Autor: Wojciech Kapica

Jak skutecznie zmierzyć i ocenić ryzyko AML w instytucji obowiązanej? Przewodnik praktyczny

Szanowni Państwo,

Do 13 stycznia 2019 r. wszystkie instytucje obowiązane mają obowiązek przeprowadzić instytucjonalną ocenę ryzyka prania pieniędzy oraz finansowania terroryzmu.

Ale o tym fakcie, wszyscy już zapewne wiedzą. Jak zatem mając nieco ponad miesiąc sporządzić taka ocenę ryzyka? Zacznijmy od przepisów. Zgodnie z art. 27 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu

  1. Instytucje obowiązane identyfikują i oceniają ryzyko związane z praniem pieniędzy i finansowaniem terroryzmu odnoszące się do ich działalności, z uwzględnieniem czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Działania te są proporcjonalne do charakteru i wielkości instytucji obowiązanej.
  2. Przy ocenianiu ryzyka instytucje obowiązane mogą uwzględniać obowiązującą krajową ocenę ryzyka, jak również sprawozdanie Komisji Europejskiej, o którym mowa w art. 6 ust. 1-3 dyrektywy 2015/849.
  3. Oceny ryzyka, o których mowa w ust. 1, instytucje obowiązane sporządzają w postaci papierowej lub elektronicznej i w razie potrzeby, nie rzadziej jednak niż co 2 lata, aktualizują, w szczególności w związku ze zmianami czynników ryzyka dotyczących klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw albo dokumentów, o których mowa w ust. 2.

Ryzyko prania pieniędzy oraz finansowania terroryzmu jako ryzyko niefinansowe zdaje się być, podobnie jak ryzyko prawne czy braku zgodności ryzykiem, trudno mierzalnym. Przyjęcie takiego założenia usprawiedliwiałoby oczywiście przyjęcie założenia o konieczności wyznaczania jego poziomu z użyciem metody eksperckiej. Jednakże nie sposób zgodzić się z takim wnioskiem, gdyż instytucjonalna ocena ryzyka prania pieniędzy oraz finansowaniu terroryzmu opierać się powinna na zagregowanym poziomie indywidualnych ocen tego ryzyka sporządzonych oddzielnie dla każdego klienta danej instytucji.

Metodologia, którą Państwu chcę zaproponować[1] w celu zmierzenia ryzyka prania pieniędzy oraz finansowania terroryzmu zakłada ujęcie zarówno czynników ilościowych, wskazanych w art. 27 ust. 1 dotyczących klientów jak i samego profilu biznesowego instytucji obowiązanej, ale również czynników jakościowych, które umożliwią uchwycenie trudno mierzalnych faktorów tego ryzyka jak i ujęcie go jako funkcji czasu.

Pierwszy etap oceny obejmować będzie identyfikację czynników ilościowych – klientów instytucji obowiązanej, państw lub obszarów geograficznych, z których pochodzą, produktów, usług, transakcji oferowanych lub kanałów ich dostaw.

W drugiej kolejności powinna nastąpić identyfikacja czynników jakościowych. W zakresie czynników jakościowych proponujemy ujęcie następujących czynników:

  • Stabilność/Rotacja klientów w okresie objętym badaniem
  • Integralność systemów IT (błędy, incydenty)
  • Planowany wzrost depozytów, klientów
  • Planowany wzrost przychodów
  • Ostatnia rotacja pracowników odpowiedzialnych za zgodność obszaru przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu
  • Poziom zależności od zewnętrznych dostawców / dystrybutorów
  • Ostatnie/planowane wdrożenia nowych produktów/usług
  • Ostatnie/planowane akwizycje
  • Ostatnie zalecenia i ustalenia audytu wewnętrznego lub innych właściwych jednostek

Czasookres oceny, która zgodnie z przepisami ma być sporządzana i aktualizowana nie rzadziej niż 2 lata wymusza ujęcie zarówno sytuacji aktualnej (na dzień sporządzenia oceny), minionych (od daty poprzedniej oceny) jak i planowanych zmian, które będą miały wpływ na poziom ryzyka.

Drugi etap obejmować będzie analizę danych uzyskanych w pierwszym etapie w celu ustalenia obecnego ryzyka, oceny prawdopodobieństwa, materializacji określonych danych i zrozumienia ich wpływu. Dane zostaną sklasyfikowane według jednego z następujących czynników ryzyka biorąc pod uwagę zagrożenie, podatność oraz prawdopodobieństwo wystąpienia prania pieniędzy:

  • prawdopodobieństwo wykorzystania produktu lub usługi w celu zamaskowania aktywów,
  • umiejętność korzystania z produktu lub usługi w celu maskowania przeznaczenia środków,
  •  poziom złożoności produktu lub usługi,
  • poziom zainteresowania produktem lub usługą osób z obszaru wysokiego ryzyka,
  • szybkość, z jaką można wykonać transakcje dotyczące produktu lub usługi,
  • typowa wielkość i częstotliwość transakcji związanych z produktem lub usługą,
  • dostępność produktu lub usługi,
  • prawdopodobny przestępczy lub terrorystyczny zamiar wykorzystania produktu lub usługi.

Dopiero takie koherentne ujęcie tych czynników łącznie pozwoli określić nam poziom ryzyka inherentnego (standardowego). Wyliczenie ryzyka standardowego nie kończy jednak procesu oceny. Celem jest bowiem określenie ryzyka rezydualnego (szczątkowego), które możemy dopiero określić po ujęciu w modelu odpowiednich mechanizmów kontrolnych minimalizujących ryzyko inherentne. W procesie zarządzania tym ryzykiem jest bowiem etap jego mitygowania (kontrola i ograniczanie ryzyka), który ma na celu zmniejszenie prawdopodobieństwa wystąpienia przyczyn błędów i ich negatywnych skutków. Całkowita eliminacja ryzyka prania pieniędzy oraz finansowania terroryzmu w instytucji obowiązanej jest nieosiągalna i chociaż trudno mówić o akceptacji jakiegoś poziomu ryzyka, trzeba uznać to za konieczne. Ryzyko na poziomie „zero” nie jest możliwe do osiągnięcia, pozostaje więc konieczność kontroli i zmniejszania prawdopodobieństwa wystąpienia błędów w obszarze AML oraz wielkości ich negatywnych konsekwencji. W tym celu instytucje obowiązane stosują mechanizmy kontrolne mające za zadanie ograniczanie ryzyka, do których zalicza się np. procedury wewnętrzne, szkolenia pracowników, rozdzielność obowiązków, stosowanie zasady „dwóch par oczu”, opinie prawne, właściwe udokumentowanie transakcji, zabezpieczenia fizyczne, mechanizmy systemowe (prawa dostępu, blokady). W celu zmierzenia skuteczności mechanizmów kontrolnych stosowane są dwa podejścia albo dokonuje się takie badanie w oparciu o samoocenę instytucji z zewnętrzną niezależną walidacją, albo w postaci pełnego badania audytowego dokonywanego przez podmiot zewnętrzny. Rekomenduję uwzględnienie następujących mechanizmów kontrolnych:

  • program KYC (z uwzględnieniem wszystkich wymagań),
  • bieżący monitoring stosunków gospodarczych,
  • polityki i procedury,
  • ład korporacyjny w obszarze przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu,
  • informacja zarządcza / raportowanie,
  • przechowywanie i retencja danych,
  • identyfikacja i zgłaszanie transakcji podejrzanych,
  • szkolenia,
  • niezależne monitorowanie tj. weryfikacja bieżąca oraz testowanie, i nadzór.

Ostatnim etapem oceny jest oszacowanie względnego narażenia instytucji obowiązanej na ryzyko wykorzystania jej do prania pieniędzy lub finansowania terroryzmu przy użyciu zidentyfikowanych i ocenionych dowodów. Model oceniać będzie ryzyko nieodłączne, oparte na podatnościach i prawdopodobieństwie użycia ich przez przestępców lub terrorystów, a następnie oceni czynniki łagodzące w celu obliczenia ryzyka netto (rezydualnego) na danym obszarze.

Ryzyko standardowe istnieje niezależnie od czynników kontroli. Prawidłowe funkcjonowanie czynników kontroli zmniejsza jednak prawdopodobieństwo wystąpienia prania pieniędzy lub finansowania terroryzmu. Dlatego, w zależności od ich skuteczności, ryzyko rezydualne ma mniejszą lub większą wartość. 

Podsumowując cały proces oceny i szacowania poziomu ryzyka przebiegać będzie według następującego schematu:

  1. zdefiniowanie właściwych czynników ryzyka
  2. nadanie wag czynnikom ryzyka zgodnie z metodologią
  3. zebranie danych i poddanie ich przeglądowi
  4. nadanie punktacji właściwym czynnikom ryzyka
  5. zdefiniowanie kategorii efektywności kontroli
  6. identyfikacja i mapowanie wszystkich kontroli poprzez właściwe kategorie ryzyka
  7. zanotowanie i zapisanie niedociągnięć i słabości każdej ze zidentyfikowanych kontroli na potrzeby przyszłych działań naprawczych (patrz pkt 10 poniżej)
  8. uwzględnienie całościowej punktacji właściwych ryzyk i zastosowanie punktacji efektywności kontroli poprzez zastosowanie matrycy ryzyka rezydualnego.
  9. uzyskanie poziomu ryzyka rezydualnego i ustalenie przez właściwy organ instytucji czy poziom ryzyka rezydualnego mieści się w zakresie tolerancji lub apetytu na ryzyko instytucji; oraz
  10. ustalenie planu naprawy pokrywającego elementy wymienione w pkt. 8, które zostały określone jako wymagające dalszych działań, obejmującego terminy i osoby odpowiedzialne.  

Przystępując do ustalania planu naprawy, jako elementu niejako wieńczącego proces oceny ryzyka należy odpowiedzieć sobie na kilka podstawowych pytań:

  1. jakie czynniki mają wpływ na podwyższenie wielkości ryzyka prania pieniędzy lub finansowania terroryzmu w instytucji obowiązanej (generują wysokie ryzyko),
  2. jakie czynniki mają wpływ na obniżenie wielkości ryzyka prania pieniędzy lub finansowania terroryzmu w instytucji obowiązanej (generują niskie ryzyko),
  3. jakie instytucja obowiązana może podjąć środki w celu obniżenia wartości ryzyka standardowego,
  4. jak wygląda funkcjonowanie mechanizmów kontrolnych – jeżeli któreś zawodzą, propozycje planu naprawczego, z uwzględnieniem osób odpowiedzialnych, sposobu poprawy ich funkcjonowania, terminów).

Mam nadzieję, że ten krótki artykuł przybliży Państwu problematykę oceny ryzyka prania pieniędzy oraz finansowania terroryzmu na poziomie całej instytucji obowiązanej. W razie pytań lub wątpliwości pozostaję do dyspozycji.

Zainteresowanym termatem polecam książkę pod moją redakcją „Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Praktyczny przewodnik” pod moją redakcją, która ukazała się nakładem Wolters Kluwer w zeszłym miesiącu.

[1] Model oceny ryzyka prania pieniędzy lub finansowania terroryzmu instytucji obowiązanej uwzględnia obowiązujące przepisy prawa, przepisy europejskie, wytyczne organów nadzoru, a także międzynarodowe standardy w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Przedstawiony model powstał w szczególności na podstawie następujących dokumentów:

  1. ustawa z 1.03.2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. poz. 723);
  2. dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z 20.05.2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.Urz. UE L 141, s. 73, ze zm.);
  3. Wspólne wytyczne na podstawie art. 17 i 18 ust. 4 dyrektywy (UE) 2015/849 w sprawie uproszczonych i wzmożonych środków należytej staranności wobec klientów oraz czynników, które instytucje finansowe powinny uwzględnić podczas oceny ryzyka prania pieniędzy lub finansowania terroryzmu w powiązaniu z indywidualnymi stosunkami gospodarczymi i transakcjami sporadycznymi;
  4. The Wolfsberg Frequently Asked Questions on Risk Assessments for Money Laundering, Sanctions and Bribery & Corruption.