Co to jest ocena ryzyka AML? Jak ją opracować? Jaką przyjąć metodykę? Gdzie szukać wskazówek? Czemu ona służy i kto musi ją wdrożyć? A przede wszystkim kto musi wdrożyć procedury AML i jak to zrobić?

Wyjaśniamy krok po kroku.

AML – kto musi posiadać procedury?

AML/CFT, (ang. Anti-Money Laudering Procedurees and Counter Financig of Terrorism) czyli procedury przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu obowiązują wiele podmiotów na podstawie ustawy z 2018 roku o tym samym tytule. Celem tej ustawy jest dostosowanie przepisów polskich do standardów europejskich, a co za tym idzie zapewnienie bezpieczeństwa gospodarczego i finansowego w obrocie. A wszystko z powodu tego, że pranie pieniędzy jest przestępstwem bardzo poważnym i powiązanym z innymi rodzajami przestępstw o charakterze zbrodniczym, jak handel ludźmi, narkotykami lub bronią, wymuszenia i haracze, korupcja oraz innego rodzaju czynami o charakterze pospolitym.

Kto musi wdrożyć AML?

Katalog podmiotów obowiązanych do wdrożenia procedur AML jest bardzo szeroki i zawiera go art. 2 ustawy AML. Ich przekrój jest bardzo duży – od wielkich korporacji, po małe jednoosobowe biura rachunkowe – wszyscy muszą przestrzegać AML. Jednakże do najważniejszych podmiotów należą:

banki, ubezpieczyciele i brokerzy, pośrednicy kredytowi, doradcy nieruchomości, galerie sztuki, komisy samochodowe i dealerzy aut, pośrednicy i właściciele galerii sztuki, prawnicy (adwokaci i radcy prawni, notariusze), doradcy podatkowi, spółki handlowe,  stowarzyszenia  i fundacje oraz biura rachunkowe – dosłownie wszystkie (od 20 lipca 2021 roku!). Przekrój jest naprawdę spory – i musisz sprawdzić, czy nie spełniasz przesłanek do bycia podmiotem obowiązanym.

Jak wdrożyć AML w firmie?

Wdrożenie AML, czyli procedur przeciwdziałania praniu pieniędzy w organizacji jest procesem złożonym. Składa się na niego nie tylko przygotowanie dokumentacji, ale również szereg działań faktycznych. Co najważniejsze – procedury, aby działały należy ich przestrzegać, a to zdaje się być bolączką wielu przedsiębiorstw i jednostek.

Warto również zauważyć, że nowelizacja ustawy, jaka miała miejsce w 2021 roku znacząco poszerzyła nie tylko krąg podmiotów obowiązanych, ale również obowiązki, jakie spoczywają na podmiotach już wcześniej objętych ustawą AML. Przede wszystkim zmodyfikowano szkolenie AML i rozbudowano je o moduł ochrony danych osobowych oraz  zwiększono obowiązki raportowania do Generalnego Inspektora Informacji Finansowej. Wprowadzono również szereg regulacji odnoście osób sprawujących eksponowane funkcje polityczne (PEP – ang. Politically Exposed Person) oraz poszerzono obowiązki odnoście Rejestru Beneficjentów Rzeczywistych, tzw. UBO – ang. Ultimate Business Owner)
i ochrony sygnalistów.

Instytucja obowiązana, aby wdrożyć prawidłowo procedurę przeciwdziałania praniu pieniędzy (AML/CFT) musi przede wszystkim skupić się na następujących jej elementach:

• Szkoleniu,
• ocenie ryzyka,
• procedurze wewnętrznej,
• procedurze weryfikowania Beneficjentów Rzeczywistych,
• procedurze szczególnej ochrony sygnalistów.

Skupimy się na najbardziej newralgicznym elemencie, czyli ocenie ryzyka AML.

Ocena ryzyka AML

Ocena ryzyka, to nic innego, jak dokument, który musi zostać opracowany na podstawie ogólnych wytycznych sformułowanych w art. 27 ust. 3:

„Oceny ryzyka, o których mowa w ust. 1, instytucje obowiązane sporządzają w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów”.

Ocena ryzyka jest dokumentem podstawowym, wyjściowym dla dalszych działań w ramach procedur AML. Rolą tego opracowania jest charakterystyka potencjalnych zagrożeń mogących prowadzić do procederu prania pieniędzy lub finansowania terroryzmu.

Wytyczne zawarte w art. 27 ustawy AML są bardzo ogólnikowe i szablonowe – jest to zresztą katalog otwarty. Z tego to powodu Komisja Nadzoru Finansowego opracowała swój katalog dobrych praktyk w tym zakresie. Oczywiście wytyczne mogą być stosowane i powinny być stosowane również przez podmioty nie objęte nadzorem KNF.

Stanowisko Urzędu Komisji Nadzoru Finansowego z 15 kwietnia 2020 roku obejmuje kilka aspektów, jak:

• Istota oceny ryzyka,
• Sposób przeprowadzenia oceny ryzyka,
• Czynniki podlegające ocenie,
• Źródła informacji,
• Metodyka i struktura,
• Zatwierdzenie ryzyka,
• Najczęstsze błędy.

Ocena ryzyka – istota

Dokument ten, jak już stwierdzono, jest determinantem dla pozostałych elementów procedury, bowiem od niego zależy poziom świadomości ryzyka, dobór środków bezpieczeństwa, kształt wewnętrznej procedury AML/CFT i faktyczne działania podejmowane celem ograniczenia procederu prania pieniędzy.

Sposób przeprowadzenia oceny ryzyka

Czynniki podlegające ocenie

Podstawowy katalog czynników, który ma charakter otwarty, ale nie może zostać przez żaden podmiot uszczuplony, może być jedynie rozbudowany zawarty jest w art. 27 ust. 3 ustawy AML. Katalog ów w razie zwiększonego ryzyka musi być rozbudowany z uwzględnieniem przepisów art. 43 ust. 2 ustawy AML m. in. o analizę pod kątem:

• nawiązywania stosunków gospodarczych w nietypowych okolicznościach;
• jeżeli klient jest:

– osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, których działalność służy do przechowywania aktywów osobistych,

– spółką, w której wydano akcje na okaziciela, której papiery wartościowe nie są dopuszczone do obrotu zorganizowanego, lub spółką, w której prawa z akcji lub udziałów są wykonywane przez podmioty inne niż akcjonariusze lub udziałowcy;

• przedmiot prowadzonej przez klienta działalności gospodarczej obejmuje przeprowadzanie znacznej liczby lub opiewających na wysokie kwoty transakcji gotówkowych;
• występuje nietypowa lub nadmiernie złożona struktura własnościowa klienta, biorąc pod uwagę rodzaj i zakres prowadzonej przez niego działalności gospodarczej;
• korzystanie przez klienta z usług lub produktów sprzyjających anonimowości lub utrudniających jego identyfikację,
• nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej bez fizycznej obecności klienta
• zlecanie przez nieznane lub niepowiązane z klientem podmioty trzecie transakcji, których beneficjentem jest klient.

Ponadto listę czynników według zalecenia KNF należy poszerzyć o:

• narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną,
• stopień uzależnienia instytucji obowiązanej w obszarze związanym z AML od dostawców zewnętrznych – outsourcing procesów związanych z AML,
• adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML w stosunku do zidentyfikowanego ryzyka,
• skala rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML,
• efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
• efektywność systemu szkoleń w zakresie AML,
• planowane przez instytucję obowiązaną zmiany w działalności biznesowej,
  w szczególności jeśli dotyczą czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
• spodziewane zmiany struktury i liczby klientów, przychodów, wolumenów przeprowadzanych transakcji, itp.,
• planowane zmiany w strukturze organizacyjnej instytucji obowiązanej,
• planowane działania wynikające ze strategii instytucji obowiązanej, w szczególności planowane fuzje i przejęcia lub zmiany w strukturze własnościowej instytucji obowiązanej,
• możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych niezależnych od instytucji obowiązanej,
• istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.

Źródła informacji

W myśl art. 29 ustawy AML – podstawowe źródła informacji to Krajowa Ocena Ryzyka oraz Opinia Komisji Europejskiej. Krajowa Ocena Ryzyka w myśl komunikatu KNF z 24 lipca 2019 roku powinna być zawsze brana pod uwagę przez podmiot obowiązany przy tworzeniu oceny ryzyka. Ponadto powinno się wziąć pod uwagę, jako źródło informacji (o ile ma zastosowanie):

• wyniki audytów – wewnętrznych oraz zewnętrznych,
• dokumenty wewnętrzne,
• procedury oraz dokumenty opracowane przez inne instytucje funkcjonujące w ramach tej samej grupy,
• wiedza ekspercka,
• stanowiska lub komunikaty odpowiednich organów, takich jak KNF, (GIIF), Narodowy Bank Polski,
• opracowania Europejskich Urzędów Nadzoru: (Europejskiego Urzędu Nadzoru Bankowego (EUNB), Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych (ESMA),
• opracowania instytucji branżowych, funkcjonujących w ramach obszarów nadzorowanych przez KNF,
• opracowania instytucji międzynarodowych zajmujących się przeciwdziałaniem praniu pieniędzy, w szczególności Financial Action Task Force (FATF), Moneyval, Organizacji Narodów Zjednoczonych.

Metodyka i struktura

Ani ustawa, ani KNF nie narzuca żadnej metody dokonywania oceny ryzyka, ale przyjmuje się, że dokument powinien zawierać choćby lapidarny opis przyjętej metody, która może być: ilościowa, jakościowa lub mieszana.

Metodyka powinna zawierać co najmniej cztery elementy takie jak:

• ocenę ryzyka inherentnego, to znaczy takiego, jakie występuje, jeżeli nie zostaną podjęte żadne kroki celem uniknięcia zagrożenia,
• wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności,
• ocenę ryzyka rezydualnego, to znaczy takiego, które występuje pomimo wdrożenia procedur AML,
• zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym.

Następnie należy dokonać oceny ryzyka en bloc, to znaczy całościowego, jakie może wystąpić w danej instytucji.

Forma sporządzenia oceny ryzyka

Omawiany dokument może mieć dowolną postać: to znaczy papierową lub/i elektroniczną. Powinien on być aktualizowany co dwa lata z uwzględnieniem  Krajowej Oceny Ryzyka oraz opinii Komisji Europejskiej w tej sprawie.

Zatwierdzenie oceny ryzyka dokonuje osoba odpowiedzialna za wdrożenie procedury AML w organizacji w myśl art. 7 ustawy AML. Ocena ryzyka nie jest dokumentem publicznym.

Najczęstsze błędy Oceny ryzyka

Instytucje obowiązane, pomimo, że mają dostęp do wielu narzędzi i informatorów, to nadal powtarzają wiele błędów, takich jak:

• pominięcie niektórych czynników ryzyka wskazanych,
• niewskazanie finalnych wniosków wynikających z oceny ryzyka,
• brak harmonogramu planowanych działań instytucji obowiązanej w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
• niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym,
• nieodpowiedni dobór metodyki, nie uwzględniający istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko
  w sposób nieadekwatny do skali i rodzaju działalności.

Podsumowanie

Pamiętajcie, że procedury AML obecnie musi wdrożyć bardzo wielu przedsiębiorców, a nie jest to zadanie proste. Kontrole i nadzór nad przestrzeganiem, a co za tym idzie i kary administracyjne potrafią być dotkliwe, w związku z powyższym nie można bagatelizować tego obowiązku. Ważnym również jest, aby o AML pamiętały biura rachunkowe, bowiem to na nich spoczywa obowiązek rejestrowania większości transakcji, do jakich dochodzi w obrocie gospodarczym, a co za tym idzie ich odpowiedzialność jest zdecydowanie większa niż pozostałych podmiotów obowiązanych.

Źródła:

1. Filipkowski W., Pływaczewski W. E., Standardy przeciwdziałania procederowi prania pieniędzy,  Państwo i Prawo, nr 10/2007.
2. Gzela, Przeciwdziałnie praniu pieniędzy i finansowaniu terroryzmu, „Doradca podatkowy”, nr 1, 2012.
3. Jagura B., Systemy zarządzania zgodnością. Compliance w praktyce, Warszawa, 2020.
4. Bodnar A., Ploszka A., Wpływ Europejskiej Konwencji Praw Człowieka na funkcjonowanie biznesu, Warszawa, 2016.
5. Szpytka, 4.5. Zarządzanie ryzykiem niezgodności działania w realizacji funkcji compliance[w:] P. Szpytka, P. Eleryk, A. Piskorz-Szpytka, Compliance w podmiotach nadzorowanych rynku finansowego. Aspekty praktyczne, P. Eleryk, A. Piskorz-Szpytka, Warszawa 2019.
6. Siejak P., Wkład Rady Europy w tworzenie europejskiego systemu prewencji
   w obszarze przestępstw gospodarczych, w: Prawo i Administracja. W poszukiwaniu modelowych rozwiązań, Łódź, 2021.