمال می‌گردد.

زمانی که یک مورد مطابقت پیدا کردید: تصمیم برای مسدود کردن یا رد کردن

کشف یک مورد مطابقت ظاهری در طول غربالگری، مجموعه‌ای از تعهدات دقیق را به همراه دارد.

گام ۱: تأیید مطابقت. موارد مثبت کاذب (False Positives) رایج هستند — نام‌هایی مانند «جان اسمیت» و «ولادیمیر پتروف» هر دو نتایج زیادی را به همراه دارند. از تاریخ تولد، آدرس، شماره پاسپورت، محل کسب‌وکار و سایر داده‌های هویتی که اوفک منتشر می‌کند استفاده کنید.

گام ۲: در صورت تأیید، تصمیم بگیرید که مسدود کنید یا رد کنید.

  • مسدود کردن (Block) زمانی که هدف در لیست SDN ظاهر می‌شود یا تحت مالکیت ۵۰٪+ یک SDN قرار دارد — شما باید دارایی/وجوه را در یک حساب جداگانه سودآور فریز کنید و ظرف ده روز کاری گزارش دهید
  • رد کردن (Reject) زمانی که تراکنش ممنوع است اما هیچ دارایی متعلق به SDN در میان نیست (به عنوان مثال، یک تراکنش بدون مجوز با ایران که هنوز پولی ارسال نکرده است) — شما از پردازش تراکنش خودداری کرده و ظرف ده روز کاری گزارش می‌دهید

گام ۳: ثبت گزارش‌ها. گزارش‌های اولیه تراکنش‌های مسدود شده یا رد شده از طریق پورتال OFAC Reporting and License Application Forms به اوفک ارسال می‌شود. گزارش‌های سالانه دارایی‌های مسدود شده تا ۳۰ سپتامبر هر سال سررسید می‌شوند. عدم ثبت گزارش، خود یک تخلف جداگانه محسوب می‌شود.

گام ۴: در صورت نیاز برای مجوز (License) اقدام کنید. بسیاری از تراکنش‌هایی که در غیر این صورت ممنوع می‌بودند، می‌توانند تحت یک مجوز خاص یا عمومی مجاز شوند — کالاهای بشردوستانه، برخی حواله‌های شخصی، صادرات کشاورزی و پزشکی، روزنامه‌نگاری، خدمات ارتباطات اینترنتی.

تصمیم افشای داوطلبانه (VSD)

زمانی که متوجه می‌شوید تخلفی قبلاً رخ داده است — پرداختی به یک طرف مقابل تحت تحریم پیش از آنکه غربالگری آن را شناسایی کند تسویه شده، محموله‌ای به یک منطقه مسدود شده ارسال شده، یا مشتری تحت مالکیت SDN به اشتباه پذیرش (Onboard) شده است — با حیاتی‌ترین تصمیم در حوزه انطباق با قوانین OFAC روبرو هستید.

افشا کنیم یا نکنیم؟

آنچه افشای داوطلبانه (VSD) برای شما به ارمغان می‌آورد

طبق دستورالعمل‌های اجرای تحریم‌های اقتصادی OFAC (بخش ۵۰۱ از فصل ۳۱ کد مقررات فدرال، ضمیمه A)، یک VSD واجد شرایط:

  • محاسبات جریمه پایه را در هر دو مورد فاحش و غیرفاحش تا ۵۰ درصد کاهش می‌دهد.
  • در موارد غیرفاحش، مبلغ پایه را به نیمی از ارزش تراکنش، با سقف ۱۸۸,۸۵۰ دلار برای هر تخلف محدود می‌کند.
  • به عنوان یک عامل مخففه اصلی در تعیین جریمه نهایی توسط OFAC محسوب می‌شود.

در ترکیب با سایر عوامل مخففه — مانند برنامه انطباق قوی، اقدامات اصلاحی و همکاری — جریمه نهایی می‌تواند به مراتب کمتر از حداکثر قانونی باشد. پرونده Córdoba Music Group (حداکثر قانونی ۳.۳ میلیون دلار، مبلغ تسویه ۴۱,۵۹۱ دلار) نمونه‌ای گویا در این زمینه است.

معنای واقعی «داوطلبانه» چیست

یک افشا تنها زمانی «داوطلبانه» تلقی می‌شود که خودجوش بوده و پیش از آنکه OFAC یا هر نهاد فدرال، ایالتی یا محلی دیگری از تخلف احتمالی یا تخلفی «مشابه» مطلع شود، انجام گیرد. اگر بانکِ طرف مقابل شما قبلاً گزارش فعالیت مشکوک (SAR) را که شامل تراکنش شماست ارسال کرده باشد، ممکن است افشای شما واجد شرایط نباشد. اگر یک رقیب یا افشاگر (Whistleblower) قبلاً گزارش شما را داده باشد، افشای شما داوطلبانه محسوب نخواهد شد.

به همین دلیل است که سرعت عمل اهمیت دارد. از لحظه‌ای که به تخلفی مشکوک می‌شوید، زمان برای شما شروع به حرکت می‌کند.

پورتال جدید VSD ۲۰۲۶

در فوریه ۲۰۲۶، OFAC یک پورتال آنلاین افشای داوطلبانه را در آدرس disclosure.ofac.treasury.gov راه‌اندازی کرد. این پورتال جایگزین سیستم پراکنده ارسال ایمیل و فکس شد که دهه‌ها مرسوم بود. پورتال کانال امن‌تر، فیلدهای ساختاریافته و تاییدیه دریافت را ارائه می‌دهد — اما قوانین ماهوی تغییری نکرده‌اند:

  • یک اعلان اولیه که خلاصه‌ای از آنچه رخ داده را توصیف می‌کند.
  • یک گزارش پیگیری دقیق که باید ظرف ۱۸۰ روز ارائه شود و شامل علت ریشه‌ای، دامنه، اقدامات اصلاحی و پرسنل درگیر باشد.

شرکت‌ها همچنان نیاز دارند پیش از ارسال اولیه با وکیل مشورت کنند. پورتال ماهیت حقوقی ماجرا را تغییر نمی‌دهد؛ بلکه فقط روش ارسال را مدرن می‌کند.

محاسبات جریمه: واقعاً در معرض چه خطراتی هستید

تحت قانون IEEPA (قانونی که اکثر برنامه‌های تحریمی مدرن را کنترل می‌کند)، جریمه‌های مدنی برای هر تخلف در سال ۲۰۲۶ عبارتند از:

  • حداکثر قانونی: ۳۷۷,۷۰۰ دلار (که سالانه بر اساس تورم تنظیم می‌شود)
  • یا دو برابر ارزش تراکنش، هر کدام که بیشتر باشد.

هر تراکنش می‌تواند یک تخلف جداگانه محسوب شود. یک مشتری واحد که چهل سفارش را در طول دو سال ثبت کرده است، نشان‌دهنده چهل تخلف است.

محاسبه جریمه توسط OFAC در سه مرحله انجام می‌شود:

۱. مبلغ پایه — بستگی دارد به اینکه آیا مورد فاحش بوده یا خیر، آیا VSD اعمال شده است و ارزش تراکنش چقدر بوده است (جدول زمان‌بندی قانونی). ۲. تعدیلات — برای عوامل مشدده (قصد، آگاهی، آسیب به اهداف برنامه تحریمی، پیچیدگی طرف درگیر، فقدان برنامه انطباق) و عوامل مخففه (همکاری، اقدامات اصلاحی، اولین تخلف، اندازه کوچک کسب‌وکار، وضعیت مالی). ۳. جریمه پیشنهادی نهایی — که در «اطلاعیه پیش از جریمه» صادر می‌شود و موضوع پرونده می‌تواند به آن اعتراض کند.

جریمه‌های کیفری نیز برای تخلفات عمدی به موارد فوق اضافه می‌شود: تا ۱ میلیون دلار برای هر تخلف و تا بیست سال زندان برای افراد.

چک‌لیست عملیاتی انطباق برای کسب‌وکارهای کوچک

از این موارد به عنوان نقطه شروع استفاده کنید. این چک‌لیست جایگزین مشاوره حقوقی نیست، اما مواردی را پوشش می‌دهد که این سازمان بارها در یافته‌های اجرایی منتشر شده خود بر آن‌ها تاکید کرده است.

شالوده

  • سیاست مکتوب انطباق با تحریم‌ها که توسط مدیریت ارشد امضا شده است.
  • تعیین مسئول انطباق (می‌تواند بنیان‌گذار یا مدیر مالی باشد؛ این جایگاه را بدون متصدی نگذارید).
  • ارزیابی ریسک مستند، که با تغییرات اساسی در کسب‌وکار به‌روزرسانی شود.
  • فهرست‌بندی تمام حوزه‌های قضایی و اشخاص تحت تحریم که با کسب‌وکار شما مرتبط هستند.

غربالگری

  • تمام مشتریان، فروشندگان، دریافت‌کنندگان وجه و طرف‌های مقابل در زمان پذیرش غربالگری شوند.
  • بازبینی روزانه یا هفتگی در برابر لیست‌های به‌روز شده SDN/Consolidated/SSI.
  • الزام به افشای مالکیت ذی‌نفعانه برای طرف‌های مقابل با ریسک بالا.
  • دستورالعمل مستند برای ارزیابی موارد مشابه (تشخیص موارد مثبت کاذب از موارد مثبت واقعی).
  • فیلترینگ جغرافیایی/IP برای مناطق شناخته‌شده تحت تحریم در پلتفرم‌های وب.

تراکنش‌ها

  • درخت تصمیم‌گیری برای مسدود کردن یا رد کردن تراکنش، با اختیار تام برای توقف اجرا.
  • حساب مجزای دارای بهره آماده برای هرگونه وجوه مسدود شده.
  • گردش کار درخواست مجوز OFAC برای تراکنش‌هایی که ممکن است واجد شرایط باشند.

بایگانی سوابق و گزارش‌دهی

  • نگهداری پنج‌ساله سوابق غربالگری و سوابق تراکنش‌ها.
  • گزارش‌های اولیه تراکنش‌های مسدود شده/رد شده که ظرف ده روز کاری ارسال شده باشند.
  • گزارش‌های سالانه دارایی‌های مسدود شده که تا ۳۰ سپتامبر ارسال شده باشند.
  • ردپای حسابرسی (Audit trail) برای هر مورد شناسایی شده در غربالگری و نحوه رسیدگی به آن.

تست و آموزش

  • تست‌های دوره‌ای سه‌ماهه (اجرای داده‌های فرضی در ابزار غربالگری).
  • بررسی مستقل سالانه (توسط مشاور حقوقی خارجی یا مشاور انطباق).
  • آموزش سالانه برای تمام کارمندان مرتبط و مستندسازی حضور در جلسات.

پاسخ به حوادث

  • شناسایی قبلی وکیل خارجی آشنا به امور OFAC.
  • پروتکل مستند برای تصمیم‌گیری در مورد VSD — چه کسی تصمیم نهایی را می‌گیرد، چه شواهدی باعث شروع فرآیند می‌شود و چه کسی متن ارسالی را تنظیم می‌کند.

اشتباهات رایجی که موجب اقدامات اجرایی می‌شوند

الگوهای استخراج شده از جریمه‌های منتشر شده توسط OFAC تقریباً همیشه شامل یک یا چند مورد از این موارد هستند:

  1. «ما فقط لیست SDN را بررسی می‌کنیم.» نادیده گرفتن لیست‌های Consolidated، SSI، FSE یا NS-MBS یک یافته مکرر در بازرسی‌ها است.
  2. غربالگری ایستا. بررسی‌هایی که فقط در زمان ثبت‌نام (Onboarding) انجام می‌شوند با شکست مواجه می‌شوند، زیرا لیست‌های SDN به صورت هفتگی تغییر می‌کنند. مشتری‌ای که در ماه ژانویه تأیید شده است، ممکن است در ماه ژوئن در لیست تحریم قرار گیرد.
  3. نادیده گرفتن مالکیت سودآور. ممکن است نام طرف قرارداد در بررسی‌ها پاک باشد، در حالی که مالک ۶۰ درصدی او که دو لایه بالاتر قرار دارد، تحت تحریم باشد.
  4. شکاف‌های محدودسازی جغرافیایی (Geofencing). یک پلتفرم وب، آی‌پی‌های ایران را مسدود می‌کند اما به ترافیک VPN اجازه عبور بدون کنترل می‌دهد؛ OFAC در پرونده‌های فین‌تک به این موضوع استناد کرده است.
  5. نبود دستورالعمل مستند برای موارد مشابه احتمالی. کارمندانی که با مشتری در ارتباط هستند، بدون راهنمای ارجاع به سطوح بالاتر، به صورت لحظه‌ای و سلیقه‌ای تصمیم‌گیری می‌کنند.
  6. عدم ارائه گزارش‌های الزامی. حتی زمانی که تراکنش پایه به درستی مسدود شده باشد، عدم ارسال گزارش ده روزه یا گزارش سالانه ۳۰ سپتامبر، خود یک تخلف محسوب می‌شود.
  7. آموزش ناکافی. کارکنان بخش فروش به حوزه‌های قضایی تحت تحریم وعده خدمات می‌دهند، زیرا هرگز آموزش‌های OFAC را ندیده‌اند.
  8. افشای دیرهنگام. پنهان کردن یک تخلف کشف‌شده تا زمانی که آژانس دیگری به طور مستقل آن را فاش کند؛ این کار باعث از دست رفتن واجد شرایط بودن برای افشای داوطلبانه (VSD) و کاهش ۵۰ درصدی جریمه می‌شود.

سوابق مالی خود را برای بازرسی‌های OFAC آماده نگه دارید

انطباق با تحریم‌ها با مستندسازی زنده می‌ماند یا از بین می‌رود. هر تراکنش مسدود شده، هر پرداخت رد شده، هر تصمیم غربالگری، هر درخواست مجوز — OFAC ممکن است در طول یک بازه حسابرسی پنج ساله، هر یک از این‌ها را مطالبه کند. یک سیستم حسابداری که این ورودی‌ها را پشت یک رابط دفتر کل «جعبه سیاه» پنهان می‌کند، سرعت پاسخگویی شما به احضاریه‌های قانونی را کاهش خواهد داد.

Beancount.io رویکردی متفاوت دارد: حسابداری متن‌ساده (plain-text accounting) که در آن هر ورودی یک خط خوانا است، هر تغییر دارای کنترل نسخه است و هر حساب می‌تواند برای فعالیت‌های فرامرزی که توجه OFAC را جلب می‌کند، برچسب‌گذاری شود. زمانی که حسابرس شما — یا مشاور حقوقی خارج از سازمان شما که در حال آماده‌سازی افشای داوطلبانه است — تاریخچه کامل پرداخت‌ها به یک طرف قرارداد خاص را درخواست می‌کند، می‌توانید آن را در عرض چند دقیقه، و نه چند روز، ارائه دهید. رایگان شروع کنید و همان شفافیتی را به امور مالی خود بیاورید که OFAC از برنامه انطباق شما انتظار دارد.