Kiedy należy wdrożyć grupową procedurę przeciwdziałania praniu pieniędzy (AML)?

Generalny Inspektor Informacji Finansowej zwrócił uwagę na zakres podmiotowy procedury grupowej, podkreślając, że obowiązek jej wdrożenia powstaje, kiedy w skład grupy wchodzą co najmniej:

• dwa podmioty będące instytucjami obowiązanymi w rozumieniu ustawy o AML;

• instytucja obowiązana i jednostka zależna z większościowym udziałem tej instytucji obowiązanej, która podlega obowiązkom z zakresu AML w kraju swojej siedziby;

• instytucja obowiązana i jej oddział w państwie trzecim.

Nie ma natomiast potrzeby tworzenia procedury grupowej w sytuacji, gdy w skład krajowej grupy kapitałowej wchodzi wyłącznie jednak instytucja obowiązana, a inne podmioty nie mają takiego statusu. Podobnie ten obowiązek nie powstaje, jeśli w skład grupy wchodzi instytucja obowiązana oraz podmioty, które względem niej są zależne i mają siedzibę w państwie trzecim, ale swoją działalnością nie wypełniają działalności podmiotów zobowiązanych według przepisów wspólnotowych.

Aby mieć pewność, czy w danej konfiguracji grupa powinna wdrażać procedurę grupową, warto zasięgnąć porady kancelarii prawnej z wieloletnim doświadczeniem w zakresie obsługi przedsiębiorców.

Sposób wdrożenia procedury grupowej

Każda procedura grupowa może składać się z dwóch elementów – obligatoryjnego dotyczącego wymiany oraz ochrony informacji, a także fakultatywnego, który musi uwzględniać specyfikę danej działalności, miejsce jej prowadzenia oraz uwarunkowania ekonomiczno-gospodarcze danej grupy kapitałowej.

Jeśli chodzi o elementy obligatoryjne, to art. 51 ust. 2 ustawy o AML wymienia jedynie zasady wymiany i ochrony informacji przekazywanych na potrzeby wykonywania obowiązków z zakresu AML. Dlatego FATF (ang. Financial Action Task Force on Money Laundering) opublikowało rekomendacje, w ramach których wskazuje się również na sugerowane elementy fakultatywne. Będzie to np.

• Wdrożenie wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników przez podmioty w ramach grupy;

• zapewnienie stałego programu szkolenia pracowników w ramach polityki AML, a także wykrywania i zgłaszania nieprawidłowości w tym zakresie;

• powołanie niezależnego audytu w grupie, który pozwoli na testowanie poszczególnych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcjonujących w podmiotach wchodzących w skład grupy.

Przykładem niezależnego audytu może być zlecenie usług z zakresu AML compliance niezależnemu podmiotowi, który zajmie się analizą polityk, procedur, dokumentacji oraz wiedzy pracowników.

Możliwości przekazania obowiązków z zakresu AML podmiotowi trzeciemu

Choć ustawa o AML dopuszcza możliwość outsourcowania tej usługi i przekazania jej do podmiotu trzeciego, procedura grupowa musi umożliwiać pozyskiwanie stosownych informacji bez niezbędnych opóźnień, przy czym GIIF wskazuje, że ma to następować „na bieżąco, natychmiast lub od ręki”. To na instytucji obowiązanej spoczywa obowiązek takiego dostępu do informacji i to ona musi zadbać o odpowiednie warunki umowy z podmiotem podejmującym się outsourcingu.

W szczególności może chodzić o zabezpieczenie standardu ochrony przekazywanych informacji, utworzenie serwera dedykowanego przekazywaniu informacji z zakresu AML. Generalny Inspektor Informacji Finansowej rekomenduje w tym zakresie wprowadzenie mechanizmów i rozwiązań informatycznych, które:

• w sposób właściwy chronią przekazywane dane osobowe;

• umożliwiają niezwłoczne przekazywanie danych w sytuacji, gdy podstawowa droga komunikacji między instytucją obowiązaną i podmiotem trzecim ulegnie awarii;

• zabezpieczają kanał komunikacji przed atakiem hakerskim.

Umowa obligująca podmiot trzeci do wykonywania obowiązków z zakresu AML powinna uwzględniać należyty stopień szyfrowania informacji, implementację UPS-ów, exit plany na wypadek awarii, maksymalny czas przekazania informacji. Egzekucja tych obowiązków może być zabezpieczona klauzulami kar umownych lub zagwarantowaniem prawa do wypowiedzenia umowy. Z uwagi na fakt, że obecnie zdecydowaną większość czynności strony dokonują już z wykorzystaniem środków komunikacji elektronicznej zaleca się sporządzenie takiej umowy prawnikom doświadczonym w obsłudze prawa IT.

Niezwłoczność dostępu do informacji wynika również z faktu, że część instytucji obowiązanych, które wchodzą w relacje z klientem, podejmuje decyzje, które mają wpływ na sytuację finansową całej grupy kapitałowej. W ich przypadku błyskawiczne podjęcie decyzji o zastosowaniu lub niezastosowaniu środków bezpieczeństwa finansowego może mieć bardzo daleko idące konsekwencje.

Monitorowanie zmian na listach państw wysokiego ryzyka

Ostatnim filarem rekomendacji Generalnego Inspektora Informacji Finansowej jest ograniczenie listy podmiotów, z których usług mogą korzystać instytucje obowiązane w celu realizacji obowiązków z zakresu AML. Te podmioty to:

• Instytucje obowiązane zdefiniowane w art. 2 ust. 1 ustawy o AML;

• podmioty zobowiązane zdefiniowane w IV dyrektywie o AML z siedzibą w Unii Europejskiej:

• instytucje kredytowe i finansowe;

• biegli rewidenci, zewnętrzni księgowi i doradcy podatkowi;

• notariusze oraz inni przedstawiciele zawodów prawniczych (w ograniczonym zakresie);

• podmioty świadczące usługi na rzecz trustów lub spółek;

• pośrednicy w obrocie nieruchomościami;

• osoby prowadzące handel towarami w zakresie, w jakim płatności są dokonywane lub otrzymywane w gotówce w kwocie 10 tysięcy euro lub więcej;

• podmioty świadczące usługi w zakresie gier hazardowych.

• Podmioty odpowiadające definicji podmiotu zobowiązanego, o których mowa w art. 2 IV dyrektywy AML z siedzibą poza terytorium Unii Europejskiej, o ile:

• przepisy tego państwa trzeciego, w którym ma siedzibę podmiot, zobowiązują go do stosowania środków bezpieczeństwa finansowego, przechowywania dokumentów i informacji na zasadach przewidzianych dla AML w krajach Unii Europejskiej;

• podmiot ten podlega nadzorowi organów państwa trzeciego, w którym ma siedzibę, a nadzór jest realizowany na zasadach przewidzianych dla AML w krajach Unii Europejskiej.

Warto pamiętać, że zarówno w Polsce, jak i Unii Europejskiej funkcjonuje lista państw, które swoim porządkiem prawnym gwarantują przestrzeganie norm w zakresie przeciwdziałania praniu pieniędzy lub finansowania terroryzmu na poziomie analogicznym do wspólnotowego.

To jednak na instytucji obowiązanej spoczywa obowiązek ostatecznego zweryfikowania, czy procedura AML w państwie trzecim odpowiada przyjętemu w UE poziomowi ochrony. W tym celu warto rozważyć zaimplementowanie wewnętrznej procedury, która pozwoli na szybką ocenę sytuacji i podjęcie decyzji o ewentualnej współpracy. Oczywiście w tym celu instytucja obowiązana może skorzystać z raportów publikowanych przez FATF, ale nie mają one charakteru wiążącego.

Jednocześnie nie ma możliwości nawiązania współpracy w zakresie AML z państwem, które znalazło się na liście wysokiego ryzyka. Instytucja obowiązana powinna też śledzić pojawianie się i aktualizację takich list.

Procedura grupowa w zakresie AML pozwala wdrożyć niezbędne rozwiązania w obrębie grupy kapitałowej i uniknąć dotkliwej kary administracyjnej. Należy jednak pamiętać, aby wdrożone regulacje wewnętrzne spełniały aktualne wymogi nie tylko w zakresie ustawy o AML, ale w możliwym stopniu również rekomendacji GIIF.