Ocena ryzyka prania pieniędzy i jej znaczenie

English (angielski)

Instytucje obowiązane, czyli podmioty zo­bo­wią­za­ne do re­ali­za­cji obo­wiąz­ków z usta­wy z dnia 1 mar­ca 2018 r. o prze­ciw­dzia­ła­niu pra­niu pie­nię­dzy i fi­nan­so­wa­niu ter­ro­ry­zmu powinny wiedzieć na co ma wpływ i jakie znaczenie ma ocena ryzyka prania pieniędzy, w jaki sposób dokonać oceny ryzyka prania pieniędzy oraz jakie są obligatoryjne elementy dokumentu oceny ryzyka. W niniejszym artykule postaramy się przybliżyć te kwestie.

Obowiązek identyfikacji i oceny ryzyka prania pieniędzy jako punkt wyjścia dla działań instytucji obowiązanej

Najważniejszym obowiązkiem w zakresie działań mających przeciwdziałać praniu pieniędzy jest określony w art. 27 ustawy AML obowiązek identyfikacji i oceny ryzyka związanego z praniem pieniędzy odnoszącego się do działalności instytucji obowiązanej, z uwzględnieniem czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Działania te powinny być proporcjonalne do charakteru i wielkości danego biura rachunkowego.

Ocena ryzyka związanego z działalnością danej instytucji obowiązanej jest kluczowym obowiązkiem. Materializuje się on w postaci konkretnego dokumentu i determinuje działania, które instytucja obowiązana podejmuje w zakresie przeciwdziałania praniu pieniędzy. Stanowi to punkt wyjścia do budowy wewnętrznych procesów związanych z AML.

Dokument oceny ryzyka – czyli w jakiej formie przygotować ocenę ryzyka prania pieniędzy i o czym należy pamiętać? 

Nie jest istotne w jakiej dokładnie formie papierowej biuro rachunkowego przygotuje ocenę, zarówno bowiem forma opisowa, jak i zestawienie w postaci arkuszu Excel będzie odpowiednie. Kluczowe bowiem jest przede wszystkim zmaterializowanie dokonywanej oceny w postaci dokumentu oraz treść dokumentu, tj. ujęcie czynników ryzyka z przypisaniem im odpowiednich wag.

Dokument oceny ryzyka prania pieniędzy powinien zawierać także opis zastosowanej metodologii, tj. wskazanie podstawowych założeń procesu oceny przedstawionego w dokumencie w danym okresie oraz na podstawie danych z dokumentacji źródłowej.

Wszelkie dokumenty stanowiące przy dokonywaniu oceny ryzyka źródło informacji, a także dokumentacja w postaci raportów z kontroli wewnętrznej i audytu warto załączyć do dokumentu oceny ryzyka lub po prostu przechowywać wraz z dokumentem. 

Należy pamiętać, że dokument oceny ryzyka w przypadku ewentualnej kontroli jest pierwszym analizowanym przez organ dokumentem. 

Poza podstawowym zakresem, który należy ująć w dokumencie oceny ryzyka, powinien on także obejmować zapisy dotyczące aktualizacji okresowej. Ponadto jeżeli w wyniku dokonania oceny ryzyka, instytucja obowiązana widzi konieczność podjęcia działań mitygujących to ryzyko, powinna wprowadzić także tzw. plan naprawczy z przedstawieniem odpowiednich mitygantów, czyli środków ograniczających ryzyko. 

Dokument oceny ryzyka należy odpowiednio zabezpieczyć i przechowywać – dokument powinien być traktowany jako wrażliwy.

identyfikacja ryzyka, czyli pierwszy krok oceny ryzyka prania pieniędzy

W pierwszej kolejności należy zastanowić się w jaki sposób potencjalni sprawcy mogliby wykorzystać produkty, usługi, rozwiązania czy wewnętrzne zasoby do realizacji nielegalnych celów. Innymi słowy biuro rachunkowe musi zidentyfikować ryzyka.  

Identyfikacja ta obejmuje przede wszystkim: 

• identyfikację klientów instytucji obowiązanej; 
• identyfikację państw lub obszarów geograficznych działania, np. obszary, z których pochodzi instytucja obowiązana, na terenie których prowadzi działalność, w których oferuje produkty, usługi i realizuje transakcje; 
• identyfikację produktów lub usług i rodzajów transakcji oferowanych przez instytucję obowiązaną. 

ustalenie poziomów ryzyka i analiza ryzyka

Następnie instytucja obowiązana uwzględniając czynniki wskazane powyżej powinna stworzyć odpowiedni dla siebie system oceny. Przykładowo system ten może zostać przedstawiony w formie skali punktowej, w której im niższa punktacja tym niższe ryzyko, odpowiednio im wyższa tym większe i ryzyko. Na potrzeby sporządzanego dokumentu oceny ryzyka możemy przyjąć kilka stopni ryzyka określając je jako: niskie, normalne, średnie, wysokie. 

Ujmując rzecz w uproszczeniu, na tym etapie oceniamy wpływ zidentyfikowanych ryzyk na daną instytucję obowiązaną. To znaczy, że oceniamy jakie jest prawdopodobieństwo wystąpienia w odniesieniu do swojej działalności prania pieniędzy przy uwzględnieniu np. rodzaju, stopnia trudności, poziomu złożoności, zainteresowania, dostępności, szybkości realizacji danego produktu lub usługi. 

Innymi słowy ocena ta obejmuje następujące kwestie: 

• Jakie jest prawdopodobieństwo wykorzystania naszego produktu lub usługi w celu zamaskowania aktywów? 
• Jak może przedstawiać się kwestia umiejętności korzystania z naszego produktu lub usługi w celu maskowania przeznaczenia środków? 
• Jaki jest poziom złożoności naszego produktu lub usługi? 
• Jaki jest poziom zainteresowania naszym produktem lub usługą osób z obszaru wysokiego ryzyka? 
• Jaka jest szybkość z jaką można wykonać transakcje dotyczące naszego produktu lub usługi? 
• Jaka jest typowa wielkość i częstotliwość transakcji związanych z naszym produktem lub usługą? 
• Jaka jest dostępność naszego produktu lub usługi? 

opracowanie schematu i procedur oceny ryzyka, czyli. właściwa ocena ryzyka

Ostatni etap jest w istocie podsumowaniem wszelkich działań podejmowanych przez biuro rachunkowe we wcześniejszych etapach. Instytucja obowiązana po zdefiniowaniu czynników ryzyka, zbiera i weryfikuje zgromadzone już dane nadając im odpowiednie miary i dokonując ostatecznej oceny ryzyka prania pieniędzy. 

Instytucja obowiązana określa zatem ryzyko inherentne związane z poszczególnymi czynnikami ryzyka, tj.  ryzyko nieodłącznie towarzyszące działalności prowadzonej przez daną instytucję obowiązaną. Następnie instytucja ta wdraża odpowiednie mityganty stanowiące mechanizmy kontrolne mające za zadanie ograniczanie ryzyka.  

Do mitygantów zaliczyć można między innymi: 

• wdrożenie odpowiednich wewnętrznych procedur,  
• szkolenia pracowników,  
• zlecanie opinii prawnych,  
• rozdzielność obowiązków,  
• stosowanie tzw. zasady „dwóch par oczu”,  
• stosowanie odpowiednich mechanizmów systemowych (dostępy, blokady),  
• stosowanie dostosowanego do danej instytucji KYC,  
• szeroko rozumiany monitoring rynku w obszarze przeciwdziałania praniu pieniędzy,  
• realny system raportowania do organu zarządzającego,  
• identyfikacja i zgłaszanie transakcji podejrzanych.

Podsumowanie poprzednich etapów poprzez uwzględnienie całościowej punktacji właściwych ryzyk pozwala na określenie poziomu ryzyka rezydualnego. Umożliwia też właściwemu organowi/osobie w danej instytucji obowiązanej ustalenie poziomu akceptacji ryzyka rezydualnego (ryzyka pozostającego nawet po wprowadzeniu konkretnych mitygantów). To z kolei prowadzi do ostatniego etapu, czyli ustalenia wniosków z przeprowadzonej oceny ryzyka i w konsekwencji ewentualnych planów naprawy. 

Innymi słowy dana instytucja obowiązana (tu: biuro rachunkowe): 

1. ocenia ryzyko inherentne – ryzyko występujące przy braku zastosowania jakichkolwiek środków je ograniczających w odniesieniu do każdego z czynników ryzyka; 
2. wskazuje mityganty ryzyka, ocenia czy są efektywne i na ile; 
3. ocenia ryzyko rezydualne – czyli to które pozostaje nawet po wprowadzeniu procedur kontroli ryzyka i mitygantów; 
4. definiuje jakie działania podejmie w związku z ryzykiem rezydualnym. 

Na skutek powyższego instytucja obowiązana ocenia jaka jest jej podatność na ryzyko. 

Należy pamiętać także o tym, że ocena ryzyka powinna zostać zatwierdzona przez odpowiednią osobę/organ zarządzający. Ponadto w zależności do ostatecznego poziomu ryzyka, również Rada Nadzorcza powinna zatwierdzić ocenę i plany dotyczące dalszych działań. 

Podsumowanie

Podsumowując oraz upraszczając opisany powyżej proces dokonywania oceny ryzyka prania pieniędzy można wskazać na podstawowe informacje oraz elementy, które stanowią niezbędne minimum w zakresie standardu, który musi zostać przez instytucję obowiązaną uwzględniony w dokumencie oceny ryzyka: 

• nazwa kategorii przypisywanej na podstawie ryzyka dotyczącego klientów, obszaru geograficznego działalności, produktów, usług, transakcji, kanałów dostaw i innych czynników ryzyk, opis poszczególnych czynników ryzyk, 
• ocena ryzyka inherentnego, 
• opis działań ograniczających dane ryzyko – mitygantów, 
• uwzględnienie i minimalizowanie czynników podwyższających ryzyko, 
• ocena ryzyka rezydualnego. 

Standard w tym zakresie wyznacza także pomocniczo wskazanie przez Komisję Nadzoru Finansowego na najczęstsze błędy popełniane przez instytucje obowiązane w tym zakresie. KNF zwraca uwagę na: 

• uwzględnienie wszystkich czynników ryzyka wymienionych w art. 27 ust. 1 ustawy AML; 
• uwzględnienie/wyodrębnienie punktu z wnioskami końcowym; 
• harmonogram planowanych działań w celu mitygacji ryzyka z racjonalnymi terminami wdrożeń; 
• odpowiedni dobór metodyki; 
• odróżnienie ryzyka inherentnego i rezydualnego. 

For English summary click here.

English (angielski)