Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej jako „ustawa AML”) nakłada na instytucje obowiązane szereg obowiązków. Jednym z nich jest wymóg dokonywania identyfikacji i oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu odnoszącego się do profilu działalności danej instytucji obowiązanej, z uwzględnieniem czynników ryzyka dotyczących klienta, państw lub obszarów geograficznych działania, rodzaju oferowanych produktów, usług, transakcji lub kanałów ich dostaw.
Jakkolwiek treść tego obowiązku została sformułowana dość jasno przez ustawodawcę, to w praktyce, jego wykonanie nastręcza wiele problemów praktycznych.
W pierwszej kolejności nasuwa się pytanie – od czego zacząć taką identyfikację i ocenę ryzyka?
Punktem wyjścia naszych rozważań powinien być art. 27 ustawy AML. Zgodnie z jego treścią:
- Instytucje obowiązane identyfikują i oceniają ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu odnoszące się do ich działalności, z uwzględnieniem czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Działania te są proporcjonalne do charakteru i wielkości instytucji obowiązanej.
- Przy ocenianiu ryzyka instytucje obowiązane mogą uwzględniać obowiązującą krajową ocenę ryzyka, jak również sprawozdanie Komisji Europejskiej, o którym mowa w art. 6 ust. 1-3 dyrektywy 2015/849.
- Oceny ryzyka, o których mowa w ust. 1, instytucje obowiązane sporządzają w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów, o których mowa w ust. 2.
- Oceny ryzyka, o których mowa w ust. 1, instytucje obowiązane mogą udostępniać organom samorządów zawodowych lub stowarzyszeń skupiających te instytucje obowiązane.
Jak wynika z ww. przepisu ocena ryzyka to nic innego jak dokument, w którym instytucja obowiązana określa ryzyko w związku z praniem pieniędzy oraz finansowaniem terroryzmu, a następnie wyznacza środki niezbędne do zapobiegania powyższym przestępstwom. Głównym celem takiej oceny jest uświadomienie sobie istnienia zagrożeń, ewentualnych luk w zabezpieczeniach, które wystawiają instytucję na możliwość wykorzystywania jej do prania pieniędzy lub finansowania terroryzmu.
Ustawa AML wymaga, aby proces identyfikacji i oceny był dostosowany do rodzaju i charakteru instytucji obowiązanej pod względem czynników ryzyka, które jej dotyczą, a związanych z:
- klientami,
- państwami i obszarami geograficznymi działania,
- oferowanymi produktami i usługami,
- realizowanymi rodzajami transakcji,
- kanałami dostaw produktów, usług i poszczególnych rodzajów transakcji.
Przytoczone wyżej wyliczenia stanowią minimalny katalog czynników ryzyka i muszą zostać każdorazowo uwzględnione w ocenie dokonanej przez instytucję obowiązaną. Wskazany w ustawie AML katalog czynników nie ma jednak charakteru zamkniętego, dlatego też przedmiotem analizy mogą być dodatkowe aspekty jak na przykład:
- narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną,
- stopień uzależnienia instytucji obowiązanej w obszarze związanym z AML/CFT od dostawców zewnętrznych,
- adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka,
- skala rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML/CFT,
- efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
- efektywność systemu szkoleń w zakresie AML/CFT.
Warto przy tym procesie korzystać z dodatkowych źródeł informacji. Ustawodawca wskazuje na dwa dokumenty – Krajową Ocenę Ryzyka, o której mowa w art. 29 ustawy AML oraz sprawozdanie Komisji Europejskiej w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, które ma wpływ na rynek wewnętrzny i dotyczy działalności transgranicznej (zwane dalej: Ponadnarodową Oceną Ryzyka). Warto także zainteresować się informacjami publikowanymi przez stosowne organy m.in. GIIF, UKNF, czy opracowaniami sporządzonymi przez Europejski System Nadzoru, jak również skorzystać z wiedzy ekspertów.
Ponieważ ryzyko prania pieniędzy oraz finansowania terroryzmu nie jest tożsame dla każdej z instytucji obowiązanej, w ustawie o AML nie sposób znaleźć konkretnej metodyki sporządzania oceny takiego ryzyka. Cały proces, zgodnie z zaleceniem UKNF, składać się będzie z czterech zasadniczych elementów:
- oceny ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 Ustawy o AML
- wskazania mitygantów ryzyka oraz poddanie ocenie ich efektywności,
- oceny ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności,
- zdefiniowania planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).
Instytucje obowiązane, po dokonaniu oceny ryzyka inherentnego i rezydualnego związanego z poszczególnymi czynnikami ryzyka, o których mowa powyżej, powinny określić podatność instytucji na ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu.
Na koniec warto przypomnieć, że przeprowadzona analiza musi zostać sporządzona w formie pisemnej lub elektronicznej i aktualizowana nie rzadziej niż raz na 2 lata.
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.
autor:
