AML - stanowisko UKNF dotyczące oceny ryzyka instytucji obowiązanej

Wszystkie wymienione w art. 27 ustawy czynniki muszą zostać w sposób bezpośredni uwzględnione w ocenie ryzyka przez instytucję obowiązaną. Należy jednak podkreślić, iż katalog zawarty w art. 27 nie jest katalogiem zamkniętym. Po stronie instytucji obowiązanej leży identyfikacja dodatkowych czynników ryzyka, biorąc pod uwagę skalę i charakter prowadzonej działalności. Wskazane w stanowisku KNF dodatkowe czynniki ryzyka mają bardzo różnorodny charakter. Świadczy to o tym jak kompleksowo UKNF podchodzi do oceny ryzyka instytucji obowiązanej i jak dokładnie będzie sprawdzał podczas kontroli stopień przygotowania instytucji obowiązanych w tym zakresie. Dlatego istotne jest, aby instytucje obowiązane uwzględniały właściwe dla nich czynniki ryzyka. Na pewno warto po publikacji stanowiska KNF przyjrzeć się raz jeszcze zastosowanym w ocenie ryzyka czynnikom, a jeśli okaże się, że nie uwzględniliśmy wszystkich właściwych – całą ocenę powtórzyć.

W swoim stanowisku, UKNF wskazuje na potencjalne dodatkowe czynniki ryzyka. Należą do nich w szczególności:

• narzędzia i systemy informatyczne wykorzystywane przez instytucję obowiązaną (np. systemy wspomagające proces analizy transakcji, systemy do weryfikacji klientów względem list sankcyjnych, itp.),
• outsourcing procesów związanych z AML/CFT,
• adekwatność struktury organizacyjnej oraz liczby pracowników odpowiedzialnych za wykonywanie obowiązków AML/CFT w stosunku do zidentyfikowanego ryzyka,
• efektywność systemu kontroli wewnętrznej i jego adekwatność w stosunku do wielkości instytucji obowiązanej,
• efektywność systemu szkoleń w zakresie AML/CFT,
• planowane przez instytucję obowiązaną zmiany w działalności biznesowej, w szczególności jeśli dotyczą czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
• spodziewane zmiany struktury i liczby klientów, przychodów, wolumenów przeprowadzanych transakcji, itp.,
• planowane zmiany w strukturze organizacyjnej instytucji obowiązanej,
• planowane działania wynikające ze strategii instytucji obowiązanej, w szczególności planowane fuzje i przejęcia lub zmiany w strukturze własnościowej instytucji obowiązanej,
• możliwość zapewnienia ciągłości działania procesów AML/CFT w przypadku wystąpienia sytuacji kryzysowych niezależnych od instytucji obowiązanej,
• istotne zmiany w otoczeniu prawnym związane z przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu.

Należy także podkreślić, że ocena ryzyka instytucji obowiązanej nie funkcjonuje w próżni i jest immanentnie powiązana z procedurą przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu oraz stanowi podstawę prawidłowego przygotowania tej ostatniej. Błędy popełnione podczas przygotowywania oceny ryzyka będą mieć bezpośrednie przełożenie na inne czynności i działania, które instytucja obowiązana musi podejmować na podstawie obowiązujących przepisów.

Źródła

Art. 27 ust. 2 ustawy wskazuje na dwa źródła, które mogą być wykorzystane przez instytucje obowiązane w procesie oceny ryzyka, tj. Krajową Ocenę Ryzyka (o której mowa w art. 29 ustawy) oraz Ponadnarodową Ocenę Ryzyka (przygotowaną przez Komisję Europejską).

Zdaniem KNF - instytucje obowiązane powinny wykorzystywać na potrzeby przygotowania oceny ryzyka również dodatkowe źródła informacji, takie jak:

• wyniki audytów, zarówno wewnętrznych, jak i zewnętrznych,
• dokumenty wewnętrzne instytucji obowiązanej,
• procedury i dokumenty opracowane przez inne instytucje działające w ramach tej samej grupy,
• szeroko rozumianą wiedzę ekspercką,
• stanowiska lub komunikaty odpowiednich organów, takich jak UKNF, Generalny Inspektor Informacji Finansowej (GIIF), Narodowy Bank Polski, opracowania Europejskich Urzędów Nadzoru, takich jak Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA),
• opracowania instytucji branżowych, funkcjonujących w ramach obszarów nadzorowanych przez KNF,
• opracowania instytucji międzynarodowych zajmujących się przeciwdziałaniem praniu pieniędzy, w szczególności Financial Action Task Force (FATF), Moneyval, Organizacji Narodów Zjednoczonych.

UKNF podkreśla kluczową rolę audytu przy tworzeniu oceny ryzyka. Nie ulega wątpliwości, że aby przeprowadzić ocenę systemów kontroli z należytą starannością, instytucja obowiązana powinna przeprowadzić audyt z zakresu AML/CFT. Zwłaszcza, gdy mówimy o instytucjach finansowych, które są obarczone największym ryzykiem ze względu na charakter prowadzonej działalności.

Metodyka

Ustawa nie narzuca konkretnej metodyki, jaką należy zastosować w toku przygotowania oceny ryzyka. W praktyce ocena ryzyka może zostać przygotowana w oparciu o metody ilościowe, polegające na określeniu wartości skutku i prawdopodobieństwa materializacji danego ryzyka, jakościowe szacowanie ryzyka, które jest indywidualną oceną opartą m.in. na dobrych praktykach i doświadczeniu, jak również metody mieszane, wykorzystujące elementy metody jakościowej i ilościowej.

Dobór metody, jaką należy stosować, różnić się będzie w zależności od skali oraz charakteru prowadzonej działalności. Co do zasady, jakościowe szacowanie ryzyka będzie bardziej właściwe dla mniejszych instytucji, prowadzących mniej skomplikowaną i nacechowaną niższym ryzykiem działalność. Z kolei uwzględnienie danych ilościowych pozwoli na zidentyfikowanie poziomu ekspozycji instytucji na dane ryzyko. Jest to szczególnie ważne w kontekście instytucji oferujących szeroki wachlarz produktów finansowych. Ponadto, należy podkreślić, iż niezależnie od przyjętej przez instytucję obowiązaną metodyki, jej opis powinien być jednym z elementów procesu oceny ryzyka, podlegającego kontroli UKNF.

UKNF oczekuje, że minimalny standard metodyczny, który należy uwzględnić w toku opracowania oceny ryzyka (przy uwzględnieniu pewnej dowolności w odniesieniu do zastosowanej metodyki) będzie obejmował 4 elementy:

• ocenę ryzyka inherentnego, czyli ryzyka występującego w sytuacji braku działań podjętych w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka i/lub ograniczenia jego efektów, w odniesieniu do każdego czynnika ryzyka wymienionego w art. 27 ust. 1 ustawy,
• wskazanie mitygantów ryzyka oraz poddanie ocenie ich efektywności,
• ocenę ryzyka rezydualnego, czyli ryzyka pozostającego po wprowadzeniu procedur kontroli ryzyka, mitygantów oraz po dokonaniu oceny ich efektywności,
• zdefiniowanie planowanych przez instytucję obowiązaną działań w celu zarządzania ryzykiem rezydualnym (o ile są planowane).

Instytucje obowiązane, po dokonaniu oceny ryzyka inherentnego i rezydualnego związanego z poszczególnymi czynnikami ryzyka, o których mowa powyżej, powinny określić finalną podatność instytucji na ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu. UKNF podkreślił w swoim stanowisku, iż przyjęte założenia i wnioski muszą być racjonalne i powinny rzetelnie określać ekspozycję na ryzyko instytucji. Ponadto, UKNF wskazuje, iż w ocenie ryzyka powinny znaleźć się także harmonogram oraz wskazanie jednostki odpowiedzialnej za realizację planowanych działań, które zostaną podjęte przez instytucję obowiązaną w celu zaadresowania zidentyfikowanych nieprawidłowości lub w celu obniżenia ryzyka do akceptowalnego poziomu.

Zatwierdzenie oceny ryzyka

UKNF oczekuje, że ocena ryzyka oraz jej aktualizacje będą każdorazowo zatwierdzane przez osobę odpowiedzialną za wdrażanie obowiązków określonych w ustawie, o której mowa w art. 7 ustawy, lub przez zarząd instytucji obowiązanej. Ocena ryzyka powinna być przedstawiana zarządowi oraz radzie nadzorczej instytucji obowiązanej, jako dokument zawierający aktualne informacje o stopniu ekspozycji na ryzyko instytucji, zidentyfikowanych zagrożeniach i lukach w procesie AML/CFT oraz planowanych działaniach w celu zarządzania ryzykiem rezydualnym. UKNF oczekuje, że w przypadku, gdy:

• poziom ryzyka instytucji obowiązanej zostanie określony, jako wysoki,
• poziom ryzyka odbiega od apetytu na ryzyko instytucji,
• planowane są działania na dużą skalę w celu skutecznego zarządzania ryzykiem rezydualnym,

ocena ryzyka oraz jej aktualizacje będą zatwierdzana przez zarząd oraz radę nadzorczą instytucji obowiązanej.

Aktualizacja oceny ryzyka

Zgodnie z art. 27 ust. 3 ustawy - ocenę ryzyka instytucje obowiązane sporządzają w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują ją, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów.

UKNF oczekuje, że oprócz wystąpienia wskazanych w art. 27 ust. 3 ustawy przypadków, obligujących do aktualizacji oceny ryzyka, instytucje obowiązane rozważą przeprowadzenie aktualizacji oceny ryzyka w sytuacji zaistnienia istotnych i długotrwałych zmian w otoczeniu gospodarczym, które mogą mieć znaczący wpływ na działalność operacyjną instytucji obowiązanej oraz sposób wykorzystania produktów i usług przez nią oferowanych. Okresowy przegląd powinien obejmować również ocenę aktualności i adekwatności metodyki przyjętej do opracowania oceny ryzyka oraz realizację działań, które zostały podjęte przez instytucję obowiązaną w celu zarządzania ryzykiem rezydualnym, wskazanych w ocenie ryzyka. 

Najczęstsze błędy

Doświadczenia z inspekcji przeprowadzonych przez UKNF wskazują, że wśród najczęstszych błędów popełnianych przez instytucje obowiązane były:

• pominięcie niektórych czynników ryzyka wskazanych w art. 27 ust. 1 ustawy,
• niewskazanie finalnych wniosków wynikających z oceny ryzyka,
• brak harmonogramu planowanych działań instytucji obowiązanej w celu mitygacji ryzyka lub nieracjonalne terminy zawarte w harmonogramie działań,
• niezrozumienie różnic pomiędzy ryzykiem inherentnym a rezydualnym,
• nieodpowiedni dobór metodyki, nie uwzględniający istotnych z punktu widzenia instytucji obowiązanej czynników ryzyka lub określający podatność na ryzyko w sposób nieadekwatny do skali i rodzaju działalności.

Sankcje

Niesporządzenie oceny ryzyka lub niedokonanie jej aktualizacji zagrożone jest odpowiedzialnością administracyjną, określoną w art. 147 pkt 2 ustawy.

Autorzy:

Agata Jankowska-Galińska, Radca prawny
Monika Strzelecka, Menedżer, Forensic Financial Advisory