# 22. Independent Audit Report — Kept LLC (KPMG Belarus) — ENG **Аудитор:** Kept LLC (бывший **KPMG Belarus** до ребрендинга 2022) **Auditor partner:** Irina Vereschagina (Certificate No. 0000580) **Audit period:** 1 January 2024 — 31 October 2024 **Report date:** 15 November 2024 **Контракт:** No. C-BLO-23-00120 dated 14.10.2024 + addendum 12.11.2024 **Размер:** 985 КБ, 19 стр. **Стандарт:** ISAE 3000 (Limited Assurance) ## Что это **Limited assurance report** Big-4 аудитора (Kept = KPMG Belarus) о соответствии Whitebird требованиям ПВТ-резидентства. ## КРИТИЧЕСКИЕ FINDINGS ### ❌ Финансовые нормативы НАРУШЕНЫ во всех 3 кварталах 2024 Whitebird **не соответствует ПВТ-требованиям** к финансовому состоянию: | Метрика | Норматив | Q1 2024 | Q2 2024 | Q3 2024 | |---|---|---|---|---| | **Short-term liquidity ratio** | ≥ 1.00 | **0.28** ❌ | **0.64** ❌ | **0.57** ❌ | | **Financial stability ratio** | ≥ 0.75 | **0.35** ❌ | **0.41** ❌ | **0.36** ❌ | | **Debt concentration ratio** | ≤ 1.00 | **1.90** ❌ | **1.42** ❌ | **1.79** ❌ | **Интерпретация:** - **Liquidity 0.28** = у Whitebird **меньше 30 % краткосрочных активов** для покрытия краткосрочных обязательств. Critical liquidity stress. - **Stability 0.35-0.41** = собственный капитал составляет менее половины от требуемого. **Heavy debt financing.** - **Debt concentration 1.42-1.90** = у компании больше долгов, чем активов на одной балансовой статье. Высокая концентрация риска. **Это означает Whitebird технически insolvent по ПВТ-стандартам.** Эта информация публично доступна — должно отпугивать investors. Но Whitebird продолжает работу — видимо, есть unofficial waiver от Наблюдательного совета ПВТ. ### ⚠ Cryptoplatform Operator status не использовался Whitebird имеет правовой статус **оператора криптоплатформы**, но в 2024 году: > «the Company did not operate as a cryptoplatform operator» То есть **они работают только как оператор обмена криптовалют (CCE) и ICO Organizer**, не как полноценная криптобиржа. Это либо stratification стратегии, либо отложенный запуск. ### ✅ Что прошло аудит 1. Personnel qualifications (head, accountant, AML officer, IT security, risk officer) 2. Beneficial owner disclosure 3. Statutory capital 4. Local Regulations (LRs) on: - Risk management - Internal control - AML/CFT/FTWMD - Conflict of interest - Outsourcing - Token trading terms - User support - Information security 5. Information system audits and **penetration tests** (8 January + 11 November 2024) 6. CPO Rules (Cryptoplatform Operator) 7. CCE Rules (Cryptocurrencies Exchange) 8. ICO Rules ## Моё мнение **Этот аудит — настоящая бомба.** Public document от Big-4 аудитора, который явно говорит: **Whitebird не выполняет финансовые нормативы регулятора уже год**. ### Что это значит на практике Сравнение с банковским сектором: - Если бы у банка были такие коэффициенты — отзыв лицензии в течение недели - Для ПВТ-резидентов финансовые нормативы менее строгие — Whitebird до сих пор работает - Но **это сильный сигнал риска для инвесторов** ### Возможные причины нарушений 1. **Aggressive growth** — Whitebird вкладывает в маркетинг / технологию / экспансию (например в ОАЭ) 2. **Loss-making operations** — компания убыточна и съедает капитал 3. **Купец активы выведены акционерами** — реальный capital меньше отчётного 4. **Restructuring period** — после смены руководителя в апреле 2024 (Шабанов М.А.) идёт переходный период ### Strategic implication для копирования **Whitebird's financial weakness = opportunity для Монтаны.** Если у нас будет такой же ПВТ-режим + лучший financial discipline = можем конкурировать и победить. ## Что нужно команде Монтаны для копирования 1:1 ### Mandatory annual audit 1. **Big-4 аудитор** обязателен: - **EY** в РБ (если идём ПВТ-путём) - **PwC** в Литве (если EU фасад) - **KPMG / Deloitte** в ОАЭ (для VARA) 2. **Annual financial audit** ISA standards 3. **Limited assurance review** регуляторного compliance (как у Whitebird) ### Financial ratios — strict monitoring **Никогда не нарушать норматив больше 1 квартала:** - Если quick ratio падает ниже 1.0 → trigger emergency capital raise - Если debt concentration > 0.8 → freeze new lending / lock proprietary positions - **Monthly internal reporting** на CRO с alerts при approaching thresholds ### Penetration testing **Whitebird делает 2 раза в год** (январь + ноябрь). Монтана должна **квартально**: - **External pen test:** raid Trail of Bits / NCC Group / Synack - **Internal red team exercises** ежемесячно - **Bug bounty program** — HackerOne / Immunefi public - **Smart-contract audit** при каждом upgrade ### Public Audit Report **Whitebird публикует audit report публично** — это хороший PR move. Монтана должна: - Полный текст audit report на сайте - Quarterly financial summary с key ratios - Real-time Proof of Reserves dashboard (на blockchain) ## Структура ПВТ-compliance audit (skeleton для Монтаны) Аудит покрывает **5 категорий требований:** 1. **Personnel** (head, accountant, IT security, AML, risk officer, HTP compliance officer) 2. **Beneficial ownership disclosure** 3. **Financial soundness** (statutory capital + 3 ratios) 4. **Business processes** (12 LRs: risk, internal control, AML, COI, outsourcing, etc.) 5. **Information system audit** (technical + penetration testing) **Категория 3 (Financial soundness)** = именно где Whitebird провалился. Это самый сложный для соблюдения. ### Ratios нужно держать | Ratio | Минимум | Что значит | |---|---|---| | Short-term liquidity | ≥ 1.00 | Краткосрочные активы ≥ краткосрочных обязательств | | Financial stability | ≥ 0.75 | Equity / Total assets ≥ 0.75 | | Debt concentration | ≤ 1.00 | Концентрированный долг не больше total | ### Audit firm selection criteria - **Big-4 only** — нельзя small local firm - Member of regulated audit chamber - ISAE 3000 compliance experience - **Cost: $20-50k annually** (Belarus); $50-150k (EU); $100-300k (US) ## Ссылки внутри Whitebird-стека - → #33 (White Bird Report RUS — русская версия того же документа) - → #24 (ПВТ approval — статус резидента) - → #26 (свидетельство регистрации) - → #11 (положение о рисках) - → #17 (положение о конфликте интересов) - → #28 (политика данных)