Znowelizowana ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej: ustawa AML) nakłada na instytucje obowiązane obowiązek dokonywania tzw. oceny ryzyka (art. 27 ust. 1 ustawy AML). Przepis wymaga, by zidentyfikować i ocenić ryzyko prania pieniędzy i finansowania terroryzmu związane z działalnością instytucji z uwzględnieniem czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Termin na wykonanie pierwszej oceny upływa 13 stycznia 2019 r.
Co w praktyce oznacza ten przepis?
Każda instytucja obowiązana (czyli: bank, SKOK, instytucja płatnicza (krajowa i mała), instytucja pieniądza elektronicznego, biuro usług płatniczych, agent rozliczeniowy, firma inwestycyjna, bank powierniczy, spółka prowadząca rynek regulowany, fundusz inwestycyjny, alternatywna spółka inwestycyjna, TFI, zarządzający ASI, zakład ubezpieczeń, pośrednicy ubezpieczeniowi, KDPW, przedsiębiorcy prowadzący działalność kantorową oraz inni świadczący usługę wymiany lub pośrednictwa w wymianie walut – również wirtualnych, notariusze w zakresie niektórych czynności wykonywanych w drodze aktu notarialnego, adwokaci, radcowie prawni, doradcy podatkowi w pewnym zakresie, przedsiębiorcy świadczący usługi polegające na tworzeniu spółek, pełnieniu funkcji członków organów, zapewnianiu siedziby i adresu itp., biura księgowo – rachunkowe, pośrednicy w obrocie nieruchomościami, operatorzy pocztowi, podmioty prowadzące działalność hazardową, fundacje, stowarzyszenia i przedsiębiorcy w zakresie, w jakim przyjmują płatności w gotówce o wartości co najmniej 10000 euro, przedsiębiorcy prowadzący działalność polegającą na udostępnianiu skrytek pocztowych, instytucje pożyczkowe), powinna w pierwszej kolejności zastanowić się, w jaki sposób potencjalni przestępcy, mogliby wykorzystać jej produkty, usługi, rozwiązania oraz wewnętrzne zasoby – np. systemy IT czy pracowników do realizacji swoich nielegalnych celów (czyli zidentyfikować ryzyka). Następnie, uwzględniając czynniki wskazane w art. 27 ust. 1 ustawy AML (tj. klientów, obszary geograficzne itd.) stworzyć system oceny, np. w formie skali punktowej, w której niska punktacja będzie oznaczała niskie ryzyko, wysoka – większe, a suma poszczególnych czynników będzie decydowała o sposobie postępowania z klientem.
Po dokonaniu takiej podstawowej oceny, warto stworzyć listę „sygnałów alarmowych” (ang. red flags), czyli sytuacji, które mogą modyfikować wynik podstawowej oceny, a tym samym zmieniać sposób postępowania z klientem. Szczególnym rodzajem sygnału alarmowego będzie klient będący osobą na eksponowanym stanowisku politycznym tzw. PEP.
Omówmy powyższe wymogi na prostym przykładzie biura usług płatniczych („BUP”), przyjmującego przekazy pieniężne za rachunki za media, czynsz itp. Pamiętajmy, że ocena ryzyka musi być proporcjonalna do charakteru i wielkości instytucji obowiązanej, zatem większe instytucje prowadzące bardziej złożoną lub ryzykowną (z punktu widzenia zagrożenia ryzykiem prania pieniędzy i finansowania terroryzmu) działalność winny wprowadzać bardziej rozbudowane modele oceny ryzyka.
Nasze BUP w pierwszej kolejności powinno zidentyfikować ryzyka związane z jego działalnością z uwzględnieniem każdego z czynników wskazanych w art. 27 ust. ustawy AML, tj. bazy klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Podziału kategorii klientów wg czynników ryzyka można dokonać na różne sposoby, np. wg podmiotu dokonującego transakcji (osoba fizyczna / osoba prawna / jednostka organizacyjna nieposiadająca osobowości prawnej) lub wg wartości czy częstotliwości przeprowadzanych transakcji, jeżeli biuro obsługuje głównie osoby fizyczne. Podział geograficzny powinien oczywiście uwzględniać miejsca, gdzie instytucja obowiązana świadczy swoje usługi i warto tutaj odnieść się do wykazu państw wysokiego ryzyka oraz międzynarodowe indeksy, np. korupcji. Produkty, usługi, transakcje czy kanały ich dostaw można – w przypadku ich znacznej ilości czy podobieństw – pogrupować, np. usługi świadczone w punkcie obsługi / usługi świadczone online lub za pomocą aplikacji, przekazy przyjmowane na rzecz zweryfikowanych, obsługiwanych masowo odbiorców / na rzecz nieznanego instytucji odbiorcy, wpłaty przyjmowane w gotówce / za pomocą karty płatniczej itd. Przy dokonywaniu powyższych podziałów trzeba wykazać się sporą wyobraźnią na temat tego, kto i w jaki sposób może wykorzystać naszą instytucję do celów przestępczych. Warto zainspirować się również ogólnodostępnymi źródłami, takimi jak np. publikacje FATF.
Następnie należy dokonać oceny wyodrębnionych czynników, optymalnie z użyciem skali punktowej. Mając na względzie, że każdą sytuację ocenia się za pomocą kilku czynników, należy zwrócić uwagę, by przy tworzeniu tej skali punktowej nie doszło do absurdów. Jeśli bowiem nadamy wysoką ilość punktów (uznamy za ryzykowne) dokonywaniu transakcji z fundacją, przy użyciu kanału online, to przy nieodpowiednio wyważonej punktacji może się okazać, że przyjęcie wpłaty online od fundacji z kraju skandynawskiego będzie – według stworzonej przez nas skali punktowej – bardziej ryzykowne od przyjęcia wpłaty w gotówce od osoby fizycznej z Somalii. W celu uniknięcia takich sytuacji, przy projektowaniu systemu scoringowego warto wykorzystać metodę analizy scenariuszowej, czyli określić, z jakiego rodzaju sytuacjami (kombinacjami wyodrębnionych czynników) możemy mieć do czynienia i jaka powinna być ich globalna ocena ryzyka.
Stworzony system punktowy stanowi podstawową ocenę ryzyka. Do uzyskanych wyników należy dopasować sposób postępowania z klientem. Niski wynik winien się wiązać z mniejszą intensywnością stosowania środków bezpieczeństwa finansowego, wyższy – ze wzmożoną, a w przypadku bardzo wysokich wyników nawet odmową nawiązania stosunków gospodarczych czy przeprowadzenia transakcji okazjonalnej, zgodnie z dyspozycją art. 41 ust. 1 ustawy AML..
Kolejnym krokiem jest stworzenie nadbudowy na podstawową ocenę ryzyka w postaci listy sygnałów alarmowych (red-flags). Będzie ona obejmowała sytuacje, które mogą modyfikować wynik podstawowej oceny, a tym samym sposób postępowania z klientem. Lista sygnałów dla BUP może obejmować np.: odmowę wskazania beneficjenta rzeczywistego, wykrycie posłużenia się przez klienta fałszywym dowodem tożsamości, nietypowy wygląd karty płatniczej, dokonywanie transakcji przy użyciu trudno dostępnej w Polsce waluty itd. Obowiązkowym sygnałem na liście jest osoba na eksponowanym stanowisku politycznym, która zgodnie z wymaganiami ustawy AML musi być objęta szczególnymi procedurami. Nie oznacza to jednak, że w stosunku do każdego klienta – PEPa należy stosować środki bezpieczeństwa finansowego z równie dużą intensywnością – przykładowo można przyjąć, iż świadczenie usług na rzecz sędziego sądu apelacyjnego będzie wiązało się z mniejszym ryzykiem, niż na rzecz ambasadora Iranu.
Gotowy model oceny ryzyka warto ponownie przetestować z wykorzystaniem analizy scenariuszowej, a następnie wdrożyć w organizacji. Ocena ryzyka może zostać sporządzona w postaci papierowej lub elektronicznej i powinna zostać zatwierdzona przez odpowiedni (uprawniony) do tego organ Klienta (np. w spółce z o.o. lub akcyjnej przez zarząd). Na żądanie Generalnego Inspektora Informacji Finansowej, instytucja jest zobowiązana do przekazania mu swojej oceny. Ocenę należy okresowo aktualizować – w razie potrzeby, jednak nie rzadziej, niż co dwa lata. Przy aktualizacji będzie można uwzględnić obowiązującą krajową ocenę ryzyka, jak również odpowiednie sprawozdanie Komisji Europejskiej (tworzone na bazie krajowych ocen ryzyka w państwach członkowskich UE), które obecnie nie są jeszcze dostępne. Co w praktyce oznacza obowiązek aktualizacji oceny ryzyka „w razie potrzeby”? Ocena ryzyka powinna zostać zaktualizowana w szczególności w przypadku zmiany czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo wspomnianej krajowej oceny ryzyka lub sprawozdania Komisji.
Jak wspomniano powyżej, w zależności od wielkości i charakteru działalności instytucji, ocena ryzyka może być bardzo prosta – np. w formie tabeli Excel, aż do stosowanych w bankach zaawansowanych systemów opartych na wielu źródłach informacji. JustComply świadczy usługi doradcze zarówno przy dokonywaniu oceny ryzyka, jak i kompleksowym wdrożeniu systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w organizacji oraz w zakresie przeprowadzania audytów istniejących systemów. Zapraszamy także do zapoznania się z naszą ofertą innowacyjnych szkoleń AML w formule e-learningowej.
