Analiza ryzyka AML, ocena ryzyka AML i due diligence w AML

Zasady due diligence w kontekście AML

Jak przeprowadzać skuteczną analizę i ocenę ryzyka AML?

Tempo zmian, jakie ze względu na wciąż modyfikowane ustawodawstwo dokonują się zarówno w biznesie, jak w i prawie, można porównać do stwierdzenia: „wczoraj to historia, liczy się dziś”. Czasem jednak efekty zmian są trwalsze.

Przykładem było wejście w życie nowelizacji ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (zwaną dalej: „ustawą AML”), które zmieniło sposób funkcjonowania wielu przedsiębiorców. Podmioty objęte obowiązkiem ustawowym wynikającym z ustawy AML musiały dostosować swój biznes do nowych wymagań przez modyfikacje dokumentacji oraz procesów biznesowych.

Istotnymi elementami tych działań jest przeprowadzanie analizy ryzyka AML, tworzenie dokumentu oceny ryzyka AML oraz stosowanie zasad due diligence. Mimo upływu czasu, dokument oceny ryzyka wciąż sprawia trudności tak przedsiębiorcom, jak i urzędowi nadzorującemu.

Czym różni się analiza ryzyka AML od oceny ryzyka AML?

Na początku warto podkreślić, że „analiza ryzyka” i „ocena ryzyka” to dwa różne terminy, choć przez wielu zdają się być stosowane zamiennie. Jednak ustawa AML oraz Generalny Inspektor Informacji Finansowej (w komunikacie nr 36) podają, że dokument, w oparciu o który instytucje obowiązane powinny podjąć działania zmniejszające ryzyko prania pieniędzy i finansowania terroryzmu, to „ocena ryzyka”. Skąd więc termin „analiza ryzyka”?

W pierwszej rekomendacji FATF, organizacji międzyrządowej założonej w 1989 roku w celu opracowania polityki zwalczania prania pieniędzy, jest informacja o tym, że kraje w swojej ocenie ryzyka powinny zastosować podejście oparte na analizie ryzyka. Można więc powiedzieć, że termin „analiza ryzyka” oznacza metodę lub narzędzie służące do utworzenia dokumentu oceny ryzyka (i tak będzie on rozumiany w dalszej części tego artykułu). Wnioski z analizy ryzyka są istotną częścią oceny ryzyka. Sama jednak ocena ryzyka zawiera więcej informacji, o czym będzie w dalszej części artykułu.

Przedsiębiorcy będący instytucją obowiązaną w rozumieniu ustawy AML są zobowiązani stworzyć dokument oceny ryzyka. Determinuje on zastosowanie środków bezpieczeństwa finansowego oraz wdrożenie działań ograniczających zidentyfikowane ryzyka. Innymi słowy, umożliwia instytucjom obowiązanym działanie zgodnie z prawem. Ocena ryzyka jest rezultatem dobrze przeprowadzonej analizy ryzyka umożliwiającej poznanie swoich klientów oraz lepszą ocenę ich wiarygodności.

Jak ocenić, czy przedsiębiorca posiada dobrą analizę i ocenę ryzyka?

Jak podaje ustawa AML, przedsiębiorcy muszą identyfikować i oceniać ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu odnoszące się do ich działalności, z uwzględnieniem czynników ryzyka dotyczących:

  • klientów,
  • państw lub obszarów geograficznych (w których znajduje się siedziba klienta lub z którego klient pochodzi, lub w którym ma centrum swoich spraw),
  • produktów i usług,
  • transakcji lub kanałów ich dostaw.

Oprócz uwzględnienia charakteru i działalności przedsiębiorstwa, w ocenie ryzyka istotna jest realna identyfikacja i mitygacja czynników ryzyka. Właściwie przeprowadzony proces ma pozytywny wpływ na dalsze działania firmy, takie jak dostosowanie środków bezpieczeństwa finansowego oraz dokładne poznanie klienta. We wdrożeniu tego rodzaju działań pomaga zastosowanie narzędzia KYC (ang. know your customer, czyli poznaj swojego klienta). Ocenę ryzyka mogą wspierać również między innymi arkusz scoringowy zawierający analizę czynników ryzyka czy matryca z przypisaną wagą dla danego ryzyka.

Na co zwrócić uwagę, gdy firma już posiada dobrą analizę i ocenę ryzyka?

Podmiot posiadający dobrą analizę i ocenę ryzyka ma istotną część pracy za sobą. Dokument oceny ryzyka jest solidną bazą do tego, by właściwie dobrać środki bezpieczeństwa finansowego i wprowadzić odpowiednią procedurę AML.

Niestety część firm uległa mylnemu wrażeniu, że to już wystarczy. Podmioty te szybko jednak zweryfikowały swoje podejście w wyniku kontroli dokonywanych przez organ nadzorujący.

Pamiętaj!

Dokument oceny ryzyka powinien być na bieżąco aktualizowany i dostosowywany do zmieniającej się sytuacji firmy, w zależności od tego, jak na jej działania zareagują klienci i osoby trzecie.

Czym jest proces due diligence w kontekście AML?

Zarówno praktyka AML, jak i ustawodawca czerpią z dobrych wzorców. Wzorce te zostały opracowane między innymi w prawie amerykańskim i są nazywane terminem „due diligence”. W bardzo dużym skrócie oznacza to badanie i analizę podmiotów pod kątem ich sytuacji prawnej i finansowej. Chodzi tu o należytą staranność w ocenie, czy można z danym klientem nawiązać współpracę, czy jest on wypłacalny, a także – co niezwykle istotne – czy nie jest powiązany z działalnością przestępczą lub osobami, które taką działalność prowadzą.

Definicja procesów due diligence jest o tyle ważna, że coraz częściej organ nadzorujący będzie oceniał działania firm właśnie z tej perspektywy. Jakie ma do tego podstawy?

Po pierwsze, zarówno polskie ustawodawstwo (np. ordynacja podatkowa, ustawa AML), jak i dyrektywy unijne (np. 3. dyrektywa AML, dyrektywa CSRD czy CSDD – zarówno te wprowadzone do polskiego prawa, jak i te, które będą dopiero implementowane) wprowadzają obowiązek stosowania należytej staranności w ramach nawiązywania kontaktu z klientem czy przeprowadzania transakcji. Po drugie, urzędy nadzorujące (takie jak Komisja Nadzoru Finansowego, Generalny Inspektor Informacji Finansowej czy Narodowy Bank Polski) w swoich wskazaniach podkreślają, jak istotne jest właściwe przeprowadzenie procesu due diligence.

Na czym polega due diligence w analizie i ocenie ryzyka klienta?

Termin „należyta staranność” wydaje się nieostry i nie został on w pełni zdefiniowany w żadnej ustawie. Mimo to istnieją konkretne zasady, na podstawie których można ocenić, czy dany podmiot poprawnie przeprowadził proces due diligence.

Przedsiębiorca stosujący narzędzia lub metody w ramach tego procesu powinien móc:

  • zidentyfikować klienta oraz zweryfikować tożsamość klienta,
  • uzyskać informacje na temat beneficjenta rzeczywistego,
  • uzyskać informacje na temat celu i charakteru powiązań handlowych,
  • uzyskać informacje na temat celu korzystania przez klienta z usług przedsiębiorcy,
  • uzyskać informacje w zakresie pochodzenia źródeł majątkowych,
  • udokumentować i ocenić jakość uzyskanych informacji,
  • jeśli nie zastosowano jakiegoś środka bezpieczeństwa finansowego, to wyjaśnić powody, dla których tego nie zrobiono.

Połączenie due diligence z analizą ryzyka stanowi większą wartość dodaną niż tylko ocena, czy potencjalny klient stanowi zagrożenie dla firmy. Wszystko zależy od tego, czy zadanie to będzie potraktowane jako uciążliwy obowiązek czy szansa.

W tym miejscu warto również wspomnieć o dwóch kwestiach:

  • Niewłaściwie lub nadmiernie zastosowane procesu due diligence może narazić firmę zarówno na zbędne koszty związane ze zbyt dużym obciążeniem, jak też na utratę klienta. Jednak z drugiej strony, brak zastosowania tego procesu może narazić na sankcje administracyjne.
  • Czasami proces due diligence nie wystarczy – po analizie może okazać się, że klient wymaga zastosowania rozszerzonej należytej staranności (ang. enhanced due diligence).

Pamiętaj!

  • Instytucje obowiązane mają obowiązek stosowania środków bezpieczeństwa finansowego. Wynikiem ich zastosowania może być brak nawiązania relacji, rozwiązanie relacji biznesowej albo odmowa przeprowadzenia transakcji okazjonalnej.
  • Prawidłowo wprowadzony system zarządzania ryzykiem w obszarze AML powinien zawierać również mityganty, czyli środki podjęte w ramach przedsiębiorstwa w celu ograniczenia zdefiniowanych ryzyk. Właściwe stosowanie środków bezpieczeństwa finansowego, wdrożenie procedur AML, aktualne szkolenia zespołu oraz bieżące monitorowanie ryzyk, również mityguje (tj. ogranicza) zdefiniowane ryzyka.

Oto zatem 5 kroków, które firma musi wykonać:

1. Opracować metodologię analizy ryzyka.
2. Opracować dokument oceny ryzyka przedsiębiorstwa z uwzględnieniem zidentyfikowanych czynników ryzyka.
3. Przygotować ocenę ryzyka klientów.
4. Przygotować i wdrożyć procedurę AML zawierającą powyższe elementy.
5. Zapewnić swoim pracownikom i współpracownikom dostęp do szkoleń z zakresu AML.

Jaki jest następny krok, gdy firma ma już dobrą analizę ryzyka i stosuje zasady due diligence?

Dysponując dobrą metodologią analizy ryzyka i stosując zasady należytej staranności, firma może przejść do etapu tworzenia dokumentu oceny ryzyka. Dokument ten powinien zawierać nie tylko zidentyfikowane czynniki ryzyka, ale również działania, które podmiot podejmie lub już podjął, aby zmniejszyć wpływ tych czynników na swoją działalność. Należy również pamiętać, że dokument oceny ryzyka musi być elastycznie zmieniany i dostosowywany zarówno do czynników wewnętrznych zachodzących w firmie (np. wprowadzenie nowego produktu / usługi), jak i czynników zewnętrznych (np. zmiany przepisów prawa czy zmiany portfela klientów w związku z ekspansją na rynki zagraniczne).

Dobrą praktyką jest opracowanie planowych działań w formie harmonogramu. Należy jednak pamiętać, że ocena ryzyka jako dokument sensytywny, powinna również być aktualizowana, niezależnie od planów uwzględnionych w harmonogramie, w związku z zaistnieniem uwarunkowań wewnętrznych (np. wprowadzenie nowych produktów lub rozpoczęcie działalności na nowych obszarach), a także zewnętrznych (np. zmiany przepisów prawa albo objęcie danych krajów lub osób sankcjami międzynarodowymi).

***

Wszystkie kroki mające na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu można określić terminem „system AML”. System ten jest skuteczny tylko wtedy, gdy jest aktualizowany i wpływa realnie na działania przedsiębiorstwa. To ważne, gdyż na polskie ustawodawstwo w zakresie AML bardzo mocny wpływ ma ustawodawstwo europejskie, które co jakiś czas będzie przedstawiać nowe rozwiązania i obowiązki w obszarze AML.

Wszelkie obowiązki prawne i administracyjne można w swojej firmie wdrażać samodzielnie. Ale można również zaufać zewnętrznym specjalistom i dzięki temu móc skupić się na spokojnym prowadzeniu biznesu.

Proces analizy ryzyka, dokument oceny ryzyka oraz zasady due diligence mogą wydawać się skomplikowane i przytłaczające. Na szczęście z pomocą przychodzi zarówno technologia, jak i wypracowane przez ekspertów rozwiązania, które wspierają firmy w codziennym funkcjonowaniu – takie jak system analityczno-raportujący iAML, listy restrykcyjne iAML, ocena ryzyka AML, procedura AML czy szkolenie AML.

Chcesz dowiedzieć się, jak możesz rzetelnie i sprawnie realizować zadania AML w Twojej firmie?
Skontaktuj się z nami i porozmawiajmy o korzyściach z automatyzacji procesów AML!