AML: Formułowanie oceny ryzyka instytucji obowiązanej – praktyczne wskazówki

Jednym z obowiązków nałożonych przez ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu jest formułowanie oceny ryzyka instytucji obowiązanej. Ponieważ zmiany prawa w tej kwestii zostały wprowadzone w Polsce całkiem niedawno, warto przedstawić, na czym tworzenie tego dokumentu właściwie polega i dlaczego jest to niezwykle istotne dla wielu podmiotów i powinno stanowić element pakietu usług prawnych świadczonych przez określone instytucje.

Zastosowane w artykule skróty oznaczają: AML (Anti-Money Laundering) – przeciwdziałanie praniu pieniędzy i CFT (Counter-Financing of Terrorism) – przeciwdziałanie finansowaniu terroryzmu.

Czym jest ocena ryzyka i kogo dotyczy?

Obowiązek formułowania oceny ryzyka wynika z art. 27 ustawy o AML. Jest to dokument, w którym instytucja obowiązana określa ryzyko prania pieniędzy oraz finansowania terroryzmu związane z jej działalnością, a następnie wyznacza środki niezbędne do zapobiegania powyższym przestępstwom. Jej celem jest przede wszystkim uświadomienie sobie ekspozycji na ryzyko, określenie zagrożeń. Stanowi ona punkt wyjścia dla procedur AML/CFT i ma znaczący wpływ na ich prawidłowe tworzenie oraz funkcjonowanie. Właśnie dlatego błędy popełnione podczas jej formułowania mogą mieć dotkliwe konsekwencje, z których najgorszymi są milionowe kary administracyjne nakładane przez organy kontrolne.

Do jej opracowania zobligowane są przede wszystkim tzw. „instytucje obowiązane”, wyróżnione ze względu na swoją działalność. Można wśród nich wymienić banki, firmy inwestycyjne, maklerów, ubezpieczeniowców, kantory, podmioty świadczące doradztwo podatkowe, lecz także adwokatów, radców prawnych i notariuszy w zakresie w jakim towarzyszą np. handlowi nieruchomościami czy też zakładaniu rachunków bankowych. Warto zaznaczyć, że procedury AML/CFT muszą stosować też inne podmioty, jak przedsiębiorcy, fundacje albo stowarzyszenia, kiedy uczestniczą w transakcji gotówkowej większej lub równej 10 000 Euro.

15 kwietnia 2020 r. wydane zostało stanowisko Urzędu Komisji Nadzoru Finansowego dotyczące właściwego sposobu tworzenia oceny ryzyka i przedstawiające dobre praktyki w tej dziedzinie. Wprawdzie jest ono skierowane przede wszystkim do podmiotów podlegających nadzorowi KNF, czyli członków sektora bankowego i kas spółdzielczych, rynku kapitałowego, ubezpieczeniowego, emerytalnego oraz usług płatniczych, to jednak zawarte w nim wskazówki można zaaplikować do każdej instytucji obowiązanej.

Główne czynniki ryzyka

Zgodnie z międzynarodowym standardem wyróżniono pięć „kluczowych wskaźników ryzyka” (Key Risk Indicators), które należy przy procesie oceny wziąć pod uwagę. Są to: (1) typ, wielkość i złożoność biznesu, (2) oferowane produkty i usługi, (3) rodzaje klientów i relacje do nich (B2B; B2C), (4) metody przyjmowania nowych klientów i komunikacji z obecnymi oraz (5) ryzyka geograficzne. Nieco inny, choć niewątpliwie bardzo podobny katalog zmiennych, znalazł się w krajowym akcie prawnym. To on dla polskich przedsiębiorców musi stanowić priorytet, ale warto się odwołać także do wspomnianych powyżej. Wymienionymi w art. 27 ust. 1 polskiej ustawy są czynniki dotyczące:

  • klientów,
  • państw lub obszarów geograficznych,
  • produktów, usług, transakcji lub
  • kanałów ich dostaw.

Wszystkie przytoczone czynniki stanowią główne kategorie, według których ma być dokonana ocena. Na każdą z nich składają się różne zmienne, zależne od rodzaju działalności, które dokładnie pozwalają zdefiniować ryzyko. Dlatego KNF wskazuje, że powinno się także uwzględnić:

  • wykorzystywane narzędzia i systemy informatyczne,
  • stopień uzależnienia od dostawców zewnętrznych,
  • outsourcing procesów związanych z AML/CFT,
  • adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka,
  • skalę rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML/CFT,
  • efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
  • efektywność systemu szkoleń w zakresie AML/CFT,
  • planowane zmiany w działalności biznesowej, czy strukturze organizacyjnej,
  • możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych,
  • istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.

Dobrze jest się ponadto posiłkować innymi źródłami, zapewniającymi przydatne informacje i uwrażliwiającymi badających na możliwe ryzyko. Ustawa wskazuje tutaj Krajową Ocenę Ryzyka oraz Ponadnarodową Ocenę Ryzyka, czyli specjalne sprawozdanie tworzone przez Komisję Europejską, które służą regulowaniu ogólnego systemu AML/CFT. Ponadto warto sięgnąć do wyników audytów, stanowisk i komunikatów odpowiednich organów (np. GIIF, UKNF, NBP), opracowań organów Europejskiego Systemu Nadzoru, opracowań instytucji międzynarodowych zajmujących się przeciwdziałaniem praniu pieniędzy (np. Financial Action Task Force, Moneyval, ONZ) czy też w końcu ogólnie rozumianej wiedzy eksperckiej.

kancelaria warszawa

Metodyka pracy przy przygotowywaniu dokumentacji aml – różne rodzaje ryzyka

W ustawie nie przedstawiono konkretnej metodyki przygotowywania oceny ryzyka. Jest to zabieg umyślny, ponieważ uwzględnia się, że w zależności od typu działalności strategie jej formułowania mogą się od siebie znacząco różnić. Pewne komponenty powinny jednak, jak wskazał UKNF, stanowić „minimalny standard metodyczny”.

Najpierw warto dokonać oceny tzw. „ryzyka inherentnego”, czyli takiego, które występuje bez zastosowania jakichkolwiek procedur lub działań prewencyjnych, czy zabezpieczeń AML. Następnie należy wskazać wszelkie środki przedsięwzięte dla jego obniżenia (mityganty) oraz ocenić ich efektywność aktualną i spodziewaną.

Kolejny etap stanowić będzie ocena „ryzyka rezydualnego”, tzn. pozostającego pomimo zastosowania wszelkiego rodzaju mitygantów i po zastosowaniu oceny ich efektywności. Jest to zabieg zupełnie uzasadniony, ponieważ nie sposób uznać, że ryzyko wykorzystania działalności instytucji do prania pieniędzy czy finansowania terroryzmu da się kiedykolwiek całkowicie wyeliminować. W konsekwencji ostatni etap polega na zaplanowaniu przez instytucję obowiązaną metod zarządzania ryzykiem rezydualnym.

Metodyka pracy – strategie rozpoznawania ryzyka

Oba rodzaje ryzyka dobrze jest zbadać w odniesieniu do każdego z czynników wymienionych w art. 27 ust. 1 Ustawy. W zależności od rodzaju przedsiębiorstwa, idąc m.in. za wskazówkami wydanymi przez Nową Zelandię – kraj z jednym z najnowocześniejszych ustawodawstw w dziedzinie AML/CFT, można zastosować przy tym następujące metody:

  • Najmniej złożona polega na definiowaniu prawdopodobieństwa wystąpienia konkretnego zagrożenia w biznesie. W tym przypadku można zastosować następujące kategorie: mało prawdopodobne, możliwe, prawdopodobne i wysoce prawdopodobne, które wprost będą przekładały się na określanie ryzyka jako niskiego bądź wysokiego.
  • Nieco bardziej skomplikowana, zwana „ilościową” polega na określaniu prawdopodobieństwa wystąpienia danego ryzyka oraz skorelowania go z wartością konsekwencji. Takie połączenie skutkuje uzyskaniem dokładniejszych i realniejszych wyników. Przykładowo, jeżeli dane zagrożenie oznaczono jako prawdopodobne, a skutki poważne finalnie ryzyko będzie można określić bardzo wysokie. Jest to zilustrowane na tabeli poniżej (stanowi ona jedynie przykładowe zobrazowanie metody na potrzeby artykułu):
Skala prawdopodobieństwaWysoce prawdopodobne1116202325
Prawdopodobne712172124
Możliwe48131822
Mało prawdopodobne2591419
Niemal niemożliwe1361015
MinimalneŚrednieUmiarkowaneZnaczącePoważne
Skala konsekwencji
Ocena ryzykaNiskieŚrednieWysokieBardzo wysokie

Po rozpatrzeniu ryzyka odnoszącego się do wszystkich uwzględnionych czynników jest się w stanie sformułować ocenę odnoszącą się do działalności instytucji w całości. W przypadku zidentyfikowania obszarów wymagających naprawy, w ocenie ryzyka warto także wyznaczyć jednostkę lub osobę odpowiedzialną za jej przeprowadzenie oraz określić harmonogram prac.

Dokonana ocena ryzyka, sporządzona w postaci elektronicznej lub papierowej, powinna zostać przedstawiona osobie odpowiedzialnej za wdrażanie obowiązków opisanych w ustawie w celu jej zatwierdzenia. Warto jednak, by zapoznał się z nią i zatwierdził także zarząd oraz rada nadzorcza jednostek, w których takie organy funkcjonują, ponieważ może ona stanowić punkt wyjścia dla różnorakich decyzji strategicznych dotyczących rozwoju i zarządzania danym podmiotem.

O czym jeszcze należy pamiętać przy ocenie ryzyka w ramach aml?

Co niezwykle istotne, oceny ryzyka nigdy nie można tworzyć w oparciu o dostępne gdzieniegdzie wzory, bowiem dla każdego przedsiębiorcy będzie się ona przedstawiała różnorodnie w zależności od charakteru i wielkości prowadzonej przez niego działalności.

Należy mieć na uwadze, że jeżeli w procesie oceny ryzyka wysunięto wnioski o wysokim ryzyku dotyczącym instytucji, bynajmniej nie musi to świadczyć o niskiej efektywności wprowadzonych procedur i mitygantów. Wprost przeciwnie, może to być dowodem właściwie przeprowadzonej oceny, której efektem jest świadomość co do zagrożeń związanych z prowadzeniem danej instytucji. W związku z charakterem oraz skalą niektórych działalności nie do wyeliminowania jest wysokie ryzyko związane z praniem pieniędzy czy finansowaniem terroryzmu.

Nie wolno zapominać, że ocena ryzyka powinna być stale aktualizowana, według ustawy najrzadziej co dwa lata, tak by była zawsze odzwierciedleniem bieżącej sytuacji firmy. W art. 27 wskazano, że szczególnymi okolicznościami w których należy tego dokonać będą zmiany czynników ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo zmiany Krajowej Oceny Ryzyka czy Ponadnarodowej Oceny Ryzyka. UKNF wskazuje jeszcze, że warto wziąć pod uwagę istotne i długotrwałe zmiany w otoczeniu gospodarczym, które mogą mieć wpływ na działalność instytucji.

W swoim stanowisku Komisja Nadzoru Finansowego przedstawiła również wyniki swoich analiz w kwestii popełnianych niedopatrzeń. Najczęściej występującymi błędami dokonywanymi w procesie oceny ryzyka są:

  • pominięcie niektórych czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
  • niewskazanie finalnych wniosków wynikających z oceny ryzyka,
  • brak harmonogramu planowanych działań w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
  • niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym,
  • nieodpowiedni dobór metodyki, nie uwzględniający istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.

Podsumowanie

Ocena ryzyka instytucji obowiązanej jest najważniejszym dokumentem dotyczącym przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Polega na określeniu ekspozycji na ryzyko, a następnie zaproponowaniu środków obniżenia go. Prawidłowo dokonana powinna kompleksowo przedstawiać sytuację instytucji, biorąc pod uwagę wiele czynników i zmiennych. Dzięki temu stanowić może odpowiedni punkt wyjścia do funkcjonowania procedur AML/CFT w każdym przedsiębiorstwie.

Masz pytania lub potrzebujesz pomocy ?
SPRAWDŹ NASZE USŁUGI OBEJMUJĄCE TECHNOLOGIE FINANSOWE lub DAJ NAM ZNAĆ poprzez FORMULARZ KONTAKTOWY

Pozostałe artykuły

Zostaw komentarz

Translate »