Wymóg oceny ryzyka prania prania pieniędzy i finansowania terroryzmu
Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane (w przypadku tego artykułu finansowe) obowiązek przeprowadzania oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu. Niniejszy wpis będzie również przydatny dla zrozumienia procesów w innych niż finansowe instytucjach obowiązanych. Listę instytucji obowiązanych określa art. 2 ustawy.
Należy wyróżnić dwa rodzaje oceny, odnoszące się do:
- instytucji obowiązanej jako całości;
- relacji z danym klientem lub przeprowadzenia transakcji okazjonalnej.
W pierwszym przypadku, wymóg oceny na poziomie instytucji, sprowadza się do identyfikacji i oceny narażenia na ryzyko wykorzystania instytucji do prania pieniędzy lub finansowania terroryzmu. Instytucja ma obowiązek sporządzenia oceny ryzyka prania pieniędzy i finansowania terroryzmu w formie udokumentowanej.
W drugim przypadku, ma obowiązek przeprowadzać udokumentowaną ocenę ryzyka wobec klienta (nawiązywanie relacji i monitorowanie) lub transakcji (tzw. przeprowadzanie transakcji okazjonalnej), ustalając poziom ryzyka, które określa czy powinien stosować uproszczone, standardowe czy też wzmożone środki bezpieczeństwa finansowego.
Ocena ryzyka prania pieniędzy i finansowania terroryzmu instytucji obowiązanej
Czynniki ryzyka uwzględniane w procesie oceny ryzyka prania pieniędzy i finansowania terroryzmu
Instytucja finansowa identyfikując i oceniając ryzyko powinna tego dokonać proporcjonalne do charakteru i wielkości własnej działalności oraz uwzględnić przynajmniej czynniki dotyczące:
- klientów;
- produktów i usług;
- państw i obszarów geograficznych;
- transakcji;
- kanałów ich dystrybucji/realizacji.
Na tej podstawie powinna sporządzić dokument stanowiący “ocenę ryzyka związanego z praniem pieniędzy i finansowania terroryzmu” (“ocena ryzyka”), zgodnie z art. 27 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Tworząc własną ocenę, instytucje powinny kierować się krajową oceną ryzyka oraz sprawozdaniem Komisji Europejskiej zgodnie z dyrektywą 2015/849.
W kwietniu 2020 r. Urząd Komisji Nadzoru Finansowego (UKNF) opublikował swoje stanowisko dotyczące oceny ryzyka instytucji obowiązanej, w którym na podstawie przeprowadzonych działań kontrolnych, przedstawia dobre praktyki w zakresie przygotowywania “oceny ryzyka”. W dokumencie tym, UKNF wskazuje przykłady obszarów, które powinny być uwzględnione ale jednocześnie oczekuje identyfikacji przez instytucję innych istotnych obszarów mających wpływ na ryzyko.
Czynniki ryzyka dotyczące klientów
Analizując ryzyko dotyczące klientów, instytucja powinna w procesie oceny uwzględniać następujące czynniki:
- rodzaj klienta (np. indywidualny, instytucjonalny);
- liczbę i udział procentowy klientów dla każdej z kategorii ryzyka, co najmniej dla podwyższonego i wysokiego;
- czas trwania relacji z danym klientem;
- liczbę, udział procentowy i sposób identyfikacji klientów zajmujących eksponowane stanowiska polityczne;
- rodzaje działalności gospodarczych prowadzonych przez klientów, szczególnie o podwyższonym ryzyku (np. handel paliwami, metalami szlachetnymi, złomem, nieruchomościami na własny użytek, handel walutami wirtualnymi).
Ocena ryzyka powinna również obejmować klientów:
- prowadzących działalność umożliwiającą dokonywanie transakcji przez osoby trzecie (np. jako instytucje płatnicze);
- o skomplikowanej strukturze własnościowej;
- emitujących akcje na okaziciela lub klientów, których prawa z akcji lub udziałów są wykonywane przez podmioty inne niż akcjonariusze lub udziałowcy;
- zweryfikowanych pozytywnie na podstawie list sankcyjnych (sposób i częstotliwość), także biorąc pod uwagę ich beneficjentów rzeczywistych.
Dodatkowymi czynnikami, które powinny być uwzględnione w ocenie ryzyka danej instytucji, są wszelkie sytuacje związane z podwyższonym ryzykiem wobec klientów, dla których:
- zostały złożone do instytucji zapytania przez GIIF lub organy ścigania;
- zostały złożone przez instytucję zawiadomienia wynikające z ustawy;
- zostały zastosowane przez instytucję szczególne środki ograniczające (zamrożenie środków finansowych);
- stwierdzono brak możliwości zastosowania jednego ze środków bezpieczeństwa finansowego.
Czynniki ryzyka dotyczące produktów i usług
Produkty i usługi oferowane przez daną instytucję, które wymagają oceny ryzyka to przede wszystkim:
- dotyczące transakcji gotówkowych na wysokie kwoty;
- dotyczące transakcji transgranicznych;
- dotyczące płatności do osób trzecich, niebędących klientami instytucji;
- produkty innowacyjne lub nieoferowane wcześniej przez instytucję;
- dotyczące wykorzystania rachunków wirtualnych, umożliwiających zachowanie anonimowości lub utrudniających identyfikację klienta;
- produkty o dużym stopniu złożoności;
- dotyczące obrotów, sald, średnich wartości transakcji powiązanych z poszczególnymi produktami;
- wskazane przez instytucje nadzorcze lub inne jako produkty o podwyższonym ryzyku;
- dotyczące bankowości korespondenckiej;
- wykorzystywane przez klienta w sposób nieadekwatny do istotnych zmian zachodzących w otoczeniu gospodarczym.
Czynniki ryzyka dotyczące państw i obszarów geograficznych
Identyfikując ryzyko dotyczące państw i obszarów geograficznych instytucja powinna określić liczbę i procentowy udział klientów powiązanych z państwami wysokiego ryzyka (kapitałowo, osobowo lub posiadających tam siedzibę / adres zamieszkania), także gdy sam klient wykonuje transakcje z podmiotem mającym siedzibę w państwie wysokiego ryzyka. Oprócz państw wysokiego ryzyka uwzględnić należy państwa:
- o wysokim poziomie korupcji lub innego rodzaju działalności przestępczej;
- co do których ONZ lub UE nałożyła sankcje lub szczególne środki ograniczające;
- stosujące szkodliwą konkurencję podatkową.
Obszarem analizy powinny być objęte również oddziały instytucji zlokalizowane poza Polską, przede wszystkim w wymienionych powyżej państwach oraz działalność instytucji w strefie przygranicznej lub w lokalizacjach narażonych na ryzyko.
Czynniki ryzyka dotyczące przeprowadzanych transakcji
Analizowane czynniki związane z przeprowadzanymi transakcjami powinny uwzględniać:
- transakcje gotówkowe (m.in. liczbę, kwotę, procentowy udział w ogólnej liczbie transakcji);
- transakcje międzynarodowe (uwzględniając czynniki ryzyka dotyczące państw i obszarów geograficznych);
- transakcje przeprowadzane w ramach rachunków typu “nested”;
- transakcje przeprowadzone przez klientów z podwyższonej kategorii ryzyka;
- liczbę i kwoty transakcji klienta, którego dokonywane transakcje nie odzwierciedlają istotnych zmian w otoczeniu gospodarczym.
Czynniki ryzyka dotyczące kanałów dostaw
W przypadku kanałów dostaw, instytucja powinna identyfikować ryzyko związane z transakcjami:
- dokonywanymi bez fizycznej obecności klienta lub przy wykorzystaniu zdalnych kanałów dystrybucji;
- przy udziale pośredników działających w imieniu instytucji;
- dokonywanymi za pośrednictwem pełnomocnika klienta a nie bezpośrednio przez klienta.
Inne czynniki ryzyka podlegające ocenie
Instytucja obowiązana powinna, w procesie przygotowywania oceny ryzyka, zwrócić uwagę na inne czynniki i podejmowane przez nią działania mogące mieć wpływ na występujące ryzyko. Do takich elementów oceny należy zaliczyć:
- stosowanie systemów informatycznych wspomagających identyfikację ryzyka oraz korzystanie z dostawców zewnętrznych (w tym outsourcing całego procesu);
- adekwatną strukturę organizacyjną instytucji, kontroli wewnętrznej, kadry pracowniczej (liczba pracowników zajmujących się tym tematem, system szkoleń, skala rotacji, planowane zmiany);
- planowane i spodziewane zmiany w działalności biznesowej, zmiany struktury i liczby klientów, przychodów oraz transakcji;
- planowane zmiany w strukturze właścicielskiej instytucji;
- zapewnienie planu zachowania ciągłości działalności w zakresie identyfikacji ryzyka, w przypadku sytuacji nieprzewidzianych;
- możliwe istotne zmiany w otoczeniu prawnym instytucji.
Aktualizacja oceny ryzyka prania pieniędzy i finansowania terroryzmu
Instytucje obowiązane powinny aktualizować obowiązującą ocenę ryzyka prania pieniędzy i finansowania terroryzmu minimum raz na 2 lata, zgodnie z art. 27 ust. 3 ustawy.
Jednak ocena ryzyka wymaga częstszej aktualizacji jeśli wystąpi zmiana jednego z powyżej wymienionych czynników, np. w związku ze zmianą zakresu działania instytucji dotyczących nowych “klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów”.
Zakres i metodyka oceny ryzyka prania pieniędzy i finansowania terroryzmu
Na podstawie listy w/w czynników ryzyka instytucja obowiązana przygotowuje ocenę ryzyka przeprowadzając:
- identyfikację występujących w danej instytucji;
- analizę zidentyfikowanych;
- określenie podatności na ryzyko w sposób adekwatny do skali i rodzaju działalności.
Instytucja musi określić metodykę szacowania istotnych czynników ryzyka, która może się różnić w zależności od rodzaju instytucji, skali i złożoności prowadzonej działalności. Ocena ryzyka może się opierać na jednej z poniżej wymienionych metod (lub w wariancie mieszanym):
- ilościowych, opierających się na określeniu poziomu prawdopodobieństwa zaistnienia zdarzenia związanego z tym ryzykiem i jego ewentualnych skutków, które sprawdzą się w większych instytucjach;
- jakościowych, określających poziom ryzyka na podstawie oceny indywidualnej obejmującej “dobre praktyki i doświadczenie”, których zastosowanie jest bardziej adekwatne w mniejszych organizacjach.
Zastosowane w ocenie ryzyka metody muszą zawierać cztery podstawowe elementy, które dla każdego z czynników stanowią:
- ocenę tzw. ryzyka inherentnego, w sytuacji braku określonych zasad działania oraz kontroli mających za zadanie ograniczenie prawdopodobieństwa wystąpienia zdarzenia lub jego efektów (na jakie ryzyko narażona byłaby instytucja i jakie byłyby skutki, gdyby nie zapobiegała praniu pieniędzy i finansowaniu terroryzmu);
- określenie działań, których podjęcie zminimalizuje ryzyko do akceptowalnego poziomu (mitygacja ryzyka) wraz z oszacowaniem ich efektywności aktualnej i przewidywanej;
- ocenę tzw. ryzyka rezydualnego, czyli pozostającego nadal ryzyka, pomimo zastosowania działań minimalizujących ryzyko;
- ustalenie działań dotyczących zarządzania ryzykiem rezydualnym przez instytucję.
Źródło: opracowanie własne Bankowe ABC
Warto zwrócić uwagę na różnice pomiędzy ryzykiem inherentnym a rezydualnym, na co zwraca uwagę UKNF w swoim dokumencie.
Określenie poziomu ryzyka prania pieniędzy i finansowania terroryzmu w instytucji obowiązanej
Instytucja obowiązana stosująca metody ilościowe powinna zweryfikować podatność na ryzyko, czy zaistnienie zdarzenia na podstawie zidentyfikowanego czynnika ryzyka jest mało, średnio lub bardzo prawdopodobne i sprawdzić powiązanie, jakiego stopnia niesie ze sobą konsekwencje (od niewielkich do poważnych), przypisując im odpowiednie wagi ryzyka oraz punktację. Tego typu matryca powiązań powinna umożliwiać ocenę poziomu ryzyka (rezydualnego) dla całej instytucji.
Biorąc pod uwagę Krajową Ocenę Ryzyka można przyjąć poniższe założenia.
W pierwszej kolejności szacując poziom prawdopodobieństwa każdego z czynników, uwzględnia się występujący poziom zagrożenia i podatności na nie. Mając ustalone prawdopodobieństwo wystąpienia określonego czynnika ryzyka, instytucja przystępuje do oceny ryzyka rezydualnego, czyli uwzględnienia dodatkowo konsekwencji zaistnienia zdarzeń.
Instytucja obowiązana ma dowolność w doborze metod ustalania poziomu ryzyka. Zależność pomiędzy poziomem zagrożenia a podatnością na ryzyko, będąca prawdopodobieństwem wystąpienia danego ryzyka, przykładowo może być klasyfikowana jak na poniższej tablicy poglądowej.
Kolejna tablica poglądowa oceny czynników ryzyka została przygotowana w celu zilustrowania zależności pomiędzy prawdopodobieństwem i skutkami.
Źródło: opracowanie własne Bankowe ABC
Na podstawie przeprowadzonej oceny ryzyka rezydualnego, instytucja przygotowuje ogólną ocenę ryzyka danej instytucji.
Określając poziom ryzyka, instytucje dokonują klasyfikacji używając, przykładowo, następującej skali:
- ryzyko niskie;
- ryzyko średnie;
- ryzyko wysokie;
- ryzyko nieakceptowalne (przekraczające określony apetyt na ryzyko w danej instytucji).
Stwierdzenie wysokiego ryzyka dla danej instytucji nie oznacza, że nieodpowiednio zarządza ryzykiem prania pieniędzy i finansowania terroryzmu. Wręcz przeciwnie, może oznaczać wysoką świadomość instytucji o istniejącym ryzyku i może wynikać ze skali i/lub specyfiki danej instytucji, która nie jest w stanie tego ryzyka wyeliminować (działając w określonej branży i rynku) ale dokonuje odpowiednich działań aby to ryzyko zminimalizować. Takie podejście prezentuje również UKNF w swoim oświadczeniu.
Wpływ oceny ryzyka na procesy przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu
Ocena ryzyka ma określony wpływ na działania podejmowane przez instytucję obowiązaną w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.
Należy podkreślić, że całkowite wyeliminowanie ryzyka prania pieniędzy i finansowania terroryzmu nie jest możliwe. Instytucje obowiązane mają za zadanie wdrożenie procesu umożliwiającego odpowiednie zarządzanie ryzykiem rezydualnym. Prowadzone działania powinny minimalizować ryzyko, na które narażona jest instytucja.