Czym jest ocena ryzyka?

Obowiązek oceny ryzyka określony jest w Ustawie AML i występuje w dwóch rodzajach. Jednym z nich jest tzw. ocena ryzyka dotycząca działalności IO w konkretnej branży.

Dokonując oceny ryzyka uwzględnia się przede wszystkim:

• CO dostarczamy – czyli w jakiej branży działa IO, jakiego rodzaju są to produkty, usługi?

czy IO zajmuje się obrotem gotówkowym, produktami pozwalającymi zachować anonimowość lub są to produkty/usługi z branży podwyższonego ryzyka AML/CFT (np. kasyna, nieruchomości)

• KOMU dostarczamy – czyli z jakimi klientami mamy do czynienia?

czy jest osobą fizyczną, osobą prawną o złożonej strukturze, czas trwania relacji biznesowej z IO, status PEP, rodzaj działalności prowadzonej przez klienta w perspektywie ryzyka prania pieniędzy, dotychczasowe „zainteresowanie” ze strony GIIF i organów ścigania

• GDZIE dostarczamy – czyli w jakim regionie ma miejsce działalność?

czy IO działa w regionach wysokiego ryzyka, obwarowanych sankcjami, oddziały IO poza granicami Polski, obszary Polski podatne na ryzyko prania pieniędzy i finansowania terroryzmu (np. tereny przygraniczne z krajami spoza UE)

• JAK dostarczamy – czyli jak wygląda logistyka i transakcje?

czy są to transakcje transgraniczne, umożliwienie płatności do osób trzecich niebędących bezpośrednio klientami IO, przeprowadzanie transakcji bez fizycznej obecności stron, z udziałem pełnomocnika klienta, pośredników

Po co instytucji obowiązanej KOR?

KOR2023 to swego rodzaju sprawozdanie z badań aktualnych problemów, praktyki kategorii AML/CFT dokonywane przez GIIF. KOR2023 uwzględnia istotne wydarzenia, które miały miejsce od ostatniego KOR2019 – pandemia SARS-COV-2, wojna w Ukrainie – a które znacząco wpłynęły na praktykę AML/CFT.

IO nie muszą obowiązkowo dostawać swej polityki do KOR. Jest to takie narzędzie pomocnicze przy tworzeniu polityki AML/CFT i przeprowadzaniu oceny ryzyka.

Jednakże, może być to dobry moment na weryfikację, czy nieco zapomniana polityka AML/CFT w naszej firmie pozostaje skuteczna np. w świetle wniosków z KOR2023.

• Szczególnie, że Ustawa AML zobowiązuje IO do aktualizacji oceny ryzyka przynajmniej co dwa lata lub wcześniej gdy zaistnieje taka potrzeba.

Przykładowo KOR2023 porusza ważne w polityce AML/CFT zagadnienia takie jak:

• opisy i przykłady najczęściej wykorzystywanych mechanizmów prania pieniędzy oraz finansowania terroryzmu – na co zwrócić uwagę w relacjach gospodarczych?
• podatność branżowa na pranie pieniędzy i finansowanie terroryzmu – czyli kto musi się mieć szczególnie na baczności?
• środki mitygujące ryzyko prania pieniędzy i finansowania terroryzmu – jak bronić się przed praniem pieniędzy i finansowaniem terroryzmu przez naszą firmę?

Nowy rodzaj instytucji obowiązanej

Prezydent podpisał 22 czerwca 2023 roku tzw. Ustawę o konsumenckiej pożyczce lombardowej, która wchodzi w życie 07 stycznia 2024 roku. W telegraficznym skrócie jest to ustawa, która w znacznym stopniu ma uregulować wykonywanie działalności lombardowej.

Uchwalona ustawa powoduje też, że do grona instytucji obowiązanych dołączają przedsiębiorcy wykonujący działalność lombardową, o których mowa w ustawie z dnia 14 kwietnia 2023 r. o konsumenckiej pożyczce lombardowej (art. 2 ust. 1 pkt 26 Ustawy AML).

To oznacza, że lombardy muszą obowiązkowo wdrożyć całą procedurę AML/CFT w nieprzekraczalnym terminie 07 stycznia 2024 roku. Inaczej zarówno lombardy, jak i zarządzający nimi narażają się na odpowiedzialność administracyjną w postaci m.in. wielomilionowych kar.

POBIERZ FLIPBBOK >> 

Jak ocenić poziom ryzyka?

Obowiązek oceny ryzyka określony jest w Ustawie AML i występuje w dwóch rodzajach:

• Ocena ryzyka dotycząca samej IO
• Ocena ryzyka dotycząca transakcji lub stosunków gospodarczych

Ocena ryzyka dotycząca IO polega na identyfikacji i ocenie ryzyka prania pieniędzy w związku z prowadzoną działalnością IO. Chodzi o sprawdzenie, czy i jak bardzo IO jest podatna na wykorzystanie jej do prania pieniędzy lub finansowania terroryzmu. Dzięki temu możliwe jest określenie jak duże środki i zasoby należy zaangażować do profilaktyki AML/CFT w naszym przedsiębiorstwie oraz na które obszary działalności zwrócić trzeba szczególną uwagę.

Ocena ryzyka IO musi być sporządzona w formie dokumentowej lub elektronicznej oraz podlega aktualizacji przynajmniej co 2 lata, a nawet i częściej, jeżeli zaistnieje taka potrzeba (np. wskutek rozszerzenia działalności na inne kraje).

Na ocenę ryzyka IO wpływają zmienne dotyczące charakterystyki:

• Klientów – czyli czy jest osobą fizyczną, osobą prawną o złożonej strukturze, czas trwania relacji biznesowej z IO, status PEP, rodzaj działalności prowadzonej przez klienta w perspektywie ryzyka prania pieniędzy, dotychczasowe „zainteresowanie” ze strony GIIF i organów ścigania
• Państw i obszarów geograficznych – czyli czy IO działa w regionach wysokiego ryzyka, obwarowanych sankcjami, oddziały IO poza granicami Polski, obszary Polski podatne na ryzyko prania pieniędzy i finansowania terroryzmu (np. tereny przygraniczne z krajami spoza UE)
• Oferowanych produktów, usług, transakcji, logistyki dostaw – czyli czy IO zajmuje się obrotem gotówkowym, produktami pozwalającymi zachować anonimowość, transakcje transgraniczne, umożliwienie płatności do osób trzecich niebędących bezpośrednio klientami IO, przeprowadzanie transakcji bez fizycznej obecności stron, z udziałem pełnomocnika klienta, pośredników
• Profilu działalności IO oraz wielkości IO – czyli czy IO działa w obszarach podwyższonego ryzyka (np. pośrednictwo płatnicze, kryptowaluty), jaka jest skala prowadzonych transakcji szczególnie tych gotówkowych, występowanie oddziałów i filii IO poza granicami Polski
• Wszelkich innych czynników wpływających na ryzyko, na przykład dotychczasową efektywność stosowanych procedur AML/CFT, zakres outsourcingu AML/CFT, zmiany w prowadzonej działalności, planowane przejęcia i fuzje

Pomocne przy ocenie ryzyka IO mogą być dokumenty przygotowywane zarówno przez instytucje państwowe oraz międzynarodowe, jak i opracowania wewnętrzne:

• Krajowa Ocena Ryzyka sporządzana przez GIIF
• Sprawozdanie Komisji Europejskiej w sprawie oceny ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu
• Stanowiska i komunikaty UKNF, GIIF, NBP oraz międzynarodowych instytucji typu FATF, EUNB
• Opinie eksperckie, badania typu audyty, due dilligence

Ocena ryzyka dotycząca transakcji lub stosunków gospodarczych – przedstawiony wcześniej schemat badania kontrahentów rodzi pytanie, kiedy intensywniej należy „przyjrzeć się” klientom, a kiedy można poprzestać jedynie na podstawowej weryfikacji?

Ocena ryzyka dotycząca transakcji lub stosunków gospodarczych powiązana jest z obowiązkiem prowadzenia dokumentacji w tym zakresie. Czyli wyniki przeprowadzonych badań podlegają utrwaleniu np. w formie pisemnej lub elektronicznej.

Czynniki wpływające na ocenę ryzyka transakcyjnego (minimalny standard) – czyli poznaj szerzej swojego klienta

• Rodzaj klienta – czyli czy jest osobą fizyczną, osobą prawną o złożonej strukturze, czas trwania relacji biznesowej z IO, status PEP, rodzaj działalności prowadzonej przez klienta w perspektywie ryzyka prania pieniędzy, powiązania osobowo-kapitałowe z zagranicą
• Obszar geograficzny klienta – niższy stopień ryzyka np. kraje UE, wyższy stopień ryzyka np. państwa trzecie, wysoki stopień ryzyka np. państwa znajdujące się na liście ostrzeżeń
• Przeznaczenie rachunku – dotyczy instytucji płatniczych, stopień ryzyka zależny od rodzaju rachunku (np. osobisty, firmowy, kilku posiadaczy, powierniczy, inwestycyjny)
• Rodzaj produktów, usług, sposobów dystrybucji – czyli czy transakcja lub stosunki gospodarcze dotyczą obrotu gotówkowego, produktów pozwalających zachować anonimowość, transakcje transgraniczne, karty prepaid, kryptowaluty
• Poziom wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji – zasadą jest, że poziom ryzyka rośnie proporcjonalnie do wartości transakcji, aczkolwiek poleca się uwadze także i działania polegające np. na zawieraniu szeregu pomniejszych transakcji kumulujących się finalnie do istotnych wartości
• Cel, regularność lub czas trwania stosunków gospodarczych – trwałe stosunki gospodarcze na ogół zmniejszają stopień ryzyka, inaczej należy oceniać pojedyncze, wpadkowe transakcje

Podstawowa metodyka rozpoznania i oceny ryzyka

• Scoring – metoda dokładna, lecz wymagająca dużych nakładów. Kryteria ryzyka są skalowane punktowo. Każdy klient/relacja poddawane są ocenie punktowej w ramach przyjętej skali. Końcowy wynik pozwala przypisać klienta do jednej z grup ryzyka
• Zero-jeden – mniej miarodajna metoda. Spełnienie kryterium ryzyka oznacza wartość 1, brak to wartość 0. Im więcej „jedynek” tym wyższy stopień ryzyka.
• Mieszana – połączenie scoringu i metody zero-jedynkowej.

Stopnie ryzyka i adekwatne do nich ŚBF

• Niskie ryzyko – uproszczone środki bezpieczeństwa finansowego (Simplified Due Diligence SDD)
• Standardowe ryzyko – podstawowe środki bezpieczeństwa finansowego (Customer Due Diligence CDD)
• Wysokie ryzyko – wzmożone środki bezpieczeństwa finansowego (Enhanced Due Diligence EDD)
• Nieakceptowalne ryzyko – zawarcie stosunków gospodarczych lub transakcji z danym podmiotem jest niewskazane

Czym są uproszczone ŚBF i wzmożone ŚBF?

• Nie istnieje w Ustawie AML katalog uproszczonych ŚBF i wzmożonych ŚBF
• Uproszczenie i wzmożenie polega na dostosowaniu intensywności ŚBF do wykrytego poziomie ryzyka.
  • Na przykład weryfikacja tożsamości klienta poprzez wideorozmowę [uproszczone] vs weryfikacja tożsamości klienta poprzez spotkanie na żywo w siedzibie IO [wzmożone]

Jak ocenić ryzyko?

UWAGA: wystąpienie którejś z przesłanek nie zobowiązuje automatycznie do stosowania wzmożonych lub uproszczonych ŚBF, lecz stanowi sygnał do przeanalizowania konkretnego przypadku pod tym właśnie kątem

Sytuacje szczególne zastosowania ŚBF

Stosowanie ŚBF stanowi podstawowy obowiązek wynikający z Ustawy AML. IO zobligowane są do ich używania we właściwy sposób i z zachowaniem proporcjonalności. Zdarzają się jednak sytuacje szczególne:

• Możliwość odstąpienia od stosowania ŚBF przez IO – dotyczy to prawa do odstąpienia od ustalenia tożsamości, weryfikacji klienta i beneficjenta rzeczywistego oraz oceny stosunków gospodarczych w przypadkach drobnych transakcji elektronicznych. Warunki jakie należy spełnić:
  • Transakcja dotyczy pieniądza elektronicznego
  • instrument płatniczy nie może być ponownie zasilony ew. maksymalny limit transakcji wynosi równowartość 150 € i ograniczony jest do terytorium RP
  • kwota przechowywana elektronicznie nie przewyższa 150€
  • instrumentem płatniczym można zakupić tylko usługę lub towar
  • instrument płatniczy nie może zostać doładowany bez zastosowania ŚBF
  • wydawca pieniądza elektronicznego stosuje ŚBF w zakresie bieżącej analizy transakcji lub monitoruje stosunki gospodarcze
• Brak możliwości zastosowania ŚBF – czasem w praktyce zdarza się, że IO nie są w stanie zastosować względem klienta/beneficjenta rzeczywistego ŚBF. Przykładowo, nie można dokonać weryfikacji klienta, gdyż nie okazuje on IO właściwego dokumentu tożsamości.

Brak możliwości zastosowania ŚBF musi wiązać się ze stanowczą reakcją IO.

Zależnie od rodzaju dotychczasowych kontaktów z klientem powinno nastąpić:

• Nienawiązanie stosunku gospodarczego
• Nieprzeprowadzenie transakcji okazjonalnej
• Nieprzeprowadzenie transakcji za pośrednictwem rachunku bankowego
• Rozwiązanie stosunków gospodarczych

Brak ŚBF i co dalej?

• Zawiadomienie GIIF
  • Nie zawsze brak możliwości zastosowania ŚBF = zawiadomienie
  • Należy zbadać konkretny przypadek – jeżeli IO oceni, że zachodzą podstawy z uwagi na podejrzenie prania pieniędzy lub finansowania terroryzmu lub uzasadnionego podejrzenia, że określona transakcja lub określone wartości majątkowe mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu.