Czym jest ocena ryzyka zgodnie z ustawą AML?
Ocena ryzyka stanowi punkt wyjścia dla procedur Anti-Money Laundering oraz Counter Financing of Terrorism. Jej celem jest bezpośredni wpływ na sposób ich tworzenia oraz funkcjonowania. Dlatego formułowanie oceny ryzyka musi przebiegać bezbłędnie – inaczej narażamy się na poważne konsekwencje. Najpoważniejszą jest nakładanie wysokich kar pieniężnych przez organy kontrolne.
Kto musi przygotować ocenę ryzyka? Przede wszystkim tzw. instytucje obowiązane, które określa się tak ze względu na rodzaj prowadzonej działalności. Do tego grona zaliczają się więc banki, kantory, maklerzy, firmy ubezpieczeniowe, inwestycyjne, a także podmioty zajmujące się doradztwem podatkowym. To jednak nie wszystko – wśród instytucji obowiązanych wymienia się również adwokatów, radców prawnych oraz notariuszy w zakresie, w którym uczestniczą w handlu nieruchomościami czy otwieraniu rachunków bankowych. Poza tym w tej grupie znajdują się także stowarzyszenia, fundacje i przedsiębiorcy, którzy biorą udział w transakcji gotówkowej o wartości równej lub przekraczającej 10 000 euro.
15.04.2020 roku Urząd Komisji Nadzoru Finansowego wydał stanowisko w sprawie sposobu tworzenia oceny ryzyka i odpowiednie praktyki w tym zakresie. Wytyczne zostały utworzone z myślą o podmiotach będących pod nadzorem KNF, czyli rynku ubezpieczeniowego, kapitałowego, emerytalnego, a także członków kas spółdzielczych i sektora bankowego. Jednak zawarte w tym stanowisku informacje sprawdzą się w przypadku każdej instytucji obowiązanej.
Główne czynniki ryzyka według ustawy AML
W międzynarodowym standardzie zwanym Key Risk Indicators znajduje się 5 wskaźników ryzyka, które uwzględnia się podczas oceny, czyli:
- Typ, wielkość i złożoność biznesu.
- Oferowane produkty i usługi.
- Rodzaje klientów i relacje do nich – B2B, B2C.
- Metody przyjmowania nowych klientów i komunikacji z obecnymi.
- Ryzyka geograficzne.
Mimo to najważniejszym dokumentem dla przedsiębiorców powinien być krajowy akt prawny. Zawiera on zbliżone wskaźniki, dlatego przy ocenie warto kierować się każdym z tych standardów, choć z naciskiem na krajowy.
Artykuł 27 ust. 1 polskiej dyrektywy zawiera czynniki dotyczące klientów, państw lub obszarów geograficznych, produktów, usług i transakcji, lub kanałów ich dostaw. Jeden czynnik to jedna główna kategoria, zgodnie z którą przeprowadza się ocenę. We wszystkich kategoriach znajdują się też różne zmienne, dostosowywane do typu działalności (pozwalają precyzyjniej określić dane ryzyko). KNF informuje, że ocena musi uwzględniać również:
- Wykorzystywane t narzędzia i systemy informatyczne,
- Skuteczność systemu szkoleń w zakresie AML i CFT,
- Stopień uzależnienia od dostawców zewnętrznych,
- Outsourcing procesów związanych z AML i CFT,
- Możliwość zagwarantowania ciągłości działania procesów AML i CFT w razie wystąpienia sytuacji kryzysowych,
- Dopasowanie struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT do zidentyfikowanego ryzyka,
- Skalę rotacji pracowników oraz kierownictwa jednostek odpowiedzialnych za procesy AML/CFT,
- Skuteczność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
- Planowane zmiany w działalności biznesowej/strukturze organizacyjnej,
- Ważne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.
Inne przydatne źródła to Krajowa Ocena Ryzyka i Ponadnarodowa Ocena Ryzyka, które wymienia ustawa AML. Ponadnarodowa Ocena Ryzyka jest sprawozdaniem utworzonym przed KE w celu uregulowania systemy AML. Dodatkowe wskazówki w tej kwestii zawierają też stanowiska, komunikaty i audyty organów GIIF, UKNF, NBP, czy opracowań wydanych przez międzynarodowe instytucje zajmujące się przeciwdziałaniem praniu pieniędzy, np. ONZ czy Financial Action Task Force. Warto zajrzeć też do opracowań organów Europejskiego Systemu Nadzoru i innych, eksperckich źródeł.
Strategie i metody przygotowania dokumentacji AML
W dyrektywie AML nie znajdziemy dokładnego opisu metodyki sporządzania oceny ryzyka. W ten sposób ustawodawca daje do zrozumienia, że strategie jej formułowania będą różne w zależności od typu prowadzonej działalności. Mimo to istnieją elementy, które muszą znaleźć się w takim dokumencie, czyli tzw. minimalny standard metodyczny wyznaczony przez UKNF.
Dlatego na początku trzeba określić ocenę ryzyka inherentnego, a więc istniejącego bez zastosowania działań prewencyjnych, procedur i zabezpieczeń AML. O samej dokumentacji AML przeczytać można więcej m. in. na stronie: https://rpms.pl/dokumenty-aml, zaś kolejny krok to wymienienie środków podjętych, aby owe ryzyko obniżyć, czyli mitygantów. Na końcu należy ocenić ich skuteczność aktualną i spodziewaną.
Później przechodzimy do sporządzenia oceny ryzyka rezydualnego. To ryzyko pozostające pomimo wdrożenia różnego rodzaju mitygantów i po zastosowaniu oceny ich efektywności. Dlaczego jest to konieczne? Ponieważ nie można stwierdzić, że ryzyko wykorzystania konkretnej instytucji do prania pieniędzy lub finansowania terroryzmu jest w 100% możliwe do wyeliminowania. W związku z tym, konieczne jest określenie metod zarządzania ryzykiem rezydualnym.
Oba rodzaje ryzyka muszą zostać przeanalizowane w odniesieniu do czynników wymienionych w art. 27 ust. 1 dyrektywy. Jako przykład może posłużyć Nowa Zelandia, która operuje jednym z najbardziej nowoczesnych ustawodawstw w dziedzinie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Obejmuje ono dwie metody:
- Prostszą – mniej skomplikowany sposób, polegający na definiowaniu prawdopodobieństwa wystąpienia danego zagrożenia w biznesie. Do jego określenia korzysta się z kategorii typu: mało prawdopodobne, możliwe, prawdopodobne, wysoce prawdopodobne. W ten sposób można szybko i jednoznacznie ocenić niskie lub wysokie ryzyko.
- Bardziej skomplikowaną – w tym przypadku chodzi o metodę ilościową, związaną z określaniem prawdopodobieństwa wystąpienia danego ryzyka oraz skorelowania go z wartością konsekwencji. W ten sposób można uzyskać znacznie dokładniejsze i realistyczne wyniki. Na przykład: zagrożenie jest prawdopodobne, a jego skutki poważne – wówczas ryzyko całościowe określamy jako bardzo wysokie. Można zrobić to za pomocą poniższej tabeli, w której każdy czynnik związany z działalnością instytucji obowiązanej ma przypisaną punktację od 1 do 3, zależnie od poziomy ryzyka:
Kiedy rozpatrzymy ryzyko, uwzględniając każdy z powyższych czynników, możemy dokonać oceny odnoszącej się do całościowej działalności danej instytucji. Gdy określimy, jakie kwestie czy obszary wymagają zmian i poprawy, warto wyznaczyć do tego odpowiednią osobę lub jednostkę, która będzie odpowiedzialna za realizację takiej oceny i określenie przebiegu jej prac.
Jaką formę powinna mieć szczegółowa ocena ryzyka? Może być to forma papierowa lub elektroniczna. Jednocześnie trzeba zadbać o to, aby zapoznała się z nią osoba odpowiedzialna za wdrażanie obowiązków, o których traktuje ustawa AML. Ta sama osoba zatwierdza sporządzoną ocenę.
Ocena ryzyka jest dokumentem, który może stanowić motywację do podjęcia różnych strategicznych decyzji mających związek z rozwojem i zarządzaniem podmiotem. Dlatego warto przedstawić go zarządowi i radzie nadzorczej konkretnej jednostki.
Inne kwestie, na które warto zwrócić uwagę
Przede wszystkim nie warto tworzyć ocen ryzyka, opierając się na wzorach dostępnych w Internecie. Prawidłowo sformułowany dokument będzie odnosił się do konkretnej działalności, jej indywidualnych cech i wielkości. Dlatego przedsiębiorcy muszą sporządzać je we własnym zakresie.
Oprócz tego, gdy ocena ryzyka ujawni wnioski o wysokim ryzyku w danej instytucji, nie trzeba od razu zakładać, że skuteczność procedur oraz mitygantów jest zbyt słaba. Często jest wręcz przeciwnie – taka ocena stanowi dowód, że została przeprowadzona dokładnie i prawidłowo. W efekcie daje wiedzę o zagrożeniach, które wiążą się z prowadzeniem danego rodzaju działalności. Poza tym w przypadku niektórych instytucji nie ma możliwości, aby wyeliminować wysokie ryzyko związane z praniem pieniędzy czy finansowaniem terroryzmu, np. ze względu na jej charakterystykę czy skalę działania.
Dodatkowo ocena ryzyka powinna być regularnie aktualizowana. Według ustawy AML dokument ten wymaga odnowienia co 2 lata, żeby zawsze dotyczył bieżącej sytuacji przedsiębiorstwa. Artykuł 27 wymienia też wyjątkowe okoliczności, w których trzeba aktualizować ocenę, czyli zmiany czynników ryzyka związanych z państwami lub obszarami geograficznymi, klientami, usługami, produktami, transakcjami i kanałami dostaw. Kolejnym wyjątkiem są zmiany Krajowej Oceny Ryzyka oraz Ponadnarodowej Oceny Ryzyka. UKNF zaznacza też, że do takich sytuacji można zaliczyć istotne, długofalowe zmiany w otoczeniu gospodarczym, wpływające na funkcjonowanie instytucji.
Najczęściej popełniane błędy przy ocenie ryzyka
KNF ujawniło wyniki analiz związanych z popełnianymi błędami w ocenach ryzyka i są to:
- brak zrozumienia różnic pomiędzy ryzykiem inherentnym a rezydualnym,
- nieuwzględnienie poszczególnych czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
- pominięcie harmonogramu planowanych działań w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
- niewskazanie ostatecznych wniosków wynikających z oceny ryzyka,
- nieprawidłowy dobór metodyki, który nie uwzględnia istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.
Podsumowanie. Ocena ryzyka jako najważniejszy dokument ustawy
Ocena ryzyka instytucji obowiązanej jest najważniejszym dokumentem ustawy AML. Pozwala na ustalenie poziomu, w jakim konkretna instytucja jest narażona na ryzyko i sposobów, za pomocą których można to ryzyko zniwelować lub obniżyć. Prawidłowo przeprowadzona ocena jest kompleksowa, prezentuje różne czynniki i zmienne odnoszące się do określonego podmiotu. Może być dokumentem niezwykle pomocnym w planowaniu oraz wprowadzaniu niezbędnych zmian i procedur AML/CFT.
fot. materiały prasowe