
Badanie audytowe AML w instytucji obowiązanej – obowiązek czy źródło wartości?
Podstawy prawne, cechy, elementy, czas i częstotliwość skutecznego audytu AML
Badanie audytowe AML – zwane też audytem AML – bywa przez instytucje obowiązane postrzegane jako element systemu zgodności, który przede wszystkim generuje koszty i wymaga zaangażowania zasobów organizacji. Takie podejście może jednak prowadzić do pomijania korzyści, jakie niesie ocena rozwiązań i działań stosowanych w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Skuteczność systemu AML zależy nie tylko od wdrożonych procedur i narzędzi, ale również od regularnej oceny ich adekwatności oraz efektywności.
W tym kontekście audyt AML może pełnić istotną rolę, dostarczając wiedzy na temat funkcjonujących w danej organizacji mechanizmów kontrolnych i procesów zarządzania ryzykiem. Jego wyniki pozwalają nie tylko identyfikować potencjalne nieprawidłowości, lecz także wskazywać kierunki dalszego usprawniania systemu AML. Z tego względu warto rozpatrywać kontrolę audytową nie tylko jako element compliance, ale również jako źródło informacji wspierających zarządzanie organizacją.
Kluczowe zagadnienia na temat audytu AML omawiane w tym artykule:
- Jakie są podstawy prawne badania audytowego w ramach AML? M.in. art. 50 ust. 2 ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
- Czy audyt AML jest obligatoryjny w instytucji obowiązanej? Obowiązkowa jest kontrola wewnętrzna lub nadzór zgodności z przepisami AML/CFT.
- Jaki zakres i jaką częstotliwość powinien mieć audyt AML? To zależy od indywidualnej sytuacji instytucji obowiązanej – m.in. jej działalności, produktów, usług czy procesów.
- Co zmniejsza skuteczność audytu AML? Istnieje szereg czynników związanych m.in. z nastawieniem personelu, dostępnością dokumentacji czy procesem komunikacji z audytorem.
Jakie są podstawy prawne badania audytowego w obszarze AML?
Ustawa z dnia 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (dalej zwana ustawą AML) mówi o wielu różnych obowiązkach instytucji obowiązanych. Ich realizacja powinna opierać się na podejściu opartym na ryzyku (RBA – Risk-Based Approach) widocznym w ocenie ryzyka instytucji, ocenie ryzyka klienta oraz działaniach w zakresie należytej staranności wobec klienta (KYC – Know Your Customer, czyli zasadzie poznaj swojego klienta).
Ustawa AML, określając zakres działań mających na celu ograniczenie ryzyka prania pieniędzy, wskazuje m.in. w art. 50 ust. 2 ramowy ich katalog. Artykuł ten określa najważniejsze zasady, które instytucje obowiązane powinny ująć w swoich procedurach. Wśród wymienionych zasad przytoczona jest m.in. zasada „kontroli wewnętrznej lub nadzoru zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu ML/TF oraz zasadami postępowania określonymi w wewnętrznej procedurze”.
Czy audyt AML jest obligatoryjny w instytucji obowiązanej?
Wskazana powyżej zasada pochodząca z ustawy AML nie wskazuje wprost, że instytucje obowiązane powinny poddać się profesjonalnemu audytowi, jednak określa obowiązek przeprowadzenia wewnętrznej kontroli w celu oceny zgodności działalności instytucji z przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz zasadami postępowania określonymi w wewnętrznych procedurach.
Tego rodzaju kontrole wewnętrzne przeprowadzane są zazwyczaj przez:
- osobę, która jest bezpośrednio zaangażowana w dany proces – jest to powszechne w jednoosobowych działalnościach gospodarczych lub niewielkich organizacjach z ograniczonym budżetem,
- osobę lub jednostkę organizacyjną wewnątrz instytucji obowiązanej, która nie jest zaangażowana bezpośrednio w proces – zazwyczaj ma to miejsce w większych organizacjach.
Wymienione procesy kontrolne można wesprzeć zewnętrznym badaniem audytowym AML przeprowadzanym przez niezależną i niepowiązaną stronę trzecią, która dokonuje czynności audytowych lub świadczy usługi w zakresie profesjonalnego doradztwa.
Badanie audytowe przynosi instytucjom obowiązanym wiele korzyści, ale stanowi również pewne wyzwanie. Celem właściwego przygotowania warto przyjrzeć się jakie cechy powinien mieć taki audyt.
Jakie są kluczowe cechy badania audytowego w obszarze AML?
Określenie i zrozumienie celu audytu AML jest podstawowym elementem osiągnięcia maksymalnych korzyści. Decydując się na badanie oceny zgodności, standardowym oczekiwaniem wyższej kadry kierowniczej powinno być znalezienie wszystkich luk i niedociągnięć w stosowanym przez organizację programie AML. Ponadto, osoba odpowiedzialna powołana do przygotowania i opracowania tego programu (AMLRO), powinna przygotować organizację oraz dokumentację do badania w celu oceny skuteczności przyjętego programu.
Na etapie przygotowawczym istotne jest zarówno nastawienie AMLRO i pracowników merytorycznych, jak też ich gotowość do udzielenia informacji i przesłania odpowiednich dokumentów na etapie przygotowania do audytu. Przygotowanie to powinno być tak samo dokładne jak w przypadku kontroli organu nadzorczego, a personel powinien wspierać audytora (lub zespół audytorski) w trakcie procesu, aby ocenić stosowany program szczegółowo i rzetelnie.
Audyt AML można określić więc jako pewnego rodzaju ćwiczebny poligon, który ma odsłonić wszystkie luki i niedoskonałości wymagające działań naprawczych – po to, by po dokonaniu tych działań organizacja w ramach kontroli nadzorcy mogła wykazać pełną zgodność z przepisami dotyczącymi AML. A co ważniejsze, by instytucja obowiązana – będąc potencjalnym obiektem aktywności i działań osób podejrzanych – mogła zidentyfikować podejrzane sytuacje i transakcje oraz zapobiec im.
Jaki zakres powinien mieć audyt AML w instytucji obowiązanej?
Każda organizacja boryka się z ograniczoną dostępnością zasobów. Budżet, czas i kompetencje pracowników to istotne czynniki, które mają wpływ na poziom szczegółowości i efektywności badania audytowego. Dlatego, obok celu, wyższa kadra kierownicza razem z AMLRO powinna również określić zakres audytu przy ograniczonych zasobach.
W pierwszej kolejności uzasadnionym wyborem wydają się być krytyczne procesy wpływające na ocenę zgodności działania organizacji z przepisami ustawy AML. Koncentrując się jednak tylko na najistotniejszych procesach AML, można pominąć te, które działają bardzo dobrze, a które podlegają błędom wynikającym z rutyny lub brak optymalizacji.
Dobór odpowiednich procesów do kontroli audytowej pozwoli ujawnić ewentualnie słabe strony i zaadresować zmiany procesów. Przeprowadzone badanie audytowe, może mieć wpływ m.in. na ocenę ryzyka instytucji, realizowane na pierwszej linii procesy KYC czy też bardziej efektywne szkolenie pracowników.
Kiedy i z jaką częstotliwością należy przeprowadzać audyt AML?
Istotnym czynnikiem mającym wpływ na harmonogram badań audytowych są m.in. procesy „produkcyjne” danej organizacji. Cykl życia produktu lub cykl realizacji usługi wyznaczają naturalne momenty, kiedy instytucja jest zaangażowana w działania sprzedażowe lub optymalizacyjne, mogące dotyczyć obszaru AML. Z drugiej strony wskazują one też momenty, które nie są dobrym czasem do realizacji takiego audytu.
Obok tego naturalnego i łatwego do zidentyfikowania czynnika, instytucja obowiązana jest narażona na ryzyka wystąpienia incydentów mających istotny wpływ na jej sytuację. Wśród nich są m.in. kontrola nadzorcy czy ryzyko działań osób podejrzanych. Instytucja, określając więc termin i długość trwania badania audytowego, powinna rozstrzygnąć między konsekwencjami ryzyk, na które jest narażona, a zaangażowaniem w standardowe procesy operacyjne.
Uwzględniając ryzyko wynikające z kontroli nadzorcy, warto zauważyć, że za wysokimi karami nakładanymi przez organy nadzorcze nie zawsze stoją strukturalne błędy, a pojedyncze naruszenia czy uchybienia, za które nadzorca na gruncie prawa administracyjnego nakłada karę. Biorąc pod uwagę to podejście nadzorcy oraz ograniczenia wynikające z dostępności zasobów, organizacja powinna uwzględnić cykliczność i powtarzalność badania audytowego. obejmując zakresem audytu wymagane obszary – zarówno te, co do których organizacja jest przekonana, że świetnie funkcjonują, jak i te które wymagają optymalizacji.
Intensywność tych cykli powinna być dostosowywana na bieżąco i wynikać zarówno z oceny ryzyka instytucji, jak i sygnałów zgłaszanych w trakcie monitorowania procesów KYC czy AML. Cykliczność audytów, jest jednym z elementów ograniczania ryzyka i strat organizacji.
Jakie przeszkody i wyzwania zagrażają skuteczności audytu AML?
Audyt AML, jak każdy proces, jest narażony na ryzyka obniżające jego efektywność. Instytucja obowiązana powinna w szczególności przyjrzeć się tym obszarom, na które ma największy wpływ, czyli które występują po stronie tej instytucji.
Podejście personelu
Przeszkodą w realizacji audytu może być podejście personelu, który na różne sposoby może doprowadzać do przeciągania lub opóźniania badania audytowego. Takie podejście może wynikać z różnych powodów, jednak najczęściej czynnikiem łączącym jest zwyczajny ludzki odruch – strach. Emocja ta może być związana z obawą przed oceną pracy danego pracownika lub być efektem atmosfery panującej w organizacji, nastawionej na osiąganie wyników. O ile samo nastawienie na wyniki i jakość nie jest złe, o tyle narzędzia dobierane w celu osiągnięcia tego efektu mogą przyczynić się do generowania błędów.
Brak gotowości do usłyszenia informacji zwrotnej
Kolejnym z problemów jest brak gotowości do usłyszenia informacji zwrotnej. Informacja zwrotna oraz gotowość do przyjęcia odpowiedzialności za błąd w celu optymalizacji procesu i doskonalenia pracownika może być pierwszym etapem, który wspiera wzrost organizacji. A przecież błąd to standardowa sytuacja, która może wystąpić bez względu na to, czy wygeneruje go człowiek, czy algorytm. Podczas badania audytowego ta tendencja jest widoczna m.in. w sytuacji, gdy – pokazując przestrzenie wymagające działań naprawczych – audytor może usłyszeć stwierdzenia typu „proces jest w porządku, tu nie ma żadnych błędów”.
Utrudnienia w procesie komunikacji
Innym wyzwaniem mogą okazać się utrudnienia w procesie komunikacji. Mogą wystąpić na różnych poziomach, tworząc bariery zarówno w odbiorze audytora, jak i pracownika, który uczestniczy w audycie. Bez względu na powód utrudnień, zarówno organizacja, jak i audytor powinni dążyć do usunięcia utrudnień po to, aby nie zatarł się cel badania audytowego, tj. dostosowanie procesów do wymagań nadzorczy i przepisów prawa. Na etapie badania audytowego najłatwiej o ten błąd w przypadku, gdy pracownik wykonuje dany proces niemal rutynowo, tłumacząc go audytorowi skraca elementy procesu, które wydają się być nieistotne. To może prowadzić do niezrozumienia procesu i błędów w interpretacji działań organizacji.
Brakująca dokumentacja
Utrudnienia czasem dotyczą brakującej dokumentacji. Skuteczność i jakość audytu zależą istotnie od współpracy po stronie pracowników organizacji oraz przesłania przez nich odpowiednich dokumentów lub informacji. Zdarza się, że organizacja lub pracownik chce lepiej pokazać się przed audytorem, ukrywając pewne fakty czy dokumenty. W efekcie to działanie sprawia, że taki pracownik odbiera sobie możliwość poprawy i optymalizacji, które mogą z kolei prowadzić do eliminacji np. nieświadomych błędów wynikających z rutyny.
Nieprzygotowanie pracownika
Warto też wspomnieć o kwestii nieprzygotowania pracownika do audytu. Zdarza się, że instytucja obowiązana podejmuje się badania audytowego np. w czasie wdrożenia nowego produktu czy optymalizacji ważnego procesu. Często konsekwencją wyboru takiego momentu jest oddelegowanie do współpracy z audytorami pracownika, który nie posiada odpowiedniego doświadczenia w procesie lub nie ma wszystkich informacji. W efekcie audytor może natrafić na kumulację różnych barier – od stresu pracownika, po brak wiedzy lub doświadczenia w procesie. Bez względu na przyczynę, efekt jest podobny jak w przypadku braku istotnej dokumentacji. To również wpływa na efekt końcowy audytu.
Badanie audytowe AML – element skutecznego zarządzania ryzykiem
Badanie audytowe przeprowadzane w obszarze AML dotyka wielu obszarów funkcjonowania firmy i ma wpływ na szeroko pojętą działalność instytucji obowiązanej. Zakres tego wpływu i jego efekty są mocno uzależnione od strategii przyjętej przez daną organizację oraz jej dojrzałości i otwartości na procesy audytowe.
Dobre przygotowanie do tego ważnego wydarzenia, jakim jest audyt AML, jest kluczowe. Jeśli spełnione są wszystkie kryteria przeprowadzania audytu, to wyniki mogą znacząco przerosnąć oczekiwania, dając unikalną informację zwrotną i wspierając organizację w budowaniu odporności zarówno w kontekście efektywnego przejścia kontroli nadzorcy, jak i uniknięcia wykorzystania instytucji obowiązanej w procederach prania pieniędzy.
Chcesz mieć pewność, że procesy i procedury AML w Twojej firmie odpowiadają realnym ryzykom i poprawnie wypełniają wszystkie obowiązki prawne w zakresie AML?
Skontaktuj się z nami – przeprowadzimy niezależny, profesjonalny audyt AML i pomożemy zidentyfikować obszary wymagające usprawnień, zanim zrobi to nadzorca podczas kontroli.
FAQ, czyli audyt AML w pigułce:
1. Czy instytucja obowiązana musi przeprowadzać audyt AML?
Ustawa AML nie wskazuje wprost, że instytucje obowiązane powinny poddać się profesjonalnemu audytowi, ale określa obowiązek przeprowadzenia wewnętrznej kontroli w celu oceny zgodności działalności instytucji z przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz zasadami postępowania określonymi w wewnętrznych procedurach.
2. Które obszary działania instytucji obowiązanej sprawdza audyt AML?
Zakres audytu AML może obejmować np. ocenę procedur wewnętrznych, analizę ryzyka, procesów identyfikacji i weryfikacji klientów i beneficjentów rzeczywistych, monitorowania transakcji, raportowania czy realizacji obowiązków szkoleniowych. Audytorzy oceniają nie tylko zgodność z przepisami, ale również skuteczność funkcjonujących mechanizmów. Celem jest identyfikacja obszarów wymagających usprawnień oraz ograniczenie ryzyka niezgodności.
3. Czy audyt AML można zlecić podmiotowi zewnętrznemu?
Tak. Wiele instytucji obowiązanych korzysta z usług niezależnych ekspertów zewnętrznych – takich jak iAML – zapewniających obiektywną ocenę systemu AML funkcjonującego w danej organizacji. Takie podejście rozwiązuje problem braku czasu, zasobów i kompetencji wewnątrz organizacji, a także pozwala skorzystać z doświadczeń ekspertów zdobytych podczas pracy z różnymi podmiotami i sektorami rynku.
4. Czy audyt AML koncentruje się tylko na zgodności z przepisami?
Nie. Oprócz oceny zgodności z wymaganiami prawnymi audyt AML może obejmować również analizę efektywności procesów, adekwatności stosowanych środków i narzędzi, a także jakości zarządzania ryzykiem. Dzięki temu organizacja otrzymuje w wyniku badania audytowego rekomendacje usprawniające procesy związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu.
5. Jak przygotować swoją organizację do audytu AML?
Przed rozpoczęciem audytu warto zgromadzić pełną i aktualną dokumentację AML, w tym procedury, ocenę ryzyka, rejestry szkoleń oraz dokumentację potwierdzającą realizację obowiązków ustawowych. Pomocne jest także wyznaczenie osób odpowiedzialnych za współpracę z audytorami. Dobre przygotowanie do badania audytowego usprawnia proces i pozwala uzyskać wartościowe wnioski.
6. Jak wygląda audyt AML krok po kroku?
Audyt AML zazwyczaj rozpoczyna się od ustalenia zakresu i zebrania wstępnych informacji o organizacji. Następnie audytorzy analizują dokumentację, procesy, ocenę ryzyka oraz dowody realizacji obowiązków ustawowych. Kolejnym etapem są rozmowy z kluczowymi pracownikami i weryfikacja praktycznego stosowania procedur. Na końcu przygotowywany jest raport zawierający ustalenia oraz rekomendacje usprawniające system AML.
7. Jakie konkretne korzyści może przynieść audyt AML?
Audyt AML pozwala spojrzeć na funkcjonujący w danej instytucji system AML z niezależnej perspektywy i zweryfikować, czy stosowane rozwiązania są zgodne z prawem i adekwatne do sytuacji podmiotu. Może pomóc w identyfikacji braków i problemów, usprawnieniu procesów oraz lepszym przygotowaniu organizacji na ewentualne kontrole nadzorcze i zmieniające się wymagania regulacyjne. Jest też źródłem rekomendacji wspierających usprawnianie procesów i systemu AML.



