Maciej Szukała
|
21 listopada 2022
Spis treści

Wdrożenie procedury AML przez instytucje obowiązane jest niezbędne, aby uniknąć dotkliwej kary administracyjnej. Dotyczy to zarówno podmiotów indywidualnych, jak i grup, w skład których wchodzą instytucje obowiązane. Do niedawna nie było jednak jednoznacznych wytycznych w zakresie implementowania regulacji grupowej przeciwdziałania prania pieniędzy i finansowania terroryzmu. Wszystko zmieniło się wraz z wydaniem przez Generalnego Inspektora Informacji Finansowej (GIIF) Komunikatu Nr 35. Jak należy obecnie stosować procedurę grupową AML?

Czym jest procedura grupowa AML?

Polski ustawodawca w art. 51 ustawy o AML wprowadził tzw. procedurę grupową. Zgodnie z tym przepisem do wdrożenia tej regulacji zobowiązane są następujące grupy podmiotów:

  • instytucje obowiązane wchodzące w skład grupy;

  • oddziały i jednostki zależne z większościowym udziałem instytucji obowiązanych wchodzących w skład grupy, jeżeli mają siedzibę w państwie trzecim.

Celem procedury grupowej jest zaimplementowanie przez podmioty połączone ze sobą systemem zależności procedur AML w sposób możliwie bezkolizyjny. Procedura grupowa powinna określać zasady wymiany i ochrony informacji przekazywanych na potrzeby wykonania obowiązków z zakresu AML pomiędzy poszczególnymi podmiotami wchodzącymi w skład grupy.

Należy zaznaczyć, że obowiązek wdrożenia procedury grupowej może spoczywać również na międzynarodowych kapitałowych, które dzielą się między sobą obowiązkami i niektóre z nich przyjmują na siebie status instytucji obowiązanej. W takiej sytuacji procedurę należy wdrożyć dla wszystkich podmiotów wchodzących w skład grupy, a nie tylko instytucji obowiązanych.

Standardy procedury grupowej

Zaletą procedury grupowej jest ustalenie jednolitych standardów przekazywania informacji. Nawet w przypadku transgranicznych grup kapitałowych, których poszczególni członkowie znajdują się w państwach trzecich przewidujących mniej rygorystyczną procedurę AML, wymaga się stosowania ujednoliconych zasad wspólnotowych, także, jeśli mowa o ochronie danych osobowych w zakresie, w jakim dopuszczają to przepisy danego państwa.

Jeżeli z uwagi na obowiązujące w państwie trzecim przepisy wdrożenie jednolitych standardów procedury grupowej nie jest możliwe, instytucje obowiązane podejmują dodatkowe środki ostrożnościowe i informują o tym GIIF oraz inne organy w ramach sprawowanego nadzoru, w tym KNF, Prezesa NBP lub Krajową Spółdzielczą Kasę Oszczędnościowo-Kredytową, wskazując jednocześnie na podjęte środki. Jeśli właściwe organy uznają je za niewystarczające, dominująca instytucja obowiązana ma obowiązek:

  • zakazać nawiązania stosunków gospodarczych lub nakazać ich zakończenie;

  • zakazać przeprowadzenia transakcji;

  • nakazać zakończenia działalności spółce zależnej w państwie trzecim.

W sytuacji, kiedy nie ma możliwości wdrożenia procedury grupowej w państwie trzecim GIIF informuje o tym fakcie europejskie organy nadzoru AML.

Czym jest grupa w rozumieniu ustawy o AML?

Zgodnie z art. 2 ust. 2 pkt. 7 ustawy o AML pod pojęciem grupy należy rozumieć jednostkę dominującą wraz z jednostkami zależnymi oraz podmiotami, w których jednostki te posiadają udziały oraz jednostkami powiązanymi ze sobą jednym ze związków, o których mowa w art. 22 dyrektywy 2013/34/UE, czyli:

  • większością praw głosu;

  • prawem powoływania lub odwoływania większości członków organów administrujących, zarządzających lub administrujących, o ile jednostka dominująca jest jednocześnie akcjonariuszem lub wspólnikiem w jednostce zależnej;

  • prawem do wywierania dominującego wpływu na jednostkę zależną na mocy zawartej umowy lub aktu organicznego spółki;

  • bycia wspólnikiem lub akcjonariuszem z możliwością wybierania większości członków organów lub sprawowaniem kontroli nad większością praw głosu akcjonariuszy lub wspólników;

  • możliwości wywierania lub faktyczne wywieranie wpływu lub kontroli na spółkę zależną;

  • zarządzania spółką dominującą i zależną według jednolitych zasad.

Innymi słowy, można przyjąć, że grupą będzie każda forma zależności jednej spółki o innej nieważne, czy chodzi o możliwość sprawowania realnej kontroli, czy też decydujący wpływ na wybór organów lub ostateczny kształt struktury w spółce zależnej.

Jak interpretować procedurę grupową w kontekście Komunikatu Nr 35 GIIF?

W swoim wystąpieniu GIIF doprecyzował warunki zastosowania procedury grupowej, zwracając uwagę na cztery zasadnicze kwestie.

Zakres podmiotowy stosowania procedury grupowej

Generalny Inspektor Informacji Finansowej zwrócił uwagę na zakres podmiotowy procedury grupowej, podkreślając, że obowiązek jej wdrożenia powstaje, kiedy w skład grupy wchodzą co najmniej:

  • dwa podmioty będące instytucjami obowiązanymi w rozumieniu ustawy o AML;

  • instytucja obowiązana i jednostka zależna z większościowym udziałem tej instytucji obowiązanej, która podlega obowiązkom z zakresu AML w kraju swojej siedziby;

  • instytucja obowiązana i jej oddział w państwie trzecim.

Nie ma natomiast potrzeby tworzenia procedury grupowej w sytuacji, gdy w skład krajowej grupy kapitałowej wchodzi wyłącznie jednak instytucja obowiązana, a inne podmioty nie mają takiego statusu. Podobnie ten obowiązek nie powstaje, jeśli w skład grupy wchodzi instytucja obowiązana oraz podmioty, które względem niej są zależne i mają siedzibę w państwie trzecim, ale swoją działalnością nie wypełniają działalności podmiotów zobowiązanych według przepisów wspólnotowych.

Aby mieć pewność, czy w danej konfiguracji grupa powinna wdrażać procedurę grupową, warto zasięgnąć porady kancelarii prawnej z wieloletnim doświadczeniem w zakresie obsługi przedsiębiorców.

Sposób wdrożenia procedury grupowej

Każda procedura grupowa może składać się z dwóch elementów – obligatoryjnego dotyczącego wymiany oraz ochrony informacji, a także fakultatywnego, który musi uwzględniać specyfikę danej działalności, miejsce jej prowadzenia oraz uwarunkowania ekonomiczno-gospodarcze danej grupy kapitałowej.

Jeśli chodzi o elementy obligatoryjne, to art. 51 ust. 2 ustawy o AML wymienia jedynie zasady wymiany i ochrony informacji przekazywanych na potrzeby wykonywania obowiązków z zakresu AML. Dlatego FATF (ang. Financial Action Task Force on Money Laundering) opublikowało rekomendacje, w ramach których wskazuje się również na sugerowane elementy fakultatywne. Będzie to np.

  • Wdrożenie wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników przez podmioty w ramach grupy;

  • zapewnienie stałego programu szkolenia pracowników w ramach polityki AML, a także wykrywania i zgłaszania nieprawidłowości w tym zakresie;

  • powołanie niezależnego audytu w grupie, który pozwoli na testowanie poszczególnych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcjonujących w podmiotach wchodzących w skład grupy.

Przykładem niezależnego audytu może być zlecenie usług z zakresu AML compliance niezależnemu podmiotowi, który zajmie się analizą polityk, procedur, dokumentacji oraz wiedzy pracowników.

Możliwości przekazania obowiązków z zakresu AML podmiotowi trzeciemu

Choć ustawa o AML dopuszcza możliwość outsourcowania tej usługi i przekazania jej do podmiotu trzeciego, procedura grupowa musi umożliwiać pozyskiwanie stosownych informacji bez niezbędnych opóźnień, przy czym GIIF wskazuje, że ma to następować „na bieżąco, natychmiast lub od ręki”. To na instytucji obowiązanej spoczywa obowiązek takiego dostępu do informacji i to ona musi zadbać o odpowiednie warunki umowy z podmiotem podejmującym się outsourcingu.

W szczególności może chodzić o zabezpieczenie standardu ochrony przekazywanych informacji, utworzenie serwera dedykowanego przekazywaniu informacji z zakresu AML. Generalny Inspektor Informacji Finansowej rekomenduje w tym zakresie wprowadzenie mechanizmów i rozwiązań informatycznych, które:

  • w sposób właściwy chronią przekazywane dane osobowe;

  • umożliwiają niezwłoczne przekazywanie danych w sytuacji, gdy podstawowa droga komunikacji między instytucją obowiązaną i podmiotem trzecim ulegnie awarii;

  • zabezpieczają kanał komunikacji przed atakiem hakerskim.

Umowa obligująca podmiot trzeci do wykonywania obowiązków z zakresu AML powinna uwzględniać należyty stopień szyfrowania informacji, implementację UPS-ów, exit plany na wypadek awarii, maksymalny czas przekazania informacji. Egzekucja tych obowiązków może być zabezpieczona klauzulami kar umownych lub zagwarantowaniem prawa do wypowiedzenia umowy. Z uwagi na fakt, że obecnie zdecydowaną większość czynności strony dokonują już z wykorzystaniem środków komunikacji elektronicznej zaleca się sporządzenie takiej umowy prawnikom doświadczonym w obsłudze prawa IT.

Niezwłoczność dostępu do informacji wynika również z faktu, że część instytucji obowiązanych, które wchodzą w relacje z klientem, podejmuje decyzje, które mają wpływ na sytuację finansową całej grupy kapitałowej. W ich przypadku błyskawiczne podjęcie decyzji o zastosowaniu lub niezastosowaniu środków bezpieczeństwa finansowego może mieć bardzo daleko idące konsekwencje.

Monitorowanie zmian na listach państw wysokiego ryzyka

Ostatnim filarem rekomendacji Generalnego Inspektora Informacji Finansowej jest ograniczenie listy podmiotów, z których usług mogą korzystać instytucje obowiązane w celu realizacji obowiązków z zakresu AML. Te podmioty to:

  • Instytucje obowiązane zdefiniowane w art. 2 ust. 1 ustawy o AML;

  • podmioty zobowiązane zdefiniowane w IV dyrektywie o AML z siedzibą w Unii Europejskiej:

  • instytucje kredytowe i finansowe;

  • biegli rewidenci, zewnętrzni księgowi i doradcy podatkowi;

  • notariusze oraz inni przedstawiciele zawodów prawniczych (w ograniczonym zakresie);

  • podmioty świadczące usługi na rzecz trustów lub spółek;

  • pośrednicy w obrocie nieruchomościami;

  • osoby prowadzące handel towarami w zakresie, w jakim płatności są dokonywane lub otrzymywane w gotówce w kwocie 10 tysięcy euro lub więcej;

  • podmioty świadczące usługi w zakresie gier hazardowych.

  • Podmioty odpowiadające definicji podmiotu zobowiązanego, o których mowa w art. 2 IV dyrektywy AML z siedzibą poza terytorium Unii Europejskiej, o ile:

  • przepisy tego państwa trzeciego, w którym ma siedzibę podmiot, zobowiązują go do stosowania środków bezpieczeństwa finansowego, przechowywania dokumentów i informacji na zasadach przewidzianych dla AML w krajach Unii Europejskiej;

  • podmiot ten podlega nadzorowi organów państwa trzeciego, w którym ma siedzibę, a nadzór jest realizowany na zasadach przewidzianych dla AML w krajach Unii Europejskiej.

Warto pamiętać, że zarówno w Polsce, jak i Unii Europejskiej funkcjonuje lista państw, które swoim porządkiem prawnym gwarantują przestrzeganie norm w zakresie przeciwdziałania praniu pieniędzy lub finansowania terroryzmu na poziomie analogicznym do wspólnotowego.

To jednak na instytucji obowiązanej spoczywa obowiązek ostatecznego zweryfikowania, czy procedura AML w państwie trzecim odpowiada przyjętemu w UE poziomowi ochrony. W tym celu warto rozważyć zaimplementowanie wewnętrznej procedury, która pozwoli na szybką ocenę sytuacji i podjęcie decyzji o ewentualnej współpracy. Oczywiście w tym celu instytucja obowiązana może skorzystać z raportów publikowanych przez FATF, ale nie mają one charakteru wiążącego.

Jednocześnie nie ma możliwości nawiązania współpracy w zakresie AML z państwem, które znalazło się na liście wysokiego ryzyka. Instytucja obowiązana powinna też śledzić pojawianie się i aktualizację takich list.

Procedura grupowa w zakresie AML pozwala wdrożyć niezbędne rozwiązania w obrębie grupy kapitałowej i uniknąć dotkliwej kary administracyjnej. Należy jednak pamiętać, aby wdrożone regulacje wewnętrzne spełniały aktualne wymogi nie tylko w zakresie ustawy o AML, ale w możliwym stopniu również rekomendacji GIIF.

Pytania i odpowiedzi:

Jurysdykcje, wobec których FATF wzywa do stosowania wzmożonych środków bezpieczeństwa to m.in. Iran, Albania, Barbados, Burkina Faso, Filipiny, Haiti. Kolejne kraje dodawane są w ramach kolejnych oświadczeń FATF.

Pliki SAR (ang. Suspicious Activity Report) oraz STR (ang. Suspicious Transaction Report) zawierają dane o podejrzanych transakcjach lub działalności podejrzanej z punktu widzenia prania pieniędzy, które instytucje obowiązane przesyłają do GIIF.

Instytucja obowiązana może przekazać obowiązki związane z AML innemu podmiotowi, jeśli zastosuje środki bezpieczeństwa, o których mowa w art. 34 ust. 1 pkt. 1-3, tj.:

  • identyfikacja klienta i weryfikacja jego tożsamości;

  • identyfikacja beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu weryfikacji jego tożsamości lub ustalenia struktury własności i kontroli;

  • ocena stosunków gospodarczych oraz uzyskanie informacji na temat ich celu i zamierzonego charakteru.



Zaufali nam:


Oceń