We środę 15 kwietnia 2020 r. Urząd Komisji Nadzoru Finansowego („UKNF”, „Urząd”) opublikował stanowisko dotyczące oceny ryzyka instytucji obowiązanej („Stanowisko”), obowiązku nakładanego na instytucje obowiązane na mocy art. 27 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („Ustawa o AML”).
15 kwietnia 2020
Celem dokumentu jest przedstawienie dobrych praktyk w zakresie realizacji wspomnianego obowiązku. Urząd formułując wytyczne uwzględnił doświadczenia płynące z czynności analitycznych oraz z inspekcji przeprowadzonych w podmiotach nadzorowanych.
Ocena ryzyka ma na celu ustalenie podatności przeprowadzającej ją instytucji obowiązanej na wykorzystanie w procesie prania pieniędzy (sprawdź: ocena ryzyka AML) lub finansowania terroryzmu (ML/FT). Wprowadzenie tego obowiązku, nieznanego na gruncie obowiązującej poprzednio ustawy normującej w naszym kraju problematykę AML/CFT, stanowi wyraz transpozycji do polskiego porządku prawnego regulacji zawartej w art. 6 IV Dyrektywy AML. Wedle preambuły dyrektywy „ryzyko prania pieniędzy i finansowania terroryzmu nie jest takie samo w każdym przypadku. W związku z tym należy stosować całościowe podejście oparte na analizie ryzyka. (…)”. Jak podkreśla UKNF, ma to kluczowe znaczenie dla określenia działań podejmowanych przez instytucje obowiązane w celu przeciwdziałania procederowi prania pieniędzy oraz finansowania terroryzmu, stanowiąc tym samym punkt wyjścia do budowy wewnętrznych procesów związanych z zapobieganiem ML/FT. Istotne jest przy tym, że ocena ryzyka ma istotny wpływ m.in. na:
- świadomość instytucji dotyczącą ekspozycji na ryzyko ML/CFT, a w konsekwencji na ustalenie poziomu jej apetytu na ten rodzaj ryzyka;
- treść regulacji wewnętrznych stosowanych przez instytucję obowiązaną w obszarze AML/CFT;
- zakres i sposób stosowania środków bezpieczeństwa finansowego wobec klientów;
- działania podejmowane w celu mitygacji ryzyka ML/FT w obszarach działalności instytucji obowiązanej, szczególnie narażonych na to ryzyko.
Stosownie do treści art. 27 ust. 1 Ustawy o AML działania instytucji obowiązanej podejmowane w zakresie oceny ryzyka powinny być proporcjonalne do charakteru i wielkości tej instytucji (risk based approach). Tego rodzaju elastyczne podejście prawodawcy umożliwia instytucjom obowiązanym dostosowanie złożoności oceny ryzyka ML/FT czy zastosowanie takich migrantów ryzyka, które są adekwatne do charakteru oraz skali prowadzonej działalności.
Jak przypomina UKNF, nie należy tego jednak utożsamiać ze zwolnieniem instytucji z obowiązku uwzględnienia w procesie oceny pełnego, ustawowego katalogu czynników ryzyka dotyczących: klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Z tego względu szczególnie ważną inicjatywą jest sformułowanie przez Urząd w ramach Załącznika nr 1 do Stanowiska tabeli ze wskazaniem przykładowych obszarów powiązanych z poszczególnymi spośród ww. czynników ryzyka.
Inną konsekwencją zastosowania metody regulacji przewidzianej w art. 27 ust. 1 Ustawy o AML jest ustalenie, że skoro przewidziany tam katalog środków ma charakter minimalny, a punkt odniesienia dla skonkretyzowania sposobu realizacji obowiązków danej instytucji w zakresie oceny ryzyka ML/FT stanowi charakter jej działalności i wielkość instytucji obowiązanej, to ustawowe kryteria oceny mogą wymagać uzupełnienia, tak aby odpowiadały indywidualnej sytuacji danego podmiotu. Koresponduje z tym podejście UKNF, który z jednej strony wskazuje że analiza powinna uwzględniać także występowanie elementów, które mogą świadczyć o wyższym ryzyku ML/FT (art. 43 ust. 2 Ustawy o AML), przedstawiając jednak także przykładową listę dodatkowych kryteriów oceny. W ramach tej ostatniej listy Urząd uwzględnił przykładowo następujące okoliczności:
- narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną (np. systemy wspomagające proces analizy transakcji, systemy do weryfikacji klientów względem list sankcyjnych, itp.);
- stopień uzależnienia instytucji obowiązanej w obszarze związanym z AML/CFT od dostawców zewnętrznych;
- outsourcing procesów związanych z AML/CFT;
- adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka;
- planowane przez instytucję obowiązaną zmiany w działalności biznesowej, w szczególności jeśli dotyczą czynników ryzyka wskazanych w art. 27 ust. 1 Ustawy o AML;
- spodziewane zmiany struktury i liczby klientów, przychodów, wolumenów przeprowadzanych transakcji, itp.;
- planowane zmiany w strukturze organizacyjnej instytucji obowiązanej;
- planowane działania wynikające ze strategii instytucji obowiązanej, w szczególności planowane fuzje i przejęcia lub zmiany w strukturze własnościowej instytucji obowiązanej;
- możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych niezależnych od instytucji obowiązanej;
- istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.
Jak zauważa UKNF, zarówno lista obszarów, które mogą zostać wzięte pod uwagę w procesie oceny ryzyka (wskazanych w załączniku nr 1 do Stanowiska), jak również ww. lista dodatkowych czynników ryzyka mają charakter otwarty. Z tej perspektywy dla instytucji obowiązanych istotne jest zaadresowane do nich przez Urząd oczekiwanie uwzględnienia także innych, niż wskazane przykładowo w ramach Stanowiska, czynników lub obszarów ryzyka, jeżeli mają one wpływ na ryzyko danej instytucji.
Wedle ustawy przy ocenie ryzyka instytucje obowiązane mogą uwzględniać obowiązującą krajową ocenę ryzyka (art. 29 Ustawy o AML), jak również sprawozdanie Komisji Europejskiej, o którym mowa w ramach IV Dyrektywy AML (art. 6 ust. 1-3 dyrektywy). Niezależnie od elementów wymaganych ustawowo, warto zwrócić uwagę na sformułowany przez UKNF katalog dodatkowych źródeł informacji, których wykorzystaniu przysłuży się w ocenie Urzędu pozyskaniu pełniejszej wiedzy odnośnie ekspozycji na ryzyko oraz poszczególnych czynników ryzyka. UKNF oczekuje zatem, że instytucje obowiązane będą wykorzystywać w procesie oceny również dodatkowe źródła informacji, takie jak:
- wyniki audytów, zarówno wewnętrznych, jak i zewnętrznych;
- dokumenty wewnętrzne instytucji obowiązanej;
- procedury i dokumenty opracowane przez inne instytucje działające w ramach tej samej grupy;
- szeroko rozumiana wiedza ekspercka;
- stanowiska lub komunikaty odpowiednich organów, takich jak UKNF, Generalny Inspektor Informacji Finansowej (GIIF), Narodowy Bank Polski;
- opracowania Europejskich Urzędów Nadzoru, takich jak Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA);
- opracowania instytucji branżowych, funkcjonujących w ramach obszarów nadzorowanych przez KNF;
- opracowania instytucji międzynarodowych zajmujących się przeciwdziałaniem praniu pieniędzy, w szczególności Financial Action Task Force (FATF), Moneyval, Organizacji Narodów Zjednoczonych.
W Ustawie o AML, poza określeniem, że ocena ryzyka ML/FT sporządzana jest w postaci papierowej lub elektronicznej, nie zawarto regulacji które odnosiłyby się do metodyki jej sporządzania. Ten obszar zaadresowany został jednak w ramach Stanowiska. W dokumencie UKNF wskazał oczekiwany przez organ nadzoru, minimalny standard metodyczny, który należy zastosować w toku opracowania oceny ryzyka. Wedle UKNF w procesie tym należy uwzględnić:
- ocenę ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 Ustawy o AML;
- wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności;
- ocenę ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności;
- zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).
UKNF zwraca również uwagę instytucji obowiązanych na obowiązek aktualizacji oceny ryzyka nie rzadziej niż co 2 lata (art. 27 ust. 3 Ustawy o AML). Przesłanką powodującą przeprowadzenie obligatoryjnej aktualizacji wspomnianej oceny stanowi wedle ustawy także zmiana czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo wspomnianych wyżej krajowej lub ponadnarodowej oceny ryzyka. To istotne, o tyle że jak przypomina Urząd zarówno niesporządzenie oceny ryzyka, jak i zaniechanie jej aktualizacji w przypadkach gdy jest to wymagane, zagrożone jest odpowiedzialnością administracyjną (art. 147 pkt 2 Ustawy o AML).
Niezależnie od okoliczności wskazanych wprost w ustawie, UKNF oczekuje również od instytucji obowiązanych rozważenia przeprowadzenia takiej aktualizacji w sytuacji zaistnienia istotnych i długotrwałych zmian w otoczeniu gospodarczym, które mogłyby mieć znaczący wpływ na działalność operacyjną danej instytucji oraz sposób wykorzystania produktów i usług przez nią oferowanych.
Co więcej, zdaniem organu nadzoru, przegląd okresowy powinien obejmować również ocenę aktualności i adekwatności przyjętej metodyki oceny ryzyka oraz realizacji wskazanych w ocenie ryzyka działań, które zostały podjęte w celu zarządzania ryzykiem rezydualnym.
W Ustawie o AML nie rozstrzygnięto tego w jaki sposób powinno nastąpić zatwierdzenia oceny ryzyka. Niemniej jednak w ramach Stanowiska UKNF sprecyzował, iż oczekuje że zarówno wspominana ocena, jak i jej późniejsze aktualizacje będą każdorazowo zatwierdzane przez osobę odpowiedzialną w instytucji obowiązanej za wdrażanie obowiązków określonych w ustawie lub przez zarząd instytucji obowiązanej (art. 6 lub 7 Ustawy o AML). Niezależnie od powyższego, zdaniem Urzędu ocena ryzyka powinna być przedstawiana zarządowi oraz radzie nadzorczej – jako dokument zawierający aktualne informacje o stopniu ekspozycji na ryzyko ML/FT, zidentyfikowanych zagrożeniach i lukach w obszarze AML/CFT oraz planowanych działaniach w celu zarządzania ryzykiem rezydualnym.
UKNF oczekuje także, że ocena ryzyka oraz jej aktualizacje będą zatwierdzane przez nie tylko przez zarząd, ale także przez radę nadzorczą instytucji obowiązanej, w sytuacji gdy:
- poziom ryzyka instytucji obowiązanej zostałby określony, jako wysoki;
- poziom jej ryzyka odbiega od ustalonego poziomu apetytu na ryzyko ML/FT;
- planowane są działania na dużą skalę w celu skutecznego zarządzania ryzykiem rezydualnym.
Z punktu widzenia instytucji obowiązanych szczególnie cenne są wskazania UKNF dotyczące najczęstszych błędów popełnianych przy sporządzaniu ocen ryzyka, identyfikowanych przez Urząd w toku czynności kontrolnych. Katalog nieprawidłowości obejmuje:
- pominięcie niektórych czynników ryzyka wskazanych w art. 27 ust. 1 Ustawy o AML;
- brak wniosków końcowych z przeprowadzenia oceny ryzyka;
- brak harmonogramu planowanych działań mających na celu mitygację ryzyka lub nieracjonalnie określone terminy zawarte w takim harmonogramie;
- brak zrozumienia różnic pomiędzy ryzykiem inherentnym a rezydualnym;
- nieodpowiedni dobór metodyki sporządzenia oceny ryzyka, w tym brak nieuwzględnienie istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określenie podatności danej instytucji na ryzyko w sposób nieadekwatny do skali i rodzaju jej działalności.
Jeśli uważasz, że może mieć to wpływ na Twoją działalność, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
28 kwietnia 2020
10 kwietnia 2020
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP