AML,  cybercrime,  technologie

Krajowa ocena ryzyka AML – już czas

Na shadowtech.pl nie brakuje miejsca dla zagadnień przeciwpraniowych (AML).

 


A na krajową ocenę ryzyka już czas…

Tym razem, choć nie przepadam za taką formułą, text napisany z powodu ustawowych terminów.

W kontekście wdrażania procedur przeciwdziałania praniu pieniędzy (przeciwpraniowych), zgodnie z przepisami polskiej Ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która stanowi implementację AMLD, zwrócić powinniśmy uwagę na kilka dat:

  1. 13 stycznia 2019r. – termin dla instytucji obowiązanych do przedstawienia swoich pierwszych ocen ryzyka (192 ustawy AML)
  2. 13 lipca 2019r. (to teraz) – termin dla Generalnego Inspektora Informacji Finansowej (GIIF) do sporządzenia krajowej oceny ryzyka (193 ustawy AML)

Od instytucji obowiązanych wymaga się wcześniej

Jak widać na pierwszy rzut oka: instytucje obowiązana miały o 6 miesięcy krótszy termin na przedstawienie swojej oceny ryzyka niż GIIF. Z punktu widzenia organów administracji państwowej jest to oczywiście sytuacja korzystna. Daje czas na zebranie informacji z rynku oraz uwzględnieniu w ocenie właściwych czynników ryzyka.

Pozwala to też na realizacje ustawowego obowiązku współpracy z instytucjami obowiązanymi.

Sytuacja przedsiębiorcy

Dla przedsiębiorcy, który w myśl ustawy jest instytucją obowiązaną nie jest to sytuacja komfortowa, bo:

  1. miał on mniej czasu na sporządzenie swojej oceny ryzyka;
  2. mie miał wytycznych w postaci krajowej oceny ryzyka,
  3. post fatum musi zadbać o zgodność swojej oceny ryzyka z krajową oceną ryzyka

Ocena ryzyka sporządzana przez Komisję

Komisja sporządza ocenę ryzyka, która oceniać ma wpływ ryzyka na rynek wewnętrzny oraz transakcje transgraniczne. W tym celu w 2017 r., Komisja była zobowiązana do sporządzenia sprawozdania, które zgodnie z AMLD uwzględnia nie mniej niż:

  1. najbardziej zagrożone obszary rynku wewnętrznego,
  2. ryzyko związane z każdym sektorem,
  3. najpowszechniejsze metody wykorzystywane przez przestępców.

Uprawnienia Komisji

Co więcej, Komisja wydaje państwom członkowskim zalecenia ws. środków odpowiednich do celów zajęcia się zidentyfikowanym ryzykiem. Jednak gdy państwo członkowskie nie zdecyduje się na korzystanie z któregoś z zaleceń Komisji, to zobowiązane jest wytłumaczyć się poprzez poinformowanie o tym Komisji wraz z przedstawieniem uzasadnienia niestosowania zalecenia.

Czymże jest krajowa ocena ryzyka?

Przy sporządzaniu krajowej oceny ryzyka GIIF ma obowiązek uwzględnić powyższe sprawozdanie Komisji oraz współpracować z innymi podmiotami. GIIF uprawniony jest także do wezwania instytucji obowiązanych do przekazania mu ocen ryzyk sporządzonych przez instytucje obowiązane oraz innych informacji przydatnych do sporządzenia krajowej oceny ryzyka.

Co powinna zawierać?

Krajowa ocena ryzyka – zgodnie z przepisami (29) ustawy AML – powinna zawierać:

  • opis metodyki krajowej oceny ryzyka;
  • opis zjawisk związanych z praniem pieniędzy oraz finansowaniem terroryzmu;
  • opis obowiązujących regulacji dotyczących prania pieniędzy oraz finansowania terroryzmu;
  • wskazanie poziomu ryzyka prania pieniędzy oraz finansowania terroryzmu w Rzeczypospolitej Polskiej wraz z uzasadnieniem;
  • wnioski wynikające z oceny ryzyka prania pieniędzy oraz finansowania terroryzmu;
  • identyfikację zagadnień dotyczących ochrony danych osobowych związanych z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu.

Jak widzicie, całkiem sporo przydatnych informacji. Tym bardziej zasadne wydaje się, że sporządzane przez instytucje obowiązane oceny ryzyka mogłyby bardziej odpowiadać organom nadzoru i wymagały mniejszej ingerencji, gdyby zamienić kolejność w obowiązku ich sporządzania.

Gdzie znaleźć krajową ocenę ryzyka

W BIPie. Krajowa ocena ryzyka przedstawiana jest do akceptacji przez Ministra Finansów, kolejno usuwa z niej informacje niejawne i trafia do BIP.

Projekt strategii

Jak uda się już przeprocesować krajową ocenę ryzyka, to kolejno GIIF opracuje projekt strategii przeciwdziałania praniu pieniędzy oraz finansowani terroryzmu. Strategia zawierać ma plan działań mających na celu ograniczenie ryzyka związanego z praniem pieniędzy. Jest ona przyjmowana uchwałą przez Radę Ministrów.

* jak dotąd w sieci możemy znaleźć sprawozdanie GIIF z realizacji ustawy przeciwpraniowej jeszcze tej z 2000 r. oraz aktualnie obowiązującej [klik]

Ocena ryzyka instytucji obowiązanej

Katalog instytucji obowiązanych jest dość szeroki, znajdziecie go w art. 2 ust 1 ustawy AML.


O tym, że instytucją obowiązaną może być nawet podmiot przeprowadzający emisję własnych tokenów (ICO), pisałem na shadowtech.pl tutaj.


Instytucje obowiązane muszą identyfikować i oceniać ryzyko związaniem z praniem pieniędzy, które odnosi się do:

  • ich działalności,
  • uwzględnia czynnika ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji, kanałów ich dostaw.

Działań tych instytucja dokonuje w sposób proporcjonalny do swojego charakteru i wielkości.

Ustawodawca zaznaczył, że instytucje obowiązane sporządzając ocenę ryzyka mogą uwzględniać obowiązującą krajową ocenę ryzyka (na pewno nie przy pierwszej ocenie ryzyka) oraz sprawozdanie Komisji, o którym mówiliśmy wyżej.

Forma oceny ryzyka

Forma jest dowolna, tzn. że może być zarówno papierowa, jak i elektroniczna.

Dlaczego jest to ważne?

  1. jest to jeden z podstawowych elementów compliance w organizacji oraz pozwala na zabezpieczenie instytucji przed karami (zarówno administracyjnymi, jak i karami określonymi za czyny zabronione).
  2. porządnie sporządzona ocena ryzyka pozwala instytucji obowiązanej przygotować w sposób właściwy i proporcjonalny (do charakteru i wielkości instytucji) stosowanie środków bezpieczeństwa finansowego.’
  3. pozwala także przejść  kontrolę organu nadzoru z miękkim lądowaniem.

Pierwsze kary

Ano już były!


Kantor wymiany walut wirtualnych, mimo, że posiadał procedury AML, to nie dostosował ich charakteru prowadzonej przez siebie działalności oraz nie zapewnił pracownikom odpowiednich szkoleń.
[klik]

Kara za brak ustalenia beneficjentów rzeczywistych swoich klientów; instytucja obowiązana została ukarana karą niespełna 8 k zł – jest to kara symboliczna, ale pokazuje, że organy nadzoru nie czynią wyjątków.
[klik]
Kara ta, dla instytucji z tysiącem klientów, ma z pewnością większe znaczenie w sensie wizerunkowym i proceduralnym niż majątkowym.

Na rynku zachodnim są to kary sięgające nawet milionów $.
[klik]

 

Obraz mohamed Hassan z Pixabay

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *