Ocena ryzyka prania pieniędzy i finansowania terroryzmu to kluczowy obowiązek każdej instytucji obowiązanej – od biur rachunkowych, przez ubezpieczycieli, po banki. W 2025 r. wymóg ten nabiera jeszcze większego znaczenia z uwagi na rosnące oczekiwania regulatorów oraz aktualizację unijnych i krajowych wytycznych. W poradniku wyjaśniamy, jak prawidłowo opracować ocenę ryzyka AML, jakie czynniki trzeba uwzględnić oraz jak uniknąć najczęstszych błędów.
Czym jest ocena ryzyka AML?
Ocena ryzyka AML to dokument opisujący prawdopodobieństwo, że w danej instytucji może dojść do prania pieniędzy lub finansowania terroryzmu. Zgodnie z ustawą AML instytucja musi zidentyfikować zagrożenia, przypisać im wagę, określić poziom ryzyka i wdrożyć adekwatne środki bezpieczeństwa.
Jakie instytucje muszą ją sporządzać?
Obowiązek dotyczy każdego podmiotu wymienionego w ustawie AML, m.in.:
- banków, SKOK-ów, ubezpieczycieli,
- biur rachunkowych, doradców podatkowych,
- notariuszy, adwokatów, radców prawnych (w określonym zakresie),
- pośredników nieruchomości,
- funduszy inwestycyjnych i instytucji płatniczych.
Każda instytucja musi dostosować ocenę do skali, profilu i rodzaju działalności.
Jakie są podstawy prawne?
Ocena ryzyka AML powinna uwzględniać:
- krajową ocenę ryzyka (ostatnia publikowana przez MF),
- ustalenia z raportów Komisji Europejskiej dotyczących Dyrektywy 2015/849,
- aktualne rekomendacje i komunikaty nadzorców, m.in. KNF.
Instytucja powinna aktualizować ocenę co najmniej raz na 2 lata lub częściej, jeśli zmieniają się czynniki ryzyka.
Jakie czynniki ryzyka należy analizować?
Ustawa AML wskazuje cztery główne obszary, które trzeba obowiązkowo ocenić:
1. Ryzyko związane z klientem
- status prawny,
- profil działalności,
- źródło finansowania,
- charakter relacji gospodarczej (okazjonalna czy długoterminowa).
2. Ryzyko geograficzne
Należy analizować m.in.:
- kraj siedziby klienta,
- kraj pochodzenia transakcji,
- powiązania z państwami wysokiego ryzyka (FATF, UE).
Transakcje z państw wysokiego ryzyka to sygnał ostrzegawczy.
3. Ryzyko produktów i usług
Ryzyko jest wyższe, jeśli:
- możliwe są transakcje anonimowe,
- produkt umożliwia szybki transfer środków,
- konstrukcja usługi utrudnia identyfikację beneficjenta rzeczywistego.
Zalecenia KNF wskazują, że każdy produkt trzeba ocenić zanim trafi na rynek.
Należy uwzględnić m.in.:
- relacje na odległość,
- procesy automatyczne,
- korzystanie z agentów lub pośredników.
Jak oceniać ryzyko klienta?
Instytucja powinna:
- Ustalić, kim jest klient – zgodnie z definicją ustawową.
- Zbadać jego profil, skalę działalności i źródło środków.
- Sprawdzić przewidywaną regularność i cel relacji gospodarczej.
- Identyfikować nietypowe zachowania, np.:
- nieadekwatne kwoty,
- brak logiki ekonomicznej,
- nagłe zmiany wzorców transakcyjnych.
Jak analizować produkty, usługi i transakcje?
Kluczowe pytania:
- Czy produkt umożliwia szybkie transfery?
- Czy jest podatny na użycie przez osoby trzecie?
- Czy pozwala ukryć źródło środków?
- Czy instytucja ma środki techniczne, aby go bezpiecznie obsłużyć?
Do produktów i transakcji należy oceniać również:
- typowe wartości majątkowe,
- wolumen transakcji,
- odstępstwa od normy.
Czym są matryce ryzyka?
Matryce ryzyka to systemy punktowe, które pozwalają przypisać:
- klienta,
- transakcję,
- produkt
do kategorii: niskie / średnie / wysokie ryzyko.
WAŻNE: Ocena ryzyka AML nie jest oceną ryzyka biznesowego – to dwa odrębne procesy.
Jakie środki bezpieczeństwa trzeba zastosować?
Wynik oceny ryzyka decyduje o tym, jakie środki bezpieczeństwa finansowego instytucja musi wdrożyć. Obejmuje to:
✔ identyfikację i weryfikację klienta (KYC)
✔ ustalenie beneficjenta rzeczywistego
✔ analizę celu i charakteru relacji
✔ bieżące monitorowanie transakcji
✔ badanie źródła pochodzenia środków (jeśli zachodzi konieczność)
✔ dokumentowanie każdego etapu
FAQ
Jak często należy aktualizować ocenę ryzyka AML?
Co najmniej raz na 2 lata, ale częściej, jeśli zmieniają się okoliczności prawne, profil klientów lub produkty.
Czy małe biuro rachunkowe musi mieć taką samą ocenę ryzyka jak bank?
Nie. Dokument musi być adekwatny do skali działalności – zakres analizy może być mniejszy, ale obowiązki są takie same.
Czy ocena ryzyka musi być pisemna?
Tak – ustawodawca wymaga formy pisemnej lub elektronicznej.
Czy ocena ryzyka obejmuje pojedyncze transakcje okazjonalne?
Tak – każda transakcja musi być analizowana w kontekście zagrożeń.
Czy matryca ryzyka jest obowiązkowa?
Nie, ale jest rekomendowana – porządkuje proces i wspiera audyt.
Podsumowanie
Ocena ryzyka AML to fundament skutecznego systemu przeciwdziałania praniu pieniędzy. Wymaga systematycznego podejścia, regularnej aktualizacji oraz uwzględnienia czynników klienta, geograficznych, produktowych i transakcyjnych. Dobrze opracowana ocena ryzyka ułatwia wdrożenie adekwatnych środków bezpieczeństwa i minimalizuje ryzyko sankcji.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna
Stan prawny na dzień 26 listopada 2025 r.
Autor:
Redaktor cyklu:
