Ocena ryzyka prania pieniędzy i finansowania terroryzmu instytucji obowiązanej

Obowiązek identyfikacji i oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu stanowi jeden z kluczowych elementów systemu przeciwdziałania tym zjawiskom, nałożony na instytucje obowiązane. Zmiany prawne w tym zakresie wprowadzono w Polsce stosunkowo niedawno, co podkreśla znaczenie zrozumienia, na czym polega tworzenie tego dokumentu i dlaczego jest ono istotne dla wielu podmiotów.

Należy wyróżnić dwa rodzaje oceny, odnoszące się do:

instytucji obowiązanej jako całości;
relacji z danym klientem lub przeprowadzenia transakcji okazjonalnej.

W pierwszym przypadku, wymóg oceny na poziomie instytucji, sprowadza się do identyfikacji i oceny narażenia na ryzyko wykorzystania instytucji do prania pieniędzy lub finansowania terroryzmu. Instytucja ma obowiązek sporządzenia oceny ryzyka prania pieniędzy i finansowania terroryzmu w formie udokumentowanej.

Reklama

W drugim przypadku, ma obowiązek przeprowadzać udokumentowaną ocenę ryzyka wobec klienta (nawiązywanie relacji i monitorowanie) lub transakcji (tzw. przeprowadzanie transakcji okazjonalnej), ustalając poziom ryzyka, które określa czy powinien stosować uproszczone, standardowe czy też wzmożone środki bezpieczeństwa finansowego.

Kluczowe informacje warte zapamiętania – Ocena ryzyka prania pieniędzy i finansowania terroryzmu instytucji obowiązanej:

Ocena ryzyka instytucji obowiązanej jest kluczowym i prawnie wymaganym obowiązkiem w ramach przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, stanowiącym punkt wyjścia do budowy wewnętrznych procesów AML/CFT.
W ramach tej oceny instytucje obowiązane muszą zidentyfikować i przeanalizować czynniki ryzyka związane w szczególności z klientami, państwami lub obszarami geograficznymi, produktami, usługami, transakcjami oraz kanałami ich dostaw.
Wyniki oceny ryzyka powinny prowadzić do określenia poziomu ryzyka rezydualnego, ustalenia poziomu akceptacji ryzyka przez właściwe organy instytucji oraz do planowania działań mitygujących w celu zarządzania tym ryzykiem.

Podstawa prawna i zakres obowiązku oceny ryzyka prania pieniędzy

Zgodnie z ustawą z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (zwanej dalej „ustawą AML”), instytucje obowiązane mają obowiązek identyfikowania i oceny ryzyka prania pieniędzy i finansowania terroryzmu odnoszącego się do ich działalności. Obowiązek ten wynika wprost z art. 27 ust. 1 ustawy AML i w równym stopniu ciąży na wszystkich instytucjach obowiązanych, niezależnie od ich wielkości czy charakteru działalności.

Katalog instytucji obowiązanych został wymieniony w ustawie AML i w związku z ostatnimi nowelizacjami został rozszerzony na nowe kategorie podmiotów, w tym m.in. biura rachunkowe czy pośredników nieruchomości. Co do zasady, definicja instytucji obowiązanej jest dość jasna, co ułatwia ustalenie, czy dany podmiot podlega temu obowiązkowi. Instytucjami obowiązanymi są m.in. banki, fundusze inwestycyjne, spółdzielcze kasy oszczędnościowo-kredytowe, kancelarie radcowskie i adwokackie, księgowi, notariusze, doradcy podatkowi, instytucje pożyczkowe w rozumieniu ustawy o kredycie konsumenckim, a także stowarzyszenia posiadające osobowość prawną i fundacje, w zakresie, w jakim przyjmują lub dokonują płatności gotówkowych o wartości równej lub przekraczającej 10 000 EUR. Przedsiębiorcy prowadzący działalność na rzecz spółek lub trustów albo w zakresie walut wirtualnych również mają status instytucji obowiązanej.

Reklama

Ocena ryzyka musi być sporządzona w sposób zindywidualizowany i dostosowana do charakteru oraz zakresu działalności prowadzonej przez daną instytucję obowiązaną. Działania związane z identyfikacją i oceną ryzyka powinny być proporcjonalne do charakteru i wielkości instytucji.

Czynniki ryzyka podlegające ocenie ryzyka AML instytucji obowiązanej

W procesie oceny ryzyka prania pieniędzy i finansowania terroryzmu instytucja obowiązana powinna uwzględnić przynajmniej czynniki dotyczące:

klientów;
państw lub obszarów geograficznych;
produktów, usług, transakcji;
kanałów ich dostaw/realizacji.

Międzynarodowe standardy wskazują pięć „kluczowych wskaźników ryzyka” (Key Risk Indicators): typ, wielkość i złożoność biznesu; oferowane produkty i usługi; rodzaje klientów i relacje do nich; metody przyjmowania nowych klientów i komunikacji z obecnymi; ryzyka geograficzne. Chociaż polskie prawo zawiera nieco inny, choć podobny katalog zmiennych, to dla polskich przedsiębiorców stanowi on priorytet, niemniej warto odwołać się także do międzynarodowych wskaźników.

Na tej podstawie instytucja powinna sporządzić dokument stanowiący “ocenę ryzyka związanego z praniem pieniędzy i finansowania terroryzmu” (“ocena ryzyka”), zgodnie z art. 27 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Reklama

Instytucje obowiązane powinny również uwzględnić w swojej ocenie Krajową Ocenę Ryzyka Prania Pieniędzy oraz Finansowania Terroryzmu, a także sprawozdanie Komisji Europejskiej w sprawie oceny ryzyka (Ponadnarodowa Ocena Ryzyka).

W kwietniu 2020 r. Urząd Komisji Nadzoru Finansowego (UKNF) opublikował swoje stanowisko dotyczące oceny ryzyka instytucji obowiązanej, w którym na podstawie przeprowadzonych działań kontrolnych, przedstawia dobre praktyki w zakresie przygotowywania “oceny ryzyka”. W dokumencie tym, UKNF wskazuje przykłady obszarów, które powinny być uwzględnione ale jednocześnie oczekuje identyfikacji przez instytucję innych istotnych obszarów mających wpływ na ryzyko.

Czynniki ryzyka dotyczące klientów

Analizując ryzyko dotyczące klientów, instytucja powinna w procesie oceny uwzględniać następujące czynniki:

rodzaj klienta (np. indywidualny, instytucjonalny);
liczbę i udział procentowy klientów dla każdej z kategorii ryzyka, co najmniej dla podwyższonego i wysokiego;
czas trwania relacji z danym klientem;
liczbę, udział procentowy i sposób identyfikacji klientów zajmujących eksponowane stanowiska polityczne;
rodzaje działalności gospodarczych prowadzonych przez klientów, szczególnie o podwyższonym ryzyku (np. handel paliwami, metalami szlachetnymi, złomem, nieruchomościami na własny użytek, handel walutami wirtualnymi).

Ocena ryzyka powinna również obejmować klientów:

Reklama

prowadzących działalność umożliwiającą dokonywanie transakcji przez osoby trzecie (np. jako instytucje płatnicze);
o skomplikowanej strukturze własnościowej;
emitujących akcje na okaziciela lub klientów, których prawa z akcji lub udziałów są wykonywane przez podmioty inne niż akcjonariusze lub udziałowcy;
zweryfikowanych pozytywnie na podstawie list sankcyjnych (sposób i częstotliwość), także biorąc pod uwagę ich beneficjentów rzeczywistych.

Dodatkowymi czynnikami, które powinny być uwzględnione w ocenie ryzyka danej instytucji, są wszelkie sytuacje związane z podwyższonym ryzykiem wobec klientów, dla których:

zostały złożone do instytucji zapytania przez GIIF lub organy ścigania;
zostały złożone przez instytucję zawiadomienia wynikające z ustawy;
zostały zastosowane przez instytucję szczególne środki ograniczające (zamrożenie środków finansowych);
stwierdzono brak możliwości zastosowania jednego ze środków bezpieczeństwa finansowego.

Czynniki ryzyka dotyczące produktów i usług

Produkty i usługi oferowane przez daną instytucję, które wymagają oceny ryzyka to przede wszystkim:

dotyczące transakcji gotówkowych na wysokie kwoty;
dotyczące transakcji transgranicznych;
dotyczące płatności do osób trzecich, niebędących klientami instytucji;
produkty innowacyjne lub nieoferowane wcześniej przez instytucję;
dotyczące wykorzystania rachunków wirtualnych, umożliwiających zachowanie anonimowości lub utrudniających identyfikację klienta;
produkty o dużym stopniu złożoności;
dotyczące obrotów, sald, średnich wartości transakcji powiązanych z poszczególnymi produktami;
wskazane przez instytucje nadzorcze lub inne jako produkty o podwyższonym ryzyku;
dotyczące bankowości korespondenckiej;
wykorzystywane przez klienta w sposób nieadekwatny do istotnych zmian zachodzących w otoczeniu gospodarczym.

Czynniki ryzyka dotyczące państw i obszarów geograficznych

Identyfikując ryzyko dotyczące państw i obszarów geograficznych instytucja powinna określić liczbę i procentowy udział klientów powiązanych z państwami wysokiego ryzyka (kapitałowo, osobowo lub posiadających tam siedzibę / adres zamieszkania), także gdy sam klient wykonuje transakcje z podmiotem mającym siedzibę w państwie wysokiego ryzyka. Oprócz państw wysokiego ryzyka uwzględnić należy państwa:

o wysokim poziomie korupcji lub innego rodzaju działalności przestępczej;
co do których ONZ lub UE nałożyła sankcje lub szczególne środki ograniczające;
stosujące szkodliwą konkurencję podatkową.

Obszarem analizy powinny być objęte również oddziały instytucji zlokalizowane poza Polską, przede wszystkim w wymienionych powyżej państwach oraz działalność instytucji w strefie przygranicznej lub w lokalizacjach narażonych na ryzyko.

Reklama

Czynniki ryzyka dotyczące przeprowadzanych transakcji

Analizowane czynniki związane z przeprowadzanymi transakcjami powinny uwzględniać:

transakcje gotówkowe (m.in. liczbę, kwotę, procentowy udział w ogólnej liczbie transakcji);
transakcje międzynarodowe (uwzględniając czynniki ryzyka dotyczące państw i obszarów geograficznych);
transakcje przeprowadzane w ramach rachunków typu “nested”;
transakcje przeprowadzone przez klientów z podwyższonej kategorii ryzyka;
liczbę i kwoty transakcji klienta, którego dokonywane transakcje nie odzwierciedlają istotnych zmian w otoczeniu gospodarczym.

Czynniki ryzyka dotyczące kanałów dostaw

W przypadku kanałów dostaw, instytucja powinna identyfikować ryzyko związane z transakcjami:

dokonywanymi bez fizycznej obecności klienta lub przy wykorzystaniu zdalnych kanałów dystrybucji;
przy udziale pośredników działających w imieniu instytucji;
dokonywanymi za pośrednictwem pełnomocnika klienta a nie bezpośrednio przez klienta.

Inne czynniki ryzyka podlegające ocenie

Instytucja obowiązana powinna, w procesie przygotowywania oceny ryzyka, zwrócić uwagę na inne czynniki i podejmowane przez nią działania mogące mieć wpływ na występujące ryzyko. Do takich elementów oceny należy zaliczyć:

stosowanie systemów informatycznych wspomagających identyfikację ryzyka oraz korzystanie z dostawców zewnętrznych (w tym outsourcing całego procesu);
adekwatną strukturę organizacyjną instytucji, kontroli wewnętrznej, kadry pracowniczej (liczba pracowników zajmujących się tym tematem, system szkoleń, skala rotacji, planowane zmiany);
planowane i spodziewane zmiany w działalności biznesowej, zmiany struktury i liczby klientów, przychodów oraz transakcji;
planowane zmiany w strukturze właścicielskiej instytucji;
zapewnienie planu zachowania ciągłości działalności w zakresie identyfikacji ryzyka, w przypadku sytuacji nieprzewidzianych;
możliwe istotne zmiany w otoczeniu prawnym instytucji.

Zakres i metodyka oceny ryzyka prania pieniędzy i finansowania terroryzmu

Przy dokonywaniu własnej oceny ryzyka, instytucje obowiązane mogą stosować różne metody, w tym metody ilościowe, które polegają na określeniu prawdopodobieństwa wystąpienia danego ryzyka i skorelowaniu go z potencjalnymi konsekwencjami, przypisując odpowiednie wagi i punktację. Metody te pozwalają na oszacowanie poziomu ryzyka rezydualnego dla całej instytucji.

Reklama

Na podstawie listy w/w czynników ryzyka instytucja obowiązana przygotowuje ocenę ryzyka przeprowadzając:

identyfikację występujących w danej instytucji;
analizę zidentyfikowanych;
określenie podatności na ryzyko w sposób adekwatny do skali i rodzaju działalności.

Instytucja musi określić metodykę szacowania istotnych czynników ryzyka, która może się różnić w zależności od rodzaju instytucji, skali i złożoności prowadzonej działalności. Ocena ryzyka może się opierać na jednej z poniżej wymienionych metod (lub w wariancie mieszanym):

ilościowych, opierających się na określeniu poziomu prawdopodobieństwa zaistnienia zdarzenia związanego z tym ryzykiem i jego ewentualnych skutków, które sprawdzą się w większych instytucjach;
jakościowych, określających poziom ryzyka na podstawie oceny indywidualnej obejmującej “dobre praktyki i doświadczenie”, których zastosowanie jest bardziej adekwatne w mniejszych organizacjach.

Zastosowane w ocenie ryzyka metody muszą zawierać cztery podstawowe elementy, które dla każdego z czynników stanowią:

ocenę tzw. ryzyka inherentnego, w sytuacji braku określonych zasad działania oraz kontroli mających za zadanie ograniczenie prawdopodobieństwa wystąpienia zdarzenia lub jego efektów (na jakie ryzyko narażona byłaby instytucja i jakie byłyby skutki, gdyby nie zapobiegała praniu pieniędzy i finansowaniu terroryzmu);
określenie działań, których podjęcie zminimalizuje ryzyko do akceptowalnego poziomu (mitygacja ryzyka) wraz z oszacowaniem ich efektywności aktualnej i przewidywanej;
ocenę tzw. ryzyka rezydualnego, czyli pozostającego nadal ryzyka, pomimo zastosowania działań minimalizujących ryzyko;
ustalenie działań dotyczących zarządzania ryzykiem rezydualnym przez instytucję.

Warto zwrócić uwagę na różnice pomiędzy ryzykiem inherentnym a rezydualnym, na co zwraca uwagę UKNF w swoim dokumencie.

Reklama

Proces sporządzania oceny ryzyka instytucji obowiązanej

Proces identyfikacji i oceny ryzyka prania pieniędzy wymaga posiadania:

dokładnych i kompletnych danych na temat klientów, transakcji, procederu prania pieniędzy;
wiedzy oraz doświadczenia w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
ludzi i narzędzi do przeprowadzania analizy i jej aktualizacji;
czasu na zebranie, weryfikację i analizę danych oraz opracowanie dokumentu.

Na proces kompleksowej analizy ryzyka mogą składać się następujące kroki:

Identyfikacja ryzyka, czyli określenie, w jaki sposób przestępcy mogliby wykorzystać produkty, usługi, systemy IT, pracowników czy inne zasoby instytucji.
Opracowanie systemu oceny, np. skali punktowej, na podstawie której dokonuje się oceny ryzyka i decyzji dotyczących postępowania z klientami i transakcjami.
Opracowanie listy sygnałów alarmowych, które powinny wzbudzać czujność i zmieniać postępowanie w celu zapobieżenia incydentom prania pieniędzy lub finansowania terroryzmu.

Instytucja obowiązana stosująca metody ilościowe powinna zweryfikować podatność na ryzyko, czy zaistnienie zdarzenia na podstawie zidentyfikowanego czynnika ryzyka jest mało, średnio lub bardzo prawdopodobne i sprawdzić powiązanie, jakiego stopnia niesie ze sobą konsekwencje (od niewielkich do poważnych), przypisując im odpowiednie wagi ryzyka oraz punktację. Tego typu matryca powiązań powinna umożliwiać ocenę poziomu ryzyka (rezydualnego) dla całej instytucji.

Instytucje powinny brać pod uwagę informacje i wnioski wynikające z Krajowej Oceny Ryzyka (KOR). KOR 2023 wskazuje, że ogólne ryzyko prania pieniędzy w Polsce jest na poziomie średnim (około 2.59), podobnie jak ogólne ryzyko finansowania terroryzmu, które również zostało oszacowane na poziomie średnim (około 2.11), pomimo niskiego zagrożenia terrorystycznego.

Reklama

Niemniej jednak, KOR identyfikuje sektory i obszary działalności obarczone wyższym ryzykiem. Przykładowo, poziom ryzyka wykorzystania sektora działalności gospodarczej (do którego zaliczają się m.in. biura rachunkowe) do prania pieniędzy jest określany jako wysoki, a do finansowania terroryzmu jako średni. Do obszarów ryzyka bardzo wysokiego w skali kraju KOR zaliczyła fizyczny przewóz wartości majątkowych przez granicę oraz usługi płatnicze oferowane przez podmioty inne niż banki. Obszary takie jak rynek aktywów wirtualnych również charakteryzują się cechami sprzyjającymi anonimowości i transferowi środków.

Biorąc pod uwagę Krajową Ocenę Ryzyka można przyjąć poniższe założenia.

W pierwszej kolejności szacując poziom prawdopodobieństwa każdego z czynników, uwzględnia się występujący poziom zagrożenia i podatności na nie. Mając ustalone prawdopodobieństwo wystąpienia określonego czynnika ryzyka, instytucja przystępuje do oceny ryzyka rezydualnego, czyli uwzględnienia dodatkowo konsekwencji zaistnienia zdarzeń.

Instytucja obowiązana ma dowolność w doborze metod ustalania poziomu ryzyka. Zależność pomiędzy poziomem zagrożenia a podatnością na ryzyko, będąca prawdopodobieństwem wystąpienia danego ryzyka, przykładowo może być klasyfikowana jak na poniższej tablicy poglądowej.

Reklama

ocena ryzyka prania pieniedzy podatnosc 1

Kolejna tablica poglądowa oceny czynników ryzyka została przygotowana w celu zilustrowania zależności pomiędzy prawdopodobieństwem i skutkami.

ocena ryzyka prania pieniedzy parwdopodobienstwo 1

Na podstawie przeprowadzonej oceny ryzyka rezydualnego, instytucja przygotowuje ogólną ocenę ryzyka danej instytucji.

Określając poziom ryzyka, instytucje dokonują klasyfikacji używając, przykładowo, następującej skali:

ryzyko niskie;
ryzyko średnie;
ryzyko wysokie;
ryzyko nieakceptowalne (przekraczające określony apetyt na ryzyko w danej instytucji).

Należy podkreślić, że stwierdzenie wysokiego poziomu ryzyka dla danej instytucji nie jest równoznaczne z nieodpowiednim zarządzaniem ryzykiem. Może ono wynikać ze specyfiki, skali działalności lub wysokiej świadomości instytucji co do zagrożeń, na które jest narażona (działając w określonej branży i rynku), mimo podejmowania odpowiednich działań minimalizujących.

Reklama

Wpływ oceny ryzyka na procesy przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu

Ocena ryzyka ma określony wpływ na działania podejmowane przez instytucję obowiązaną w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

W kontekście przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT), istotne jest zrozumienie, że ryzyko związane z tymi przestępstwami jest zawsze obecne w działalności instytucji obowiązanej. Celem nie jest całkowite wyeliminowanie ryzyka, lecz jego właściwe zarządzanie i minimalizowanie do poziomu akceptowalnego, co określane jest jako ryzyko rezydualne.

Proces oceny ryzyka wymaga odróżnienia ryzyka inherentnego (pierwotnego), czyli ryzyka istniejącego przed zastosowaniem jakichkolwiek działań kontrolnych, od ryzyka rezydualnego, które pozostaje po wdrożeniu środków mitygujących. UKNF podkreśla, że ocena powinna określić finalną podatność instytucji na ryzyko ML/FT.

Określony w wyniku oceny poziom ryzyka ma bezpośredni wpływ na stosowanie środków bezpieczeństwa finansowego. W przypadkach zidentyfikowanego niższego ryzyka instytucja obowiązana może stosować uproszczone środki bezpieczeństwa finansowego, natomiast w przypadku wyższego ryzyka wymagane jest zastosowanie wzmożonych środków bezpieczeństwa finansowego, takich jak pogłębiona analiza stosunków gospodarczych czy zwiększenie częstotliwości monitorowania transakcji.

Warto pamiętać, że czynniki ryzyka związane z finansowaniem terroryzmu różnią się od tych dla prania pieniędzy, m.in. pod kątem pochodzenia środków (legalne lub nielegalne vs. tylko nielegalne) i celu (wsparcie terroru vs. ukrycie pochodzenia środków). KOR ocenia te ryzyka odrębnie.

Znaczenie i obowiązek aktualizacji oceny ryzyka

Formułowanie oceny ryzyka instytucji obowiązanej jest jednym z obowiązków nałożonych przez ustawę AML. Wdrożenie oceny ryzyka to tylko jeden z elementów procedur przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, obok procedury AML i procedur raportowania naruszeń do GIIF.

Ocena ryzyka ma bezpośredni wpływ na zakres i intensywność stosowania środków bezpieczeństwa finansowego wobec klientów. Instytucje obowiązane są zobowiązane stosować te środki w zakresie i z intensywnością uwzględniającą rozpoznane ryzyko. W przypadku wyższego ryzyka, środki bezpieczeństwa finansowego powinny być stosowane ze zwiększoną intensywnością (tzw. zasada risk-based approach). Instytucja obowiązana musi dokumentować rozpoznane ryzyko oraz stosowanie środków bezpieczeństwa finansowego. Na żądanie organów, instytucja musi wykazać, że zastosowane środki były odpowiednie do rozpoznanego poziomu ryzyka.

Obowiązkiem instytucji obowiązanych jest nie tylko sporządzenie oceny ryzyka, ale również jej aktualizacja. Dokument ten należy aktualizować, dostosowując go do zmieniających się okoliczności, nie rzadziej niż co dwa lata. Instytucje powinny na bieżąco wyciągać wnioski z prowadzonej działalności (praktyki, wiedzy, doświadczenia) i aktualizować oceny ryzyka. Aktualizacja jest kluczowa w kontekście zmieniających się technologii, produktów, legislacji oraz czynników geograficznych. Na przykład, instytucje obowiązane powinny uwzględnić w swoich analizach ryzyka fakt wejścia w życie ustawy o fundacji rodzinnej, dokonując analizy możliwości wykorzystania produktów i usług oferowanych przez te instytucje do nielegalnych celów.

Konsekwencje niewykonania obowiązku

Niesporządzenie oceny ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu lub jej nieaktualizowanie jest naruszeniem przepisów ustawy AML i może skutkować nałożeniem kar finansowych. W przypadku kontroli, instytucja obowiązana, która nie posiada dokumentu oceny ryzyka, nie może oczekiwać uniknięcia odpowiedzialności. Sankcje mogą obejmować ryzyko utraty reputacji (w tym poprzez publikację informacji o naruszeniu), ograniczenie działalności, cofnięcie koncesji lub zezwolenia, a także ryzyko postępowań cywilnych lub karnych.

Środki mitygujące ryzyko prania pieniędzy i finansowana terroryzmu

Proces oceny ryzyka, jak wskazuje UKNF, obejmuje nie tylko identyfikację ryzyka , ale także określenie działań, które mają zminimalizować to ryzyko do akceptowalnego poziomu, wraz z oszacowaniem ich efektywności (aktualnej i przewidywanej). Ryzyko rezydualne to poziom ryzyka pozostający po wdrożeniu tych środków ograniczających i kontroli. Zarządzanie tym ryzykiem rezydualnym również wymaga zaplanowania odpowiednich działań.

Instytucje obowiązane powinny stosować wszystkie dostępne metody zarządzania ryzykiem, do których należą:

Przeciwdziałanie ryzyku.
Przenoszenie ryzyka na inne podmioty.
Akceptacja ryzyka.
Wycofanie się z działań.
Monitorowanie ryzyka.

Przykłady konkretnych środków mitygujących ryzyko wymienionych w źródłach obejmują:

Wdrożenie odpowiednich procedur wewnętrznych.
Szkolenia pracowników.
Zlecanie opinii prawnych.
Rozdzielność obowiązków.
Stosowanie tzw. zasady „dwóch par oczu”.
Stosowanie odpowiednich mechanizmów systemowych (dostępy, blokady).
Stosowanie dostosowanego do danej instytucji Customer Due Diligence (CDD), czyli „Know Your Customer” (KYC). W szczególności, kluczowe jest prawidłowe stosowanie środków bezpieczeństwa finansowego.
Szeroko rozumiany monitoring rynku w obszarze przeciwdziałania praniu pieniędzy.
Realny system raportowania do organu zarządzającego.
Identyfikacja i zgłaszanie transakcji podejrzanych.
Aktualizacja informacji o kliencie.
Podejmowanie działań w kierunku weryfikacji źródła pochodzenia wartości majątkowych. Powinno to być rozważane nie tylko przy wysokokwotowych przelewach przychodzących, ale także np. przy wcześniejszej spłacie kredytu, jeśli dochody klienta tego nie uzasadniają.
Dostosowanie środków bezpieczeństwa finansowego do poziomu ryzyka kraju pochodzenia środków lub kraju docelowego ich przeznaczenia.

Poziom zidentyfikowanego ryzyka wpływa na stosowanie środków bezpieczeństwa finansowego. W przypadkach niższego ryzyka mogą być stosowane uproszczone środki, natomiast w przypadkach wyższego ryzyka wymagane jest stosowanie wzmożonych środków bezpieczeństwa finansowego. Wzmożone środki obejmują m.in. intensyfikację stosowania monitorowania stosunków gospodarczych oraz wyjaśnianie okoliczności transakcji skomplikowanych, na wysokie kwoty bez uzasadnienia, przeprowadzanych nietypowo lub bez uzasadnienia prawnego/gospodarczego.

Środki bezpieczeństwa finansowego obejmują m.in. identyfikację klienta i weryfikację jego tożsamości; identyfikację beneficjenta rzeczywistego i weryfikację jego tożsamości oraz ustalenie struktury własności i kontroli; ocenę stosunków gospodarczych oraz bieżące monitorowanie transakcji. Monitorowanie to analiza transakcji w celu zapewnienia ich zgodności z wiedzą o kliencie i jego działalności, a także z poziomem ryzyka. Obejmuje również badanie źródła pochodzenia wartości majątkowych w uzasadnionych przypadkach. Instytucje obowiązane muszą nasilić analizy i działania w zakresie stosowania tych środków, aktualizując je w kontekście zmieniających się warunków.

W warunkach prowadzenia konfliktu zbrojnego w pobliżu granic Polski, instytucje obowiązane muszą zoptymalizować stosowanie środków bezpieczeństwa finansowego, zwłaszcza w zakresie weryfikacji tożsamości klienta, osoby działającej w jego imieniu oraz beneficjenta rzeczywistego, a także pogłębić analizy stosunków gospodarczych i ich monitoring.

Innym istotnym środkiem mitygującym jest prawny obowiązek raportowania do GIIF o przypadkach podejrzenia prania pieniędzy czy finansowania terroryzmu. Kluczowe znaczenie ma również przeprowadzanie efektywnych szkoleń dla pracowników, co podnosi świadomość i zrozumienie obowiązków w zakresie AML/CFT.

Nowe regulacje, takie jak przepisy dotyczące Centralnego Rejestru Beneficjentów Rzeczywistych, wykaz krajowych stanowisk i funkcji publicznych będących eksponowanymi stanowiskami politycznymi, rejestr działalności w zakresie walut wirtualnych, a także rozporządzenie MiCA dotyczące rynku kryptoaktywów, stanowią mityganty o charakterze legislacyjnym. Przyjęcie ustawy o systemie informacji finansowej, tworzącej System Informacji Finansowej (SInF), również jest istotnym mitygantem, usprawniającym gromadzenie, przetwarzanie i udostępnianie informacji o rachunkach. Prawidłowe stosowanie nowych przepisów wymaga odpowiedniego przeszkolenia pracowników instytucji obowiązanych.

Informacje od GIIF o obszarach i sektorach szczególnie narażonych na ryzyko, a także wskazówki dotyczące kontroli, powinny być wykorzystywane przez podmioty sprawujące nadzór w celu stosowania środków mitygujących ryzyko.

Jakie są najczęstsze błędy popełniane przy ocenie ryzyka?

Najczęstsze błędy popełniane przez instytucje obowiązane w procesie oceny ryzyka prania pieniędzy i finansowania terroryzmu (ML/FT) zostały wskazane przez Komisję Nadzoru Finansowego (KNF).

Zgodnie ze stanowiskiem KNF, najczęściej występujące niedopatrzeń w ocenie ryzyka to:

Pominięcie niektórych czynników ryzyka wskazanych w ustawie. Ocena ryzyka powinna uwzględniać czynniki dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Pominięcie któregokolwiek z tych obszarów prowadzi do niepełnej oceny. Czynniki geograficzne, takie jak powiązania z państwami wysokiego ryzyka, państwami o wysokim poziomie korupcji, czy państwami objętymi sankcjami, są kluczowe w tej analizie.
Niewskazanie finalnych wniosków wynikających z oceny ryzyka. Proces oceny powinien prowadzić do konkretnych wniosków dotyczących poziomu ryzyka, a nie tylko do zgromadzenia danych. Te wnioski powinny być jasne i stanowić podstawę do dalszych działań.
Brak harmonogramu planowanych działań w celu mitygacji ryzyka lub nieracjonalne terminy w harmonogramie. Ocena ryzyka powinna nie tylko identyfikować ryzyka, ale także wskazywać działania mające na celu ich zminimalizowanie (środki mitygujące) i określać ramy czasowe na ich wdrożenie. Brak takiego harmonogramu lub nierealistyczne terminy jego realizacji są częstym błędem.
Niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym. Istotne jest odróżnienie ryzyka przed zastosowaniem jakichkolwiek kontroli (ryzyko inherentne) od ryzyka pozostającego po ich wdrożeniu (ryzyko rezydualne). Właściwa ocena powinna obejmować oba te poziomy ryzyka i wskazywać, w jaki sposób środki mitygujące wpływają na obniżenie ryzyka inherentnego do poziomu ryzyka rezydualnego.
Nieodpowiedni dobór metodyki. Metodyka oceny ryzyka (np. ilościowa lub jakościowa) musi być adekwatna do skali i rodzaju działalności instytucji obowiązanej. Niewłaściwy wybór metody lub sposób określania podatności na ryzyko, który nie uwzględnia istotnych czynników specyficznych dla danej instytucji, jest błędem.

Ocena ryzyka powinna być dostosowana do charakteru i zakresu działalności instytucji obowiązanej i aktualizowana co najmniej raz na dwa lata lub częściej w przypadku istotnych zmian. Brak aktualizacji w reakcji na zmiany w otoczeniu gospodarczym również może prowadzić do nieadekwatnej oceny. Zatwierdzenie oceny ryzyka przez zarząd lub radę nadzorczą (tam, gdzie funkcjonują) jest również ważnym elementem procesu.

Podsumowanie

Ocena ryzyka prania pieniędzy i finansowania terroryzmu jest fundamentalnym obowiązkiem instytucji obowiązanych, wynikającym z przepisów ustawy AML i zgodnym ze standardami międzynarodowymi i unijnymi. Sporządzenie indywidualnej oceny, uwzględniającej specyfikę działalności instytucji oraz czynniki ryzyka (klienci, obszary geograficzne, produkty/usługi, transakcje, kanały dostaw), jest niezbędne do wdrożenia skutecznego systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Regularna aktualizacja oceny ryzyka, nie rzadziej niż co dwa lata, jest kluczowa dla dostosowania działań do zmieniającego się otoczenia i rodzajów zagrożeń. Prawidłowe przeprowadzenie oceny ryzyka umożliwia proporcjonalne stosowanie środków bezpieczeństwa finansowego, a brak spełnienia tego obowiązku naraża instytucję na poważne sankcje. Współpraca z GIIF i innymi organami, a także korzystanie z Krajowej Oceny Ryzyka, wspiera instytucje obowiązane w identyfikacji i mitygowaniu ryzyka.

Słownik kluczowych terminów

AML (Anti-Money Laundering): Przeciwdziałanie praniu pieniędzy. Zespół działań prawnych i proceduralnych mających na celu zapobieganie legalizacji dochodów pochodzących z nielegalnych źródeł.
CFT (Counter-Terrorist Financing): Przeciwdziałanie finansowaniu terroryzmu. Działania mające na celu zapobieganie gromadzeniu i przekazywaniu środków finansowych na cele związane z terroryzmem.
Instytucja Obowiązana: Podmiot wymieniony w ustawie AML, na którym spoczywają określone obowiązki w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, np. banki, fundusze inwestycyjne, biura rachunkowe, notariusze.
Ocena Ryzyka Prania Pieniędzy i Finansowania Terroryzmu: Udokumentowany proces identyfikacji, analizy i oceny ryzyka wykorzystania instytucji obowiązanej do prania pieniędzy lub finansowania terroryzmu.
Ustawa AML: Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzy (polskie przepisy implementujące dyrektywy UE w tym zakresie).
Czynniki Ryzyka: Elementy (dotyczące klientów, państw, produktów/usług, transakcji, kanałów dostaw) brane pod uwagę przy ocenie poziomu ryzyka ML/FT w instytucji obowiązanej.
Ryzyko Inherentne (Pierwotne): Poziom ryzyka ML/FT istniejący przed zastosowaniem jakichkolwiek działań kontrolnych lub mitygujących.
Ryzyko Rezydualne: Poziom ryzyka ML/FT pozostający po wdrożeniu przez instytucję obowiązaną działań mitygujących i kontroli.
Środki Mitygujące: Działania podejmowane przez instytucję obowiązaną w celu zminimalizowania zidentyfikowanego ryzyka ML/FT do akceptowalnego poziomu.
Środki Bezpieczeństwa Finansowego: Obowiązkowe działania stosowane przez instytucje obowiązane wobec klientów i transakcji w celu przeciwdziałania ML/FT, obejmujące m.in. identyfikację klienta, beneficjenta rzeczywistego i monitorowanie transakcji.
Uproszczone Środki Bezpieczeństwa Finansowego: Mniej intensywne środki bezpieczeństwa finansowego stosowane w przypadkach zidentyfikowanego niższego ryzyka ML/FT.
Wzmożone Środki Bezpieczeństwa Finansowego: Bardziej intensywne środki bezpieczeństwa finansowego stosowane w przypadkach zidentyfikowanego wyższego ryzyka ML/FT.
Risk-Based Approach (Podejście Oparte na Ryzyku): Zasada stosowania środków bezpieczeństwa finansowego w zakresie i z intensywnością proporcjonalną do rozpoznanego poziomu ryzyka ML/FT.
Krajowa Ocena Ryzyka (KOR): Dokument sporządzany na poziomie kraju, identyfikujący i oceniający ogólne ryzyko prania pieniędzy i finansowania terroryzmu w danym państwie.
GIIF (Generalny Inspektor Informacji Finansowej): Polski organ odpowiedzialny za otrzymywanie i analizę informacji dotyczących prania pieniędzy i finansowania terroryzmu oraz udostępnianie ich odpowiednim organom.
CDD (Customer Due Diligence) / KYC (Know Your Customer): Procedury identyfikacji i weryfikacji tożsamości klienta oraz zrozumienia jego działalności, stosunków gospodarczych i źródła pochodzenia środków.
Beneficjent Rzeczywisty: Osoba fizyczna lub osoby fizyczne, które bezpośrednio lub pośrednio sprawują kontrolę nad klientem lub czerpią z niego korzyści.
Osoba Zajmująca Eksponowane Stanowisko Polityczne (PEP – Politically Exposed Person): Osoba fizyczna pełniąca lub pełniąca w przeszłości ważne funkcje publiczne lub polityczne, która może być narażona na zwiększone ryzyko korupcji lub łapownictwa.
Transakcja Okazjonalna: Transakcja przeprowadzana przez instytucję obowiązaną, z którą nie nawiązano trwałych stosunków gospodarczych.
Nested Accounts: Rachunki prowadzone przez bank korespondenta dla innego banku, które umożliwiają bankowi-klientowi oferowanie usług płatniczych swoim własnym klientom bez bezpośrednich rachunków w banku korespondenta, co może zwiększać ryzyko anonimowości.

Najczęściej zadawane pytania – Ocena ryzyka prania pieniędzy i finansowania terroryzmu instytucji obowiązanej

Dlaczego ocena ryzyka AML/CFT jest tak ważna?

Jest to wymóg prawny i najważniejszy dokument w obszarze AML/CFT, który ma istotny wpływ na: świadomość ekspozycji na ryzyko (apetyt na ryzyko), kształt wewnętrznych dokumentów AML/CFT, zakres i sposób stosowania środków bezpieczeństwa finansowego wobec klientów, praktyczne podejście do realizacji obowiązków AML/CFT oraz działania podejmowane w celu mitygacji ryzyka w obszarach szczególnie narażonych na ML/FT.

Jak przeprowadza się ocenę ryzyka (metodyka)?

Proces ten polega na identyfikacji i ocenie ryzyka i powinien być dostosowany do rodzaju i charakteru działalności instytucji. Instytucja musi określić metodykę szacowania czynników ryzyka, która może się opierać m.in. na metodach ilościowych, gdzie ocenia się prawdopodobieństwo i konsekwencje, przypisując wagi i punktację, co pozwala określić poziom ryzyka rezydualnego. W procesie tym należy wykorzystać informacje i wnioski z Krajowej Oceny Ryzyka (KOR) oraz sprawozdania Komisji Europejskiej.

Czym różni się ryzyko pierwotne (inherentne) od ryzyka rezydualnego?

Co należy zrobić po przeprowadzeniu oceny ryzyka?

Ocena ryzyka stanowi podstawę do wdrożenia wewnętrznych procedur i działań mitygujących. Całkowite wyeliminowanie ryzyka nie jest możliwe, celem jest właściwe zarządzanie ryzykiem rezydualnym. Działania mitygujące mają na celu zmniejszenie ryzyka i powinny obejmować m.in. wdrożenie procedur, stosowanie środków bezpieczeństwa finansowego (uproszczonych przy niskim ryzyku, wzmożonych przy wysokim), wyznaczenie osoby odpowiedzialnej, procedury zgłaszania naruszeń oraz planowanie konkretnych działań obniżających ryzyko.

Jakie są konsekwencje braku sporządzenia oceny ryzyka?

Jak Krajowa Ocena Ryzyka (KOR) wpływa na ocenę ryzyka instytucji obowiązanej?

Instytucje obowiązane powinny wykorzystywać informacje i wnioski wynikające z Krajowej Oceny Ryzyka w procesie rozpoznawania i oceny ryzyka związanego ze stosunkami gospodarczymi lub transakcjami. KOR jest jednym ze źródeł informacji. Wyniki z indywidualnych ocen ryzyka przeprowadzanych przez instytucje powinny z kolei wpływać na bieżące aktualizacje KOR. KOR wskazuje na poziomy ryzyka w różnych obszarach (np. wysoki dla prania pieniędzy, średni dla finansowania terroryzmu w sektorze działalności gospodarczej).

Czy wysoki poziom ryzyka w instytucji oznacza, że źle nim zarządza?

Niekoniecznie. Wysoki poziom podatności na ryzyko nie musi świadczyć o nieefektywności działań mitygujących czy procesów. Może on wynikać ze skali i/lub specyfiki działalności instytucji, która nie jest w stanie wyeliminować ryzyka, ale podejmuje odpowiednie działania w celu jego minimalizacji. Może to również świadczyć o wysokiej świadomości instytucji dotyczącej zagrożeń, na jakie jest narażona.

Czy ryzyko finansowania terroryzmu różni się od ryzyka prania pieniędzy?

Tak, czynniki związane z ryzykiem finansowania terroryzmu znacząco różnią się od tych związanych z ryzykiem prania pieniędzy. Środki używane do finansowania terroryzmu mogą pochodzić zarówno z legalnych, jak i nielegalnych źródeł, podczas gdy środki prane pochodzą z działalności przestępczej. Celem FT jest wspieranie aktów terroru, osób i organizacji terrorystycznych, natomiast celem ML może być samo przekształcenie środków. Ocena zagrożeń FT obejmuje pozyskiwanie, przenoszenie, przechowywanie i wykorzystywanie funduszy/aktywów na potrzeby organizacji terrorystycznej i wymaga rozważenia zagrożeń terrorystycznych w kraju i za granicą.

Reklama