Audyt procedur przeciwdziałania praniu brudnych pieniędzy (AML) dla instytucji obowiązanych – na czym polega i dlaczego warto go przeprowadzić?

Na czym polega sporządzenie oceny ryzyka w kontekście AML?

Jednym z głównych obowiązków jaki ciąży na wszystkich instytucjach obowiązanych zgodnie z art. 27 ustawy jest dokonania oceny ryzyka prania pieniędzy i finansowania terroryzmu z uwzględnieniem profilu ich działalności. Sporządzenie tej oceny stanowi swego rodzaju punkt wyjścia dla realizacji pozostałych obowiązków ustawowych. Ocena obejmuje:

identyfikację ryzyka,
ocenę ryzyka.

Wdrożenie oceny ryzyka powinno uwzględniać skalę działalności podmiotu. Każdorazowo powinna ona jednak uwzględniać czynniki dotyczące:

klientów,
państw i obszarów geograficznych,
produktów, usług lub transakcji,
kanałów dostaw produktów lub usług.

Sporządzając ocenę, instytucja obowiązana może uwzględnić krajową ocenę ryzyka. To dokument, za którego opracowanie odpowiedzialny jest Generalny Inspektor Informacji Finansowej współdziałający z:

Komitetem Bezpieczeństwa Finansowego,
jednostkami współpracującymi,
instytucjami obowiązanymi.

Niezależnie od tego lokalna ocena ryzyka dokonywana przez instytucję obowiązaną może uwzględniać także postanowienia art. 6 dyrektywy 2015/849, czyli:

najbardziej zagrożone obszary rynku wewnętrznego,
ryzyko związane z danym sektorem,
najpowszechniejsze metody wykorzystywane przez przestępców dla prania nielegalnych dochodów.

Nie należy zapominać, że ocena ryzyka nigdy nie jest konstrukcją statyczną. Przepisy ustawy obligują instytucje obowiązane do regularnej aktualizacji wytycznych w razie potrzeby, ale nie rzadziej niż co 2 lata, a także utrwalenia oceny w formie papierowej lub elektronicznej.

Dbanie o zgodność wszystkich procedur w firmie z obowiązującymi wymogami prawnymi nie jest proste i wymaga współpracy wielu działów, a także prężnie działającej komórki compliance.

Wprawdzie na gruncie obowiązujących przepisów zlecanie zewnętrznego audytu nie jest obowiązkiem instytucji obowiązanej, ale pozwala na zweryfikowanie jej działalności pod kątem wymagań dotyczących regulacji AML, a w konsekwencji uniknięcie dotkliwych sankcji.

Dlaczego warto zlecić audyt zewnętrzny AML?

Wraz z implementacją kolejnych rozwiązań wspólnotowych oczekiwania ustawodawcy względem instytucji obowiązanych stają się coraz surowsze. Nierzadko ich przestrzeganie wiąże się z dodatkowymi wydatkami na:

szkolenie personelu,
wdrożenie rozwiązań IT,
utworzenie zupełnie nowych komórek organizacyjnych.

Aby ich uniknąć, można zlecić sporządzenie audytu profesjonalistom. Kontrola zewnętrzna pozwala ustalić spełnienie wymagań dotyczących takich kwestii jak wspomniana już ocena ryzyka, ale także:

identyfikacja i weryfikacja klienta oraz beneficjenta rzeczywistego,
identyfikacja osób zajmujących eksponowane stanowisko polityczne (ang. PEP, Politically Exposed Person),
ocena dokonywanych transakcji z punktu widzenia AML.

Wiele firm ma problemy z wdrożeniem ustawowych regulacji, z uwagi na stopień ich rozbudowania. Jednocześnie, uchybieniu wymaganiom towarzyszy wizja wysokich kar pieniężnych oraz sankcji innego rodzaju.

Coraz więcej państw decyduje się na wprowadzenie obligatoryjnego audytu zewnętrznego, jako gwarancji zgodności z procedurami AML (m.in. Stany Zjednoczone i Wielka Brytania). Można więc oczekiwać, że prędzej lub później taki obowiązek pojawi się także w Polsce.

Co obejmuje audyt zewnętrzny AML?

Zewnętrzny audyt prowadzony jest przez niezależnych specjalistów z zakresu m.in. prawa, technologii IT, rachunkowości, a także HR. Za każdym razem będzie on wyglądał nieco inaczej, ponieważ musi uwzględniać specyfikę danej działalności oraz jej zasięg.

Audyt obejmuje przede wszystkim analizę sytuacji, w jakiej znajduje się firma w kontekście stopnia wypełnienia formalnych wymagań dotyczących procesów AML, ale nie tylko. To także ocena stanu wiedzy i kompetencji pracowników w tym zakresie.

Prawidłowo przeprowadzony audyt powinien skupić się na następujących obszarach:

ustaleniu, jakie obowiązki ciążą na instytucji obowiązanej,
kompleksowej ocenie zgodności działania z procedurami,
weryfikacji wprowadzonych ścieżek działania oraz ocenie dokumentacji,
zidentyfikowaniu obszarów, które są szczególnie narażone na ryzyko prania pieniędzy lub finansowania terroryzmu,
ustaleniu osób odpowiedzialnych za stosowanie mechanizmów AML oraz ocena ich wiedzy i kompetencji.

Efektem przeprowadzenia audytu jest sporządzenie protokołu, w którym znajduje się podsumowanie zebranych wyników, a także zalecenia co do zmiany obowiązujących procedur, dokumentacji i protokołów działania. Z uwagi na bardzo ogólne sformułowanie przepisów jedynie spersonalizowane rekomendacje będą stanowiły dla instytucji obowiązanej realną wartość.

Przyjęty przez ustawodawcę unijnego model wdrażania procedur AML opiera się o tzw. risk based approach. W praktyce oznacza to, że obligacje ustawowe określają niezbędne minimum działania. Jego spełnienie nie musi jednak oznaczać, że instytucja obowiązana może zwolnić się od odpowiedzialności za ewentualny brak staranności w tym zakresie.

Dla każdego podmiotu, który jest zobligowany do wdrożenia procedur na gruncie ustawy o AML, należy indywidualnie ustalać, jakie konkretnie działania, i w jakim zakresie, musi on podjąć, aby należycie chronić interes Skarbu Państwa oraz swój własny. Można z całą mocą podkreślić, że rygor AML względem banku lub zakładu ubezpieczeń będzie znacznie wyższy niż w przypadku niewielkiego biura rachunkowego.

Audyt zewnętrzny pozwoli także na opracowanie zasad kontroli wewnętrznej, obejmującej m.in.:

czynności zmierzające do zmniejszenia ryzyka prania pieniędzy i finansowania terroryzmu,
opracowanie wydajnej oceny ryzyka,
mechanizmy zarządzania ryzykiem AML w organizacji,
zasady stosowania środków bezpieczeństwa finansowego,
zasady przechowywania dokumentów i informacji oraz przekazywania ich Generalnemu Inspektorowi Informacji Finansowej,
zasady zgłaszania naruszeń ustawy,
mechanizmy dotyczące rozbieżności w CRBR,
mechanizmy identyfikacji beneficjenta rzeczywistego (także będącego PEP) oraz trudności w tym zakresie.

Dlaczego stwierdzenie, że dana instytucja obowiązana działa w zgodzie z ustawą o AML jest tak istotne?

Procedura kontrolna w świetle ustawy o AML

Wdrożenie audytu zewnętrznego AML oraz opracowanie własnych zasad autokontroli umożliwia instytucji obowiązanej przygotowanie się do kontroli, do których przeprowadzania uprawnione są określone organy państwowe. Procedura kontroli jest regulowana przez ustawę prawo przedsiębiorców z zachowaniem odrębności, o których mowa w ustawie o AML.

Co do zasady, zgodnie z art. 130 ust. 1 ustawy kontrolę wykonywania przez instytucję obowiązane w zakresie obowiązków nałożonych ustawą sprawuje Generalny Inspektor Informacji Finansowej. W zależności od typu instytucji obowiązanej nadzór mogą realizować również:

Prezes NBP – w odniesieniu do podmiotów realizujących działalność kantorową,
Komisja Nadzoru Finansowego – w odniesieniu do instytucji przez nią nadzorowanych (np. banki, instytucje płatnicze, agencje ratingowe, pośrednicy kredytowi),
Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa – w odniesieniu do SKOK-ów,
prezesi sądów apelacyjnych – w stosunku do notariuszy,
naczelnicy urzędów celno-skarbowych – w odniesieniu do instytucji obowiązanych, kontrolowanych przez te organy,
wojewodowie lub starostowie – w stosunku do stowarzyszeń,
ministrowie lub starostowie – w odniesieniu do fundacji.

Kontrole są przeprowadzane na podstawie półrocznych planów kontroli. Wyjątek stanowią kontrole doraźne, których nie trzeba ujmować w planie. Każdego roku ustalane są sektory i obszary szczególnie narażone na ryzyko prania pieniędzy i finansowania terroryzmu, które traktuje się priorytetowo.

W jaki sposób przebiega kontrola na gruncie ustawy o AML?

Każda kontrola jest realizowana przez dwie osoby posiadające upoważnienie do jej przeprowadzenia. Obligatoryjne elementy, które powinny znaleźć się w upoważnieniu to:

podstawa prawna do przeprowadzenia kontroli,
oznaczenie organu przeprowadzającego kontrolę,
data i miejsce wystawienia upoważnienia,
imię i nazwisko kontrolera oraz numer jego legitymacji służbowej,
oznaczenie kontrolowanej instytucji obowiązanej,
miejsce przeprowadzenia kontroli,
przedmiot oraz zakres kontroli,
data rozpoczęcia kontroli oraz przewidywany czas jej trwania,
podpis osoby udzielającej upoważnienia,
pouczenie o prawach i obowiązkach kontrolowanej instytucji obowiązanej.

Zasadniczo czynności kontrolne są podejmowane wyłącznie w dniach i godzinach pracy kontrolowanej instytucji obowiązanej. W przypadku podejrzenia prania pieniędzy lub finansowania terroryzmu, czynności niecierpiące zwłoki mogą być także realizowane w innych dniach lub godzinach. Kontrola obejmuje nie tylko główne miejsce prowadzenia działalności, ale też każde inne miejsce z nim związane.

Wszystkie czynności podejmowane przez kontrolera powinny być podejmowane w obecności osoby upoważnionej przez instytucję obowiązaną, chyba że ich charakter wymaga dokonania ich samodzielnie, a taka realizacja może przyczynić się do szybszego i skuteczniejszego przeprowadzenia kontroli. W celu sprawnego przeprowadzenia kontroli osoby, które ją realizują, mogą skorzystać z pomocy funkcjonariuszy Policji.

Przed podpisaniem protokołu kontroler może żądać udzielenia dodatkowych wyjaśnień na piśmie lub złożenia dokumentów. Możliwe jest także odbieranie ustnych oświadczeń, ale muszą one znaleźć się w podpisanym przez uczestników kontroli protokole.

Po zakończeniu kontroli sporządzane jest tzw. stanowisko pokontrolne, które zawiera:

ocenę działalności instytucji obowiązanej w zakresie objętym kontrolą,
zwięzły opis ustaleń kontroli, w tym – wskazanie naruszonych przepisów,
zalecenia pokontrolne ze wskazaniem sposobu i terminu usunięcia ustalonych nieprawidłowości.

Instytucja obowiązana jest zobligowana do przesłania informacji o sposobie realizacji zaleceń pokontrolnych lub o stanie ich realizacji ze wskazaniem ostatecznego terminu ich wykonania. Termin może zostać przesunięty wyłącznie za zgodą Generalnego Inspektora Informacji Finansowej.

Jeżeli w toku kontroli zostały stwierdzone nieprawidłowości, warto skorzystać z pomocy kancelarii prawnej, która pomoże złożyć ewentualne zastrzeżenia do protokołu, a także krok po kroku przeprowadzi przez wdrożenie środków zaradczych.

Obowiązki instytucji obowiązanej względem kontrolerów

Instytucja obowiązana, w której realizowana jest kontrola AML ma obowiązek na swój koszt zapewnić warunki i środki niezbędne do prawidłowego przeprowadzenia kontroli, w tym w szczególności:

przedstawić dokumenty lub materiały,
zapewnić terminowe udzielanie informacji,
udostępnić środki łączności oraz urządzenia techniczne,
umożliwić sporządzanie kopii, filmowanie, fotografowanie, dokonywanie nagrań dźwiękowych,
przedłożyć urzędowe tłumaczenie na język polski dokumentów mających znaczenie dla kontroli, które zostały sporządzone w języku obcym.

Prawo do zgłaszania zastrzeżeń do protokołu kontroli

Z przeprowadzonej kontroli sporządza się protokół w dwóch jednobrzmiących egzemplarzach, który należy doręczyć instytucji obowiązanej w terminie 30 dni od dnia zakończenia kontroli. Zgodnie z art. 141 ust. 7 instytucja obowiązana ma prawo do zgłoszenia umotywowanych zastrzeżeń do protokołu kontroli.

Zastrzeżenia zgłasza się w terminie 14 dni od dnia otrzymania protokołu kontroli do Generalnego Inspektora Informacji Finansowej.

jeżeli zastrzeżenia do protokołu zostały uwzględnione – protokół jest poprawiany w drodze pisemnego aneksu,
jeżeli zastrzeżenia do protokołu nie zostały uwzględnione – Generalny Inspektor wydaje stanowisko dotyczące zastrzeżeń.

Zarówno aneks, jak i stanowisko są doręczane instytucji obowiązanej.

Jakie kary grożą za niedochowanie ustawowych obowiązków?

Uchybienie przepisom ustawy wiąże się z ryzykiem nałożenia na instytucję obowiązaną kary administracyjnej. Może ona przybrać postać:

publikacji informacji o instytucji obowiązanej oraz zakresie naruszenia przepisów w BIP,
nakazania zaprzestania podejmowania określonych czynności,
cofnięcia koncesji lub zezwolenia albo wykreślenia z rejestru działalności regulowanej,
zakazu pełnienia obowiązków na stanowisku kierowniczym,
kary pieniężnej.

W określonych sytuacjach może wystąpić także odpowiedzialność karna. Dotyczy to zwłaszcza nieprzekazania niezbędnych informacji Generalnemu Inspektorowi Informacji Finansowej (lub przekazania danych nieprawdziwych) oraz utrudniania lub uniemożliwiania kontroli.

Wdrożenie zewnętrznego audytu AML pozwala na dopasowanie modelu funkcjonowania instytucji obowiązanej do obowiązujących przepisów. Jest to niezwykle istotne z perspektywy możliwości wszczęcia kontroli przez uprawniony organ oraz nałożenia ewentualnych sankcji.

Jeżeli masz wątpliwości, czy Twoja firma jest instytucją obowiązaną na gruncie ustawy o AML i jakie wymagania powinna spełnić, audyt pozwoli rozwiać te wątpliwości i zabezpieczy Twoje interesy na przyszłość.

Pytania i odpowiedzi

Jaki jest dopuszczalny zakres przeprowadzania kontroli procedur AML?

Zakres kontroli zawsze musi wynikać z upoważnienia do jej przeprowadzenia. Kontrolerzy nie mogą wykroczyć poza jej zakres. Upoważnienie, które nie spełnia wszystkich ustawowych wymagań nie stanowi podstawy do wszczęcia kontroli.

Czy kontrolowana instytucja obowiązana musi otrzymać zawiadomienie o zamiarze przeprowadzenia kontroli?

Zgodnie z art. 48 ust. 11 pkt. 2 ustawy prawo przedsiębiorców, jeżeli kontrola jest przeprowadzana w trybie ustawy o AML lub w celu zabezpieczenia dowodów popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, nie jest wymagane zawiadomienie o zamiarze wszczęcia kontroli.

Jaki jest maksymalny czas trwania kontroli?

W przypadku kontroli prowadzonej w związku z ryzykiem prania pieniędzy lub finansowania terroryzmu przepisy nie przewidują maksymalnego czasu trwania kontroli, stosownie do brzmienia art. 55 ust. 2 pkt 2 ustawy prawo przedsiębiorców.

Może Ciebie również zainteresować: