Ocena ryzyka według ustawy AML. Co powinno się w niej znaleźć?

W ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML) znajduje się informacja o obowiązku formułowania oceny ryzyka instytucji obowiązanej. 

Definicja oceny ryzyka według ustawy AML

Ocena ryzyka to punkt wyjścia dla procedur AML (Anti-Money Laundering)/CFT (Counter-Financing of Terrorism). Wpływa bezpośrednio na ich właściwe tworzenie i działanie. Z tego względu podczas sporządzania oceny ryzyka nie można popełnić błędów, gdyż może mieć to poważne konsekwencje. Największą z nich są bez wątpienia wysokie kary pieniężne, nakładane przez organy kontrolne.

Do formułowania oceny ryzyka zostały zobligowane głównie tzw. instytucje obowiązane – określone w ten sposób ze względu na rodzaj działalności. Wśród nich wymienia się maklerów, firmy ubezpieczeniowe, banki, firmy inwestycyjne, kantory, czy podmioty świadczące doradztwo podatkowe. Oprócz tego w tej kategorii znajdują się też adwokaci, radcy prawni i notariusze w zakresie, w jakim biorą udział np. w zakładaniu rachunków bankowych czy handlu nieruchomościami. Ponadto do przestrzegania postanowień ustawy AML są zobowiązane też inne podmioty takie jak fundacje, stowarzyszenia i przedsiębiorcy uczestniczący w transakcji gotówkowej o wartości większej lub równej 10 tysięcy euro.

Urząd Komisji Nadzoru Finansowej wydał stanowisko 15 kwietnia 2020 roku odnośnie prawidłowego sposobu tworzenia oceny ryzyka. Przedstawił też dobre praktyki w tym zakresie. Stanowisko było skierowane przede wszystkim do podmiotów pod nadzorem KNF (rynku kapitałowego, emerytalnego, ubezpieczeniowego, członków sektora bankowego i kas spółdzielczych), ale dostępne w nim informacje można odnieść do wszystkich instytucji obowiązanych.

Podstawowe czynniki ryzyka

Międzynarodowy standard określa pięć kluczowych wskaźników ryzyka o nazwie Key Risk Indicators. Powinny być brane pod uwagę w procesie oceny. Będą to:

1. Typ, wielkość i złożoność biznesu.
2. Oferowane produkty i usługi.
3. Rodzaje klientów i relacje do nich – B2B, B2C.
4. Metody przyjmowania nowych klientów i komunikacji z obecnymi.
5. Ryzyka geograficzne.

Podobny katalog znajduje się w krajowym akcie prawnym i to właśnie tym dokumentem powinni kierować się polscy przedsiębiorcy. Mimo to warto uwzględnić również elementy zawarte w Key Risk Indicators.

W art. 27 ust. 1 dyrektywy krajowej wymienia się czynniki związane z: klientami, państwami lub obszarami geograficznymi, produktami/usługami/transakcjami, bądź kanałami ich dostaw. Każdy z wymienionych czynników to główna kategoria, wedle której należy dokonywać oceny. Każda z nich zawiera też różne zmienne, które są uzależnione od rodzaju działalności. Pozwalają one na dokładniejsze zdefiniowanie ryzyka. Wedle KNF w ocenie trzeba uwzględnić także:

• Stosowane przez podmiot narzędzia i systemy informatyczne,
• Skuteczność systemu szkoleń w zakresie AML/CFT,
• Poziom uzależnienia od dostawców zewnętrznych,
• Outsourcing procesów związanych z AML/CFT,
• Możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych,
• Adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka,
• Skalę rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML/CFT,
• Efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
• Planowane zmiany w działalności biznesowej/strukturze organizacyjnej,
• Istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.

Poza stosowaniem się do powyższych wskazówek, warto zasięgnąć też innych źródeł, np. Krajowej Oceny Ryzyka oraz Ponadnarodowej Oceny Ryzyka, o których wspomina dyrektywa AML. Ten drugi dokument to sprawozdanie tworzone przez Komisję Europejską służące regulacji ogólnego systemu AML. Oprócz tego można skorzystać ze stanowisk, audytów czy komunikatów właściwych organów, takich jak GIIF, NBP, UKNF, opracowań instytucji międzynarodowych, które zajmują się przeciwdziałaniem praniu pieniędzy (np. ONZ, Financial Action Task Force, czy Moneyval), opracowaniami organów Europejskiego Systemu Nadzoru, a także szeroko pojmowanej wiedzy eksperckiej.

Jak przygotować dokumentację AML? Metodyka i strategie

Ustawa AML nie przewiduje określonej metodyki przygotowania oceny ryzyka. Ma to na celu zaznaczenie, że strategie formułowania oceny powinny być różne i zależne od rodzaju działalności. Jednocześnie niektóre elementy powinny bezwzględnie się w niej znaleźć, co według UKNF stanowi „minimalny standard metodyczny”.

Pierwszym krokiem będzie więc ocena ryzyka inherentnego, czyli występującego bez zastosowania procedur, działań prewencyjnych, czy zabezpieczeń AML. Później trzeba wskazać środki podjęte w celu jego obniżenia, czyli mityganty, a także ocenić ich skuteczność aktualną oraz spodziewaną.

Następnie konieczna jest ocena ryzyka rezydualnego, czyli pozostającego pomimo wykorzystania różnych mitygantów i po zastosowaniu oceny ich skuteczności. Uzasadnia się to tym, iż nie da się uznać, że ryzyko wykorzystania danej instytucji do prania pieniędzy lub finansowania terroryzmu można w 100% wyeliminować. Dlatego w ostatnim etapie należy zaplanować metody zarządzania ryzykiem rezydualnym.

Każdy z tych dwóch rodzajów ryzyka warto zbadać, odnosząc się jednocześnie do każdego czynnika wymienionego w artykule 27 ust. 1 Ustawy. Zależnie od kraju przedsiębiorstwa, zgodnie np. ze wskazaniami Nowej Zelandii, kraju z jednym z najnowocześniejszych ustawodawstw w dziedzinie AML i CFT, można zastosować takie metody:

1. Mniej skomplikowaną – definiowanie prawdopodobieństwa wystąpienia określonego zagrożenia w biznesie. W tym celu stosuje się takie kategorie jak mało prawdopodobne, możliwe, prawdopodobne i wysoce prawdopodobne. Pozwolą one na jednoznaczne określenie niskiego lub wysokiego ryzyka.
2. Bardziej skomplikowaną – czyli ilościową, która dotyczy określania prawdopodobieństwa wystąpienia danego ryzyka i skorelowania go z wartością konsekwencji. Połączenie te pozwala uzyskać bardziej szczegółowe i rzeczywiste wyniki. Przykładowo, gdy dane zagrożenie jest prawdopodobne, a jego skutki są poważne, to całościowe ryzyko można ocenić jako bardzo wysokie. Obrazuje to poniższa uproszczona tabela, w której do każdego czynnika dotyczącego działalności instytucji przypisuje się punktację od 1 do 3 w zależności od stopnia przyznanego ryzyka:
    

Taką tabelę modyfikuje się odpowiednio w każdej instytucji obowiązanej.

Gdy ryzyko zostanie rozpatrzone z uwzględnieniem wszystkich poszczególnych czynników, można przejść do oceny odnoszącej się do całościowej działalności danej instytucji. Kiedy zdefiniujemy obszary wymagające poprawy, w ocenie ryzyka dobrze jest określić konkretną osobę lub jednostkę, która będzie odpowiadać za przeprowadzanie tejże oceny i określanie harmonogramu jej prac.

Szczegółowa ocena ryzyka powinna mieć formę papierową lub elektroniczną. Musi być przedstawiona osobie odpowiedzialnej za wdrażanie obowiązków uwzględnionych w ustawie AML (osoba ta zatwierdza ocenę). Oprócz tego warto, aby z dokumentem zapoznał się zarząd i rada nadzorcza jednostek, w której owe organy funkcjonują, gdyż taki dokument może być motywacją do podjęcia pewnych decyzji strategicznych związanych z rozwojem i zarządzaniem danym podmiotem.

Co jeszcze ma znaczenie przy ocenie ryzyka AML?

Ocena ryzyka nie może być tworzona w oparciu o wzory dostępne w niektórych miejscach, np. w sieci. Każdy przedsiębiorca powinien sporządzić ocenę dostosowaną do charakteru oraz wielkości prowadzonej działalności, czyli do jej indywidualnych cech.

Poza tym, gdy w procesie oceny ryzyka dojdzie do ujawnienia wniosków o wysokim ryzyku dotyczącym danej instytucji, nie oznacza to jednoznacznie, że efektywność procedur i mitygantów jest niska. Często jest odwrotnie – może być to dowodem na to, że ocena została przeprowadzona prawidłowo, a jej rezultatem jest świadomość co do zagrożeń związanych z prowadzeniem konkretnej działalności. Za to charakter i skala funkcjonowania instytucji mogą nie dawać możliwości wyeliminowania wysokiego ryzyka związanego z praniem pieniędzy czy finansowaniem terroryzmu.

Co więcej, ocena ryzyka musi być na bieżąco aktualizowana. Zgodnie z ustawą należy odnawiać ją co najmniej co drugi rok – tak, aby zawsze odnosiła się na aktualnej sytuacji firmy. Artykuł 27 wskazuje, że okolicznościami szczególnymi, w których trzeba tego dokonywać, są zmiany czynników ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji i kanałów ich dostaw albo zmiany Krajowej Oceny Ryzyka czy Ponadnarodowej Oceny Ryzyka. Według UKNF warto też uwzględnić ważne i długotrwałe zmiany w otoczeniu gospodarczym, które mogą wpływać na działalność instytucji.

Stanowisko Komisji Nadzoru Finansowego przedstawia także wyniki analiz w kwestii popełnianych niedopatrzeń. W rezultacie, zazwyczaj popełniane błędy przy ocenie ryzyka to:

• niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym,
• pominięcie poszczególnych czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
• nieuwzględnienie harmonogramu planowanych działań w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
• brak wskazania finalnych wniosków wynikających z oceny ryzyka,
• niewłaściwy dobór metodyki, który nie uwzględnia istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka bądź określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.

Wnioski

Celem oceny ryzyka instytucji obowiązanej jest przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu. To zdecydowanie najważniejszy dokument w ramach ustawy AML. Należy określić w nim ekspozycję danej instytucji na ryzyko, a także zaproponować sposoby jego obniżenia. Właściwie przeprowadzona ocena powinna przedstawiać sytuację danego podmiotu w sposób kompleksowy, z uwzględnieniem różnorodnych czynników i zmiennych. W ten sposób będzie skutecznym i pomocnym elementem wdrażania procedur AML/CFT w każdej firmie.

Marcin Staniszewski, Kamila Wasilewska

Kancelaria Prawna RPMS Staniszewski & Wspólnicy